SK커뮤니케이션즈와 넥슨의 회원인 회사원 이 모 씨(34)는 올해 연이어 두 업체의 해킹사건으로 피해를 봤다. 주민등록번호와 이름 등 개인정보가 유출된 것이다. 이 씨는 “해킹사건이 워낙 잦고 개인정보도 마구 흘러다니는 것 같아 이제는 크게 신경도 안 쓴다. 혹시나 해서 아이디(ID)와 비밀번호만 바꾸는 정도”라고 했다.
네이트·싸이월드 이용자 3500만명의 정보가 해킹으로 유출된 지 4개월여 만에 넥슨 온라인게임 ‘메이플스토리’ 이용자 1300만명의 정보가 또다시 유출되면서 ‘해킹’으로 인한 피해와 파장이 커지고 있다.
서울지방경찰청 등에 따르면 2005년 이후 주요 기업에서 유출된 개인정보가 1억2700만건에 달한다. 전 국민이 2차례 이상 개인정보를 해킹으로 털린 셈이다. 해킹의 위험성은 오래전부터 있어 왔지만, 최근 현실화되고 있는 것이다. 해킹의 실태와 대응 방안을 알아본다.
1. 해커, 그들은 누구인가
국내 해킹의 진원지는 중국이다. 이를 확인할 수 있는 근거는 해커가 접속한 컴퓨터의 위치나 해킹된 정보가 빠져나간 위치가 대부분 중국이기 때문이다. 방송통신위원회 조사에 따르면 올 6월 한 달간 해외로부터 534만건의 해킹 공격이 있었고, 그중 58%가 중국발 해킹이었다.
3500만명의 개인정보가 빠져나간 네이트, 싸이월드 해킹 사태의 근원지 역시 중국이었다. 실제 중국 인터넷 홈페이지상에서 한국인 주민등록번호를 얻는 일은 어렵지 않다. 중국 포털업체 바이두(baidu.com)에 접속해 ‘한국실명신분증(韓國實名身分證)’ 혹은 ‘한국실명(韓國實名)’ 등으로 검색하면 몇 번의 클릭으로 어렵지 않게 한국인 실명과 주민등록번호를 얻을 수 있다.
지식인 서비스에 해당되는 바이두의 지식코너(zhidao.baidu.com)에는 한국인 주민등록번호를 알려달라는 글이 수백 건이 넘는다. 그 가운데 몇몇 답변을 살펴보면 주민등록번호를 얻을 수 있는 방법이 친절하게 안내돼 있다.
현대캐피탈의 개인정보 유출사건은 국내 해커가 필리핀에서 접속한 것으로 밝혀졌다. 지난 4월에 해킹 사실이 파악된 현대캐피탈 사건의 주범은 지난 10월 필리핀에서 검거됐다. 넥슨 해킹사건은 해커가 중국이 아닌 국내에서 접속한 것으로 알려졌다. 하지만 아직 수사 초기단계이기 때문에 해외에서 국내 컴퓨터로 우회해 해킹했을 가능성도 남아 있다.
중국 등 해외에서 국내 기관과 기업을 공격하는 해커의 국적은 다양하다. 현대캐피탈 사건처럼 국내 해커의 소행일 수 있고, 현지인이 직접 해킹했을 가능성도 있다.
염흥렬 순천향대 정보보호학과 교수(한국정보보호학회 회장)는 “한국서 해킹을 하면 검거되다 보니 대부분 중국 등 해외에서 해킹을 시도한다. 국내에서 해외 해커들을 고용해 해킹을 사주하는 경우도 상당하다”고 밝혔다. 북한의 소행이라는 지적도 있다. 농협 해킹사건을 수사한 검찰은 “2009년 디도스(잠깐용어 참조) 사건에 이용된 IP주소와 명령어 등이 일치해 북한의 소행일 가능성이 크다”고 결론 내렸다. 수사당국은 2009년에도 디도스 사태의 배후로 북한을 지목하기도 했다.
APT·제로데이 등 신종수법 등장
해킹 수법도 다양해지고 있다. 2009년부터 다수의 좀비PC를 만들어 특정 홈페이지를 공격하는 디도스가 유행했다면 최근 보안업계에서 가장 많이 회자되는 해킹수법은 지능형지속공격(APT·Advanced Persistent Threat, 잠깐용어 참조)과 제로데이(zero-day, 잠깐용어 참조)다. 박춘식 서울여대 정보보호학과 교수는 “공격할 대상을 정하고 지속적으로 취약점을 찾아 공격하는 APT가 일반화되고 있다. 이전에 악성코드를 유포해 불특정 다수를 공격했던 것과는 다른 현상”이라고 밝혔다. 조원영 시만텍코리아 전무는 “대상을 정하고 공격하는 경우 기간이 평균 145일이다. 최장기간으로 670일도 있다. 끈질기게 취약점을 찾아서 공격하는 것이 APT의 특성”이라고 밝혔다.
올해 해킹을 당한 업체들에도 대부분 신종 수법이 동원됐다. 농협 해킹사건의 경우 해커가 불특정 다수에게 뿌린 악성코드(잠깐용어 참조)로 공격대상을 정했고, 추가 공격을 감행했다. 처음엔 농협의 서버 유지보수를 맡은 직원이 서버관리 노트북에서 영화를 다운로드하다가 악성코드에 감염됐다. 해커는 악성코드에 감염된 노트북이 금융시스템에 접속하는 것을 확인하고 키로거(키보드에 입력한 글자, 숫자를 볼 수 있는 해킹프로그램), 도청 프로그램 등을 추가로 침투시켜 농협 서버컴퓨터의 ID와 패스워드를 입수했다.
