취약하기 짝이 없는
인터넷 보안의식으로
수많은 개인정보 그대로 유출
사이버 세상이 해킹의 위협에 무방비로 노출돼 있다. 그동안 안전한 것으로 인식돼온 은행의 인터넷 뱅킹 시스템도 해킹에 뚫려 충격을 주었다. 해킹 기술은 광속으로 발전해 사이버 세상은 이제 해커들에게 속수무책으로 당하고 있다. 하지만 해킹에 대한 대응은 걸음마 수준이라는 게 보안전문가들의 견해다.

2004년 7월

중국 해커로부터 국가 공공기관 해킹

  ·

  ·

  ·

2005년 6월

인터넷 뱅킹 뚫려 5000만원 인출

2005년 7월

은행위장 사이트 연결 피싱 첫 발견

중국해커 고용 2만5000명 개인정보 빼내



 용카드거래 승인업체의 전산망에 해커들이 잠입해 고객의 개인정보를 빼내 다른 업체에 판매한 일, 한 유명 결혼정보업체 사이트에 들어 있던 고객 수만 명의 신상정보가 그대로 웹사이트를 통해 유출된 일 등등 최근 터진 해킹 관련 사고만도 한두 가지가 아니다. 하지만 이것은 일부분에 지나지 않는다. 이미 사이버 세상은 해커들의 놀이터가 된 지 오래. IT 초강대국으로 통하는 한국의 사이버 세상이 해킹으로 멍들고 있다.

 2004년 한 해 동안 발생한 사이버 침해사고는 모두 7만7099건. 이 가운데 정보통신망 자체를 공격대상으로 하는 해킹, 바이러스 유포 등 사이버 테러형 불법행위는 1만5390건에 이른다. 

 현재 우리 사회에는 취약하기 짝이 없는 인터넷 보안의식으로 인해 수많은 개인 정보가 그대로 유출되고 있다. 이런 불미스런 일들이 일어나게 된 데에는 정보통신 사용자들의 보안의식이 올바로 정립되지 않았고, 보안에 대한 대처에 개인들이 미온적인 태도를 보인 것 등에도 이유가 있다. 하지만 은행 등
금융기관이나 기업들의 보안시스템이 허술한 것도 큰 원인으로 작용했다.

 최근 초고속 인터넷 사용자의 증가는 개인정보 유출위험 가능성이 그만큼 크다는 것을 의미한다. 인터넷 인구가 1200만명에 육박하며 뷰어회수 사이트에 한국의 유수 사이트들이 랭크되고 있다. 양적인 면에서는 정보통신 강국이라 자부하지만 전 세계 해커들의 놀이터로 인식될 만큼 허술하기 짝이 없는 보안대책이나 사용자들의 의식수준 결여로 본다면 부끄럽기 그지없는 일이다. 인터넷 이용자들의 윤리문제라며 책임을 전가하기보다는 보안시스템에 대한 기초적인 설비부터 재정립하는 성의를 보여야 한다는 지적이다.



 예전의 해커들은 웹사이트를 공격하거나 웜 공격을 시도했다. 주변 동료들에게 명성을 얻고 싶다는 게 주된 이유였다. 하지만 요즘은 주로 돈을 벌 목적에 해킹을 감행한다. 취약점을 찾아서 악용하는 방법을 살피고, 개인의 민감한 정보를 훔쳐내고, 기업 스파이 노릇도 한다. 해킹의 동기가 금전적인 데 있다 보니 기업의 민감한 정보나 개인 신상 정보가 유출될 가능성이 더 커졌다.

 공격도 점점 더 정교해지고 있다. 양근원 경찰청 사이버테러대응센터 경정은 “사기수법이 발달하고 있으며 그에 따라 위력도 커져가고 있다”며 “돈벌이 수단이 많아짐에 따라 공격도 덩달아 정교해지고 있다”고 말했다.

 최근 가장 눈에 띄게 증가하고 있는 사기 방식은 피싱이다. 개인정보(Private Data)와 낚시(Fisfing)의 합성어인 피싱은 주로 위장 홈페이지를 만든 뒤 불특정 다수의 사용자에게 메일을 보내는 수법으로 개인정보를 빼내는 해킹수법이다. 전통적인 해킹과 달리 피싱은 상대방을 어떻게 속이느냐가 관건이다.

 사기 금액이 커지고 있다는 것도 문제다. 피싱 사기는 일반적으로 스팸과 가짜 웹페이지를 이용하는 것으로, 믿을 수 있는 사이트인 것처럼 위장해 개인의 암호나 신용카드 번호 같은 민감한 정보를 빼낸다. 피싱은 주로 소규모의 집단을 겨냥해 이뤄지고 있다.

