preLoad Image preLoad Image
검색 바로가기
주메뉴 바로가기
주요 기사 바로가기
다른 기사, 광고영역 바로가기
중앙일보 사이트맵 바로가기
닫기
닫기

현재 국내 보안솔루션으론 전체 해킹 20%는 못 막아

어나니머스가 지난 4월 4일 유튜브를 통해 북한과 사이버전쟁을 선포하고 있다. [중앙포토]


국제 해커 어나니머스(Anonymous)가 최근 ‘사이버 6·25전쟁’을 선포했다. 오는 25일 북한 전산망을 점령하겠다는 것이다. 이는 지난 3월 북한 해커 세력이 자행한 국내 방송사와 금융사에 대한 공격, 즉 ‘3·20 사이버테러’에 대한 보복 일환이다. 3·20 테러 직후 어나니머스는 북한 사이트 20여 개를 해킹해 6곳의 회원정보 2만 여 건을 공개했다. 여기에 더해 ‘전쟁’이란 용어를 동원한 공격을 예고하면서 긴장이 고조되고 있다. 중앙일보는 객원기자와의 공동작업으로 해킹 실태와 국내 정보보안의 문제점을 심층 취재했다.

[이슈추적] '사이버 6·25전쟁' 선포됐는데 … 구태언 객원기자가 분석한 해킹 & 보안



어나니머스, 북한 해커와 공격법 달라



중앙일보는 정보보안업체에 근무하는 화이트해커 3명과 지난 두 달 간의 어나니머스 해킹 행태를 분석했다. 어나니머스는 지난 4월 4일과 6일 대남 선전 사이트 ‘우리민족끼리’를 해킹해 1차로 가입자 명단 총 1만5217건을 공개했었다. 이 정보는 인터넷 커뮤니티 일간베스트에 죄수번호를 달고 그대로 노출됐다. 이어 북한 사이트 ‘백두한라닷컴’ ‘민족통신’ ‘려명’ ‘조선신보’ ‘재미동포전국연합회’ 등 5곳을 공격해 회원정보 8784건을 더 공개했다.



 이 같은 공격 과정과 수법을 분석한 결과 본지는 어나니머스의 주된 해킹 방식이 ‘SQL 인젝션(SQL Injection)’이라는 결론을 내렸다.



 SQL 인젝션은 숫자와 문자, 등호와 부등호 등이 뒤섞인 SQL 명령어로 서버를 우회 공격, 이 명령어에만 작동하도록 한 뒤 해커가 원하는 데이터베이스(DB) 내용을 추출하는 공격 방법이다. 웹 브라우저만 있어도 공격이 가능해 웹 해킹에 많이 사용된다. 화이트해커 A씨(32)는 “모든 데이터가 아닌 가입자 정보만 꺼내왔기 때문에 SQL 인젝션이 시도됐을 가능성이 높다”고 진단했다. ‘우리민족끼리’ 같은 선전 사이트는 보안 수준이 높지 않아 이 방식의 해킹이 쉽다는 것이다. 경찰청 사이버테러센터 관계자도 “사이트 운영방식이 불안정해 SQL 등으로 내부자료가 금세 유출된 것으로 보인다”고 밝혔다.



▷여기를 누르시면 크게 보실 수 있습니다


 3·20 사이버테러는 어땠을까. KBS·MBC·YTN·신한은행·농협 등의 내부망이 동시에 뚫린 이 사건을 수사한 정부 합동대응팀은 해킹 주범을 북한으로 지목했다. 해킹 방식은 지능형 지속 공격(APT·Advanced Persistent Threat)으로 봤다. 화이트해커들의 분석도 동일했다. 북한 내부 PC가 지난해 6월부터 9개월간 국내 기관 내부 PC와 서버 관리 PC를 단계적으로 장악했다는 것이다. 이들은 PC를 파괴한 악성코드 매개 경로로 위장 백신 프로그램을 꼽았다. 악성코드가 위장 백신을 통해 자동 설치돼 중앙 서버에서 일괄적으로 뿌려진 것으로 나타났다.



정보보안 컨설팅업체 시큐베이스 대표인 고려대 이경호(46·사이버국방학) 교수는 “오랫동안 기획해 내부망의 취약점을 찾아 이뤄지는 해킹에 국내 기관들의 전산망이 뚫린 건 국가 안보와 관련해 심각한 문제”라고 지적했다.



