권한 없어도 개인정보 모두 조회퇴직·이직자 접근 권한 말소 안돼외부 해킹 95%·내부 유출 0.1%뿐쿠팡과 이동통신사를 중심으로 한 대규모 해킹 피해 여파가 이어지고 있는 가운데 공공시스템도 보안에 취약하다는 감사원 감사 결과가 나왔다. 감사원이 화이트해커를 동원해 모의해킹을 해본 결과 대상이 된 7개 공공시스템이 모두 뚫렸다. 감사원은 27일 이 같은 내용을 담은 ‘개인정보 보호 및 관리실태’ 주요 감사결과를 발표했다. 감사원은 화이트해커 11명을 동원해 123개 공공시스템 중 개인정보 보유량이 많은 7개 공공시스템을 선정해 모의해킹을 실시했다. 그 결과 7개 모두에서 보안 취약점이 발견돼 개인정보 탈취가 가능했다. 그 중 한 시스템은 반복 시도를 통해 5000만 명의 주민등록번호 조회가 가능했다. 또 다른 시스템은 비정상적인 조회를 차단하지 않아 20분 만에 1000만 명의 회원정보를 탈취할 수 있었다. 권한이 없는 개인정보 조회는 7개 시스템 모두 가능했다. 앞서 정부는 지난 2020년 개인정보 시책을 강화, 장관급의 개인정보위원회를 신설했다. 개보위는 공무원이 흥신소에 개인 정보를 팔아 넘겨 범죄 실행을 가능케 했던 송파살인사건 등을 계기로 지난 2022년 공공부문 개인정보 유출 방지 대책을 발표하기도 했으나 보안 부실이 드러난 것이다. 감사원은 개보위가 내부 직원의 고의 유출 통제에만 집중하고 있는 점을 지적했다. 감사원에 따르면 2021∼2024년 공공부문의 개인정보 유출은 95.5%가 외부 해킹에 의해 발생했고 내부 직원의 고의적 유출은 0.1%에 그쳤다. 퇴직자와 이직자 접근 권한이 제때 말소되지 않는 점도 드러났다. 교육행정시스템의 경우 계약직 교원의 인사정보가 연계되지 않아 경기교육청에서 퇴직한 계약직 교원 3000명의 접속 권한이 유지됐다. 감사원은 개보위원장에게 공공시스템 운영기관이 외부 해킹에 대비해 매년 보안 취약점 분석을 하도록 하는 등 방안 마련, 인사정보와 접속권한 연동 확인 등을 통보했다. 이밖에도 한국인터넷진흥원이 1000명 이상의 개인정보가 대량 노출된 것을 월간보고서 등을 받으면 해당 기관이 유출 여부를 파악하는 방안을 마련하도록 통보했다.

공무원 업무 시스템인 ‘온나라시스템’이 3년 가까이 해킹당한 사실이 뒤늦게 확인된 가운데, 정부가 내놓은 보안 강화책이 ‘임시방편’에 그친다는 지적이 나오고 있다. 전문가들은 “정부 업무망 해킹은 대미 협상 전략 등 국가 기밀이 새 나갈 수 있는 심각한 문제”라며 중장기 로드맵 마련을 촉구했다. 19일 국가정보원에 따르면 해커는 공무원 행정업무용 인증서(GPKI)와 패스워드 등을 확보해 행정안전부의 원격접속시스템(G-VPN)을 통해 온나라시스템에 접속했다. 이들은 2022년 9월부터 올해 7월까지 약 3년간 행정망 내부 자료를 열람했으며, 일부 부처의 자체 전용 시스템에도 접근했을 가능성이 제기됐다. 앞서 미국 해커 잡지 ‘프랙(Phrack)’은 지난 8월 8일 발간한 보고서에서 국내 정부 기관과 민간기업이 해킹당했다는 내용의 보고서를 발간했다. 이후 정부는 두 달여간 아무런 입장을 밝히지 않다가 지난 17일에서야 해킹 사실을 공식 인정했다. 이용석 행안부 디지털정부혁신실장은 브리핑에서 “단순히 해킹 사실을 알리기보다 인증체계 강화 등 대책까지 함께 담는 게 좋을 것 같다고 판단했다”고 설명했다. “투팩터 인증으로 부족…장기 대책 세워야”문제는 여전히 ‘무엇이, 어떻게 유출됐는지’조차 파악되지 않았다는 점이다. 국정원은 “해커가 정부 행정망에서 열람한 구체적 자료 내용과 규모를 파악 중”이라고 밝혔다. 