2024-03-29 09:20 (금)
[3.20 해킹] 보안...곪아있던 부분, 한번 까발려봐?
상태바
[3.20 해킹] 보안...곪아있던 부분, 한번 까발려봐?
  • 길민권
  • 승인 2013.04.18 20:23
이 기사를 공유합니다

보안, 스스로 책임지려는 노력 필요…제값 주고 보안제품 구매해야
웹을 통해 대량 확산되고 있는 악성코드 감염PC 대책마련 시급
3.20 해킹 사건에 대한 논란들이 좀 잠잠해 졌다. 하지만 대충 덮어 놓고 가면 다시 이런 일이 재발할 것은 불보듯 뻔하다. 속은 곪아 터지고 있는데 껍데기만 꾀매 놓는다고 해서 해결될 문제가 아니다. 한편 농협은 이번 사건의 원인으로 안랩을 지목하고 피해보상을 요구한다는 방침을 검토중에 있다고 한다. 이쯤에서 다시 한번 짚고 넘어 가야 할 여러 문제들이 있다.
 
보안, 아웃소싱 의존율 너무 높아…문제!
우선 내부에 보안전문가가 얼마나 있나 돌아 봐야 한다. 관련 규정 때문에 일반 IT담당자를 보안담당자로 둔갑시켜 인원 채우기식은 아니었는지.
 
고려대 이경호 교수는 “현재 금융권은 보안솔루션 운영 등에 대해 아웃소싱 직원 혹은 벤더들에게 주로 맡기고 있다. 특히 KB를 제외한 대부분 은행권은 전산 자회사에 보안운영을 맡기고 있다”며 “자신들의 자산이 조 단위 인데도 불구하고 몇천억 기업에 자산관리를 맡기는 것이다. 경제 논리에도 맞지 않는다. 직무유기 수준이다”라고 말한다.
 
이 교수는 “금융권 스스로 악성코드 분석가, 암호학, 포렌식, 사고대응 전문가들을 직접 갖춰야 한다. 은행 스스로 책임지고 코드도 관찰하고 분석센터도 만들어 해킹 공격에 적극적으로 대처해 나가야 한다”며 “은행은 보안 아웃소싱을 주면서 연간 100억 이상의 돈을 세이브하고 있다. 이러면서 사고터지니 보안업체에 책임을 묻겠다고 한다”고 비판했다.
 
또 “아웃소싱을 하면 인력들이 퇴사나 부서이동 등 수시로 바뀐다. 그래서 보안 히스토리 관리도 안되고 있다. 도급계약이 2년 주기기 때문에 아웃소싱 업체가 바뀌는 경우도 있다. 구버전 보안제품들 패치가 된건지 안된건지 어떻게 관리할 것인가. 이런 상황에 어떻게 체계적인 보안관리가 이루어질 수 있을까”라며 “계속해서 리스크가 존재하는 구조다. 바뀌어야 한다”고 강조했다.
 
모 기업 보안담당자도 “아무리 성능 좋은 보안제품 사용해도 관리자가 전문가가 아니면 소용없다. APT장비가 위험하다고 알람 띄우지만 관리자가 그냥 넘겨버리면 끝”이라며 “기업들이 책임지고 내부에 최정예 보안전문가팀을 구축해야 하고 백신에만 의존해도 안되고 다층적 보안솔루션을 전문가들이 세밀하게 관리해야만 사고 확률을 줄일 수 있다”고 강조했다.
 
방송사는 말할 것도 없다. 대응팀 관계자는 “방송사는 거의 전문 보안팀이 존재하지 않는다. 대부분 외주업체에 맡기고 있다. 내부에 전문인력이 없기 때문에 적극적 보안 대응을 하지 못하고 있다”고 전했다. 이 부분이 바로 사고의 직접적 원인이다.
 
◇보안솔루션, 제값 주고 사는 기업 얼마나 되나
또 3.20 해킹사건에서 다시 한번 짚고 넘어가야 할 부분이 바로 보안제품 도입시 최저가 도입문제다. 보안업체는 대부분 영세업체다. 주요업체 20개사 지난해 매출을 모두 합해야 8,029억원 수준이다. 전체 정보보안 산업계 매출을 대략 1조원으로 보면 나머지 200여 개 업체 매출을 모두 합해야 2,000억원 정도에 불과하다. 
 
모 업체 관계자는 “1억원 짜리 보안솔루션이 최저가 입찰로 2,000만원에 수주되는 경우도 다반사다. 그렇게 되면 수주한 업체는 마이너스다. 제대로된 유지관리가 이루어질 수 없다”며 “결국 보안업체도 피해를 보고 이를 도입한 기관이나 기업도 제대로된 패치나 유지관리를 받을 수 없기 때문에 보안사고를 당할 확률이 높다”고 안타까워 한다.
 
이는 보안업체의 엄살이 아니다. 실제로 대부분 정보보안 업체들은 무상유지관리 요구와 적정 유지관리 대가를 받지 못하고 있다. 여기에 부당한 계약을 강요 받기도 한다. 이런 상황에 제대로된 패치관리나 유지관리가 이루어질 수 있을까. 17일, 보안업체 19개 사는 부당한 계약 관계에 대해 공동대응하기 위해 유지관리 합리화 추진 협의회를 발족하기까지 했다. 
 
