지난 상반기 내내 대한민국은 연이은 보안사고로 몸살을 앓았다. 3.4분산서비스거부(DDoS)공격으로 시작해 금융권 해킹, 대형 포털의 개인정보 유출까지 쉴 틈 없었다.
상반기 내내 발생한 해킹 사건을 정리하면 ‘사후약방문’이란 하나의 결론으로 모인다. 피해는 갈수록 커진다. 엄청난 가치를 가진 정보가 유출됐고, 사회경제의 중추인 금융시스템이 수일동안 마비됐다. 만반의 준비를 갖췄다던 기업들의 호언장담은 해커 앞에 속절없이 무너졌다.
업계는 대규모 해킹 피해사례가 늘어나는 상황에서 뚜렷한 개선기미를 보이지 않는 점을 우려한다. 사고가 날 때마다 뒷수습에 급급할 뿐, 실제 확실한 개선책을 마련하지 못했다는 것이다. 최근까지 국내를 뒤흔들었던 보안사고를 통해 근본적인 해결책을 찾아야 한다는 지적이 쏟아지고 있다.
■포털과 금융권 향한 해킹 쓰나미
지난달 28일 알려진 네이트-싸이월드 개인정보 대량유출 사건은 역대 최대 규모의 유출 사례다. 네이트와 싸이월드 가입자 3천500만 회원의 개인정보가 유출됐다. 지난 26일 중국발 IP로 유포된 악성코드가 문제였다.
지난 5월 말 대형포털 4곳 역시 개인정보가 유출됐다. 피해 가입자 수도 17만명에 달했다. 인터넷 홍보 대행업체들 일부는 중국해커에게 이 개인정보를 구입해 홍보에 이용하기도 했다.
당시 해당포털 측은 포털사이트가 직접적으로 뚫린 것은 아니다라며 해킹 사실을 부인했다. 경찰 수사결과, 중국해커가 아이디, 비밀번호, 이름 등 모든 가입자 정보를 빼낸 것으로 확인됐다.
사상최악의 금융권 전산망 마비사태로 평가받는 농협사태와 약 42만명의 개인정보가 유출된 현대캐피탈 등 금융권 보안사고도 대형사고였다. 인터넷 홈페이지 접속중단을 유발하는 디도스와 비교할 수 없는 규모의 경제적 피해를 발생시킨 사건이었다.
■해커, 대형 포털 사이트 겨냥…개인정보 유출 피해↑
올해 상반기 해커들은 네이버, 다음, 네이트 등 대형 포털 사이트를 공략했다. 개인정보 탈취가 주 목적이었다.
홍민표 쉬프트웍스 대표는 “대형 포털은 해킹 한 번으로 대량의 개인정보를 탈취할 수 있을 뿐 아니라 이를 통해 금전적인 이득을 취할 수 있다”면서 “해커들에게 금융권과 함께 대형 포털사이트는 매력적인 먹잇감”이라고 말했다.
대형 포털 개인정보 유출은 2차, 3차의 피해로 이어진다는 점에서 심각한 문제다. 특히 수년째 지적돼온 네이트온 메신저 피싱과 맞물리면 더 큰 피해를 일으킬 전망이다.
가장 많은 가입자를 보유한 메신저 ‘네이트온’은 계속 메신저 피싱의 피해자를 늘려왔다. 메신저 피싱은 공격자가 비밀번호를 탈취해, 지인인 척 친구에게 접근해 돈을 빼앗는 지능적 수법이다. 최근의 개인정보 유출 피해자 3천500만명은 잠재적 메신저 피싱 피해자로 주의를 요한다.
이 회사는 사용자들이 비밀번호를 변경하도록 권장하고, 핫라인 콜센터를 통해 사태수습에 나섰다. 이들은 자신의 정보유출여부를 확인할 수 있는 팝업창을 띄웠다.
아울러, SK컴즈 측은 유출된 개인정보 중 주민등록번호와 비밀번호를 암호화했기 때문에 안전하다고 해명했다. 하지만 SK컴즈의 해명에도 불구하고, 피싱에 대한 우려는 계속된다.
함께 유출된 휴대폰 번호는 암호화 돼 있지 않았기 때문이다. 은행, 공공기관 등을 사칭해 은행 계좌에 돈을 입금하도록 유도하는 사기방식인 보이스피싱이 점점 지능화 추세란 점은 피해 우려를 더욱 키우고 있다.
