올해 들어 국내시장은 농협 해킹을 시작으로 현대오토에버, 최근 SK컴즈의 네이트, 사이월드 고객정보 유출까지 IT 보안시장이 허점을 보이며, 다시 한번 시스템 보안에 대한 경각심을 높이고 있다.
해외 역시 올해 상반기에만 소니를 비롯해 혼다, 씨티그룹, 다국적 여행 사이트 트립어드바이저 등 1억 명에 달하는 개인정보가 유출되는 홍역을 치르기도 했다. 이에 따라 개인 컴퓨터 이용자와 더불어 해킹으로 인한 산업적 피해가 가시화되면서 무감각했던 시스템 보안에 대한 대책마련이 필요하다는 지적이 설득력을 얻고 있다.
국내 최대 기업이자 글로벌 컴퓨터 보안 노하우로 사세를 확대하고 있는 안철수연구소에서 컴퓨터 보안관련 책임을 맡고 있는 김지훈 책임연구원을 만나 현재 확산되고 있는 시스템 보안시장의 현황과 해킹의 트랜드, 또 향후 보안시장의 핵을 이룰 해킹시장 확대를 저지하기 위한 노하우와 대안을 들어봤다.
◆국내 IT시장의 해킹 현황은.
과거 해킹 빈도수는 들어나지 않아서 그렇지 현재와 비교해 크게 차이가 없다. 그만큼 해킹은 IT산업 발전에 따라 다양한 형태로 나타나고 있다. 특히 인터넷의 발달로 Web이 생활에 접목되는 곳이면 어디든지 더 많은 허점을 노출하기도 한다.
최근 기업들에 대한 해킹 빈도수가 높아진 것처럼 보이는 배경은 예전의 경우 기업들이 해킹 사실을 쉬쉬하며 숨기기에 급급했으나, 최근에는 고객과의 신뢰가 갈수록 중요해 지면서 피해를 인정하고, 적극적으로 대처하는 형태 나타나고 있기 때문에 커 보일 뿐이다.
특히 기업들은 해킹에 노출된 것을 숨겨 기업의 이미지를 실추하기 보다는 더 큰 신뢰를 얻기 위해 적극적인 개선방안을 마련하면서 해킹 빈도수가 많아진 것처럼 보이고 있다. 다시 말하면 해킹 빈도수는 예전과 비슷하며, 단지 해킹의 유형이 고도화되면서 달라지고 있다.
◆해킹과 바이러스 감염은 이미 예전부터 있어왔던 일이다. 하지만 최근에는 직접적인 산업계 피해로 나타나고 있다.
이전 해커들의 경우 기업 전산망과 국가정보망에 침투해 시스템을 교란, 해커 자신의 실력을 과시하는 등 해커 개인 능력에 초점을 맞추는 특성을 보였다. 하지만 최근 해커들은 기업들에게 제공한 일반인들의 신상정보를 해킹해 이를 보이스 피싱업체 혹은 대부업체등 이들 정보가 필요한 곳에 해킹 자료를 넘겨 또 다른 산업피해를 입히고 있다.
특히 일반 네트워크 컴퓨터 사용자들은 신뢰하는 기업들에게 자신들의 신상정보를 당연히 제공해 왔지만 최근 해킹으로 인한 자신들의 정보가 무방비로 유출되면서 또 다른 범죄에 노출, 불안에 떨고 있으며, 기업에 대한 신뢰에도 금이 가고 있다.
해킹은 기업비밀 누출로 인해 피해를 입힐 뿐 아니라 개인들의 신상정보의 유출로 범죄 나타나 산업시장에 악영향을 미치고 있으며, 따라서 이제 해킹에 따른 보안책 마련은 산업시장 뿐 아니라 일반 컴퓨터 사용자 모두 예외가 될 수 없는 국면을 맞고 있다.
한편 최근 해킹의 유형은 외부 침입이 아니라 기업 내부 소행자들의 정보유출도 빈번해 지면서 대기업들의 경우 내부 통제 보안솔루션을 강화하고 있다. 이에 따라 현재의 해킹 트랜드에 맞춰 보안등급을 높이지 않으면 더 큰 산업 피해가 우려된다.
◆최근 해킹의 유형이 바뀌고 있다고 했는데, 해킹의 트랜드와 특징은.
