뻥뻥 뚫린 보안망. 해커 정부공격 하루 200만 건
적은 인력·비용으로 치명적 타격” 사이버戰 인력·기술 집중육성 시급
‘옥션사고’ 반짝하는 이벤트? 정부 보안대책 ‘오리무중’ 
▲ 지난 2월 해킹사고를 당한 옥션 측이 홈페이지를 통해 일부 회원의 개인 정보 유출로 의심되는 단서가 발견됐음을 공지하고 있다.
대형 인터넷 사이트들의 해킹에 의한 고객정보유출, 그리고 대형 통신업체의 고객정보유출 및 무단 사용 등 사회 전반적인 보안 불감증이 극에 달하고 있다.
반면 지난 2월초 옥션측에서 고객정보 유출 정황을 포착하고 이를 공지한 것이 벌써 넉달이 다 되어간다. 또 이후 다음에서도 고객센터쪽 정보유출 된 것이 밝혀졌고, 얼마전에는 하나로텔레콤의 고객정보 무단 사용사건이 터졌다. 그러나 고객입장에선 인터넷 사용보안이 특별히 강화된 느낌을 받지 못하고 있다. 그저 늘어나는 스펨메일과 수시로 결려오는 보이스피싱 전화와 스팸문자를 받아보고 있다. 전 국민의 개인정보가 중국과 한국내에서 이리저리 팔리고 있고 이를 사용해 2차 피해들이 속출하고 있는데도 불구하고 넉달이 지난 지금까지 피부에 와 닿는 대책들이 나오지 않고 있는 것이다. 엎친데 덮친격으로 옥션 해킹 사건으로 대규모 집단소송 움직임이 감지되고 있는 가운데, 소송사건을 사칭한 악성코드가 발견돼 사용자들의 주의가 요구된다. 최근 기업의 고객 정보 유출 등으로 집단 소송에 대한 관심이 높아지자 이를 악용한 것으로 보인다. 이메일 수신자가 관심을 가질 만한 내용으로 현혹해 악성코드 유포에 악용하고 있다.
오는 9월 개인정보보호법이 재정된다고는 하지만 피해는 계속 커지는데 전혀 몸으로 느껴지는 대책들은 나오지 않자 국민들은 불안감만 커진다. 보안관제업체 관계자들도 “문의는 많이 오고 있지만 옥션사태 이전보다 이후에 계약이 많이 체결됐다든지 보안장비들이 많이 도입됐다든지 그런 변화는 크게 없다”며 “이번건도 한때 반짝하는 이벤트로 끝나지 않을까 걱정”이라고 말했다.
무방비 보안망 1,000만여 명 고객에, 관리자는 한 명
은행도 보안부실로 인해 외국 해커들에게 당하고 있다. 그것도 관리자 권한까지 넘겨준 것이라 사안의 심각성은 더 크다고 할 수 있다. 즉 마음만 먹으면 해당 은행의 모든 것을 마음대로 처리할 수 있었다는 것이다.
외국계 회사들의 ‘자회사간 정보공유 금지’와는 대조적으로 국내금융기관이 외국인 해커에 무방비로 뚫려 농락당한 이번 사건의 발생으로 보안망에 비상이 걸렸다. 업체들은 보안 인력을 대폭 충원하고 자체 보안시스템 개발에 직접 뛰어드는 등 유사한 피해를 막기 위해 안간힘을 쓰고 있다. 각 은행은 고객의 개인정보 해킹을 차단하기 위해 개인정보 DB 암호화를 서두르고 있다. 고객의 금융 비밀번호, 주민등록번호, 계좌번호, 카드번호 등을 모두 암호화하면 해킹 등에 의해 유출이 되더라도 피해를 최소화할 수 있기 때문이다.
방침을 바꿔 자체적으로 보안 전문가를 보강하는 기업도 늘고 있다. 포털 사이트 네이버는 조직 슬림화 차원에서 외부 업체에 보안을 맡겼다가 최근 자체 보안시스템을 구축하고 인력을 지속적으로 충원하고 있다.
하지만 대부분 국내 기업들의 고객정보 보호 장치는 매우 낙후된 실정이다. 업계에 따르면, 국내 유명 생명보험회사인 A생명은 보험 가입자들만 1,000만여 명에 이르는데도 고객 개인정보를 관리하는 직원은 단 한 명에 불과하다. 특히 업체들은 대부분 자회사 및 하청 회사와 고객 개인정보를 공유하면서도 정보 유출을 막는 장치는 허술하다는 지적이다.