이 실장은 인증서·비밀번호 유출 경위에 대해 “조사 중이라 명확히 말하긴 어렵다”면서도 “인증서를 집이나 (정부청사) 외부PC에 설치하는 경우가 있는데, 이 PC가 악성코드에 감염되면 정보 탈취 위험이 있다”고만 했다. 해킹 주체 역시 불분명하다. 프랙은 이번 해킹 배후로 북한 김수키(Kimsuky) 조직을 지목했지만, 국정원은 “단정할 만한 기술적 증거는 부족하다”고 했다. 국정원은 해커가 한글을 중국어로 번역한 기록, 대만 해킹을 시도한 정황 등이 발견된 만큼 모든 가능성을 열어두고 배후를 추적한다는 입장이다. 정부는 기존의 행정전자서명 기반 인증체계를 생체기반 복합인증 수단인 ‘모바일 공무원증’ 등으로 대체해 나가겠다는 계획이다. 행안부는 지난 7월 28일 온나라시스템 로그인 재사용 방지를 위한 조치를 완료한 데 이어 8월 4일에는 정부원격근무시스템 접속 시 전화인증(ARS) 단계를 추가했다. 하지만 임종인 고려대 정보보호대학원 교수는 “미국은 2021년부터 새로운 보안 패러다임인 ‘제로트러스트’ 도입을 공식화했는데, 우리는 아직 투팩터(2단계) 인증을 말하고 있다”며 “임시방편 대책이 아닌 5개년 계획을 세워 2030년까지 탐지·격리·차단 체계를 완비해야 한다”고 말했다. 김휘강 고려대 정보보호대학원 교수는 “외부에 노출된 시스템 취약점을 제거하기 위한 상시 공격표면관리(ASM, Attack Surface Management) 활동과 실전적 모의해킹 테스트 등이 필요하다”며 “특히 유출된 시스템은 이미 해커에게 정보가 많이 노출됐기에 원점에서 솔루션을 재검토해야 한다”고 했다.

국내 최대 이동통신사 SK텔레콤에서 해킹으로 유심(USIM) 인증 정보를 포함한 고객 정보가 유출되는 사고가 발생했다. SK텔레콤은 즉각적인 차단 조치와 ‘유심 보호 서비스’를 무료로 제공한다고 밝혔고 하루 만에 7만명 넘는 이용자들이 해당 서비스에 새로 가입했다. 그러나 2300만 가입자 중 얼마나 많은 고객이 위험에 노출됐는지 해킹의 정확한 원인과 규모는 아직 확인되지 않고 있다. 이번 사태는 2023년 LG유플러스에 이어 2년 만에 발생한 통신사 정보 유출 사고다. 2012년 KT 영업 시스템 전산망 해킹까지 감안하면 국내 통신 3사 모두 해킹 피해를 입은 셈이다. 반복되는 정보 유출 사고에도 통신사들은 사고가 나야 대책을 마련하는 사후약방문식 대응에 급급하다. 사이버 보안 수준이 이래도 되는지 불안하기만 하다. 통신망은 현대사회의 필수 기반시설이자 공공재에 가깝다. 그런 만큼 통신사의 보안 수준도 그에 걸맞아야 한다. 일상생활과 경제활동에 필수적인 인프라를 담당하는 기업이라면 보안에 대한 투자 규모도 커져야 하고 사회적 책임 인식 또한 커져야 마땅하다. 통신사들은 고객 정보를 ‘관리’의 대상이 아니라 ‘보호’의 대상으로 인식 틀을 바꿔야 한다. 정부 역시 통신 3사의 정보보안 실태를 전면 감사하고, 정보 유출 시 실효성 있는 징벌 체계를 갖춰야 한다. 해킹 주체를 북한으로 추정하는 시각도 나오고 있다. 그렇다 해도 통신사나 정부의 책임이 면제될 수는 없다. 북한이 아니더라도 해킹 위험성은 곳곳에서 똬리를 틀고 있는 현실이다. 북한 소행이라고 단순히 치부하고 넘어갈 문제가 결코 아니다. 근본적인 방어 체계 구축을 소홀히 해서는 안 된다. 보안 전문가 확충, 정기적인 모의해킹을 통한 취약점 점검, 최신 인공지능(AI) 기술을 활용한 해킹 탐지 시스템 도입 등 선제적 방어 체계를 구축해야 한다. 국민 디지털 주권을 확고히 지켜줄 수 있는 전방위적 대책이 절실하다.