싸이월드와 네이트 홈페이지를 운영하는 SK컴즈의 해킹 사태는 더욱 고도화된 수법이 동원됐다. 중국에서 접속한 해커는 먼저 소프트웨어 업체인 이스트소프트를 해킹해 파일압축 프로그램인 알집의 업데이트 파일을 변형시켰다. 즉 알집을 업데이트하면 자동으로 악성코드가 깔리는 방식이다.
SK컴즈 내 62대의 컴퓨터가 알집을 업데이트하면서 악성코드에 감염됐고, 해커는 SK컴즈 직원들이 사내 망에 접속하는 것을 감시한 후 관리자 ID와 비밀번호를 수집했다. 조시행 안철수연구소 상무는 “농협과 네이트 해킹에 동원된 악성코드가 다른 곳에서도 발견됐기 때문에 처음부터 공격대상을 정한 것은 아니었다. 악성코드를 1차 감염시킨 대상들 가운데 선별한 것으로 보인다”고 전했다.
시스템상의 취약점을 찾아내 집중적으로 침투하는 제로데이는 현존 보안 프로그램으로 막을 수 없는 해킹방식으로 꼽힌다. 염흥렬 교수는 “시스템상의 취약점은 항상 존재하고, 이를 발견해도 고치기까지 시간이 걸린다. 제로데이 해킹은 취약점만을 지속적으로 찾아 공격하기 때문에 완벽하게 막는 것은 불가능하다”고 전했다. 조시행 상무는 “기존에 없던 방식으로 공격이 들어오기 때문에 다 막을 수 없다. 단순히 보안 프로그램을 설치하는 것뿐 아니라 데이터의 유·출입을 관리하는 보안관제가 점점 필수가 되고 있다”고 전했다.
네이트·싸이월드 이용자 3500만명의 정보가 해킹으로 유출된 지 4개월여 만에 넥슨 온라인게임 ‘메이플스토리’ 이용자 1300만명의 정보가 또다시 유출되면서 ‘해킹’으로 인한 피해와 파장이 커지고 있다.
서울지방경찰청 등에 따르면 2005년 이후 주요 기업에서 유출된 개인정보가 1억2700만건에 달한다. 전 국민이 2차례 이상 개인정보를 해킹으로 털린 셈이다. 해킹의 위험성은 오래전부터 있어 왔지만, 최근 현실화되고 있는 것이다. 해킹의 실태와 대응 방안을 알아본다.
1. 해커, 그들은 누구인가
국내 해킹의 진원지는 중국이다. 이를 확인할 수 있는 근거는 해커가 접속한 컴퓨터의 위치나 해킹된 정보가 빠져나간 위치가 대부분 중국이기 때문이다. 방송통신위원회 조사에 따르면 올 6월 한 달간 해외로부터 534만건의 해킹 공격이 있었고, 그중 58%가 중국발 해킹이었다.
3500만명의 개인정보가 빠져나간 네이트, 싸이월드 해킹 사태의 근원지 역시 중국이었다. 실제 중국 인터넷 홈페이지상에서 한국인 주민등록번호를 얻는 일은 어렵지 않다. 중국 포털업체 바이두(baidu.com)에 접속해 ‘한국실명신분증(韓國實名身分證)’ 혹은 ‘한국실명(韓國實名)’ 등으로 검색하면 몇 번의 클릭으로 어렵지 않게 한국인 실명과 주민등록번호를 얻을 수 있다.
지식인 서비스에 해당되는 바이두의 지식코너(zhidao.baidu.com)에는 한국인 주민등록번호를 알려달라는 글이 수백 건이 넘는다. 그 가운데 몇몇 답변을 살펴보면 주민등록번호를 얻을 수 있는 방법이 친절하게 안내돼 있다.
현대캐피탈의 개인정보 유출사건은 국내 해커가 필리핀에서 접속한 것으로 밝혀졌다. 지난 4월에 해킹 사실이 파악된 현대캐피탈 사건의 주범은 지난 10월 필리핀에서 검거됐다. 넥슨 해킹사건은 해커가 중국이 아닌 국내에서 접속한 것으로 알려졌다. 하지만 아직 수사 초기단계이기 때문에 해외에서 국내 컴퓨터로 우회해 해킹했을 가능성도 남아 있다.
중국 등 해외에서 국내 기관과 기업을 공격하는 해커의 국적은 다양하다. 현대캐피탈 사건처럼 국내 해커의 소행일 수 있고, 현지인이 직접 해킹했을 가능성도 있다.
염흥렬 순천향대 정보보호학과 교수(한국정보보호학회 회장)는 “한국서 해킹을 하면 검거되다 보니 대부분 중국 등 해외에서 해킹을 시도한다. 국내에서 해외 해커들을 고용해 해킹을 사주하는 경우도 상당하다”고 밝혔다. 북한의 소행이라는 지적도 있다. 농협 해킹사건을 수사한 검찰은 “2009년 디도스(잠깐용어 참조) 사건에 이용된 IP주소와 명령어 등이 일치해 북한의 소행일 가능성이 크다”고 결론 내렸다. 수사당국은 2009년에도 디도스 사태의 배후로 북한을 지목하기도 했다.
