블랙박스 사회/프랭크 파스콸레 지음/이시은 옮김/안티고네/344쪽/1만 6000원 미국의 유통업체 ‘타겟’은 2012년 한 고객으로부터 거친 항의를 받았다. 타겟이 그의 10대 딸에게 출산용품 카탈로그를 보냈기 때문이다. 하지만 얼마 후 그 고객은 타겟에 사과해야 했다. 실제로 그의 딸이 임신 중이었던 것으로 드러났기 때문이다. 부모도 알지 못했던 딸의 임신 사실을 기업이 어떻게 알 수 있었을까. 비결은 빅데이터를 분석한 ‘소비자 프로파일링’에 있다. 타겟은 자사의 ‘산모 데이터베이스’에 등록된 산모들과 일반 소비자들 간의 구매 정보를 비교 분석했다. 산모들은 첫 20주 동안 ‘칼슘, 마그네슘, 아연 같은 영양보충제’를, 임신 기간 중에는 무향 비누 등이 공통적으로 구매했다. 만약 애틀랜타에 사는 23세 여성이 3월에 코코아 버터 로션과 대형 손가방, 아연과 마그네슘 보충제를 구입했다면 타겟은 그녀가 임신 중이며, 8월 말에 출산 예정일 확률이 87%라고 추정했다. 이후 타겟은 2014년 1월 1억 1000만명의 데이터를 해킹당하는 최악의 사고를 냈다. 현대사회에서 개인정보와 프라이버시가 더이상 지켜질 수 없다는 건 이제 상식 아닌 상식이 됐다. “완벽한 검색엔진이란 신의 마음과도 같아질 것”이라는 구글 공동창업자 세르게이 브린의 말도 현실이 되고 있다. 쇼핑 취향뿐 아니라 의료, 금융 등 수많은 정보들을 분석하는 빅데이터 기술이 발전하면서 기업들이 앞다퉈 고객 정보를 수집·추적하는 이른바 ‘블랙박스 시스템’을 구축하고 있기 때문이다. 신간 ‘블랙박스 사회’의 저자 프랭크 파스콸레 미 메릴랜드대 교수는 지난 10여년간 우리가 인터넷과 스마트폰, 신용카드 결제를 통해 매일 생산하는 정보들이 어떻게 수집·관리되는지를 수많은 사례들을 통해 생생히 전달한다. 저자는 오늘날 모든 데이터는 블랙박스 시스템으로 작동하고 있다고 지적한다. 인풋과 아웃풋은 확인되지만, 인풋이 어떻게 아웃풋으로 바뀌는지 알 수 없는 불가사의한 ‘알고리즘 시스템’이다. 정보통신(ICT) 기술은 수익 창출을 위해 각종 알고리즘을 개발하고, 정보수집에 점점 열을 올리면서도 이를 통제하려는 규제에는 저항하는 태도로 이 같은 시스템을 구축해왔다. 블랙박스 시스템은 사람들의 ‘평판’을 만든다. 우리가 매일 검색엔진과 온라인 쇼핑몰을 이용하며 제공하는 정보들을 분석하는 알고리즘에 의해서다. 부부 간 문제로 상담을 알아봤다면 이혼 가능성, 이후 닥칠지 모르는 경제적 어려움에 대한 신호를 신용카드 회사에 보내는 식이다. 일반인은 어떻게 산정되는지조차 알 수 없는 은행의 개인 신용등급도 마찬가지다. “블랙박스 사회는 정보가 독점되고 비밀로 유지되어야만 유용하다는 신념하에 돌아가고 있다. 즉, 블랙박스 사회에서 테러리스트들은 위험하므로 감춰져야 한다. 병자들은 의료비가 많이 들기 때문에 감춰져야 한다. 정체불명의 알고리즘에게 우리는 잠재적인 테러리스트나 병자일 수 있다. 따라서 우리 역시 감춰져야 한다.”(94~95쪽) 저자의 이 같은 지적은 블랙박스 시스템이 어떻게 편견과 차별을 낳는지를 보여준다. 