 씨티은행의 경우 ‘개인정보를 확인하지 않으면 시스템 접근이 거부된다’는 내용이어서 많은 사람들이 속아넘어갔다고 한다. 국내에서도 피싱에 대한 불감증을 우려하는 목소리가 커지고 있다. 대형 금융기관을 사칭하던 것에서 벗어나 중소 금융기관으로까지 영역이 확대될 가능성도 커지고 있다.

 국내에서도 지난 7월 처음 피싱 사기가 등장했다. 다행히 보안업체 등의 적극적인 대처로 큰 사고로 이어지지는 않았지만, 국내 은행 홈페이지를 가장한 피싱 사이트를 만들어 해킹을 통해 다른 사람의 개인정보를 빼낸 범인이 고교생인 것으로 밝혀져 더 큰 충격을 주었다. 그런가 하면 기업 네트워크에 접근해 산업 스파이 노릇을 하는 트로이 목마 프로그램의 공격을 받는 기업들도 늘고 있다.

 해커들은 조그만 틈새를 노리고 있다. 그래서 지난 6월 발생한 한 은행의 인터넷 뱅킹 해킹 사고의 충격은 더 컸다. 그동안 인터넷 뱅킹은 안전을 위해 공인인증서, 보안카드 등 이중 삼중의 안전장치를 마련해 해킹에 따른 위험이 없는 것으로 평가돼왔기 때문이다.

 이처럼 해킹사고는 기본적인 보안사항이 취약한 점을 노리기도 하지만 방화벽, IDS, 보안관제 등이 실시되고 있는 기업에서도 웹 해킹 방식으로 고객정보가 유출된 사례가 있었다. 모의해킹 테스트를 받은 일부 금융기관의 경우에는 이러한 해킹 방식에 무방비 상태였던 것으로 알려졌다.

 이는 금융권의 홈페이지 개발 프로젝트 과정에 비용문제 등으로 보안전문가가 참여하지 않는 등 보안성 점검이 제대로 이뤄지지 않았기 때문이다. 또 홈페이지 등이 수시로 개편되면서 이에 대한 보안 취약성 분석이 제때 이뤄지지 않아 허점이 노출되고 있는 것으로 밝혀졌다.

 신용과 보안이 무엇보다 중요시되는 금융관련 업체까지도 해킹에 속수무책이라면 기타 다른 업체들의 경우 얼마나 보안이 허술할지 유추해볼 수 있지 않을까.



 
보안전문가 80%‘금융권전산시스템

안정성에 의문’응답



 
보안전문가들은 가장 우수한 보안시스템을 자랑한다는 금융기관마저 해킹위험에 처해 있다고 경고하고 있다. <이코노미플러스>가 보안전문가와 금융기관의 보안담당자를 대상으로 조사한 금융권 안전도 조사결과에 따르면 33%의 보안전문가들이 금융권의 전산시스템이 위험한 수준이라고 답했다. 또 50%는 해킹의 위험에 놓여 있다고 답해 80% 이상이 금융권의 안전성에 의문을 표시했다. 안전하다고 답한 사람은 17%에 불과했다. 

 여기에 금융기관 보안담당자 중 25%도 금융권의 전산시스템이 위험한 편이라고 답해 충격을 주고 있다. 가장 안전하다고 믿었던 금융기관의 전산시스템이 외부의 공격에 취약하다는 것을 여실히 보여주는 대목이다. 기본적인 방어태세만 갖췄다는 것이 금융권 내부 관계자의 전언이다. 금융기관 보안관계자는 “사실 해킹전문가에 의한 위협에 대처한다는 것은 무리”라며 “해킹에 대한 대처는 사고를 쫓아다니면서 배울 수밖에 없는 상태”라고 털어놓기도 했다.

 하지만 금융권 보안관리자 중 75%는 해킹에 안전하다고 답해 보안전문가들과 상당한 차이를 보이고 있다. 다른 금융권 관계자는 “실시간으로 대응하기는 힘들지만 해킹의 새로운 위협에 대해 바로바로 대응하고 있다”고 반박했다.

 그러나 현실적인 차이만큼 해킹의 위험이 존재한다고 봐야 한다는 주장이 설득력을 갖는다. 누군가가 거짓말을 하고 있는 것이 아니라, 이러한 생각의 차이가 해커에게는 ‘틈새’라는 것이다. 오히려 해킹전문가들은 금융권 보안관리자가 현실을 제대로 보지 못하고 있다고 반박한다.

 그런가 하면 보안전문가들 중 절반이 금융기관 내 해킹사고 등이 발생하지만 내부에서 무마시키는 경우를 본 적이 있다고 답해 또 다른 파문을 던지고 있다. 보안업체 관계자는 “보안사고 등이 외부에 알려지면 신뢰도에 상당한 타격을 주기 때문에 내부에서 무마시키는 경우가 많다”고 말했다. 이 관계자는 “일부 공개된 사고는 내부에서 ‘돈’으로 막지 못해 알려지는 것”이라고 설명했다.