APT·제로데이 등 신종수법 등장
해킹 수법도 다양해지고 있다. 2009년부터 다수의 좀비PC를 만들어 특정 홈페이지를 공격하는 디도스가 유행했다면 최근 보안업계에서 가장 많이 회자되는 해킹수법은 지능형지속공격(APT·Advanced Persistent Threat, 잠깐용어 참조)과 제로데이(zero-day, 잠깐용어 참조)다. 박춘식 서울여대 정보보호학과 교수는 “공격할 대상을 정하고 지속적으로 취약점을 찾아 공격하는 APT가 일반화되고 있다. 이전에 악성코드를 유포해 불특정 다수를 공격했던 것과는 다른 현상”이라고 밝혔다. 조원영 시만텍코리아 전무는 “대상을 정하고 공격하는 경우 기간이 평균 145일이다. 최장기간으로 670일도 있다. 끈질기게 취약점을 찾아서 공격하는 것이 APT의 특성”이라고 밝혔다.
올해 해킹을 당한 업체들에도 대부분 신종 수법이 동원됐다. 농협 해킹사건의 경우 해커가 불특정 다수에게 뿌린 악성코드(잠깐용어 참조)로 공격대상을 정했고, 추가 공격을 감행했다. 처음엔 농협의 서버 유지보수를 맡은 직원이 서버관리 노트북에서 영화를 다운로드하다가 악성코드에 감염됐다. 해커는 악성코드에 감염된 노트북이 금융시스템에 접속하는 것을 확인하고 키로거(키보드에 입력한 글자, 숫자를 볼 수 있는 해킹프로그램), 도청 프로그램 등을 추가로 침투시켜 농협 서버컴퓨터의 ID와 패스워드를 입수했다.
싸이월드와 네이트 홈페이지를 운영하는 SK컴즈의 해킹 사태는 더욱 고도화된 수법이 동원됐다. 중국에서 접속한 해커는 먼저 소프트웨어 업체인 이스트소프트를 해킹해 파일압축 프로그램인 알집의 업데이트 파일을 변형시켰다. 즉 알집을 업데이트하면 자동으로 악성코드가 깔리는 방식이다.
SK컴즈 내 62대의 컴퓨터가 알집을 업데이트하면서 악성코드에 감염됐고, 해커는 SK컴즈 직원들이 사내 망에 접속하는 것을 감시한 후 관리자 ID와 비밀번호를 수집했다. 조시행 안철수연구소 상무는 “농협과 네이트 해킹에 동원된 악성코드가 다른 곳에서도 발견됐기 때문에 처음부터 공격대상을 정한 것은 아니었다. 악성코드를 1차 감염시킨 대상들 가운데 선별한 것으로 보인다”고 전했다.
시스템상의 취약점을 찾아내 집중적으로 침투하는 제로데이는 현존 보안 프로그램으로 막을 수 없는 해킹방식으로 꼽힌다. 염흥렬 교수는 “시스템상의 취약점은 항상 존재하고, 이를 발견해도 고치기까지 시간이 걸린다. 제로데이 해킹은 취약점만을 지속적으로 찾아 공격하기 때문에 완벽하게 막는 것은 불가능하다”고 전했다. 조시행 상무는 “기존에 없던 방식으로 공격이 들어오기 때문에 다 막을 수 없다. 단순히 보안 프로그램을 설치하는 것뿐 아니라 데이터의 유·출입을 관리하는 보안관제가 점점 필수가 되고 있다”고 전했다.
2. 해킹 사태, 왜 자꾸 반복되나
국내에서 해킹사건이 잦은 데에는 국내 보안환경이 열악하고, 해커가 국내 사이트를 해킹해 얻을 수 있는 경제적인 이득이 뚜렷하다는 점이 복합적으로 작용했다.
우선 온라인게임이 발달한 국내 인터넷 환경에서 게임 아이템은 현금처럼 거래된다. 아이템뱅크, 아이템캐슬 등 아이템중개 업체들은 국내 아이템거래 시장이 1조5000억원 규모라고 밝혔다. 즉 해킹해서 게임 ID와 비밀번호를 확보하면 보유 아이템을 판매해 수익을 얻을 수 있는 셈이다. 차명으로 게임을 하려 해도 주민등록번호가 필요하다. 조시행 상무는 “게임 사이트에 가입한 적이 없었는데도 내 주민번호 역시 도용돼 게임 ID가 만들어진 적이 있었다”고 밝혔다. 일부 소프트웨어 개발자들은 차명 ID를 여러 개 관리하며 자동으로 게임을 수행하는 프로그램을 만들기도 한다. 한 소프트웨어 개발자는 “여러 컴퓨터가 자동으로 게임을 하며 레벨, 아이템을 쌓아가도록 프로그램을 만들면 억대의 수익을 올릴 수 있다. 중국에서는 이런 사업을 하는 개발자들이 꽤 있다”고 전했다. 지난 8월 북한 해커들과 짜고 국산 온라인게임을 해킹해 오토프로그램을 만들어 이득을 취해온 국내 범죄조직이 경찰에 검거됐다.
