2020-08-07 12:25 (금)
내년, 금융권 대상 대규모 사이버공격 가능성
상태바
내년, 금융권 대상 대규모 사이버공격 가능성
  • 길민권
  • 승인 2011.11.25 04:36
이 기사를 공유합니다

임종인 원장 “해킹피해가 물리적 세계로까지 확대되는 시대”
올해 발생한 주요 사이버 사건들을 뒤돌아 보고 기업들은 어떻게 대응해야 하는지 생각해 볼까 한다. 임종인 고려대 정보보호대학원 원장은 “사이버 공간과 현실이 분리돼 있던 것이 이제는 스마트폰 시대가 되면서 항상 켜져 있고 사이버 공간과 함께 생활하고 있다. 사이버 세상과 물리적 세상이 혼재된 시대 속에 살고 있다”며 “물리와 사이버 공간의 융합으로 해킹에 의한 피해가 더욱 커지고 있다. 해킹이 네트워크 마비나 정보탈취에 머물지 않고 물리적 세계로까지 피해가 확대되고 있다”고 경고했다.
 
◇끊임없이 발생하는 보안사고들=2006년부터 최근까지 끊임없는 정보보호 사고가 발생하고 있다. 2006년 엔씨소프트에서 리니지2 이용자 120만명 아이디와 패스워드가 유출됐다. 같은 해 LG전자 신입사원 채용 시스템의 허점이 노출돼 입사지원자 약 3000명의 개인정보가 유출됐다.
 
또 2008년 옥션이 해킹을 당해 약 1800만명의 고객 개인정보가 유출됐다. 당시 하나라텔레콤에서도 51만건의 고객 개인정보를 무단으로 텔레마케팅 업체에 판매한 사건도 있었다. GS칼텍스에서도 협력사 직원이 약 1000만건의 고객 정보를 CD에 담아 유출한 사건이 발생했다. 2009년에는 미국과 한국의 주요 정부기관, 포털, 금융 사이트 등이 DDoS 공격을 받은 일명 7.7 DDoS 공격 사건이 발생했다.
 
올해는 국내외 적으로 대규모 해킹사고가 정점을 찍은 한 해였으며 보안의 경각심도 어느 때보다 높아졌다고 볼 수 있다.
 
2011년에는 현대캐피탈 해킹을 당해 42만명의 개인정보와 1만3천명의 금융정보가 유출됐다. 7.7과 같이 국내 주요 정부기관 등이 DDoS 공격을 받은 3.4사건도 발생했다. 농협 내 전산 네트워크가 해킹을 당해 서비스 일부가 마비되고 일부 거래내역도 손실이 발생했다. SK컴즈에서는 해킹사고로 3500만명의 고객 개인정보 유출사건이 발생했다.
 
◇해킹사고, 해외에서도 대규모로 발생=해외에서도 RSA가 사회공학적 방법으로 OTP 생성 알고리즘 및 IV가 유출된 사건이 발생했고 씨티그룹이 해킹을 당해 20만명의 카드 고객 개인정보가 유출됐다. 또 소니가 해커들의 대규모 공격에 1억명 이상의 개인정보 및 카드정보가 유출됐다. 구글에서도 해외 고위 공무원들의 지메일 비밀번호가 도난당하고 메일 내 개인정보가 유출되는 사건이 발생했다. 이외에도 록히드마틴과 미쓰비시 등 군사 장비 제조업체들이 해커의 공격을 받아 기밀정보가 유출되는 사건도 빈번하게 발생한 한 해였다.
 
이를 두고 임종인 원장은 “최근 정교한 APT 공격에 속수무책 당하고 있다. 악의적 해커들이 피싱 및 제로데이 공격으로 타깃 기업 내부에 백도어를 설치하고 이를 전체 시스템에 확산시켜 중요 키를 획득 후, 내부 데이터를 수집해 빼나가고 있다”고 지적했다.
 
軍 기밀정보까지 해킹대상=특히 주목할 것은 주요 방위산업체들이 해커의 타깃이 되고 있다는 점이다. 올해 5월 우리나라 차세대 전투기를 생산하고 있는 록히드마틴사의 메릴랜드 데이터센터가 해킹공격을 받았다. 해커는 직원들의 외부 접속을 위한 서비스인 VPN을 통해 록히드마틴의 서버로 접속했고 이 접속에 RSA OTP를 사용했다. 록히드마틴은 공격을 당하자 마자 차단을 했지만 일부 정보유출이 발생한 것이다.
 
또 미 국방부에 통신, 정보, 정탐 및 정찰 등의 장비 및 서비스를 공급하는 L3커뮤니케이션 역시 해커의 공격을 받았다. 항공우주 방위산업체인 노스럽그러먼사 역시 해킹 정황이 포착됐다.
 