알고리즘에는 특정 계층을 불리하게 취급하는 논리적 장치가 숨어 있고, 자칫 엉뚱한 분석은 평생 주홍글씨 같은 낙인으로 찍혀 개인이 바로잡기도 어려워진다. 검색엔진도 결코 공짜가 아니다. 오히려 수익 극대화라는 본래 목적을 위해 검색 순위에 개입하고 데이터를 조작하기도 한다. “우리는 서비스를 사용하는 대가로 마케팅의 원료인 자신의 데이터와 관심을 지불했다”고 저자는 지적한다. 검색이 객관적이라는 생각도 오산이다. 검색창의 자동완성 기능이나 검색어를 입력했을 때 종종 뜨는 ‘○○○로 검색하시겠습니까’라는 제안은 검색엔진의 알고리즘이 이미 사용자에 대한 관심사를 알고 있다는 점을 뜻한다. 각 사용자에 대한 주관적 판단이 작용하고 있는 셈이다. 이 같은 블랙박스 시스템에 어떻게 대항할 수 있을까. 저자는 공적 영역을 강화하고, 기술을 개방적으로 사용해야 한다는 점을 지적한다. 블랙박스 시스템의 기능 자체가 공공의 영역에서 시작된 것이기 때문이다. 저자는 검색엔진을 감독할 ‘연방검색위원회’ 신설도 함께 제안했다. 안동환 기자 ipsofacto@seoul.co.kr

이미지, 비디오 및 스트리밍 등 인터넷의 이용 패턴 변화와 더불어 고용량 콘텐츠와 트래픽, 데이터에 대한 소비가 증가하고 있다. 일상 생활에서 온라인이 차지하는 비중이 높아짐에 따라 IT산업의 기초 인프라도 함께 진화가 필요한 상황이다. 이런 인프라의 변화의 중심에는 데이터를 저장하고 유통하는 IT설비, 즉 ‘데이터센터’가 있다 할 수 있으며 그 역할은 점점 더 중요해지고 있다. 기존 운영되고 있는 다수의 데이터센터는 90년대 후반~2000년도 초반을 기준으로 텍스트 및 이미지 중심의 저용량 컨텐츠를 유통하는 것에 적합하게 설계되었다. 하지만 현재의 대다수 컨텐츠는 동영상 등 고용량 컨텐츠, 실시간으로 움직이는 전자상거래 트래픽등 과거와는 비교할 수 없는 역동적이고 민감한 데이터들이 유통되고 있다. 이러한 데이터 유통 및 저장의 핵심 역할을 수행하는 데이터센터를 선정하는 기준은 까다로워야할 것이다. 차세대에 적합한 데이터센터 선정 시에 고려해야 할 요소들은 무엇이 있을까? 우선, 안정성을 기반으로한 가용성 및 확장성이다. 데이터센터는 서버랙을 수용하는 전산실 상면과 서버장비에 공급하는 무정전 전력이 핵심이다. 특히 비용절감을 위해 데이터센터의 고집적화가 진행됨에 따라 서버 가용전력이 충분히 확보가 되어 있는지가 중요한 요소가 되었다. 국내의 경우 2000년 초 중반에 구축된 센터는 랙당 2~3kW 수준이나 현 시점에서 센터를 선정한다면 최소 4kW/랙 이상의 설비용량을 갖춘 데이터센터를 찾아보는 것이 좋다. 서버장비는 기술발전에 따라 부피는 감소하지만 컴퓨팅 성능은 증가되고 있다. 결국 전산실내 단위 면적당 전력을 더 많이 소모하게 되므로 가능한 전력용량을 보유하고 있는 데이터센터가 미래의 확장성을 보장받을 수 있게 된다. 한 번 데이터센터를 선정하면 옮기기 어렵기 때문에 중장기적 관점에서도 확장성을 고려한 데이터센터 선정이 중요하다. 데이터센터의 가용성은 전산실내 서버장비를 지원하기 위한 인프라설비가 어떻게 구성되어 있는가를 평가하는 것이다. 