경찰 발표에 따르면 북한 해커들은 ‘리니지팀’ ‘던파팀’ ‘메이플팀’ 등 게임별로 5명 안팎으로 팀을 구성해 작업을 진행했고, 각 개인은 매달 500달러가량을 북한당국에 송금했다.
개인정보 역시 바로 현금화가 가능하다. 한국인터넷진흥원에 따르면 네이버, 다음, 네이트 등 포털사이트 ID와 패스워드는 개당 1~1.5원, 주민등록번호 등이 담긴 개인정보는 개당 100원, 성인게임사이트나 신용대출사이트의 회원 데이터베이스는 10만개당 17만~85만원에 거래된다고 밝혔다. 박춘식 교수는 “온라인게임, 인터넷 포털업체 외에도 산업제어시설 파괴, 금융시장 혼란, 산업기밀과 지적재산권 수집 등을 위해 해킹하는 사례가 점차 늘고 있다. 해킹된 개인정보나 기업정보는 보이스피싱, 문자피싱은 물론 스팸메일을 통한 악성코드 전파, 대리운전 광고, 텔레마케팅, 차명계좌 개설을 통한 자금세탁 등에 활용될 수 있다”고 밝혔다.
가장 중요한 정보는 주민등록번호
한국의 열악한 보안환경도 잦은 해킹에 한몫했다. 근본적인 문제는 국내 인터넷 사이트에서 수집되는 개인정보가 과도하다는 점이다. 박춘식 교수는 “개인, 기업들의 보안의식이 낮다는 것도 문제지만, 이는 하루아침에 해결될 수 없다. 보다 근본적인 문제는 국내 인터넷 사이트에서 과도하게 개인정보를 수집한다는 점”이라고 밝혔다. 보통 국내 인터넷 사이트에 가입하려면 실명, 주민등록번호, 주소, 전화번호 등을 필수적으로 기재해야 한다. 또한 관심분야, 취미, 직장 등의 정보를 입력해야 하는 경우도 있다. 여러 개인정보 가운데 가장 위험한 정보는 주민등록번호다. 김주환 연세대 언론홍보영상학부 교수는 “주민등록번호는 중복되는 사람이 없고, 일생 동안 변하지 않는 특성을 지녀 여러 데이터베이스에 흩어져 있는 개인의 정보를 한데 모을 수 있다. 이런 이유로 대부분의 선진국에서는 국민고유번호를 제도적으로 금지하고 있고, 디지털미디어 시대에 반드시 폐기돼야 할 위험한 개인 식별 제도”라고 밝혔다. 해커 출신인 홍민표 쉬프트웍스 대표도 “해외 어느 사이트도 우리처럼 주민등록번호를 요구하지 않는다. 웬만한 국가에서는 이메일주소 하나로 회원가입이 가능하고, 결제를 할 때도 신용카드번호 정도가 필요할 뿐이다”라고 밝혔다.
기업들의 낮은 보안의식도 해킹의 한 원인이다. 국내 금융기관의 평균 보안예산은 전체 IT예산의 3.4%에 불과하다. 금융감독원 권고치인 5%에도 못 미치는 수준이다. 농협은 보안 관련 예산을 최근 2년간 23억5000만원을 줄여 지난해 14억5000만원을 투자했다. 전체 IT예산의 1.6%로 시중은행 평균인 3.4%의 절반에도 못 미치는 수준이었다. 기업들이 보안예산을 아끼기 위해 외부용역의 비중을 늘린다는 점도 문제다. 농협의 경우 보안을 담당하는 외부용역 직원의 노트북을 통해 해킹을 당했다. 이성현 한나라당 의원실이 공개한 자료에 따르면 국내 시중은행 IT 외부용역 비중이 43.6%였고, 손해보험사의 IT 외부용역 비중은 86%에 달했다.
일부 전문가들은 해킹사례 자체가 늘어났다기보단 신고사례가 증가했다고 밝혔다. 한 보안업계 관계자는 “이전에도 크고 작은 인터넷 사이트를 가리지 않고 해킹사례가 다수 있었다. 다만 개인정보보호법이 발효되고 네이트, 현대캐피탈과 같은 대형사건이 터지면서 관심이 모아졌을 뿐이다. 해킹에 대해 경계심을 갖는 것은 바람직하지만 자진 신고한 기업들에 과도한 마녀사냥을 가하면 해킹당하고도 숨기는 기업들이 많아질 것”이라고 밝혔다.
3. 막을 방법 없나
국내에서 해킹사건이 잦은 데에는 국내 보안환경이 열악하고, 해커가 국내 사이트를 해킹해 얻을 수 있는 경제적인 이득이 뚜렷하다는 점이 복합적으로 작용했다.