■연이은 보안사고…금융권 보안에 ‘경종’
현대캐피탈 고객정보유출과 농협사태는 금융권 보안에 경종을 울렸다. 잇따른 금융권 보안사고 후 전 금융사는 비상체제를 가동하며 보안강화 대책을 재검토하게 된다.
금융사들은 지난 2007년부터 전자금융거래법에 따라 보안정책을 준수해왔다. 이에 따라 방화벽, 침입탐지시스템, 디도스 방지시스템 등이 금융권에 구축됐다. 금융권은 이를 믿고 모두 보안을 자신했다. 특히, 지난 3월 3.4 디도스 공격 이후 보안수위를 한층 높인 터라 자신감은 하늘을 찔렀다.
지난 4월 현대캐피탈 사례는 금융권의 보안에 대한 자신감을 여지없이 무너뜨린 사건이었다. 무기력하게 해킹피해를 입은 금융관련업계는 유사피해 방지를 위해 특별점검에 나서야 했다.
현대캐피탈은 42만명 고객정보와 1만3천여 고객의 프라임론패스 및 비밀번호가 유출됐다. 현대캐피탈의 자동차 리스 상품은 고객들에게 정비 서비스를 제공하는데, 해커는 서비스 이용을 위해 고객이 시스템에 접속해야 한다는 점을 이용해 기록을 빼냈다. 일부 로그를 암호화하지 못해 해킹이 이뤄졌을 수 있다는 지적이다.
뿐만 아니라 현대캐피탈은 지난 2월부터 고객정보가 유출되는 가운데, 이를 전혀 파악하지 못했다. 현대캐피탈의 보안 관리에 대한 세간의 비난을 키운 이유였다. 24시간 가동했던 모니터링 체계는 정황파악조차 하지 못했다. 이에 업계는 기본적인 수칙을 제대로 지키지 못한 것 아니냐고 지적했다.
연이어 터진 농협사태는 금융권 보안사고의 미제사건으로 남았다. 사건 발생 당시 농협 측은 단순한 전산장애에 불과하다고 공식입장을 밝혔다. 하지만 이 후 장애복구가 수일동안 지연되자 해킹의혹이 제기됐다,
이후 단순한 시스템장애라던 입장은 내부자 소행으로 바뀌었고, 정부당국은 조사 결과 북한소행에 의한 사이버테러로 결론내렸다. 북한이 7.7디도스 공격 당시 사용했던 것과 동일한 IP주소를 발견했다는 게 근거였다. 이후 각종 의혹과 의문점이 계속 제기됐지만 사태는 미궁에 빠졌다.
■구조적으로 풀 수 있는 해결책이 필요하다
이같은 연이은 해킹사고에도 특별한 방어책은 여전히 미흡한 실정이다. 피해가 지속적으로 발생하는 이유다. 개인정보 유출로 추가 피해 발생 가능성이 높고 사회혼란을 키운다는 점 때문에 보안업계 전문가들은 근본적인 대책마련이 시급하다고 지적했다.
금융권은 보안강화 정책수립과 특별감사를 통해 보안성 개선에 적극적으로 나서는 모습이다. 하지만 대형 포털은 물론 금융권까지 해커들의 파상공세는 여전히 무대책이다.
농협사태 이후 국내 금융권은 내부보안을 강화했다. 농협은 최고정보보호책임자(CSO)를 임명했고, 정보기술 전문가 40명을 충원했다. 그러자 금융IT 전문인력 양성 문제가 대두됐다. 전문가들은 금융보안 사고에 효율적으로 대응하려면 전문인력을 중심으로 한 보안체계를 구축해야 한다고 입을 모았다.
관련기사
- 네이트 어떻게 뚫렸나? 전문가에 물었더니...2011.08.06
- 네이트-싸이 해킹, "2차 피해 더 무섭다"2011.08.06
- 농협사태 그 후…끝나지 않은 이야기2011.08.06
- 현대캐피탈 해킹...현대카드까지 불똥?2011.08.06
금융보안 전문가들은 금융권이 뛰어난 자동화된 방어솔루션과 위기대응 매뉴얼, 조직체계 등을 갖추더라도 이를 효율적으로 수행할 수 있는 전문보안인력이 없다면 빛좋은 개살구라고 평가했다.
조시행 안철수연구소 연구소장(상무)는 사용자들이 보안인식을 가지는 것도 중요하지만 이를 실천하는 것이 더욱 필요하다면서 또한 정부 및 기관들은 보안업체들과의 실질적인 협력을 통해 보안사고에 대응해나가야 할 것이라고 말했다.