물리적인 인프라측면에서 구분하자면 전원공급을 위한 전력설비와 전산실 냉방을 위한 냉방설비로 구분할 수 있다. 데이터센터는 한번 가동에 들어가면 센터 수명이 다할때까지 24*365일 운영되어야 하는 특징이 있으며, 건축수명이 50년이라 가정하면 건물 내 인프라 설비는 적어도 2~3번은 교체되어야 한다. 데이터센터를 선정하는 지금 당장은 아니라도 향후 주요 인프라 교체 시점이 오게되면 입주한 센터를 근간으로 하는 입주고객의 IT 서비스는 장애 위험성에 노출될 수 밖에 없다. 이러한 측면에서 입주 전 물리적 인프라에 대한 가용성 평가가 이루어져야 한다. 가용성 평가는 1차적으로는 제안서 상의 데이터센터 인프라 구성 개요 확인 그리고 이를 바탕으로 센터 방문 실사를 통해 확인 할 수 있다. 물리적인 안전성과 보안성 또한 염두해야 된다. 개인정보나 생체정보, 금융 정보 등이 IT에 상당부분 의존하고 있으므로 물리적 보안사고나 해킹 위협 등에 대비해야 한다. 특히, 홍수, 지진, 화재 등 예기치 못한 자연재해에 대해서도 물리적 안전성이 보장된 데이터센터를 선정하는 것이 필수다. 데이터센터 이용료는 랙비용과 전력비용으로 구성되며 랙 전력밀도가 높아질수록 전력비 비중이 높아지게 된다. 결국 동일센터라도 얼마나 에너지효율이 좋은가에 따라 전력비가 달라지게 되므로 비용절감을 위해 에너지효율성도 살펴봐야한다. 에너지효율은 서버에서 발생하는 열을 얼마나 효율적으로 처리하고 있는에 따라 센터간 차이가 발생하는데 이를 비교하기 위해 PUE라는 지표가 도입되었으며 사실상 전세계 업계의 대표적인 에너지효율지표로 활용되고 있다. 보통 국내기준 기존 일반 상업용 데이터센터에서 1.7 정도의 PUE지수일 때 고효율 센터로 간주되고 있다. (PUE란, 데이터센터가 전력을 얼마나 효율적으로 사용하는지를 나타내는 지표이며, 낮을수록 효율이 좋은 것으로 판단한다.) 그러나 지난 몇년간 에너지비용이 증가하면서 데이터센터의 에너지효율성에 관심이 증대되었고 효율적인 설계, 적극적 프리쿨링 설비 도입등으로 최근 PUE 1.4 수준의 상업용 데이터센터가 구축되었다. 문제는 이러한 조건을 두루 갖춘 데이터센터를 국내에서 찾기는 쉽지 않다는 데에 있다. ’15년 하반기 오픈한 LG유플러스의 평촌메가센터와 금년 하반기 오픈 예정인 신규 데이터센터 등 몇몇에 국한 될 것으로 보인다. 당장은 평촌메가센터가 아시아 최대 규모, 세계 최대 전력용량 확보, 자체 냉방효율 특허를 보유하는 등 글로벌 경쟁력을 갖추고 있어 국내 IT업계의 위안이 되고 있다. 향후 이러한 미래형 데이터센터로의 진화가 가속화되어 IT업계가 보다 안정적으로 사업을 수행할 수 있는 환경이 조성될 수 있기를 기대해 본다. 온라인뉴스부 iseoul@seoul.co.kr