우선 온라인게임이 발달한 국내 인터넷 환경에서 게임 아이템은 현금처럼 거래된다. 아이템뱅크, 아이템캐슬 등 아이템중개 업체들은 국내 아이템거래 시장이 1조5000억원 규모라고 밝혔다. 즉 해킹해서 게임 ID와 비밀번호를 확보하면 보유 아이템을 판매해 수익을 얻을 수 있는 셈이다. 차명으로 게임을 하려 해도 주민등록번호가 필요하다. 조시행 상무는 “게임 사이트에 가입한 적이 없었는데도 내 주민번호 역시 도용돼 게임 ID가 만들어진 적이 있었다”고 밝혔다. 일부 소프트웨어 개발자들은 차명 ID를 여러 개 관리하며 자동으로 게임을 수행하는 프로그램을 만들기도 한다. 한 소프트웨어 개발자는 “여러 컴퓨터가 자동으로 게임을 하며 레벨, 아이템을 쌓아가도록 프로그램을 만들면 억대의 수익을 올릴 수 있다. 중국에서는 이런 사업을 하는 개발자들이 꽤 있다”고 전했다. 지난 8월 북한 해커들과 짜고 국산 온라인게임을 해킹해 오토프로그램을 만들어 이득을 취해온 국내 범죄조직이 경찰에 검거됐다.
경찰 발표에 따르면 북한 해커들은 ‘리니지팀’ ‘던파팀’ ‘메이플팀’ 등 게임별로 5명 안팎으로 팀을 구성해 작업을 진행했고, 각 개인은 매달 500달러가량을 북한당국에 송금했다.
개인정보 역시 바로 현금화가 가능하다. 한국인터넷진흥원에 따르면 네이버, 다음, 네이트 등 포털사이트 ID와 패스워드는 개당 1~1.5원, 주민등록번호 등이 담긴 개인정보는 개당 100원, 성인게임사이트나 신용대출사이트의 회원 데이터베이스는 10만개당 17만~85만원에 거래된다고 밝혔다. 박춘식 교수는 “온라인게임, 인터넷 포털업체 외에도 산업제어시설 파괴, 금융시장 혼란, 산업기밀과 지적재산권 수집 등을 위해 해킹하는 사례가 점차 늘고 있다. 해킹된 개인정보나 기업정보는 보이스피싱, 문자피싱은 물론 스팸메일을 통한 악성코드 전파, 대리운전 광고, 텔레마케팅, 차명계좌 개설을 통한 자금세탁 등에 활용될 수 있다”고 밝혔다.
가장 중요한 정보는 주민등록번호
한국의 열악한 보안환경도 잦은 해킹에 한몫했다. 근본적인 문제는 국내 인터넷 사이트에서 수집되는 개인정보가 과도하다는 점이다. 박춘식 교수는 “개인, 기업들의 보안의식이 낮다는 것도 문제지만, 이는 하루아침에 해결될 수 없다. 보다 근본적인 문제는 국내 인터넷 사이트에서 과도하게 개인정보를 수집한다는 점”이라고 밝혔다. 보통 국내 인터넷 사이트에 가입하려면 실명, 주민등록번호, 주소, 전화번호 등을 필수적으로 기재해야 한다. 또한 관심분야, 취미, 직장 등의 정보를 입력해야 하는 경우도 있다. 여러 개인정보 가운데 가장 위험한 정보는 주민등록번호다. 김주환 연세대 언론홍보영상학부 교수는 “주민등록번호는 중복되는 사람이 없고, 일생 동안 변하지 않는 특성을 지녀 여러 데이터베이스에 흩어져 있는 개인의 정보를 한데 모을 수 있다. 이런 이유로 대부분의 선진국에서는 국민고유번호를 제도적으로 금지하고 있고, 디지털미디어 시대에 반드시 폐기돼야 할 위험한 개인 식별 제도”라고 밝혔다. 해커 출신인 홍민표 쉬프트웍스 대표도 “해외 어느 사이트도 우리처럼 주민등록번호를 요구하지 않는다. 웬만한 국가에서는 이메일주소 하나로 회원가입이 가능하고, 결제를 할 때도 신용카드번호 정도가 필요할 뿐이다”라고 밝혔다.
기업들의 낮은 보안의식도 해킹의 한 원인이다. 국내 금융기관의 평균 보안예산은 전체 IT예산의 3.4%에 불과하다. 금융감독원 권고치인 5%에도 못 미치는 수준이다. 농협은 보안 관련 예산을 최근 2년간 23억5000만원을 줄여 지난해 14억5000만원을 투자했다. 전체 IT예산의 1.6%로 시중은행 평균인 3.4%의 절반에도 못 미치는 수준이었다. 기업들이 보안예산을 아끼기 위해 외부용역의 비중을 늘린다는 점도 문제다. 농협의 경우 보안을 담당하는 외부용역 직원의 노트북을 통해 해킹을 당했다. 이성현 한나라당 의원실이 공개한 자료에 따르면 국내 시중은행 IT 외부용역 비중이 43.6%였고, 손해보험사의 IT 외부용역 비중은 86%에 달했다.
일부 전문가들은 해킹사례 자체가 늘어났다기보단 신고사례가 증가했다고 밝혔다. 한 보안업계 관계자는 “이전에도 크고 작은 인터넷 사이트를 가리지 않고 해킹사례가 다수 있었다. 다만 개인정보보호법이 발효되고 네이트, 현대캐피탈과 같은 대형사건이 터지면서 관심이 모아졌을 뿐이다. 해킹에 대해 경계심을 갖는 것은 바람직하지만 자진 신고한 기업들에 과도한 마녀사냥을 가하면 해킹당하고도 숨기는 기업들이 많아질 것”이라고 밝혔다.
3. 막을 방법 없나
안철수연구소의 통합관제센터는 데이터의 유·출입량과 악성코드의 공격 현황을 실시간으로 확인한다.