 금융권의 외부 해킹 등에 대한 대응의 신속성에 대해서는 반응이 엇갈렸다. 적절하고 신속하게 대응하고 있다는 답변과 그렇지 않다는 답변이 비슷했다. 일부 전문가들은 보안장비 하나 설치해놓고 외부의 위협에 대해서는 방치하는 금융기관도 있다고 꼬집었다.

 해킹의 위협이 증대하고 있는 원인에 대해서는 부족한 전문인력과 관리자 소홀, 보안의식 부족이 가장 큰 문제라고 입을 모았다. 한 은행의 경우 보안관리자가 1명밖에 없는 경우도 있었다. 1명의 관리자가 내부 보안관리는 물론 네트워크, 해킹 위협 등에 대응하기는 무리다. 보안업체 전문가는 “보안관리자 수가 부족해 내부 관리도 힘들다”며 “외부의 해킹 위협에 제대로 대응하기는 역부족인 실정”이라고 지적했다. 해킹 기술이 광속으로 진화하고 있다면 금융기관의 보안관리자는 걸음마 수준이라는 것이다.

 각 금융기관들은 해커로부터 고객과 직원의 신상정보와 회사 기밀을 보호하기 위해 네트워크 보안에 투자를 하고 있는 것으로 나타났다. 금융기관의 보안분야에 대한 투자액은 평균 5억원 이상인 것으로 나타났다. 82%의 금융기관이 3~5년내 보안분야의 평균 투자액이 5억원 이상이었다고 밝혔다.  전문인력도 6명 이상이 50%를 차지했으며, 평균 경력도 6~8년이었다.

 전자상거래나 유료 콘텐츠 서비스를 하는 일반 민간기업 사이트뿐만 아니라 공공기관들의 홈페이지 DB도 손쉽게 노출되는 것으로 나타났다. 전문가들은 보안이 가장 우수하다는 금융권과 비교해볼 때 일반 기업의 안전도는 거의 무방비 수준이라고 진단한다. 업계 전문가는 “보안에 대한 중요성을 인식하는 일반 기업이 드물다”며 “보안시스템도 구색만 갖춘 경우가 대부분”이라고 밝혔다.

 우리나라 금융기관들의 개인정보보호정책에 대한 점검결과에서도 몇몇 금융기관들이 이를 준수하지 않는 것으로 나타났다. 국내 모든 금융기관들은 정보통신망법에 따라 ‘개인정보보호정책’을 만들어 홈페이지에 고지하고 개인정보보호 담당자도 명시해야 한다.

 대부분의 금융기관들은 이를 지키고 있지만 일부 금융기관은 이러한 원칙을 준수하지 않았다. 수협중앙회의 경우 홈페이지에 이를 기재하지 않고 있으며, 한국씨티은행은 담당자가 명시되지 않았다. 농협은 업무 통제가 가능하지 않은 홍보기획팀 직원이 이를 담당하고 있었다.

 증권회사의 경우에는 개인정보보호에 대한 인식이 더욱 낮았다. 우리투자·한화·한국투자·하나·한양·유화증권 등이 이러한 지침을 지키지 않고 있었다. 특히 홈페이지 첫 화면에 고지하더라도 법적 유의사항이라고 표기하고 있어 쉽게 찾을 수 없었다.

 카드사의 경우 개인정보보호정책에 대한 인식이 상당히 높았다. 모든 카드사들이 개인정보보호정책을 홈페이지에 게시했으며 내용도 충실하게 설명하고 있었다.



 
정보보호 침해사고 내부인 소행 90%



 
요즘의 해킹 수법에 비하면 홈페이지 첫 화면에 누드사진을 올려놓는 것은 애교로 봐줄 수 있는 수준이다. 초기에 PC를 해킹하는 것은 몰래 사무실에 들어가 디스켓에 자료를 복사하는 수준이었다.

 그러나 초고속 인터넷이 대중화되면서 해킹의 개념도 바뀌었다. 개인이나 민간기업 소유의 서버뿐 아니라 개인용 PC도 해킹의 대상이 됐다. 수법 역시 중대형 컴퓨터 해킹 시절 단순 자료 열람이나 유출에 그치던 것이 이제는 ID나 비밀번호 등 개인정보 유출 및 사내 기밀 반출, 데이터 변조 등으로 다양화하고 있다.

 집이나 회사 등 장소를 막론하고 인터넷에 연결된 자신의 PC에서 언제 누가 나를 사칭하며 자료를 빼갈지 모르는 세상이 되고 있는 것이다. 인터넷의 대중화로 해커들의 놀이터가 그만큼 넓어진 것이다.