정예 화이트 해커(윤리적 해커)로 구성된 금융권 해킹 ‘모의 적군’(레드팀)이 결성됐다. 금융보안원은 6일 화이트 해커 30여명으로 구성된 금융 전문 레드팀 ‘레드 아이리스’를 출범한다고 밝혔다. 금융권 모의 해킹 경험이 풍부한 전문가, 각종 해킹대회 수상자 등으로 팀을 꾸렸다. 레드 아이리스는 방어자 관점의 전통적 보안에서 벗어나 실제 해커의 시각에서 금융권 해킹 시나리오를 만들고 보안 취약점을 찾는다. 금융보안원에 따르면 이미 IBM, 구글 등 글로벌 기업에서는 레드팀을 널리 운영하고 있다. 미국 뉴욕주는 사이버보안규정을 제정해 모의해킹 실시를 의무화한 바 있다. 금융보안원은 그간 축적한 취약점 분석·평가 역량을 집약해 실제 해커와 유사한 모의해킹 방법론을 자체 개발하고 활용할 방침이다. 또 전체 조직 차원으로 구성 인력을 확대하고 금융시스템 보안 취약점에 대한 정보공유 및 모의해킹 교육 제공 등을 통해 금융권의 사이버 공격 대응 역량을 높이는 방안도 모색한다. 금융보안원은 “레드 아이리스를 통해 새로운 시각에서 금융권의 보안 취약점을 들여다볼 수 있을 것이다. 실전에 가까운 모의해킹 훈련은 금융권 보안 수준 및 금융시스템의 신뢰수준을 제고할 수 있는 밑거름이 될 것”이라고 말했다.

CJ그룹의 IT서비스 전문기업 CJ올리브네트웍스가 업무 전문성을 활용해 중소기업의 정보보호 역량 강화를 위한 활동을 추진하며 ESG 경영 실천에 앞장서고 있다. 4년째 운영 중인 CJ화이트햇은 중소기업의 안전한 디지털 정보 보호 환경을 지원하는 대표 프로그램으로 모의 해킹, 개인정보 컴플라이언스 점검, 정보보호 교육 등 맞춤형 컨설팅을 무료로 제공한다. 특히 전 세계적으로 정보보호의 중요성이 점차 높아지는 가운데 지난해부터 한국인터넷진흥원(KISA)과 파인더갭이 함께 참여하는 ‘화이트햇 투게더’를 추진하며 고도화했다. 22일 CJ올리브네트웍스에 따르면 올해는 지원 규모를 확대하고 프로그램 다양화로 더 많은 기업이 혜택을 받을 수 있도록 했다. 지원 대상을 중견기업까지 포함하고, 프로그램 총예산도 5억원으로 전년 대비 3배가량 늘렸다. 현재 24개의 중소·중견 기업이 ▲버그바운티 참여 ▲정보보호 컨설팅 ▲컨설팅 및 솔루션 제공 등 니즈에 따른 선택을 통해 정보보호 역량을 키워가고 있다. CJ올리브네트웍스 CJ정보보호센터는 디지털 시대에 정보보호의 중요성이 점차 강조되고 있는 흐름에 맞춰 지난 30여년간 CJ그룹 정보보호를 담당하고 있으며, 다년간 쌓아온 역량과 화이트햇 투게더 활동을 통한 경험을 기반으로 대외 사업에도 적극 나서고 있다. 모의해킹이나 웹∙모바일 취약점 점검, 개인정보 컴플라이언스 컨설팅 등을 제공해 고객사의 보안 위협 요소를 사전에 진단하고 조치할 수 있도록 해 고객의 서비스가 외부 환경에서 보다 안전하게 운영될 수 있도록 지원한다는 계획이다. 또한 CJ올리브네트웍스는 IT 서비스기업으로 현대 사회의 문제에 공감하여 ESG 전략과제로 ‘디지털 접근성과 리터러시 향상’을 선정, 지난해부터 시니어 디지털 리터러시 교육 프로그램을 운영해 디지털 격차 해소에 기여하고 있다. 시니어 디지털 리터러시 교육은 크게 ▲스마트폰 교육 ▲키오스크 교육 ▲키오스크 현장실습 등 3개 과정으로 실생활에서 바로 활용할 수 있도록 구성했다. 총 8곳의 노인사회복지관과 협력해 400여명의 어르신께 1대1 맞춤형 교육을 제공했다. 마지막 수업에는 CJ올리브네트웍스 임직원들과 어르신이 함께 패스트푸드점, 카페, 영화관 등에 방문해 매장 내 키오스크를 직접 사용해 보는 시간을 갖기도 했다. 이외에도 코로나19 엔데믹 전환에 따라 한강 플로깅(걸으면서 쓰레기를 줍는 활동) 캠페인, 반려동물보호소 동물 돌봄 등 다양한 임직원 봉사활동에도 적극 참여해 사회공헌 활동을 펼치고 있다.