해킹을 완벽히 막을 수 있는 방법은 없다. 해커들은 시스템상의 취약점을 찾아 지속적으로 공격하기 때문이다. 보안백신들도 이미 신고된 바이러스, 악성코드만을 잡기 때문에 초기에 대응하기 어렵다. 따라서 전문가들은 해킹을 완전히 막을 수는 없지만 줄이기 위해 보안투자와 교육 강화, 개인정보 수집 최소화 등의 조치가 필요하다고 강조했다.
염흥렬 교수는 “주민등록번호를 인감증명, 주민등록등본 등 반드시 필요한 곳을 제외하고는 사용범위를 최소화해야 한다. 기업이 개인정보를 보관할 때도 필수적으로 암호화해야 한다”고 밝혔다. 장기적으로 주민등록번호 제도를 완전히 폐지할 필요가 있다는 주장도 있다. 이경호 고려대 정보보호대학원 교수는 “정부가 주민등록번호 완전폐기 태스크포스(TF)를 구성해 모든 분야에서 주민등록번호가 사용되지 않도록 사회구조적 시스템을 다시 설계해야 한다”고 주장했다.
올 9월 발효된 개인정보보호법은 개인정보 수집의 최소화, 주민등록번호 이외의 가입수단 제공, 개인정보 암호화 의무 등을 규정하고 있다. 하지만 일부 조항에서 기존 인터넷 본인 확인제(실명제)와 상충되는 측면이 있다. 개인정보보호법 시행령은 하루 1만명 이상의 개인정보 처리자는 주민등록번호를 사용하지 않고도 회원으로 가입할 수 있는 방법을 제공하라고 규정하고 있다. 하지만 정보통신망법이 규정하는 제한적 본인 확인제(인터넷실명제)는 하루 10만명 이상 방문하는 홈페이지에서 게시물을 올릴 때 실명을 확인하도록 규정하고 있다. 구태언 법무법인 행복마루 변호사는 “두 법이 충돌하지만, 정보통신망법이 특별법이기 때문에 일반법인 개인정보보호법에 우선한다”고 밝혔다. 구 변호사는 주민등록번호 폐기 주장에 대해 “특정인을 식별할 수 있는 주민등록번호로 인해 온라인 서비스가 활성화된 측면이 있다”고 반박했다.
기업이 보안전문가를 중용하고, 관련 보안투자를 늘릴 필요가 있다는 주장도 제기됐다. 조시행 상무는 “기업이 보안담당 최고책임자(CSO·Chief Security Officer)를 임원급으로 둬야 한다. 그래야 다른 임원들과 토론할 때 자기 목소리를 내며 보안이 중요하다고 역설할 수 있다. 부장급이 보안담당 최고책임자라면 기업 내에서 제대로 목소리를 낼 수가 없지만, 안타깝게도 국내 기업에서는 CSO를 임원급으로 두는 경우가 별로 없다”고 밝혔다. 염흥렬 교수는 “기업의 보안을 외주업체에 맡기는 것을 최소화하고, 관련 투자를 늘려야 한다. 인터넷, 금융업체 외에도 제조, 유통 등 모든 영역에서 보안을 강화해야 한다”고 강조했다.
보안을 강화하기 위해서는 개인 차원의 노력도 필요하다. 염흥렬 교수는 “백신 프로그램을 지속적으로 업데이트하고, 액티브엑스를 비롯해 인터넷에서 검증되지 않은 파일을 다운로드하지 않아야 한다. 사실 컴퓨터를 주기적으로 포맷하는 게 가장 확실하지만 개인에게 요구하기는 어렵다”고 밝혔다.
인터뷰 | 유명 해커 홍민표 쉬프트웍스 대표
“스마트폰 해킹 위험 PC 뛰어넘을 것”
염흥렬 교수는 “주민등록번호를 인감증명, 주민등록등본 등 반드시 필요한 곳을 제외하고는 사용범위를 최소화해야 한다. 기업이 개인정보를 보관할 때도 필수적으로 암호화해야 한다”고 밝혔다. 장기적으로 주민등록번호 제도를 완전히 폐지할 필요가 있다는 주장도 있다. 이경호 고려대 정보보호대학원 교수는 “정부가 주민등록번호 완전폐기 태스크포스(TF)를 구성해 모든 분야에서 주민등록번호가 사용되지 않도록 사회구조적 시스템을 다시 설계해야 한다”고 주장했다.
올 9월 발효된 개인정보보호법은 개인정보 수집의 최소화, 주민등록번호 이외의 가입수단 제공, 개인정보 암호화 의무 등을 규정하고 있다. 하지만 일부 조항에서 기존 인터넷 본인 확인제(실명제)와 상충되는 측면이 있다. 개인정보보호법 시행령은 하루 1만명 이상의 개인정보 처리자는 주민등록번호를 사용하지 않고도 회원으로 가입할 수 있는 방법을 제공하라고 규정하고 있다. 하지만 정보통신망법이 규정하는 제한적 본인 확인제(인터넷실명제)는 하루 10만명 이상 방문하는 홈페이지에서 게시물을 올릴 때 실명을 확인하도록 규정하고 있다. 구태언 법무법인 행복마루 변호사는 “두 법이 충돌하지만, 정보통신망법이 특별법이기 때문에 일반법인 개인정보보호법에 우선한다”고 밝혔다. 구 변호사는 주민등록번호 폐기 주장에 대해 “특정인을 식별할 수 있는 주민등록번호로 인해 온라인 서비스가 활성화된 측면이 있다”고 반박했다.