한편 일본 자위대의 전투기, 잠수함 등을 설계하고 생산하는 일본 최대 방위산업체인 미쓰비시 중공업이 해킹을 당했다. 올해 8월 미쓰비시 중공업은 잠수함을 생산하는 고베조선소와 나가사키 조선소, 미사일 관련 제품을 생산하는 나고야 유도추진시스템 제작소 등 11개소에서 서버와 컴퓨터 83대가 사이버공격을 받았다. 이 공격을 통해 전투기, 잠수함, 호위함 뿐만 아니라 원자력 발전소 설계와 설비, 내진 정보까지 유출됐다.
 
정보가 옮겨진 서버 소재지는 중국, 미국 등 다양한 것으로 확인됐다. 외신들은 이 공격이 중국에서 기원한 것으로 보도해 일본과 중국의 외교분쟁으로까지 번질 조짐이다. 미쓰비시는 본사는 물론 제조공장과 각종 지사들까지 악성코드에 감염돼 앞으로도 큰 피해를 입을 것으로 예상된다.
 
한편 고려대 정보보호대학원은 최근 범죄자가 사회공학적 방법으로 학생수첩을 획득해 학생들의 이메일 주소로 악성코드가 삽입된 메일을 발송해 문제가 됐다.
 
임 원장은 “이렇듯 정부, 기업, 개인 등을 막론하고 필요하다면 공격이 이루어질 수 있다. 누구도 타깃이 될 수 있기 때문에 사회 모든 구성원이 경각심을 가지고 대응해야 한다”며 “특히 해외 해커들에게서 내년에 한국 금융권 대상으로 대규모 공격이 있을 것이라는 말을 들었다. 정말 대비하지 않으면 위험한 상황”이라고 강조했다.
 
◇보안사고 원인과 대책=임 원장은 “기업 정보보호 사고의 근본적인 원인은 기업의 보안에 대한 잘못된 인식때문”이라며 “기업들은 방화벽, 침입탐지시스템, DDoS 장비 등 솔루션을 구축하고 있지만 보안장비를 적절히 설정하고 관리 운용할 수 있는 보안전담 인력이 없어 솔루션 성능을 제대로 활용 못하고 있다”고 지적했다.
 
또 “기업들에 대한 내부통제, 개인정보보호 측면의 다양한 컴플라이언스가 존재하지만 형식적인 규제준수와 감독당국의 형식적인 관리감독으로 인해 법적 규제효과가 감소하고 있다”며 “보안은 비용이라는 경영논리와 보안불감증이 가장 큰 원인”이라고 덧붙였다.
 
이외에도 은행권 보안예산 비율은 금감원 권고치인 5%에 못미치는 3.4%에 불과하다. 주요 금융기관의 보안투자는 최근 2년간 급감했다. 농협의 경우도 23억 5000만원이 감소한 상태였다.
 
경영진의 보안무관심과 독립성을 갖춘 최고보안책임자(CSO)의 부재 그리고 자체적인 보안조직이 부족하고 보안인력과 그들에 처우도 열악한 상황이다. 또한 금융권은 IT자회사나 외부 업체들에 최저가 입찰을 통해 보안기능을 위탁하고 있다. 금융사의 보안관련 외주 용역비율이 은행권 43%, 카드사 71.8%에 달할 정도로 자체적인 보안 체계가 이루어지지 않고 있는 것이다.
 
임종인 원장은 “기업들은 인력과 자원이 정해진 권한과 규칙 내에서 활동하고 이동하도록 내부통제를 확립해야 하고 아웃소싱 선정시 보안전문성과 실력에 대해 충분히 고려해야 하며 공백없는 보안 대응을 위해 보안투자 비중을 확대해야 한다”고 조언했다.
 
또 “보안 거버넌스 관점에서 보안 위험을 사전에 관리하고 보안전문성을 갖춘 인력 확보와 재교육 및 관련 예산확보가 중요하다. 더불어 기술적 보호조치 준수 및 ISMS, PIMS인증과 포렌식 준비도 확립해야 하고 사고발생시 신뢰할 만한 명확한 위험 커뮤니케이션 전략을 마련해야 한다”고 강조했다.
 
한편 모바일 대응방안에 대해서도 임 원장은 강조했다. “스마트 시대에 본격 진입하면서 회사 업무도 스마트 디바이스로 이루어지고 있다. 하지만 악성 앱들이 계속 증가하고 있기 때문에 기업은 사내 모바일 디바이스 보안, 모바일 오피스 시스템 보안에 대한 기술적 보호조치와 정책적 보호조치를 마련해 안전한 기업 모바일 환경을 구축해야 한다”고 덧붙였다.
[데일리시큐=길민권 기자]