최근 해킹의 특성은 기업 간 B2B 시스템 시장을 공격하는 성향을 보이고 있다. 가장 위협적인 보안 이슈는 APT(Advanced Persistent Threat; 지능형 타깃 지속 공격)다. APT는 해커들이 다양한 IT 기술과 방식을 이용해 조직적으로 경제적이거나 사회적인 목적을 위해 다양한 보안 위협을 가하는 것으로 특정 대상을 겨냥해 지속적으로 공격한다는 것이 특징이다.
예전 개인의 능력 과시와 달리 공격대상 한 곳을 정해 집중적인 해킹에 나선다는 점이 다르다. 이들 해커들의 대상에는 정부기관과 사회 기간산업 시설, 정보통신 기업과 제조 기업과 금융기관 등이 있다. 이들을 대상으로 공격하는 목적은 사회적 시위 또는 경제적 이익 확보다. APT 공격의 대표적 사례로는 스턱스넷(Stuxnet)과 오퍼레이션 오로라(Operation Aurora), 나이트 드래곤(Night Dragon), EMC/RSA 공격이 꼽힌다. 국내의 경우 올 초 발생한 3.4 디도스 공격 이후 특정 대상을 노리는 공격이 증가하는 추세를 보이고 있다.
◆현재 해킹 빈도수가 많아지는 배경에는 정부정책의 문제도 있다는 지적이다. 정책적 오류와 기업들의 무신경이 문제를 더 키우고 있는데, 가장 큰 문제점은.
정부가 마련한 인증제도가 있지만, 현재와 같은 수준의 보안체계로는 갈수록 지능화되고 있는 해킹을 막을 수 없다. 운전면허를 시스템 보안과 비교해 예를 들면 2종 보통면허와 대형면허로 운전할 수 있는 차량이 다르듯이 현재의 컴퓨터 인증제도도 산업별, 정보의 중요성에 따라 달라져야 하는데 천편일률적인 인증시스템을 규정하고 있는 획일적인 검증제도가 문제다.
여기다 정부 정책의 경우 지금까지 컴퓨터 보안에 대한 정책을 법적으로 강제하다 보니 하향평준화 된 것도 큰 문제다. 물론 정부가 적극적으로 나서 이 문제에 대안을 만들고 있지만, 기업들은 정부 정책만을 따를 것이 아니라 기업 특성에 맞는 자체 보안시스템 마련해야 할 것이다.
이와 함께 해킹 범죄자의 제제 조치와 처벌수위가 낮은 것도 해킹범죄가 만연하게 하는 원인으로 꼽는다. 해킹범죄로 1억 원의 수익을 얻고, 잡히면 1000만 원 벌금을 내는 현재의 약한 처벌 수준으로는 매번 반복되는 해킹 범죄를 막을 수 없다.
◆해킹 등 바이러스 감염에도 여러 종류가 있다. 가장 심각한 유형은 어떤 것이 있나?
해킹 공격은 거의 유사한 형태를 보인다. 다만 해커들은 상황에 맞춰 그때그때 산업시장에 잘 먹히는 공격을 찾는다. 최근 들어 해커들이 많이 쓰이는 해킹은 윈도우와 리눅스(서버)시스템, OS 어플리케이션을 찾아서 빈틈이 보이면 이를 공격하는 기술을 만든다.
악성코드 유포는 웹을 시행하면 길을 만들어 악성 코드를 심는 형태다. 이 때문에 공격에 대한 방어가 쉽지 않다. 특히 최근 들어 목표기업을 정해 계획적으로 공격하는 해킹은 6개월 정도의 치밀한 준비기간을 갖고 공격에 나서는 방식을 쓰고 있다. 개인의 신상 털기처럼 누가 누구를 접촉하는지 까지 정보를 얻어서 세밀하게 침투하는 방식을 채택하기 때문에 당해내기 쉽지 않은 상황이다.
◆빈발하고 있는 현 해킹문제를 해결할 대안은.
통상 보안대책은 백신제품과 모니터링 서비스로 나눌 수 있다. 백신은 방화벽으로 많이 보안업체들이 내놓고 있지만, 완벽하게 외부침입을 막아 낼 수 있는 기술은 아니다. 이와 함께 최근 기업들은 내부자 기업 비밀 유출을 막기 위해 모니터링 시스템을 도입하고 있는데, 제품과 서비스가 다른 것은 설치만 해서 보안을 유지하는 것이 아니다.