 보안전문가들은 “그러나 대개의 경우 적은 내부에 있다”고 강조한다. 회사의 시스템에 접근할 수 있는 보안담당자나 친구, 커뮤니티 멤버 등 조금이라도 관계가 형성돼 있는 사람 중에 해커가 있을 가능성이 높다는 것.

전문가들은 정보보호 침해사고 중 외부인의 소행은 10% 미만이라고 말한다. 즉 외부 네트워크와 내부 네트워크 사이에 담을 쌓는 네트워크 보안만으로는 요즘 유행하는 해킹 사건의 10%만 막을 수 있다는 것이다.

 보안전문가들은 우선 금융기관 등이 보안 취약점에 철저히 대비해야 해킹을 막을 수 있다고 지적한다. 인터넷 사이트의 보안 관리를 강화하고 해킹에 이용될 수 있는 여지를 없애는 등 근본적인 대책이 마련돼야 한다는 주장도 나오고 있다.

 해킹 위험에 대한 우려의 목소리가 높아지자 정부에서도 전자거래에 대한 해킹 방지책 마련에 나섰다. 정보통신부는 지난 6월 인터넷 뱅킹 해킹사고 이후 전자거래 시스템 안정성을 확보하기 위한 정부 차원의 태스크포스(TF)팀을 구성했다. 산업자원부, 금융감독위원회, 금융감독원, 한국정보보호진흥원과 공동으로 구성된 TF팀은 오는 9월까지 ‘전자거래 해킹방지 대응책’을 마련할 예정이다. TF팀은 앞으로 전자거래 시스템 안전성 분석, 해킹 프로그램 분석, 공인인증서 관리체계 개선의 3개 분야로 나눠 기관별로 해당분야에 대한 실태조사 및 안정성 강화방안을 마련해 종합대책을 수립하기로 했다.

 그러나 다른 무엇보다도 보안의식의 제고가 필수적이라는 것이 전문가들의 견해다. 기업이나 개인이나 보안에 대해 조금만 신경 쓰면 많은 문제를 해결할 수 있다는 것. 한 보안전문가는 “집을 나올 때 자물쇠를 채우는 것처럼 사이버상에서도 자물쇠를 채우는 것이 일상적인 일이 돼야 한다”고 말했다.

 또 다른 전문가는 “아무리 보안기술이 발달해 좋은 소프트웨어가 나오고 법이 강화되고 정책적인 노력을 쏟는다 해도 금융기관 직원의 보안에 대한 의식수준 향상 없이는 정보보호가 불가능하다”고 강조했다. 해킹 대중화 시대에 대응하기 위해서는 전반적인 보안의식이 대중화돼야 한다는 것이 보안전문가들의 한결같은 지적인 것. 기초공사가 잘못될 경우 땜질식 공사로 마무리할 수밖에 없다. 보안은 기초에서 시작해야 한다.



인터뷰

황·용·온STG시큐리티 해킹팀장




 모의해킹 100% 성공“금융기관,  3일이면 충분해”

  “뚫지 못한 곳은 한 군데도 없었어요. 길어도 3일이면 충분합니다.”

황용온(30) STG시큐리티 모의해킹팀장은 지금까지 금융권과 대기업 등 50여개 기업의 모의해킹에서 한 번도 실패한 적이 없었다고 한다. 100% 성공률을 자랑하는 황 팀장은 업계에서 해킹의 전설로 통한다. 짧게는 몇 시간에서 길게는 3일 정도면 내부 시스템에 침투할 수 있다는 그의 말은 다소 충격적이다.

 모의해킹은 평상시와 동일한 상황에서 동일한 시스템에 대해 이뤄지는 해킹 테스트. 외부의 해커 입장에서 이뤄지며 보안시스템에 대한 생생한 진단이 가능하다.

 그는 “인터넷 서비스 구간에 대한 침투는 웹 해킹기법으로 거의 1시간 이내에 가능합니다. 이후 웹서버에 ‘아지트’를 마련해 내부 시스템에 침투하기까지 3일 정도 걸립니다”라고 말했다. 아지트에서 네트워크 관리자들의 아이디와 비밀번호를 알아내는 것은 그야말로 식은 죽 먹기. 해커에게 있어 웹서버를 뚫었다는 것은 내부 주요 시스템을 뚫었다는 것과 같은 말이다.

만약 은행을 해킹한다면 인터넷 뱅킹으로 할 수 있는 모든 것을 할 수 있다는 의미다. 또 내부 시스템 관리자가 할 수 있는 모든 업무를 할 수 있다는 의미이기도 하다. 그는 전문적인 지식을 가지고 있는 해커라면 충분히 가능하다며 언더그라운드에는 숨어 있는 고수들도 제법 된다고 밝혔다.



