[김국배기자] 대한민국 보안 수난시대.
지난 2013년 3월 20일 KBS와 MBC, YTN 등 주요 방송사와 신한은행, 농협은행 등 일부 금융권을 대상으로 한 발생한 해킹 공격인 3·20 사이버테러가 일어난 지 1년이 흐른 시점에서 한국 사회의 현주소를 보여주는 말이다. 보안의 중요성에 대한 인식은 차츰 높아지고 있지만 급증하는 위협의 속도를 감안하면 개선의 움직임은 느리다.
반복되는 사고에도 기업의 보안 투자 수준은 여전히 미흡하고 정보보호 예산조차 제자리걸음이다. 정부가 이런저런 대책을 내놓고 있지만 보안 사고를 근본적으로 해결할 수 있을지는 미지수다.
◆개인정보 초토화
# 일산 가좌동에 사는 회사원 한지훈(31) 씨는 요즘 뉴스를 보면 화가 난다. 하루가 멀다하고 일어나는 개인정보 유출 탓이다. "사람들 앞에서 벌거벗은 느낌이다. 혼자만 그런 게 아니라 덜 불안할 뿐"이라고 한 씨는 말했다. 파주시 운정동에 사는 직장인 김재원(32) 씨는 "이제는 그냥 무덤덤하다"고 했다.
1년이 흘렀지만 보안 수준은 크게 달라지지 않고 있다.
오히려 3·20 사이버테러의 악몽이 계속되기라도 하듯 대형 보안사고는 외부 해커에 의한 공격과 내부자에 의한 유출로 인해 기업 안팎에서 터지고 있다.
올해 초에는 국민카드와 롯데카드, NH농협카드 3사에서 고객 정보가 유출된 사실이 발견됐으며 지난 6일에는 KT에서 980만여 명의 개인정보가 털렸다. 17일에는 국내 최대 규모의 물류·택배회사에서 개인정보가 유출된 것으로 드러났다. 게다가 유출 정보가 시중에 유통되고 있다는 뉴스마저 들린다.
아직 발견되지 않았을 뿐 이미 더 많은 정보가 유출됐을 것으로 보안업계는 추측하고 있다.
실제로 개인정보침해신고센터에 접수된 신고·상담 건수는 2005년 1만8천여 건에서 지난해 17만7천여 건으로 8년 새 10배 가까이 늘어났다. 올해 들어 발생한 개인정보 유출 건수만 하더라도 1억5천만 건에 달한다. 산술적으로 봐도 국민 한 사람당 세 번씩은 털린 셈이다.
심지어 개인정보 유출 사고가 계속되면서 이제는 불안감보다는 보안 불감증이 나타나는 추세다. 심지어 이미 털린 개인정보인데 다른 곳에서 유출이 돼도 별일이 아니라고 여기고 확인조차 하지 않는 게 현실이다.
◆첩보 활동 같은 타깃 공격…악성코드 분출 사이트에 몸살
이런 가운데 지능형지속위협(APT)를 비롯한 해킹 공격은 마치 첩보 활동처럼 치밀해지고 있다.
공격자는 목표 대상을 정하고 관련 정보를 수집하며 짧게는 수 개월에서 길게는 1년 이상 잠복해 때를 기다린다. 회사의 방어체계를 연구하고 테스트를 거쳐 이를 피할 방법을 찾으니 막기가 어렵다.
글로벌 보안업체 시만텍의 '인터넷 보안 위협 보고서'에 따르면 2012년 표적공격은 2011년에 비해 42% 증가했다. 특히 종업원 수 250명 미만의 소기업을 노린 표적 공격은 2011년 18%에서 2012년에는 31%로 크게 늘었다.
조원영 시만텍코리아 대표는 "어느 한 보안 회사가 자사 제품을 통해 이를 막겠다는 건 허황된 얘기일 뿐"이라며 "타깃 공격은 시간은 오래 걸리지만 피해가 치명적"이라고 말했다.
악성코드를 유포하는 사이트도 급격히 늘어나고 있다. 악성코드 유포에 악용되는 악성링크를 추적하는 국내 보안업체 빛스캔(대표 문일준)에 따르면 최근 국내 영향력 있는 웹사이트에서 악성코드가 유포되는 상황이 지속되고 있다.
빛스캔 전상훈 CTO는 "3·20 이후 전체적으로 악성코드 유포 활동이 활발해진 것이 사실"이라며 "지난 2월 마지막 주부터 악성코드를 뿌리는 사이트가 평상시보다 두 배 이상 발견됐고 2~3주에 걸쳐 지속돼 올해 들어 처음 인터넷 위협 수준을 4단계 '경고'로 올렸다"고 말했다.
◆허약체질 한국보안, 정부 주도에서 기업 자율로 바꿔야
보안업계와 학계는 정부의 과도한 규제가 보안을 허약하게 만드는 주범이라고 입을 모은다. 정부의 지나친 간섭이 기업이 능동적으로 보안 시스템을 구축하는 분위기를 해치고 하향 평준화를 가져온다는 지적이다.
심종헌 지식정보보안산업협회(KISIA) 회장은 "사고를 낸 기업이 스스로 조치하도록 정부는 잘잘못만 묻는 방향으로 가야 한다"고 강조했다.
그는 "사고가 날 때마다 정부가 대책을 내고 개별적 조치를 하려고 하니까 정작 사고를 낸 기업은 아무 것도 하지 않고 정부 발표만 몇 달씩 기다린다"며 "기업이 스스로 대책을 세우려 하다가도 정부가 내놓는 대책과 맞지 않아 헛된 투자라는 오해를 받을까 기다리는 것"이라고 말했다.
규제보다는 처벌에 힘을 실어 기업들이 보안에 실패할 경우 회사 문을 닫을 수도 있다는 분위기가 조성돼야 한다는 게 전문가들의 의견이다.
협회 감사를 맡는 문재웅 제이컴정보 대표도 "정부가 가이드라인을 자꾸 만드는 것은 기업들은 처벌할 방법만 없게 만드는 악수"라며 "정부는 규제보다는 처벌에 무게를 둬야 한다"고 설명했다.
조원영 대표는 "징벌적 과징금 등을 통해 기업들 스스로 보안수준을 경쟁력을 강조하는 환경을 구축해줘야 한다"며 "보안사고가 나면 회사는 망할 수도 있다는 절실함을 기업들이 가져야 한다"고 말했다.
현재 홈페이지 해킹으로 개인정보를 유출시킨 KT가 1억 원 미만의 과징금만 물게 될 것이라는 전망이 나오고 있다.
김승주 고려대학교 정보보호대학원 교수는 "정부 주도형 보안에서 자율 보안으로 가야 한다"며 "법정에서 다툼이 일어났을 때 기업이 보유한 개인정보의 양에 따라 최선의 대책을 세웠는 지 따져야지 가이드라인 준수 여부를 따지게 돼선 안 된다는 게 요지"라고 말했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기