따라서 산업계의 해킹 피해를 막기 위해서는 보안 제품과 이 제품이 제 기능을 발휘할 수 있도록 관리하는 보안관리 전문가를 둬 지속적인 관리가 필요하다. 문제는 지금까지 시스템 보안에 대한 인식이 부족해 이를 관리할 수 있는 인력투자에 소홀해 적절한 관제 인력이 부족하다는 점이다. 이렇다 보니 좋은 제품을 가지고도 이를 잘 활용하지 못하는 게 현실이다. 향후 보다 안정적인 시스템 운영을 위해◆농협 해킹에 이어 온라인게임 사이트에 대한 해킹이 북한 해커 소행이라는 지적에 대한 견해는.
해킹의 주체가 꼭 북한의 소행이라고 단정하기는 어렵다. 농협사태의 경우 최종 IP가 북한 쪽이라는 것 때문에 북한의 해킹 때문이라는 지적이 있지만, 이는 얼마든지 속일 수 있다. 물론 갈수록 국가 간 사이버 전쟁이 가중되고 있는 만큼 정부도 이에 대한 대책 마련이 필요할 것이다. 정부 내에 북한이던 중국이던 사이버 전쟁에 대비하는 조직이 있어야 한다. 국가 안보를 위해서라도 지금보다 더 세밀한 보안시스템 마련을 위한 지원이 필요하다.
지난 해 이란 원전에 대한 국가 간 사이버 전쟁에서 범인을 미국으로 지목해 논란이 일기도 했다. 따라서 국가 간 해킹전쟁은 사회적으로 큰 혼란을 일으킬 수 있는 만큼 적절한 정책적 대안 마련이 필수다.
인터뷰 말미에서 김지훈 책임연구원은 “기업뿐 아니라 일반 국민들 역시 여전히 현 IT부분의 보안에 대해 심각성을 인식하지 못하고 있다”며 “해킹 방지를 위한 10계명 등 기본만 지키면, 해킹은 막을 수 있다”고 말했다. 또 “인터넷을 쓰는 사람이라면 불법콘텐츠를 다운 받는 과정에서 얼마든지 해킹에 노출되어 있는 만큼 자신뿐 아니라 자신으로 인해 2, 3차 피해가 있을 수 있다”며 “인터넷은 네트워크인 만큼 최소한 보안수준만이라도 지켜야 한다”고 말했다.
◆지속적인 관심, 투자가 필요
국내 산업계 일부 기업들의 경우 보안시스템 구축에 많은 노력을 기울이고 있다. 고객과의 신뢰 때문에 다 밝힐 수는 없지만, 국민은행의 경우 3차 디도스 공격대상으로 지정되고서도 안정적인 시스템을 유지하는 등 모범사례로 꼽힌다.
김지훈 연구원은 “해킹에서 안전한 곳은 없다”며 “보안대책은 해커의 공격을 막는 것보다 실패를 통해 지연시키고, 창과 방패의 싸움에서 이기기 위해 지속적이며, 장기적인 계획을 통해 마련해야 할 것으로 보인다.
안철수연구소 김홍선 대표는 “APT 공격은 해킹의 패러다임이 한 단계 진화했음을 보여준다. 그에 맞춰 보안 체계의 패러다임도 바뀌어야 한다. 안철수연구소는 이미 보유한 핵심 기술을 더욱 발전시켜 최적의 해법을 제시함으로써 글로벌 보안 리더의 면모를 다져나갈 것”이라고 강조했다.
세계 최대 PC제조사 휴렛팩커드가 컴퓨터 제조를 포기하고, 영국 소프트웨어기업을 인수하는 등 전 세계 IT업계 변화가 거세다. 이처럼 IT 하드웨어 보단 창의력에 강점을 둔 소프트웨어산업 성장이 미래 IT산업 경쟁력을 좌우하고 있다. 해킹방지의 최선책은 소극적인 보안 대응을 벗어나 보다 장기적인 계획과 투자를 통한 능동적 대안을 마련하는 것이 중요해 보인다.