방송통신위원회가 개인정보 유출 사고와 관련해 기술적 보호 조치가 부실하다며 KT에 부과한 과징금 7000만원이 취소됐다. 대법원 3부(주심 안철상 대법관)는 KT가 방송통신위를 상대로 낸 과징금 부과처분 취소 소송 상고심에서 원고 승소로 판결한 원심을 확정했다고 13일 밝혔다. 방통위는 2014년 6월 KT가 개인정보 유출 사고와 관련해 기술적·관리적 보호 조치를 제대로 하지 않았다며 7000만원의 과징금을 부과했다. 2013년 8월부터 6개월간 KT 홈페이지 해킹으로 가입자 개인정보 1170만여건이 유출되는 사고가 발생했는데, KT가 이에 관한 적절한 조치를 하지 않았다는 이유에서다. KT는 이에 불복해 소송을 냈다. 1·2심은 KT가 외부 보안전문가를 통해 모의해킹을 수시로 수행하는 등 현실적인 조처를 했다며 KT의 손을 들어줬다. 방통위 측은 상고했지만, 대법원은 이를 기각했다.

최근 재택근무는 기업들의 일하는 장소를 변화 시켰다. MZ 세대부터 임원진까지 디지털 업무 소통이 일상화되면서 국내 기업들은 최적화된 ‘디지털 워크플레이스’ 구축을 목표로 업무용 협업툴 도입을 본격화했다. 이에 따라 국내 협업 SW 시장은 어느때보다 뜨거운 경쟁이 시작됐다. 글로벌 솔루션의 대표 주자인 ‘슬랙’, ’MS팀즈’를 비롯해 국내는 네이버의 ‘라인웍스’, 카카오 ‘카카오워크’ 마드라스체크의 ’플로우’ 등이 경합을 벌이고 있다. 국·내외 IT 공룡 기업들과의 경쟁 속 대한민국 토종 스타트업이 만든 플로우(flow)는 차별화된 제품력으로 주요 대기업들의 앞다퉈 도입하고있고 회사 측은 전했다. 플로우는 국내 최초 업무관리, 메신저, 화상회의 연동을 한곳에 담은 올인원 협업툴이다. 주요 고객사는 △현대모비스 △현대엔지니어링 △BFG리테일 △중앙일보그룹 △KT △포스코 등의 대기업은 물론 다양한 규모와 업종의 20만여 개의 기업에서 플로우를 사용중이다. 플로우는 국내 유일 △사내서버설치형(On-Premise)형 △클라우드(SaaS)형 △고객사 맞춤 클라우드 호스팅형3가지 형태의 서비스를 지원하는 협업툴이다. 사내 시스템 연동 및 맞춤 보안 정책 적용 등 고객사 요건에 따라 커스터마이징에 유연하기 때문에 비즈니스 별 최적화된 스마트워크 환경을 구축하고자 하는 기업에게 큰 호응을 얻고 있다. 최근에는 SAP ERP 연동에 대한 고객의 요구가 늘어남에 따라 SAP코리아와 협력을 맺어 레거시 시스템과의 연동의 속도를 내고 있다. 플로우는 코로나19 사태가 확산되기 시작한 2020년 1월 이후 규모와 업종을 막론하고 다양한 기업들의 신규 도입 문의가 폭증하였고 그 해 △현대모비스 △BGF리테일 △S-OIL △이랜드 리테일 등에서 플로우를 전사로 도입하는 굵직한 도입 사례를 만들었다. 이지훈 현대모비스 기업문화팀 팀장은, “코로나19 사태로 재택근무 제도가 확대되고, 비대면 소통이 중요해지는 이 상황에서 플로우는 소통의 갈증을 해소해 주는 단비 같은 협업툴”이라며 “현대모비스의 업무 생산성 향상에 큰 도움이 되고 있다”라고 말했다. 규모가 큰 중견·대기업에서 전사적으로 플로우를 도입을 할 경우 평균적으로 한 기업당 3,000~5,000명에서 많게는 1만명까지 유료로 사용하게 된다. 