이 교수는 “당시 북한 해커들은 보안 수준이 높은 금융기관을 공격했다”며 “이는 자신들의 해킹 공격 수준이 높다는 걸 선전하려는 의도”라고 분석했다.



금융사들 보안인력 규정도 안 지켜



 실제로 화이트해커와 정보보안 전문가들은 국내 정부기관과 금융기관 등의 정보보안 수준에 대해 우려를 표했다. 화이트해커 B씨(24)는 “SQL 인젝션 수준의 해킹을 방어하지 못하는 사이트가 상당수”라고 주장했다. 그는 “현재 운영되는 보안솔루션과 관제서비스로는 전체 해킹의 80% 정도만 차단할 수 있다”고 말했다. 실제 3·20 테러 때 정보보안이 무방비 상태임이 여실히 드러났다. 당시 금융사들은 금융정보공유분석센터(ISAC)를 통해 외부 해킹 등에 대해 공동 관제를 실시하고 있었지만 악성코드 정보, 서버나 단말기의 취약 요소 등은 공유하지 않아 공격에 무너졌다.



 특히 농협의 경우 2011년에 이어 올해까지 두 차례나 대형 해킹 사고를 겪었다. 모두 악성코드로 인한 APT 공격이었지만 첫 번째 사고 이후 대비를 소홀히 했다. 정보보안 소프트웨어 전문개발업체인 큐브피아의 권석철(43) 대표는 “방화벽이 관제하지 못하는 시스템 영역은 백신이 통제해야 하는데 백신이 e메일 첨부파일 등을 통한 미확인 악성코드를 놓쳤다”며 “은행 내부자가 악성코드에 통로를 만들어줄 수 있다는 경각심이 부족했다”고 밝혔다.



 금융사들의 소홀한 보안인력 운용도 문제다. 2011년 개정된 전자금융감독규정에 따라 금융사는 전체 직원의 5% 이상을 정보기술(IT) 인력으로 둬야 한다. 하지만 금감원에 따르면 지난해 말 손해보험사 18곳 중 9곳이 규정을 지키지 않았다. 증권사도 48곳 중 11곳이 위반했다.



기업에도 전문 화이트해커 필요



 반복되는 해킹 피해는 개별 기업의 정보보안 취약만으로는 설명이 되지 않는다. 보안업계에선 “인터넷을 사용하는 한 해킹을 막을 수 없다”며 “해킹 발생 후 제때 대응을 잘해야 한다”고 입을 모은다. 권석철 대표는 “기업이 내부망과 인터넷을 분리해 피해를 최소화하는 사전 예방도 중요하지만 이제는 사후 대응으로 패러다임을 전환해야 한다”며 “이를 위해선 전문 화이트해커의 층을 두텁게 해 둘 필요가 있다”고 조언했다.



 해킹은 진화한다. 모바일보안 소프트웨어 회사인 에스이웍스의 홍민표(35) 대표는 “여전히 인터넷 이용 PC를 통한 악성코드 감염이 가장 빈번한 해킹 유형”이라며 “최근엔 모바일 등으로 공격이 광범위해지는 추세”라고 전했다. 그는 “해커들이 모바일 앱의 취약점을 찾고 모바일 단말기 권한까지 확보하고 있는데도 이용자들은 자신의 스마트폰이 좀비폰이 된 것조차 모른다”고 지적했다.



전자금융거래에 흔히 이용되는 공인인증서도 손쉬운 해킹 수단이다. 화이트해커 C씨(26)는 “공인인증서는 단순한 파일형태이기에 물리적으로 복제가 쉽다”며 “재발급할 때 이용자 PC에서 직접 빼가는 등의 공격이 이뤄진다”고 했다. 개별 이용자의 보안문화 정립이 시급한 이유다.



해킹 처벌, 한국 최고 10년형 미국 20년형



 해킹 행위는 국내법에선 정보통신망법 등으로 규제한다. 국내법상 법정 최고형은 징역 10년이다. 반면 미국은 애국자법(Patriot Act), 사이버보안증진법(Cyber Security Enhancement Act)에 따라 최고 징역이 20년이다.