기업이 보안전문가를 중용하고, 관련 보안투자를 늘릴 필요가 있다는 주장도 제기됐다. 조시행 상무는 “기업이 보안담당 최고책임자(CSO·Chief Security Officer)를 임원급으로 둬야 한다. 그래야 다른 임원들과 토론할 때 자기 목소리를 내며 보안이 중요하다고 역설할 수 있다. 부장급이 보안담당 최고책임자라면 기업 내에서 제대로 목소리를 낼 수가 없지만, 안타깝게도 국내 기업에서는 CSO를 임원급으로 두는 경우가 별로 없다”고 밝혔다. 염흥렬 교수는 “기업의 보안을 외주업체에 맡기는 것을 최소화하고, 관련 투자를 늘려야 한다. 인터넷, 금융업체 외에도 제조, 유통 등 모든 영역에서 보안을 강화해야 한다”고 강조했다.
보안을 강화하기 위해서는 개인 차원의 노력도 필요하다. 염흥렬 교수는 “백신 프로그램을 지속적으로 업데이트하고, 액티브엑스를 비롯해 인터넷에서 검증되지 않은 파일을 다운로드하지 않아야 한다. 사실 컴퓨터를 주기적으로 포맷하는 게 가장 확실하지만 개인에게 요구하기는 어렵다”고 밝혔다.
인터뷰 | 유명 해커 홍민표 쉬프트웍스 대표
“스마트폰 해킹 위험 PC 뛰어넘을 것”
홍민표 쉬프트웍스 대표(33)는 2009년 세계해킹대회 코드게이트에서 우승을 차지한 국내에서 손꼽히는 해커다. 홍 대표는 1998년 국내 최대 해커집단 ‘와우해커’를 만들었고, 보안회사 쉬프트웍스를 이끌고 있다. 와우해커 출신들이 주축으로 모인 쉬프트웍스는 지난해 보안관련 매출이 30억여원이었다.
최근 해킹의 새로운 트렌드는.
제로데이 등 해커들의 해킹수법이 점점 교묘해지고 있다. 해커들은 별의별 방법을 동원해서 공격하기 때문에 작정하고 들어가면 언젠가는 뚫린다. 이런 해킹은 백신으로 막을 수 없다. 보안을 강화해서 해킹을 어렵게 하는 방법이 있을 뿐이다. 소셜 네트워크 서비스(SNS)가 활성화되면서 개인정보를 통해 한 사람에 대해 더 많은 것을 파악할 수 있다. 신상정보를 완전히 파악하는 일도 가능하다.
해커는 주로 어떤 사람들인가.
주로 해외에서 접속한 해커들이 국내 기업, 기관들을 해킹한다. 중국인도 있겠지만, 한국 사람도 상당수다. 어느 나라 사람이 많은지는 정확히 알기 어렵다.
하지만 실력만큼은 중국 해커들의 수준이 상당하다. 수년 전에 중국 해커집단으로부터 번역을 의뢰받은 소스코드를 분석해보니 국내 게임업체에서 유출된 것이었다. 이런 소스코드를 통해 거의 비슷한 게임을 중국 현지에서 서비스하면서 국내 게임업체를 어렵게 하는 경우가 상당수 있다.
해킹을 어떻게 막을 수 있나.
보안전문가들은 평소에도 보안이 중요하다는 것을 강조한다. 하지만 무시당하는 게 일반적이고 일이 터지고 나서 찾아온다. 평소에도 보안전문가의 말에 귀를 기울여야 한다.
또한 보안전문가들은 일부 소수를 제외하면 대우가 열악하다. 기업에서 대우를 받고 보안 서비스가 제값을 받아야 이 산업이 발전할 수 있고 해커들도 양성될 수 있다. 해커는 타 기관에 침투해서 정보를 빼내는 ‘블랙해커’만 있는 것이 아니라, 보안기업에서 정보를 지키는 ‘화이트해커’도 있다.
개인 입장에서 해킹을 예방하려면 인터넷에서 파일을 다운로드하는 것에 신중해져야 한다. 해커들은 많은 사람들이 쉽게 다운로드하는 파일이나 프로그램을 노린다. 예를 들어 ‘트위터 팔로어 수를 높이는 방법’이나 ‘싸이월드 방문자 수를 높이는 방법’ 등을 검색하면 검증되지 않은 프로그램이 나열된다. 이런 프로그램을 쉽게 다운로드하면 악성코드에 감염된다.
향후 어떤 해킹을 주의해야 하는가.
스마트폰 악성코드가 빠른 속도로 늘고 있다. 영세한 스마트폰 앱 업체들이 많아 보안투자가 쉽지 않다. 향후 스마트폰 보안 위험이 PC 수준을 뛰어넘을 것이다. 해킹의 공격 범위도 확대돼 정부와 공공기관, 국가 기간망에 대한 공격도 심화될 것이다.
잠깐용어 악성코드
컴퓨터에 악영향을 미칠 수 있는 모든 소프트웨어의 총칭. 자기복제 능력과 행동유형에 따라 바이러스, 웜, 트로이목마, 스파이웨어 등으로 분류된다.