 웹 해킹으로 트렌드 옮겨져

 “컴퓨터 보안에 대한 기업의 관심이 높아지면서 예전보다 뚫기가 어려워진 것이 사실입니다. 하지만 공격기술이 더 빨리 발전하고 있는 것이 현실이지요.”

 그는 기업들의 보안의식이 높아지긴 했지만 아직 전문적인 지식이 부족하다고 진단했다. 또 보안 솔루션에만 의존하고 있어 해킹으로 인한 침해사고의 위험이 만연해 있다고 경고했다.

 “기업체의 보안담당자들이 해커들의 트렌드를 알기는 어려워요. 관심이 많더라도 정보를 얻기는 힘듭니다. 그들의 주요업무는 아직까지 해킹에 대한 위협에 대응하는 것보다 서버가 멈추면 안 된다는 데 있는 것 같습니다.”

 그는 한 기업체 보안담당자의 경우 보안장비를 교체해야 하지만 시스템 장애가 걱정돼 교체하지 못한 사실을 예로 들었다.

 “해킹 위험은 현실적입니다. 기업의 보안담당자들이 방심하는 순간을 해커들은 노리고 있어요.” 해커들이 노리는 것은 보안이 취약한 ‘틈’이라고 말한다. 100개 중 99개의 보안이 아주 우수하더라도 1개가 취약하면 전체 보안은 취약한 1개 수준이 된다는 것이다.

 그는 최근 해킹의 트렌드가 웹 해킹으로 옮겨지고 있다고 말했다. 서버와 네트워크에 대한 공격에서 탈피해 웹 프로그램을 공격하고 있다는 얘기다. 웹 프로그램은 인터넷을 통해 제공하는 게시판 서비스 같은 것을 말한다.

“웹 프로그램 개발 기술은 굉장히 발전했지만 개발자들에게 있어 보안은 아직 뒷전입니다. 일정 기간 안에 개발을 끝내는 것이 목적이기 때문이죠.”  방화벽, IDS(침입탐지시스템) 등 보안시스템이 웹에서는 아직 제대로 갖춰지지 않은 경우가 많다는 얘기다.

 “웹 해킹은 해커들이 정상이용자를 가장해 침투하기 때문에 걸리지도 않습니다. 모의해킹에서 100% 성공한 것도 이 방식을 사용했기 때문입니다.”




인터뷰

류·철·모 금융ISAC 침해사고대응 팀장

 

 실제 위협은 1%에 불과“하루 5만번 외부 시도 탐지”

 "하루라도 다리 뻗고 잠을 잔 적이 없을 정도죠. 사실 하루하루가 불안의 연속입니다.”

 류철모(46) 금융ISAC 침해사고대응팀장은 아침에 출근하면서 ‘오늘도 무사히’를 마음속으로 외친다.

 금융ISAC(정보공유·분석센터)은 현재 18개 은행의 인터넷 뱅킹 시스템을 24시간 모니터링하면서 위협징후를 탐지하고, 취약점을 발견해 은행에 통보한다. 금융ISAC(Information Sharing and Analysis Center)이란 해킹, 사이버 테러에 관한 정보를 수집하고 이를 분석, 금융기관에 제공하는 업무를 맡는 조직이다.

 금융감독원이 사무국을 맡고 있으며, 금융결제원과 KOSCOM(옛 한국증권전산)이 기술적 업무를 수행하고 있다. 은행권의 경우 일부 은행이 독자적으로 모니터링을 하고 있지만 거의 대부분의 은행들이 ISAC에 의존하는 형편이다.

 류 팀장은 24시간 모니터링 시스템에 하루 5만번 정도의 ‘외부로부터의 시도’가 탐지된다고 한다. 5만건은 정상적인 패턴을 벗어난 것이다. 하지만 이 가운데 1% 미만이 실제 해킹을 위한 시도로 파악되고 있다. 실질적인 위협 행위는 매우 적다는 설명이다.

 류 팀장은 아침에 출근하자마자 야간에 발생한 각종 위협징후에 대해 보고 받는다. “거의 매일 몇 건씩의 위협징후를 보고받습니다. 그냥 넘어가는 날이 없는 편이죠.”

 인터넷 뱅킹 거래는 주간에 이용되는 서비스인 탓에 야간에는 이렇다 할 사고가 터지지 않는다고 한다. 그래서 낮에 할 일이 더 많다. “위협징후에 대해서는 곧바로 은행에 통보합니다. 그러면 은행에서 경고메일을 보낸다든지 하는 조치를 취하게 됩니다.” 은행들은 이러한 통보를 통해 해커 침입에 대비한 대응책을 만들고, 자체적으로 취약점을 찾아내 보완한다.