한국정보보호진흥원의 한 관계자는 “해킹 다음으로 개인정보 유출의 주범은 내부자” 라며 “해킹 특성상 시스템은 뚫릴 수밖에 없고 정부 대책은 한계가 있으므로 고객 서비스차원에서 기업 스스로 보안 대책을 마련해야 한다”고 말했다. 또 “보안사고 발생 시 지나친 자사 이기주의에 따라 사고를 축소, 은폐하려는 경향도 보안사고를 부추긴다”고 분석한다.
서울 영등포경찰서 양윤교 수사과장은 “기업이나 보안업체가 지금은 괜찮다고 생각하고 더 이상 보안시설에 투자를 안 하다가 한번 뚫리면 그제야 방비책을 마련하는 경우가 많다”고 꼬집었다.
“北·中·日 사이버戰 인력·기술 집중육성” ▲ 각종 해킹사고가 연이어 터지면서, 보안업계 움직임이 분주해졌다. 잇단 해킹사고로 침입방지시스템(IPS)·분산서비스거부(DDoS) 솔루션·웹애플리케이션방화벽(WAF) 등 정보보호제품 솔루션 도입 필요성이 커지면서 관련 수요 증가 등 ‘청신호’가 켜졌다.
중국발 해킹 피해 등이 급증하면서 동북아시아에 사이버 전쟁 경계령이 내려졌다. 사이버전의 초보적인 공격 기술이 핵무기 못지않은 치명적 손실을 입힐 수 있는데다 최근 중국발 해킹 피해 등이 급증하면서 동북아 각국이 사이버전 전담인력 양성과 기술 향상에 심혈을 기울이고 있는 것으로 나타났다. 또한 중국이 한국정부 및 지방기관 등의 인터넷을 가장 많이 해킹하는 경유지인 것으로 분석됐다.
국내 인터넷을 해킹한 경유지는 중국(53.6%), 미국(14.3%), 일본(5.2%), 브라질(4.9%), 대만(2.7%) 순으로 분석됐다고 밝혔다. 이는 한국정보보호진흥원(KISA)이 지난 3월 한 달 동안 인터넷 해킹 및 해킹시도 사례 2천 121만 건을 분석한 결과다.
북한은 1989년부터 사이버전 전담인력을 양성하고 있다. 특히 북한은 조선컴퓨터센터(KCC)를 통해 주요 국가의 인터넷망을 해킹하고 인터넷 침해 감시망을 운영하고 있다. 또한 미국은 국가안보국(NSA)과 FBI(연방수사국)을 중심으로 사이버전 부대를 구성하고 사이버 공격 및 전담대응기구(JTF-CNO)를 창설한 데 이어, 국토안보부 주관으로 매년 사이버전 모의훈련을 실시하고 있다.
한편 국내 중국발 해킹사건으로 대형 인터넷업체 보안담당자들은 “중국유학생 폭력사태 이후 중국 악성 해커들의 공격이 더욱 기승을 부리고 있다”며 “국수주의 경향이 강한 중국 해커들이 한국을 고의적으로 공격하는 것 같아 예의주시하고 있다”고 전했다.
또 다른 관계자도 “최근 들어서 증가한 SQL인젝션 공격은 옥션이 해킹을 당한 주요한 원인”이라며 “간단하면서도 무서운 공격이기 때문에 각 사이트 보안담당자들은 어느 때보다 더욱 주의 깊게 모니터링과 관제를 실시해야한다”고 밝혔다.
SQL인젝션 공격은 웹애플리케이션 취약점을 파고드는 공격으로 DB유출까지도 가능한 공격이기 때문에 주의를 기울여야 한다. 국내 웹 공격의 70% 이상이 SQL인젝션 공격이란 점을 감안하면 여느 때보다 주의를 기울여야 할 상황인 것으로 전문가들은 보고 있다
중국 해커들은 국수주의적인 경향이 강해 자국 해킹보다는 어떤 이슈가 터지면 해당 국가를 보복차원에서 집중적으로 공격하는 경향이 있다고 전문가들은 말하고 있다. 이처럼 사이버전은 소수의 인원과 저비용으로 지구촌 어디서든 가능해, 초보적인 공격 기술로도 핵무기 못지않은 치명적 손상을 줄 수 있다 뿐만 아니라 인명이나 시설피해 없이 상대국가조직, 군대의 기능을 무력화할 수 있기 때문에 우리정부에서도 신속히 대응할 수 있는 사이버전 전담인력 양성이 시급하다.