지난 4월 미 하원은 사이버정보공유법(CISPA)이라는 보다 강력한 법안을 통과시키기도 했다. 이 법안은 해킹 시도만으로 실제 범죄에 준해 처벌토록 했다. 특히 사회 주요 인프라를 해킹하거나 전산망을 마비하려는 시도가 있으면 징역 30년까지 올라간다.



 그나마 처벌도 쉽지 않다. 화이트해커 C씨는 “국외에서 이뤄진 공격은 처벌이 애매한 법 실정을 해커들이 알고 악용하기 때문”이라고 했다.



 사이버테러에 대한 조사권이 분산돼 있는 것도 문제다. 국가정보원·방송통신위원회·안전행정부·국방부 등의 기관들이 각기 다른 법률에 근거해 따로 조사를 하고 있다. 이창범(52) 한국사이버안보법정책학회 부회장은 “해킹 초기에 조사와 수사 등 사법권을 행사해 강력한 처벌이 이뤄질 수 있도록 정부기관 간, 정부와 민간기관 간 조직의 통합과 법 정비가 시급하다”고 강조했다. 사이버안보 컨트롤타워 신설이 시급하다는 얘기다.



 화이트해커 양성도 필요하다. 정부는 3·20 사태 이후 화이트해커 3000명 육성 계획을 발표했다. 임종인(57) 고려대 정보보호대학원 원장은 “보안 특성화 대학을 설립해 전문 해커를 양성하고 민간기업과 연계해 하나의 직업군으로 성장시켜 사이버전 때 활용해야 할 것”이라고 조언했다.



◆SQL(Structured Query Language 구조화 질의어) 인젝션=데이터베이스(DB) 하부 언어로 이뤄지는 공격. 컴퓨터를 이용해 DB를 구축하기 위해선 인간이 아는 내용을 컴퓨터가 인식하는 형태로 입력해야 한다. 자료 입력 후 자료를 변경 할 때 SQL 명령어를 사용한다. 이 명령어에 공격코드를 심어 서버를 공격하는 방법이 SQL 인젝션이다.



◆APT(Advanced Persistent Threat 지능형 지속 공격)=오랜 기간에 걸쳐 특정 기업이나 조직 내부 시스템의 취약점을 찾아 서버를 뚫는 지능적인 공격 방법. 내부 PC에 악성코드를 설치하거나 내부 조직원들에게 악성코드가 든 e메일을 발송해 e메일을 열어본 PC에 1차적으로 악성코드를 심는다. 이어 내부 시스템에 잠복시킨 뒤 때를 맞춰 데이터베이스(DB) 정보를 빼돌리거나 서버를 파괴한다.



구태언 객원기자, 이지은 기자



◆화이트해커·블랙해커=흔히 해커라고 하면 블랙해커(Black Hacker)를 말한다. 크래커(Cracker)라고도 한다. 악의적인 목적으로 타인의 컴퓨터에 침입해 내부 자료를 빼돌리거나 변조· 파괴 등의 불법 행위를 하는 이들을 가리킨다. 이에 맞서는 선의의 해커가 화이트해커(White Hacker)다. 정보보안 전문가로서 순수하게 학문적으로 해킹을 연구하거나 정보보안의 취약점을 파악해 해킹 방어전략을 구상하는 해커들을 일컫는다.



◆구태언(44) 변호사=테크앤로 법률사무소 대표로 법조계의 정보보호 분야 전문가다. 2004~2005년 서울중앙지검 컴퓨터수사부, 첨단범죄수사부 검사로 재직하며 정보기술(IT) 범죄를 주로 수사했다. 2006~2012년 김앤장 법률사무소 변호사를 지냈으며 기업들의 영업비밀·기술 유출사건 등을 맡아 변론했다. 특히 대기업의 개인정보 유출사고를 수차례 맡았다. 2008년 개인정보 1863만 건이 유출된 옥션, 2011년 3500만 건이 유출된 SK컴즈, 지난해 각각 870만 건과 422만 건이 유출된 KT와 EBS 등이다.
AD
온라인 구독신청 지면 구독신청

PHOTO & VIDEO

shpping&life

많이 본 기사

댓글 많은 기사