모 업체 관계자는 “3.20 사고 이후, 보안업체에 피해보상을 하려는 움직임이 있다. 만약 이것이 현실화되면 누가 보안기업 운영하려고 할까”라며 “헐 값에 제품 도입하고 유지관리는 무한책임을 지우고 거기에 사고터지면 책임도 지라는 형국인데 정말 보안업체들 힘든 상황에 몰리게 된다. 이는 결국 보안산업 전체의 위축과 R&D 투자 감소로 질 좋은 제품개발도 어렵게 되는 악순환이 반복될 것”이라고 우려를 표했다.
 
지난 15일 윤종록 미래부 제2차관은 “보안이 골칫거리가 아니라 보안 때문에 먹고 사는 나라가 돼야 한다”며 정보보안 산업 육성을 강조한 바 있다. 또 5월말까지 정보보안 산업 육성 종합계획도 수립한다고 밝혔다. 제대로 현실을 인지하고 계획수립이 이루어져야 할 것이다. 제 값 주고 보안제품을 도입해야 하고 합리적인 유지관리 요율 적용이 되어야만 제대로 된 보안관리가 이루어질 수 있는 것이다. 이 문제가 해결되지 않는 한 보안사고 발생 빈도는 줄어들지 않을 것이다.
 
◇웹을 통한 대규모 악성코드 감염, 대책마련 해야
3.20 해킹사고에 대한 합동대응팀 발표 내용을 보면, 방송사와 금융사를 공격한 악성코드의 최초 유입과정은 밝혀지지 않았다. 모 보안관련 전문매체는 액티브X를 사용해 악성코드 감염이 이루어져 방송, 금융사가 해킹을 당했다고 주장하고 있지만 이는 팩트를 확인하지 않고 추정에 의해 보도한 가상시나리오에 불과하다. 실제 서버를 조사한 합동대응팀 관계자도 액티브X 즉 제큐어웹과 관련된 내용은 ‘날씨닷컴’사건에 한정된다고 선을 그었다. 즉 방송, 금융사 해킹은 액티브X가 아닌 다른 경로로 악성코드가 유입됐다는 것이다.
 
정보보안 전문가인 핵티즌 구대훈 대표는 이번 3.20 사건에 대해 최근 개최된 NETSEC-KR 튜토리얼 과정에서 “웹을 통한 직원 PC의 악성코드 감염이 원인일 가능성이 크다. 이후 내부망 침투가 이루어졌고 mRemote, SecureCRT 계정 정보수집 그리고 기타 정보수집 등 목표달성 이후 최종적으로 서버 디스크를 삭제하는 순으로 이루어졌을 것”이라고 설명했다.
 
액티브X도 문제지만, 최근 상황을 보면 웹을 통한 대규모 악성코드 유포가 지속적으로 이루어졌다는 것을 알 수 있다. 사고당한 기업의 내부 직원이 악성코드를 유포하는 사이트에 접근해 감염됐을 것이란 의견이 지배적이다.
 
빛스캔 전상훈 이사는 “웹을 통한 악성코드 감염은 2년전부터 급증했다. 특히 사고가 터지기 전, 비정상적인 주중 악성코드 유포 행위가 지속되었다는 점과 군 관련 모임과 매체에 대한 악성코드 감염 시도 발견 그리고 주중 유포되는 악성코드들 대부분이 백도어 및 트로이목마 유형이었다”며 “이 세가지 핵심적인 변화 관찰 결과에 따라 경고를 했음에도 불구하고 사고는 발생됐다. 이에 3.20 대란에 대한 논점은 명확히 짚고 넘어가는 것이 필요하다”고 강조했다.
 
또 그는 “매주 평균 100~200여 개 이상의 국내 웹서비스들에서 모든 방문자를 대상으로 악성코드 감염시도를 하고 있으며, 그 중에는 방문자가 많은 서비스들도 포함이 되어 있는 상태라 불특정 다수에게 감염을 시킬 수 있는 상태”라며 “3월 17일 이후 imbc.exe, sbs.exe와 같은 특정 방송사명의 악성코드가 사용자들 PC에 설치가 되었으며, 그 중에서 imbc.exe 파일 내에는 감염 PC를 원격에서 조정 할 수 있는 C&C 주소가 발견되었다. 즉 이번 3.20사건의 악성코드 유입은 액티브X가 아니라 이메일 혹은 웹 접속을 통한 감염일 것”이라고 말했다.
 
한국인터넷진흥원에서도 악성코드 감염에 대응하기 위해 많은 인력들이 애를 쓰고 있지만 보다 체계적인 대응방안이 필요한 시점이다. 고려대 이경호 교수는 정부, 공공, 민간기업, 보안업체를 아우르는 악성코드 정보공유센터, 악성코드 대응 컨트롤 타워가 필요하다고 강조하고 있다.
 
모 기업 보안담당자는 “이런 노력이 그동안 없었던 건 아니다. 하지만 형식적이며 잘 운영이 안됐다”며 “악성코드나 해킹문제를 논하려면 서로 자기 이야기들을 꺼내놔야 하는데 괜히 공개했다가 골치만 아프다는 분위기다. 그래서 자유로운 의견 교환이 안되고 공유도 안되고 있다. 기관의 강압적인 분위기에서는 전체 악성코드나 해킹정보의 80%를 가지고 있는 민간의 정보를 끌어낼 수 없을 것”이라고 말한다.
 
이외에도 문제는 많겠지만 위에서 언급한 최소한의 문제에 대한 대책이라도 마련되지 않는다면 제2의 3.20은 계속해서 발생할 것이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★