 하지만 ISAC도 한계가 있다고 한다. 지난 인터넷 뱅킹 사고처럼 정상 사용자를 가장한 해킹행위는 찾을 수 없다는 것이다. 류 팀장은 24시간 모니터링을 하더라도 실시간으로 해킹을 찾아내기는 어렵다고 털어놨다. 실질적인 위협인지 아닌지에 대해서도 알 수 없는 경우가 더러 있다고 한다.



 30여명이 18개 은행 담당

 가장 힘들었던 때는 얼마 전 한 은행의 인터넷 뱅킹 이용자 계좌에서 5000만원의 예금이 빠져나간 사건이 발생했을 때다. ISAC은 사이버수사대에서 발표하기 전까지 이러한 사실을 까마득히 모르고 있었다.

 간혹 퇴근 후 갑작스레 불려나오는 때도 있다. 실제 위협이 감지된 경우다. 류 팀장은 구체적인 숫자는 알려줄 수 없지만 몇 번 그런 일이 있었다고 귀띔한다.

 현재 금융ISAC에는 30여명이 일하고 있다. 이 가운데 14명 정도가 실시간 모니터링에 투입되고, 8명은 각 은행의 취약점을 분석한다. 빠듯한 인원이다. 하지만 아직은 인원을 늘릴 계획이 없다.

 “해킹기술이 방어기술을 항상 앞질러 갑니다. 미리 해킹을 막거나 실시간 대응하기보다는 예방이 최선입니다.”

전문가기고

증가하는 해킹 위협어떻게 대처할 것인가?

김우한 한국정보보호진흥원 인터넷침해사고대응지원센터 본부장
whkim@kisa.or.kr



 우리가 사용하는 인터넷은 한마디로 컴퓨터 통신망의 집합체라고 할 수 있다. 인터넷은 PC, 서버 등이 통신망을 통해 상호 연결돼 있고, 이 통신망을 통해 각 PC와 서버들이 서로 자료를 교환한다. 즉 가정에서 사용하는 PC와 인터넷에 연결돼 있는 국내외의 다른 PC 또는 서버의 데이터 교류 및 통신이 가능하게끔 통신망과 각종 통신용 장비, 그리고 다양한 콘텐츠를 저장하고 있는 서버 등으로 구성돼 있다. 

 인터넷을 통해 유통되는 정보는 웹, 이메일, P2P, 인터넷 뱅킹 등을 위한 유용한 정보가 대부분이지만 보안에 취약한 PC 및 서버를 탐지해 감염시키기 위한 악성  정보나 해커가 의도적으로 정보를 탈취하기 위해 작성한 악성 코드들도 같이 흘러다닌다. 지금까지 발생한 수만 개 이상의 악성 코드에는 수명이 있어 자연 소멸되는 것도 있으나, 대부분의 악성 코드들은 소멸시기가 없어 강제로 삭제하지 않으면 무한정 감염 시도를 하는 웜이 대부분이다. 최근에 화제가 되고 있는 악성 코드 및 해킹사례에 대해 그 위협과 대처 방안에 대해 알아보자. 



 악성 BOT

 BOT라는 악성 코드는 ROBOT의 준말이다. ROBOT이라는 말에서 어원을 따온 이유는 악성 BOT에 감염된 PC는 PC가 인터넷에 연결되는 순간 사용자가 아닌 악성 BOT 코드를 유포시킨 자(해커)의 명령에 따라 PC가 동작하기 때문이다. 악성 BOT에 감염된 PC는 ‘좀비(Zombie)PC’가 돼 물리적으로는 사용자의 것이지만 인터넷에 접속되면 해커의 명령에 따라서만 동작하게 된다. 즉 악성 BOT에 감염된 PC는 인터넷에 연결된 상태에서는 해커의 명령에 따라 모든 행위를 하게 된다.

 그런가 하면 악성 BOT에 감염된 PC는 이메일 스팸을 발송하는 근원지로 사용되기도 하고 감염된 PC의 모든 행위를 탐지해 개인정보를 유출할 뿐 아니라 PC에 저장된 주요 파일을 원격의 해커가 가지고 가기도 한다. 이 같은 악성 BOT는 백신 프로그램으로도 탐지가 어렵다. 또 다양한 공격방법을 사용해 전파되고 있어서 확산 속도도 매우 빠르다. 또 일부 악성 BOT는 자신을 숨길 수 있는 은닉(Stealth) 기능을 가지고 있어 감염사실을 인지하는 것 자체도 어렵다.