북한 해킹조직이 국내 금융 정보 보안업체를 해킹해 전자인증서를 탈취하는 수법으로 국세청과 서울시청 등 공공기관 PC에 악성 프로그램을 만들어 유포한 사실이 드러났다. 개인정보범죄 정부합동수사단(단장 손영배)은 북한 해킹조직이 보안업체 I사의 전자인증서를 탈취해 ‘코드서명’을 위조한 뒤 악성 프로그램을 만들어 유포한 것으로 확인됐다고 31일 밝혔다. 코드서명은 컴퓨터에 프로그램을 설치하기 전에 해당 프로그램이 신뢰할 수 있다는 점을 확인하는 수단이다. 올해 2월 한 백신업체가 I사 코드서명이 탑재된 악성 프로그램을 발견한 것을 계기로 수사를 진행한 합수단은 관련 자료 분석과 관계자 조사 등으로 유포 경로를 확인했다. 수사 결과 북한 해킹조직은 지난해 11월쯤 I사의 전산 서버를 해킹하고 내부 자료를 빼낼 수 있는 악성 프로그램을 설치한 것으로 밝혀졌다. 김양진 기자 ky0295@seoul.co.kr

　양지에서는 베테랑 웹 프로그래머, 음지에서는 해커로 활동한 30대 남성이 검거됐다. 　서울 도봉경찰서는 24일 개인정보보호법 위반 및 도박장소 개설 혐의로 웹 프로그래머 유모(33)씨를 불구속 입건했다고 밝혔다. 　15년 경력의 프로그래머 유씨는 2014년 10월 자신이 직접 만든 A인터넷 쇼핑몰을 해킹해 회원 6만 5000명의 이름, 아이디, 전화번호, 생년월일, 성별, 이메일, 아이피 등 개인 정보를 빼내 B인터넷 쇼핑몰 관계자 송모(48)씨에 넘겼다. 　유씨의 법범 행위는 거기서 끝나지 않았다. C도서관 전산 관리자로 일하다가 지난해 3월 퇴사하면서 회원 1만 8000명의 이름, 주민등록번호, 주소, 전화번호 등을 유출했다. 또 2015년 2월부터 10월까지 약 90억원 규모의 불법 카지노 도박 사이트 ‘라이브 게임 MACAO CASINO’를 개발해 운영하기도 했다. 　경찰은 “유씨는 컴퓨터프로그램보호법 위반 등 관련 전과 5범이지만 프리랜서로 일하면서 신원 조회를 피한 것으로 보인다”면서 “유씨가 150개 국내 인터넷 쇼핑몰 사이트를 직접 개발한만큼 여죄가 있을 것으로 보고 수사를 확대할 계획”이라고 밝혔다. 　강신 기자 xin@seoul.co.kr 　

돈을 받고 디도스(DDoS·분산서비스거부공격) 공격을 대신해 주거나 ‘좀비 PC’나 해킹 프로그램을 판매한 고교생 6명이 경찰에 붙잡혔다. 부산경찰청 사이버안전과는 정보통신망 이용 촉진 및 정보보호 등에 관한 법률 위반 혐의로 김모(16)군 등 고등학생 6명을 불구속 입건했다고 7일 밝혔다. 또 이들 고등학생에게 돈을 주고 디도스 공격을 의뢰하거나 좀비 PC(공격자가 원격으로 제어하는 컴퓨터)를 사들여 다른 사람의 컴퓨터 통신망에 침입, 게임프리서버 등을 광고한 박모(41)씨 등 5명도 불구속 입건했다. 경찰은 김군 등이 지난 1월 10일부터 3개월 동안 성인게임물에 악성코드를 삽입해 웹하드 10곳에 유포하고 이 게임물을 내려받은 컴퓨터 6000여 대를 좀비 PC로 감염시켰다고 이날 밝혔다. 이어 유튜브, 정보공유사이트 등을 통해 ‘DDoS 대리, 좀비, 해킹 툴 판매’ 등의 광고 글을 올리고, 이를 보고 연락한 30명으로부터 시간당 7만원을 받고 좀비 PC를 이용해 불법 도박사이트, 유흥업소 사이트 등 35곳에 디도스 공격을 한 혐의를 받고 있다. 이들 중 일부는 해외에서 서비스 중인 디도스 공격 프로그램을 월 17만원에 임대해 좀비 PC 없이도 디도스 공격을 하기도 했다. 대당 100∼300원을 받고 좀비 PC 5580대를 팔아 백여만원을 받았다. 