잠깐용어 디도스(DDoS·분산서비스거부) 공격
대량의 PC에 악성코드를 감염시켜 좀비PC로 만든 후 이를 동원해 특정사이트를 공격하는 방식을 뜻한다. 공격을 받은 홈페이지는 접속자 수가 폭증하면서 정상적인 서비스가 멈추게 된다.
잠깐용어 지능형지속공격
APT(Advanced Persistent Threat). 고도로 정교한 수법으로 지속적으로 취약점을 찾아내 해킹을 하는 방법이다. 농협, 현대캐피탈, 네이트 해킹 사태가 이에 해당된다.
잠깐용어 제로데이(zero-day) 공격
현존하는 보안 프로그램으로 막을 수 없는 해킹방식을 의미한다. 취약점을 발견한 후 이를 수정하는 패치가 발표되기 이전에 공격을 감행하는 수법이다.
[취재 = 김병수 기자 bskim@mk.co.kr / 윤형중 기자 hjyoon@mk.co.kr]
출처 : 매일경제
최근 해킹의 새로운 트렌드는.
제로데이 등 해커들의 해킹수법이 점점 교묘해지고 있다. 해커들은 별의별 방법을 동원해서 공격하기 때문에 작정하고 들어가면 언젠가는 뚫린다. 이런 해킹은 백신으로 막을 수 없다. 보안을 강화해서 해킹을 어렵게 하는 방법이 있을 뿐이다. 소셜 네트워크 서비스(SNS)가 활성화되면서 개인정보를 통해 한 사람에 대해 더 많은 것을 파악할 수 있다. 신상정보를 완전히 파악하는 일도 가능하다.
해커는 주로 어떤 사람들인가.
주로 해외에서 접속한 해커들이 국내 기업, 기관들을 해킹한다. 중국인도 있겠지만, 한국 사람도 상당수다. 어느 나라 사람이 많은지는 정확히 알기 어렵다.
하지만 실력만큼은 중국 해커들의 수준이 상당하다. 수년 전에 중국 해커집단으로부터 번역을 의뢰받은 소스코드를 분석해보니 국내 게임업체에서 유출된 것이었다. 이런 소스코드를 통해 거의 비슷한 게임을 중국 현지에서 서비스하면서 국내 게임업체를 어렵게 하는 경우가 상당수 있다.
해킹을 어떻게 막을 수 있나.
보안전문가들은 평소에도 보안이 중요하다는 것을 강조한다. 하지만 무시당하는 게 일반적이고 일이 터지고 나서 찾아온다. 평소에도 보안전문가의 말에 귀를 기울여야 한다.
또한 보안전문가들은 일부 소수를 제외하면 대우가 열악하다. 기업에서 대우를 받고 보안 서비스가 제값을 받아야 이 산업이 발전할 수 있고 해커들도 양성될 수 있다. 해커는 타 기관에 침투해서 정보를 빼내는 ‘블랙해커’만 있는 것이 아니라, 보안기업에서 정보를 지키는 ‘화이트해커’도 있다.
개인 입장에서 해킹을 예방하려면 인터넷에서 파일을 다운로드하는 것에 신중해져야 한다. 해커들은 많은 사람들이 쉽게 다운로드하는 파일이나 프로그램을 노린다. 예를 들어 ‘트위터 팔로어 수를 높이는 방법’이나 ‘싸이월드 방문자 수를 높이는 방법’ 등을 검색하면 검증되지 않은 프로그램이 나열된다. 이런 프로그램을 쉽게 다운로드하면 악성코드에 감염된다.
향후 어떤 해킹을 주의해야 하는가.
스마트폰 악성코드가 빠른 속도로 늘고 있다. 영세한 스마트폰 앱 업체들이 많아 보안투자가 쉽지 않다. 향후 스마트폰 보안 위험이 PC 수준을 뛰어넘을 것이다. 해킹의 공격 범위도 확대돼 정부와 공공기관, 국가 기간망에 대한 공격도 심화될 것이다.
잠깐용어 악성코드
컴퓨터에 악영향을 미칠 수 있는 모든 소프트웨어의 총칭. 자기복제 능력과 행동유형에 따라 바이러스, 웜, 트로이목마, 스파이웨어 등으로 분류된다.
잠깐용어 디도스(DDoS·분산서비스거부) 공격
대량의 PC에 악성코드를 감염시켜 좀비PC로 만든 후 이를 동원해 특정사이트를 공격하는 방식을 뜻한다. 공격을 받은 홈페이지는 접속자 수가 폭증하면서 정상적인 서비스가 멈추게 된다.
잠깐용어 지능형지속공격
APT(Advanced Persistent Threat). 고도로 정교한 수법으로 지속적으로 취약점을 찾아내 해킹을 하는 방법이다. 농협, 현대캐피탈, 네이트 해킹 사태가 이에 해당된다.
잠깐용어 제로데이(zero-day) 공격
현존하는 보안 프로그램으로 막을 수 없는 해킹방식을 의미한다. 취약점을 발견한 후 이를 수정하는 패치가 발표되기 이전에 공격을 감행하는 수법이다.
[취재 = 김병수 기자 bskim@mk.co.kr / 윤형중 기자 hjyoon@mk.co.kr]
출처 : 매일경제
댓글 없음:
댓글 쓰기