 악성 BOT는 윈도의 다양한 보안 취약점을 악용해 전파된다. 이를 방지하기 위해 개인 사용자는 보안 취약점을 패치해 최신의 운영체계 및 응용 소프트웨어를 유지해야 한다. 또 윈도 XP 사용자는 서비스팩2를 설치해 방화벽을 활성화시켜야 한다. 모르는 사람이 보낸 이메일을 보거나 첨부파일을 실행할 때는 주의해야 한다. 백신 소프트웨어를 설치하고 최신 버전으로 업데이트 하는 것도 필수적이다.



 악성 트로이전

 악성 트로이전은 근래에 많이 발생하는 해킹 사고 중의 하나로 인터넷 사용자 개인에게 직접적인 피해를 초래한다. 트로이전이란 감염된 PC의 개인정보나 저장된 정보 탈취 등을 목적으로 설치된 악성 프로그램을 말한다. 트로이전이 사용자의 PC에서 실행되기 위해서는 반드시 사용자가 인지하지 못하는 상태에서 트로이전을 설치하는 행위가 먼저 일어나야 한다.

 공격자가 트로이전을 설치하는 방법은 공격의 목표가 된 사용자에게 이메일을 통해 트로이전 프로그램을 전달하거나, 웹사이트를 해킹해 트로이전 파일을 삽입시킨 후 웹사이트를 방문하는 사람의 PC에 설치하는 것이다.   게시판에 악성 코드가 포함된 게시물을 올려 인터넷 사용자들이 내용을 읽어보게 하거나 악성 코드를 다운로드 하도록 유인해 설치하는 방법도 있다.

 개인 PC에 악성 트로이전이 설치되면 PC 사용자가 모르는 사이에 PC에서 행해지는 모든 작업이 해커에게 그대로 전달된다. 컴퓨터의 화면, 키보드 입력 내용 등을 해커가 모두 볼 수 있으며 PC에 저장된 파일 등의 내용도 해커에게 유출될 수 있다. 최근에 발생한 국내 모 은행의 인터넷 뱅킹 해킹 사건은 이와 같은 트로이전에 의해 발생한 것이다.

인터넷 사용자가 트로이전에 감염되지 않기 위해서는 웹 서핑을 할 때 흔히 볼 수 있는 “ActiveX Control을 설치하겠습니까?”와 같이 프로그램을 설치하라는 질의를 받을 때 무심코 동의하지 말고 질의의 내용을 유심히 관찰해야 한다.

 악성 트로이전에 의한 사고는 사용자의 부주의한 행동 때문에 발생한다.  발신자가 불분명한 이메일의 첨부파일을 실행하거나 잘 알려지지 않은 웹사이트를 방문했을 때 감염되는 경우가 많다. 이를 방지하기 위해서는 보안 취약점을 패치해 최신의 운영체계 등으로 유지하고 특히 인터넷 익스플로러 등 인터넷 브라우저의 최신 패치를 유지하는 것이 중요하다.

 발신자가 불분명한 이메일은 실행하지 말고 해당 첨부파일은 백신 소프트웨어로 검사해 안전한 경우에만 열어보도록 한다. 무료 소프트웨어를 설치할 때도 사전에 백신 소프트웨어로 검사한 뒤 설치 한다.



 피싱

 피싱(Phishing)은 개인정보를 의미하는 ‘Private Data’와 낚시를 의미하는 ‘Fishing’의 합성어다. 즉 금융정보나 게임 ID를 탈취할 목적의 해킹 기법을 의미한다. 대부분의 피싱은 은행, 전자상거래 사이트를 위장해 사용자가 자신의 이메일로 이미 위장된 유명 웹페이지에 접속하도록 유도해 계정, 비밀번호, 기타 개인정보 등을 입력하게 한 후 이 개인정보를 이용해 금융 사기나 물품구매 사기 등에 악용한다. 피싱도 피해자의 부주의로 인해 발생한다. 그러므로 인터넷 뱅킹 사용자 등의 경우 은행이나 해당 사이트에서 개인정보를 갱신하라는 내용의 이메일을 받은 경우에는 반드시 사실을 확인하는 등 주의해야 한다.

 피싱 이메일은 “귀하의 인터넷 뱅킹 계정의 유효기간이 곧 만료되니 개인정보 갱신 화면에 접속 후 갱신해주기 바랍니다”와 같은 형태로 전송된다. 피싱은 통상적으로 대상자에게 이메일을 보내 수신자가 이메일 본문에 있는 위장된 사이트로 연결하도록 돼 있다. 그러므로 이와 같은 이메일을 수신한 경우에는 반드시 브라우저의 주소창에 해당 웹사이트의 주소를 직접 입력 하도록 한다. 판단이 곤란한 이메일이 수신되는 경우에는 해당 사이트를 직접 방문해 확인하거나 전화로 직접 질의하도록 한다. 특히 피싱은 백신 소프트웨어 등을 이용해 차단 및 검출하는 것이 불가능하므로 특히 개인의 주의가 요구된다.