또 도박사이트 등을 해킹해 훔친 개인정보를 건당 30원을 받고 팔았다. 경찰은 이들이 갖고 있던 개인정보 220만 건을 압수했다. 경찰 관계자는 “웹하드 등에서 게임물 등을 내려받을 때는 먼저 악성 코드 감염 여부를 확인해야 하고, 좀비 PC는 백신 프로그램을 내려받아 실시간 탐지 기능을 실행하면 악성 코드를 탐지하거나 치료할 수 있다”고 말했다. 디도스는 좀비 PC를 이용해 서버가 처리할 수 있는 용량을 초과하는 정보를 한꺼번에 보내 서버를 다운시키는 것을 말한다. 부산 김정한 기자 jhkim@seoul.co.kr

돈을 받고 디도스(DDoS) 공격을 대신해주거나 ‘좀비 PC’나 해킹 프로그램을 판매한 고교생 6명이 경찰에 붙잡혔다. 부산경찰청 사이버안전과는 정보통신망 이용 촉진 및 정보보호 등에 관한 법률 위반 혐의로 김모(16)군 등 고등학생 6명을 불구속 입건했다고 7일 밝혔다. 또 이들 고등학생에게 돈을 주고 디도스 공격을 의뢰하거나 좀비 PC를 사들여 다른 사람의 컴퓨터 통신망에 침입, 게임프리서버 등을 광고한 박모(41)씨 등 5명도 불구속 입건했다. 경찰은 김군 등이 지난 1월 10일부터 3개월 동안 성인게임물에 악성코드를 삽입해 웹하드 10곳에 유포하고, 이 게임물을 내려받은 컴퓨터 6000여 대를 좀비PC로 감염시켰다고 이날 밝혔다. 이어 유튜브, 정보공유사이트 등을 통해 ‘DDoS 대리, 좀비, 해킹 툴 판매’ 등의 광고 글을 올리고, 이를 보고 연락한 30명으로부터 시간당 7만원을 받고 좀비PC를 이용해 불법 도박사이트, 유흥업소 사이트 등 35곳에 디도스 공격을 한 혐의를 받고 있다. 이들 중 일부는 해외에서 서비스 중인 디도스 공격 프로그램을 월 17만원에 임대해 좀비 PC 없이도 디도스 공격을 하기도 했다. 대당 100∼300원을 받고 좀비PC 5580대를 팔아 백여만원을 받았다. 또 도박사이트 등을 해킹해 훔친 개인정보를 건당 30원을 받고 팔았다. 경찰은 이들이 갖고 있던 개인정보 220만 건을 압수했다. 경찰 관계자는 “웹하드 등에서 게임물 등을 내려받을 때는 먼저 악성 코드 감염 여부를 확인해야 하고, 좀비 PC는 백신 프로그램을 내려받아 실시간 탐지기능을 실행하면 악성 코드를 탐지하거나 치료할 수 있다”고 말했다. 디도스(Distribute Denial of Service·분산서비스거부공격)는 좀비PC(공격자가 원격으로 제어하는 컴퓨터)를 이용해 서버가 처리할 수 있는 용량을 초과하는 정보를 한꺼번에 보내 서버를 다운시키는 것을 말한다. 부산 김정한 기자 jhkim@seoul.co.kr

해킹툴은 이미 온라인에서 쉽게 구입할 수 있는 물품이 됐다. 가격까지 점차 낮아지고, 친절한 개인 교습 프로그램까지 나오며 해킹의 편의성은 더욱 높아지게 됐다. 보호받을 수 있는 개인정보의 영역과 기업정보의 보안이 점점 취약해지고 있는 셈이다. 월스트리트저널(WSJ)은 6일 "G메일이나 야후 계정에서 개인 e-메일을 훔치는 해킹툴은 129달러면 구매할 수 있고 기업 e-메일 계정을 해킹할 수 있는 툴은 메일 박스당 500달러선에서 거래되고 있다"면서 "러시아 및 제3국 해커들을 중심으로 한 지하 해킹 시장이 갈수록 활성화되고 있다"고 컴퓨터 보안업체인 델시큐어웍스의 보고서 내용을 상세히 보도했다. 