이에 따라 플로우는 2020년, 2019년도에 비해 420% 매출이 증가했고, 사용자는 300% 이상 증가했다고 밝혔다 올해 플로우는 금융권 도입 확산을 원년으로 삼아 KB캐피탈, 대구은행, IBK자산운용 등 제1금융권 금융기관의 도입 사례를 확대했다. 보안 요건이 철저하여 협업툴 도입이 까다로운 금융권의 망 분리 이슈에 대응하기 위해 금융사 내부망 설치를 지원하며 보안부서가 요구하는 모의해킹, 취약점 점검 등을 수행하는 과정에서 대응 개발도 철저하게 진행하고 있다고 밝혔다. 최근 몇몇 글로벌 화상회의 솔루션에서 보안에 대한 취약점이 발견되어 이슈가 되고 있어 고객사들이 보안에 특히 민감한 상황이다. 때문에 무엇보다 서비스 보안에 대해 심각하게 여기고 집중적으로 강화하고 있다고 밝혔다. 플로우의 대표적인 보안 기능으로 데이터 암호화, 파일 다운/캡처 기록 로깅, 캡처 방지, 2 Factor 인증 등이 가능하다. 채팅 메시지를 서버에 저장하지 않기 위해서 일정 시간이 지나면 자동으로 삭제되도록 설정 가능한 기능도 특별한 보안 기능 중 하나다.플로우는 한국을 넘어 글로벌 시장을 바라보고 있다. 대한민국 B2B 소프트웨어가 해외에서도 가능성이 있다는 것을 증명하기 위해 코로나 펜데믹 상황에서도 해외 진출을 올해 중요한 과제로 삼고 있다. 플로우는 미국 진출을 첫 시작으로 일본, 중국, 아시아, 유럽 등 전 세계적으로 도약하여 대한민국 SW 기술력의 위상을 높일 예정이다. 마드라스체크 이학준 대표는 “2021년 하반기까지 국내 중견/대기업 50개 이상이 플로우 공급 계약을 앞두고 있다”며 “플로우는 한국에서 단연코 가장 많은 협업툴 구축 경험을 가지고 있다고 자부한다. 한국에서의 노하우를 바탕으로 전 세계에서 가장 독보적인 협업툴을 선보일 예정이다“고 밝혔다. 이어서 “코로나19 팬데믹으로 많은 대한민국 기업과 국민이 어려움을 겪고 있다. 이럴 때 일수록 국가 발전에 기여하고자 IT 강국 대한민국의 작은 스타트업이 전 세계적으로 큰 꿈을 이루는 모습을 반드시 보여주고 싶다”강조했다.

오렌지라이프의 웹사이트가 고객 편의 관점에서 우수성을 인정받아 ‘웹어워드코리아 2018 금융부문 통합대상’ 영예를 안았다고 13일 밝혔다. 오렌지라이프 웹사이트는 새로운 브랜드 아이덴티티를 고객에게 효과적으로 전달하고, 모바일에 최적화된 서비스를 제공하는 등 사용자 편의 관점에서 그 우수성을 인정 받았다. 웹어워드코리아는 한 해 동안 새롭게 구축되거나 리뉴얼된 웹사이트를 국내 웹 전문가 3천 명이 평가해 가장 혁신적이고 우수한 웹사이트를 선정하는 국내 최고 권위의 우수 웹사이트 시상식이다. 오렌지라이프 웹사이트는 △콘텐츠 △디자인 △편의 개선 등에서 높은 점수를 받아 올해의 금융부문 통합대상에 선정됐다. 오렌지라이프 웹사이트는 외관부터 내부 기능에 이르기까지 모두 고객 관점에서 설계됐다. 디자인 전면에 ‘우리의 이름이 당신의 삶이 되도록’이란 브랜드 슬로건을 배치해 고객을 최우선으로 생각하는 회사의 강한 의지를 담아냈다. 또한 유용한 보험지식을 제공하는 ‘오렌지 시그널’, 원하는 상품을 바로 찾고 상담신청까지 할 수 있는 ‘내게 맞는 보험 찾기’, ‘보험료 계산 SNS 연동 기능’ 등을 신설해 고객이 필요한 콘텐츠를 손쉽게 이용할 수 있도록 했다. Non-ActiveX 시스템으로 사용 편의를 제고한 것도 특징이다. ActiveX 등 별도 프로그램 설치 없이 사이버센터의 모든 서비스를 이용할 수 있도록 해 웹사이트 접근성과 사용자 편의를 한층 강화했다. 또한 별도로 모의해킹을 수행해 웹사이트 보안성을 철저히 검증하는 등 변경된 서비스에 대한 사용자 불안을 해소하는 데에도 만전을 기했다. 온라인뉴스부 iseoul@seoul.co.kr