 웜·바이러스 및 애드웨어·스파이웨어

 우리가 인터넷을 사용하면서 정보보호를 말할 때 항상 언급되는 것이 웜과 바이러스다. 현재까지 알려진 웜이나 바이러스의 종류는 얼마나 될까? 요즘 발생하는 악성 코드는 웜, 바이러스, 트로이전 등이 가진 여러 악성 특징이 혼재된 형태로 진화되고 있다. 지금까지 발생한 바이러스는 약 10만건으로 추정되며, 웜은 약 3700건 이상으로 예측된다.

 웜 중에서 가장 악명을 떨친 웜은 2003년 1월에 발생한 슬래머 웜이다. 감염된 서버가 발생시킨 다량의 통화량 때문에 국내 인터넷 접속이 몇 시간 동안 다운돼 인터넷 대란을 일으키기도 했다.

 최근에 발생하는 악성 코드로는 애드웨어(Adware)와 스파이웨어(Spyware)가 있다. 애드웨어는 광고(advertisement)와 소프트웨어(software)가 합쳐져 만들어진 말로, PC에 설치돼 광고 목적의 행동을 하는 소프트웨어를 말한다. 스파이웨어는 스파이(spy)와 소프트웨어(software)가 합쳐져 만들어진 말로, PC에 설치돼 사용자의 개인정보를 수집해 인터넷 등을 통하여 전송하는 악성 코드를 의미한다.

 애드웨어나 스파이웨어는 사용자에게 유용한 도구로 위장하거나 웹사이트 방문시 반드시 필요한 소프트웨어로 위장해 사용자의 ‘동의’를 거쳐 설치되는 경우가 많다.

 웜·바이러스 등에 대응하기 위해서는 월 1회 정도 윈도 및 응용 SW의 최신 보안 패치를 확인하고 설치하면 된다. 가능한 PC 방화벽을 설치하며, 윈도 XP 사용자는 서비스팩2를 설치해 방화벽 기능을 활성화시킨다. 보안업체 등에서 제공하는 스파이웨어 차단용 소프트웨어를 설치해야 한다.

 우리나라의 정보통신 인프라는 해외의 어느 나라보다 우수하다. OECD에서도 한국의 정보통신 인프라가 세계 최고 수준이라고 발표한 바 있다. 하지만 이처럼 자랑할 만한 지표가 있는 반면, 우리나라의 취약한 정보보호 현황에 대해 언급한 지표도 있다. 즉 피싱을 위한 경유지로 악용되는 서버가 위치한 국가 순위를 발표하는 인터넷 사이트(
www.antiphing.org)에 따르면 한국은 지난 4월 기준 악용서버 보유국가 순위에서 3위를 차지하고 있다. 이것은 정보보호가 취약한 PC 또는 서버가 해킹을 당해 피싱 중계 서버로 악용되는 숫자를 의미한다. 정보보호가 안 된 개인의 PC 또는 서버는 타인에게 해를 끼치게 된다는 얘기다. 또 이메일 스팸 발신국가 순위에서도 미국, 중국에 이어 3위로 나타나고 있어 상위 스팸 발송국가라는 오명도 보유하고 있다.

 정보보호는 어느 특정 기관, 보안전문가, 회사 등에서만 하는 것이 아니다. 국내에서 인터넷을 사용하는 1200만 초고속 인터넷 사용자와 전용회선을 사용하는 8만6000여개 기업·기관 및 정부, 보안업체, SW 제조사 등 모두의 협력이 필요한 사항이다.

 우리는 우리의 집, 아파트 등의 보안을 위해 많은 돈을 들여 최신의 안전 디지털 자물쇠나 CCTV 또는 보안 용역업체 등에 가입해 자기 재산을 지킨다. 그러나 정작 더 많은 재산이 보관돼 있는 컴퓨터를 보호하기 위한 투자에는 인색했던 것이 사실이다. 이제 정보시대의 필수 장비인 PC 사이버 보안을 위한 투자에 대해 모두가 관심을 가지고 실천할 때가 됐다. 현재 우리나라에선 2000년에 한창 유행하던 초고속 아파트를 지나 홈 네트워킹 시대가 시작됐다. 곧 도래할 ‘언제 어디서나 어떤 상대와도 통신이 가능한 유비쿼터스 통신시대’를 생각하면 지금부터 정보보안의 생활화를 실천해야 한다. 정보보안에 대한 대책 없이는 따뜻한 디지털 시대도 생각할 수 없기 때문이다.

장시형 기자

  • 목록
  • 인쇄
  • 스크랩
ⓒ 조선경제아이 & economychosun.com