이 보고서는 지난 8개월간 수십 개의 지하 해킹 웹사이트에 대한 분석결과 컴퓨터 파괴 악성 소프트웨어(Malware) 가격이 사상 최저가로 떨어졌고, 이에 따라 타인의 정보를 훔치려는 사이버 범죄의 진입 장벽이 갈수록 낮아지고 있다고 밝혔다. 예컨대 원격 접속 트로이목마인 RAT(Remote Access Trojans)의 경우에는 단돈 5∼10달러면 살 수 있다. 또한 피싱 e-메일을 보내는 방법 등 해킹 개인교습도 20∼40달러면 받을 수 있다. 러시아 해킹 사이트들은 아예 '연중무휴 24시간 고객 서비스', '무료 시험 공격' 등의 광고까지 내보면서 마치 자신들을 신규 인터넷 벤처 사업인 것처럼 운영하고 있다. 그러나 여전히 이 지하 웹에서 가장 인기 있는 상품은 신용카드 번호, 은행계좌 번호, 여권 번호 등과 같은 명의도용에 관련된 것들이라면서 또 항공사 마일리지나 호텔 포인트 등을 훔치는 툴도 자주 거래되고 있다고 보고서는 전했다. 이들 포인트는 합법적인 웹사이트에서 기프트 카드로 거래되고 있다. 사진=포토리아 나우뉴스부 nownews@seoul.co.kr

정당한 경로로 연락처 수집 가능 출처 확인 땐 입수 경위 밝혀야 경남 거제에 사는 직장인 김모(27·여)씨는 7차례에 걸쳐 경기 성남의 국회의원 후보로부터 선거 문자메시지를 받았다. 자신과 상관없는 내용에 짜증이 난 그는 이 번호를 스마트폰에서 ‘스팸’으로 등록했다. 김씨는 3일 “가 본 적도 없는 곳에서 어떻게 내 전화번호를 알고 문자를 보냈는지, 개인정보가 유출된 게 아닌지 걱정된다”고 말했다. 4·13총선 후보자들이 휴대전화 단문 문자메시지(SMS)를 중요한 홍보 수단으로 활용하고 있는 가운데 많은 유권자들이 지역구가 잘못되거나 지나치게 잦은 수신 등으로 인한 불편을 호소하고 있다. 서울 성북구에 사는 유모(40)씨는 “반복되는 문자가 와 해당 후보 사무실에 전화를 걸어 ‘내 휴대전화 번호를 어떻게 알았느냐’고 물었더니 ‘지인에게 추천을 받았다’고 했다”며 “선거 사무실에 본인의 동의도 없이 연락처를 알려주는 게 이해가 안 된다”고 말했다. 후보자들은 후보의 지인이나 동창회 등을 통해 합법적으로 휴대전화 번호를 입수한다는 입장이다. 해킹 등으로 유출된 개인정보를 돈 주고 사는 일은 없다고들 말한다. 현행 개인정보보호법상 타인의 휴대전화 번호를 선거 사무실에 알려주는 것은 법 위반이 아니다. 하지만 유씨와 같이 SMS를 받은 사람이 후보 사무실에 휴대전화 번호의 입수 경위를 물으면 구체적인 답변은 해야 한다. 한국인터넷진흥원 관계자는 “출처가 된 사람의 이름이나 단체명을 정확히 밝히지 않고 ‘지인으로부터 받았다’는 등의 추상적인 답변만 하면 개인정보보호법 제20조를 위반하는 것”이라며 “후보 사무실에서 밝힌 출처가 지인이나 아는 단체가 아니라면 ‘118’로 신고해야 한다”고 말했다. 카카오톡 등으로 받는 선거 메시지에 대한 불평도 많다. SMS와 달리 사진이나 동영상이 첨부되는 경우가 많고 횟수도 SMS보다 많다. 