세계적인 IT 기업 구글이 보안 강화를 위해 모의 해킹 실험을 한 결과 매주 로그인 정보 25만여건을 빼낼 수 있었다는 충격적인 결과를 발표했다.미국 CNN테크 보도에 따르면 구글은 자사 연구원들이 지난해 3월부터 올해 5월까지 해커들이 구글 계정을 해킹해 개인정보를 훔치는지를 분석한 연구결과를 9일(현지시간) 발표했다. 구글 연구팀은 캘리포니아 버클리대(UC버클리) 연구팀과 함께 해킹수단 2만 5000가지를 이용해 구글 계정에 침투하는 가상실험을 했다. 그 결과 데이터 유출로 해커들이 가장 쉽게 데이터에 접근하는 것으로 나타났으며 이 방법으로 1년 동안 아이디와 비밀번호 19만개를 탈취했다. 해커들은 데이터 유출이라는 방식보다 지인을 가장해 정보를 탈취하는 피싱이나 악성코드를 이용해 키보드로 입력된 정보를 빼내는 키로깅 방식으로 해킹을 시도한 결과 피싱으로 정보를 탈취당할 가능성이 큰 고객은 1240만명, 키로깅으로 정보를 탈취당할 가능성이 있는 고객은 78만 8000명에 달하는 것으로 밝혀졌다. 특히 피싱과 키로깅을 이용해 매주 로그인 기록 24만 9766건을 훔쳐낼 수 있었다고 밝혔다. 구글은 해커들이 비밀번호만으로 계정에 접근하는 것이 어려워지면 로그인 정보를 훔치는 동시에 위치, 전화번호 등 민감한 정보도 함께 수집하고 있다고 밝혔다. 구글 보안연구팀 관계자는 “이번 연구는 해커들이 어떻게 정보를 훔치는지를 장기간, 포괄적으로 연구한 첫 연구로 고객들에게 더 나은 계정 보안을 제공하기 위한 것”이라며 “해커들이 접근할 수 있는 개인정보의 범위가 얼마나 되는지 확인한 것도 흥미로운 점 중 하나”였다고 말했다. 온라인뉴스부 iseoul@seoul.co.kr

[서울신문NTN 김수연 기자] 안철수연구소는 최근 우리금융정보시스템(이하 우리FIS)과 우리은행의 ISO27001 인증 컨설팅을 수주했으며, 카드사의 컨설팅도 성공적으로 완료했다고 12일 밝혔다. 우리금융그룹내 IT서비스를 제공하고 있는 우리FIS는 ISO27001 인증을 획득한 바 있으며 오는 11월에는 은행권 전산 부문 최초로 전사 정보보호와 우리은행의 IT자산의 정보보호 분야에 대한 인증 컨설팅을 발주할 예정이다. 연구소 측은 우리FIS에서 범위를 확대한 ISO27001 인증을 획득한다는 것은 전사적으로 세계 최고 수준의 정보보호 관리체계를 보유하게 된다는 것을 의미한다고 설명했다. ISO27001은 국제규격의 정보보안에 관한 관리체계 인증으로 기업의 중요 정보나 고객 정보의 유출을 예방하는 정보보호 관리체계를 체계적이고도 효과적으로 구축 및 운영하는 기업만 받을 수 있다. ISO27001인증을 받으려면 정보보호 정책, 물리적 보안, 정보 접근 통제 등 정보보안 관련 11개 영역, 133개 항목에 대한 엄격한 심사와 검증을 통과해야 한다. 안철수연구소는 보안 위협 관리를 정형화하는 등 우리은행, 우리금융의 차세대 시스템에 대한 보안 수준이 국제 기준 이상으로 철저하게 관리될 수 있도록 정보보안 컨설팅을 담당했다. 