 | ||
| ▲ 해킹으로 유출된 고객의 개인정보가 보이스피싱 등 또 다른 범죄로 확산될 수 있기 때문에 대응책 마련이 시급하다. |
보안문제 불감증, 직장인 28.4%, 모든 웹사이트 비밀번호 동일
개인정보 보안에 대한 직장인들의 보안 불감증은 상대적으로 문제가 심각한 것으로 조사됐다. 온라인 교육사이트 에듀스파(www.eduspa.com
비밀번호 설정 유형을 묻는 질문에도 비밀번호 분실에 대비해 모든 비밀번호를 통일해 사용하는 통일형이 28.4%로 가장 많아 비밀번호 노출 위험이 높았다. 더욱이 기념일, 생일 등 자신과 관련된 의미를 부여해 사용하는 의미부여형이 21.7%, 외우기 쉽고 간단하게 비밀번호를 설정하는 귀차니즘형이 9.0%를 차지해 비밀번호에 있어서도 보안 불감증은 여전히 존재했다. 반면 영문, 숫자, 특수문자를 8자리 이상 조합해 사용하는 성실형은 24.2%에 그쳤다.
또한 사이트 가입 시 인터넷 약관 파악에서도 보안 불감증이 드러났다. 조사결과 회원가입 약관을 꼼꼼히 읽어보는지에 대한 질문에 불과 4.6%만이 그렇다고 응답한 반면, 대충 훑어본다는 응답이 58.7%로 가장 많았고 전혀 읽어보지 않는다는 응답도 무려 36.7%에 달했다. 개인정보 보안에 대한 직장인들의 보안 불감증은 상대적으로 문제가 심각한 것으로 조사됐다. 온라인 교육사이트 에듀스파(
 | ||
개인정보 유츌시엔 너도나도 강력대응
반면, 해킹사건에 대한 개인정보 유출 피해에는 강력히 대처할 뜻을 내비쳤다. 조사결과 해킹사건으로 개인정보 유출피해를 당할 경우 이에 따른 대처로 집단소송과 회원탈퇴를 동시에 진행할 것이라는 직장인은 무려 42.8%에 이르는 것으로 나타났다.
이어 집단소송은 물론, 비밀번호 변경까지 하겠다는 응답이 22.7%를 기록했다. 반면, 회원탈퇴만 하겠다는 응답과 비밀번호 변경만 하겠다는 응답은 각각 15.4%와 11.3%를 차지했고 집단소송에만 참여하겠다는 응답은 3.2%를 차지했다. 반면 상관없이 그냥 이용하겠다는 응답은 3.3%에 그쳤다.
아울러, 최근 피어싱이나 스팸전화 등의 피해가 최근의 해킹 파문으로 인한 개인정보 유출과 관련이 있다고 생각하느냐는 질문에 53.7%가 직접적인 관련이 있다고 응답, 피어싱이 해킹사건과 높은 관련이 있다고 생각하는 것으로 나타났다. 이어 어느 정도 관련이 있다는 응답이 40.0%를 차지한 반면, 별 관련이 없다는 응답과 전혀 관련이 없다는 대답이 각각 2.2%와 0.7%에 달했다.
안철수 카이스트 석좌교수는 ‘보안은 문화’ 라고 말한다. 아무리 좋은 자물쇠를 갖춰놓아도 잠그지 않으면 아무 소용없다는 것. 잠그느냐 마느냐의 여부는 문화라는 것이다. 그는 “아직까지는 국내 네티즌들이 비밀번호관리 등 개인보안관리에 철저하지 않지만, 점차 나아지길 기대한다” 고 전했다.
최근 크고 작은 해킹 사고로 보안을 강화해 달라는 고객들의 요구가 잇따르고 있다. 그러나 이에 앞서, 일차적으로 개인방어측면에서 신중을 기해 내 자신의 보안의식부터 되짚어 보는 것이 ‘개인정보 대량유출’ 이라는 불명예를 씻고, ‘보안강국 코리아’로 거듭날 수 있는 첫 걸음이 될 것이다.