농협·SK컴즈 등 잇따른 해킹 사고, 기업의 보안 투자는 '미미'
-400300_33650.JPG) |
김수경 기자] 인터넷 강국으로 불리는 우리나라에서 대규모 해킹 사고는 더 이상 어제 오늘의 일이 아니다. 올해 4월 농협 해킹으로 전국 전산망이 마비됐던 충격이 채 가시기도 전에 7월 말 SK커뮤니케이션의 네이트·싸이월드 가입자 3500만명의 개인정보가 유출되는 초대형 해킹 사고가 터졌다.
뿐만 아니라 정부 기관을 포함한 주요 기관 및 기업에 대한 디도스(분산서비스거부, DDoS) 공격과 금융권 및 통신업, 보안서비스업 등 특정기업을 노리는 ‘지능적 지속위협(APT)’ 등 해킹 수법은 갈수록 교묘해지고 진화되는 양상을 보이고 있다.
해킹 사고가 터질 때마다 보안 문제가 화두로 떠올랐지만 해킹 건수와 피해액은 매년 증가하고 있는 추세다. 계속해서 반복되는 해킹 사고의 근본적인 원인과 해결책을 짚어 본다.
◇ IT 기기의 폭발적 증가는 곧 해킹 경로의 다양화
8일 업계에 따르면 전문가들은 IT 기기의 폭발적인 사용 증가를 반복되는 해킹의 근본적 원인으로 꼽고 있다. 기존의 데스크톱 컴퓨터는 물론이고 스마트폰, 태블릿PC, PMP 등 IT 기기의 사용량이 증가하고 클라우드 컴퓨팅, 모바일 오피스 구현 등으로 인해 자연스럽게 해킹 위험도 높아지고 보안 취약성도 커졌다는 것이다. 여기다 우리나라 인터넷 사용률은 83.7%에 달한다. 즉 정보유출 경로가 다양해진 것이 첫 번째 이유라는 것이다.
우리나라의 휴대전화 가입자가 지난해 9월 5000만명을 돌파한 가운데 지난달 스마트폰 가입자가 1500만명을 넘어서고 연내에 2000만명을 돌파할 것으로 예상되고 있다. 또 아이패드, 갤럭시탭 등 태블릿PC 사용자도 올해 100만명을 넘어설 것으로 보인다. 전문가들은 IT 기기가 다양해지고 정보화 구축 환경이 진화할수록 앞으로 해킹 위험도 그만큼 높아질 것이라고 지적했다.
◇ 기업들, ‘보안’에 큰 돈 안 쓴다
대부분의 기업들이 정보화 투자에는 큰 돈을 쏟아 붓고 있지만 정작 정보보호 투자에는 인색한 점도 해킹에 취약한 주요인이란 지적이다. 집은 호화스럽게 짓지만 진입 관문인 대문은 허술하게 짓는 것과 마찬가지라는 것이다.
한국인터넷진흥원(KISA)·방송통신위원회의 ‘2010년 정보보호 실태조사-기업편’ 보고서에 따르면 2009년 한 해 동안 종사자 수 5명 이상이고 네트워크로 연결된 컴퓨터를 1대 이상 보유한 사업체 6529곳을 대상으로 정보화 투자 대비 정보보호 투자 비율을 물어본 결과, 63.5%의 사업체가 ‘정보보호 지출이 없다’고 응답했다.
또 17.9%의 사업체는 정보화 투자 대비 정보보호 투자가 1% 미만인 것으로 나타났으며 10% 이상을 정보보호 투자에 쓴다고 답한 기업은 1%에 그쳤다.
정보보호 투자를 하고 있다고 답한 기업 중 그나마 통신업과 금융 및 보험업이 타 업종에 비해 많은 것으로 나타났지만 이마저도 각각 62.2%, 50.2%에 그쳤다.
KISA 관계자는 “보안은 직접적인 수입이나 이익을 창출하는 분야가 아니기 때문에 기업 경영자들이 보안 투자에 인색한 것으로 보인다”면서 “갈수록 진화되는 해킹 수준을 고려했을 때 한국 기업의 보안은 한참 뒤쳐져 있다”고 말했다.
◇ 특정 기업 노리는 APT “예방은 거의 불가능”
보안 전문가들은 특정 기업을 노리는 APT에 대해 “개별 기업이 APT 공격을 예방하는 것은 예측이 어렵기 때문에 거의 불가능에 가깝다”고 단언했다. APT는 다양한 IT 기술과 방식들을 이용해 다양한 보안 위협들을 생산해 지속적으로 특정 대상에 가하는 일련의 공격 행위를 뜻한다.
KISA 관계자는 “예를 들어 A라는 기업을 대상으로 APT 공격을 할 경우 해커들은 A기업에 관한 모든 정보를 사전에 미리 수집해 놓고 보안 체계나 보안 상태를 꼼꼼히 체크해 공격한다”면서 “기업들이 이를 예방하려면 하루 종일 보안 상태를 빈틈없이 체크하고 조그만 변화도 상시 감지할 수 있는 체계가 돼야 하지만 이는 사실상 불가능하다”고 말했다.
이어 “기업 측면에서 APT를 예방하는 최선의 방법은 주기적인 점검 뿐”이라면서 “보안 문제가 터진 후에야 점검하기 보다는 문제가 없을 때부터 중요한 부분은 주기적으로 미리 체크해야 한다”고 조언했다.
◇ 개인은 ‘개인정보 불감증’, 정부는 ‘느린 법 개선’ 문제
전문가들은 반복되는 해킹의 원인이 기업의 문제에 국한되는 것은 아니라고 지적했다. 개인과 정부 차원의 노력이 동반되지 않는다면 해킹으로 인한 피해는 줄일 수 없다는 것이다.
KISA 관계자는 “대부분의 개인들은 인터넷 사이트에 회원가입을 할 때나 각종 이벤트에 참여할 때 개인정보를 너무 쉽게 제공한다”며 “인터넷 상에서 주민등록번호나 휴대전화 번호 등 민감한 개인정보를 물을 때는 그것이 과연 꼭 제공해야 하는 사안인지 꼼꼼히 따져봐야 한다”고 전했다.
그는 이어 “다음달 30일 개인정보보호법이 발효되고 망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)도 임시조치 조항을 두고 있지만 인터넷 문화와 기술의 급격한 변화를 제대로 따라가지 못하고 있다”면서 “정부는 인터넷과 관련한 법 조항을 빠르게 개선하고 필요한 경우 관련법을 새로 제정해야 할 필요가 있다”고 밝혔다.