안철수연구소 방인구 서비스사업본부장 상무는 “금융권에서 ISO27001 인증 획득에 관심이 집중되는 것은 금융기관의 정보보호 관리체계는 물론 전사적인 보안 마인드가 세계 최고 수준이라는 점에서 의미가 크다.”며 “안철수연구소는 독보적인 전문성으로 최고의 컨설팅을 제공하겠다.”고 말했다. 한편 안철수연구소는 정부 지정 정보보호컨설팅전문업체로서 최신 보안 정보를 바탕으로 개인정보보호 컨설팅, 정보보호안전진단 컨설팅, 모의해킹 컨설팅 등 총 13개의 서비스를 제공한다. 김수연 기자 newsyouth@seoulntn.com

국내 최고의 해커 및 보안전문가들은 10일 최근의 분산서비스 거부(DDos 디도스) 해킹사태와 관련, 이번 사태는 시작에 불과하며 앞으로 KT, SK브로드밴드 등 DNS(도메인네임시스템·사용자가 입력한 홈페이지 주소를 IP로 바꿔 접속이 가능하도록 하는 역할) 서버를 운영하는 업체들이 해킹의 주요 타깃이 될 가능성이 있다고 경고했다. 또 해커들의 공격을 받은 업체가 서버를 재부팅하는 과정에 생기는 보안 공백을 활용해 해커들이 다시 공격할 가능성이 크며, 이 때 정보의 대량유출이 우려된다고 지적했다. 국내 인터넷 인프라가 세계 최고 수준인 만큼 앞으로 전세계 해커들의 집중적인 공격대상이 될 수 있다는 우려도 내놓았다. 이와 관련, 정부 당국자도 해킹 공격이 일단 종료되긴 했지만, 또다른 변종 공격 가능성은 있다고 밝혔다. 한국정보보호진흥원 주최의 해킹방어대회에서 2년 연속 우승한 구사무엘(20)씨는 “정부는 디도스 사태로 인한 접속장애에 초점을 맞추고 있는데, 실제로는 공격으로 인한 보안 공백 문제가 더 심각하다.”면서 “공격을 받은 업체가 서버를 재부팅하거나 임시 서버로 옮기면서 방화벽이 다시 구축되는 과정에 보안환경이 취약해지는데, 해커들이 이 시점을 궁극적인 목표로 삼을 가능성이 높다.”고 경고했다. 이어 “(내가 공격자라고 가정하면) 다음 테러 대상은 KT, SK브로드밴드 등 DNS 서버를 운영하는 업체가 될 가능성이 높으며, 이 경우 인터넷을 이용하는 모든 PC에서 접속불능 사태가 벌어질 수도 있다.”고 경고했다. 네이버카페 ‘디도스공격 방어전문가 및 피해자 모임’을 운영하고 있는 나노아이티 박상수(36) 이사는 “비정상적인 컴퓨터가 인터넷에 접속할 수 없도록 말단 PC부터 트래픽 감지 장치를 설치해야 한다.”고 말했다. 이어 “보안업체가 높은 수준의 백신 소프트웨어와 방화벽을 만들어도 트래픽 숫자만 늘리면 해킹이 가능하다.”고 주장했다. 10년 간 공공기관과 대기업 등을 대상으로 모의해킹을 실시해온 이지스원 시큐리티 김태일(34) 팀장은 “이번 사태가 모방범죄로 이어질 경우 상황은 여기서 끝나지 않을 것”이라면서 “2007년 에스토니아에서 사이버테러 때문에 국가 주요전산망이 3주 간 정지되는 일이 있었는데, 한국의 경우 IT인프라가 넓어 같은 사건에서도 피해가 훨씬 클 수 있다.”고 예방책 마련을 촉구했다. 한편 나흘째를 맞은 디도스 공격은 이날 오후 6시쯤 사실상 종료됐다. 정부 관계자는 “6시쯤부터 시작된 3차 디도스 공격이 종료단계에 들어갔다.”면서 “그러나 완전히 끝난 것은 아니며, 언제 어떤 형태로 나타날지 모른다.”고 말했다. 악성코드 때문에 하드디스크가 손상된 것으로 추정되는 PC 고장신고는 이날 오후 10시 현재 370건이다. 이창구 박건형기자 kitsch@seoul.co.kr