카카오톡은 SMS가 아닌 소셜네트워크서비스(SNS) 메신저로 분류돼 선거 문자의 규정을 적용받지 않는다. 문자처럼 일방적으로 정보를 전송하는 것이 아니라 실시간으로 정보를 주고받는 성향이 강해 전자우편(이메일)이나 SNS와 더 유사하기 때문이다. SMS의 경우 한번에 20명 이상에게 동시에 보내면 불법이지만 SNS 메신저는 허위 사실이나 특정 후보를 비방하는 내용만 아니면 자유롭게 발신이 가능하다. 전송 횟수나 한번에 발신 가능한 수신자 수의 제한이 없다는 의미다. 또 SMS는 음성, 동영상, 화상 파일 등을 첨부할 수 없지만 SNS 메신저는 가능하다. 서울 동작구에 사는 최모(65)씨는 “잘 알지도 못하는 동호회 회원들이 ‘개인적으로 추천하고 싶다’며 지지 문자를 보내는 게 너무 귀찮다”고 전했다. 이런 경우는 개인적으로 발신 금지를 요청하는 수밖에 없다. 선거운동 기간에는 후보 이외의 사람도 개인적으로 문자를 보내 지지 운동을 할 수 있다. 김희리 기자 hitit@seoul.co.kr

국방부 PC 약 10대 1월말 해킹 군 당국 “군사기밀 유출은 안 돼” 국정원 “전산망 국민 피해 없어” 당정 “사이버테러방지법 처리해야” 북한이 최근 정부 주요 인사 수십명의 개인 스마트폰에 악성코드를 몰래 깔아 통화 내역, 문자메시지, 음성통화 내용 등을 탈취한 정황이 드러났다고 국가정보원이 8일 밝혔다. 북한은 인터넷뱅킹에 사용하는 국내 보안업체 전산망도 장악하는 등 국제사회의 대북 제재와 한·미연합훈련에 대응한 전방위적 사이버 테러를 준비한 것으로 분석된다. 국정원은 이날 최종일 3차장 주관으로 국무조정실, 미래창조과학부, 금융위원회 등 14개 부처 국장급이 참석한 가운데 열린 긴급 국가사이버안전 대책회의에서 이 같은 사실을 공개했다. 국정원에 따르면 북한은 지난달 우리 국민 2000만명이 사용하는 인터넷뱅킹 보안소프트웨어 제작업체 전산망을 장악했다. 국정원은 해당 업체에 대해 즉각 보안 조치를 실시해 국민 피해는 없었다고 밝혔지만, 북한은 금융 전산망 대량 파괴를 노렸고 일부 철도교통관제시스템에 침투해 혼란을 조성하려 했던 것으로 분석됐다. 무엇보다 북한은 지난달 말부터 이달 초 사이 정부 내 외교·안보 분야 주요 인사 수백명의 스마트폰을 공격해 이 가운데 20% 정도인 수십개에 악성코드를 심어 개인정보를 빼낸 것으로 분석된다. 이는 인터넷 파일 주소(URL)를 첨부한 문자메시지를 보낸 뒤 이를 클릭하도록 유인해 악성코드를 내려받게 하는 방식이다. 북한은 김관진 청와대 국가안보실장, 윤병세 외교부 장관, 홍용표 통일부 장관, 한민구 국방부 장관 등의 휴대전화도 노렸으나 이들은 아직 피해를 입지 않은 것으로 알려졌다. 현재 외교·안보 분야 장차관 및 일부 실·국장급 인사들은 업무용 휴대전화 이외에 1개 이상의 스마트폰을 별도로 사용하고 있다. 국정원 관계자는 “정부가 지급한 업무용 휴대전화에는 최소 3개 정도의 ‘보안 앱’이 탑재되어 있는 만큼 해킹된 전화는 대부분 개인용 스마트폰”이라고 말했다. 한편 국방부는 지난 1월 말에서 2월 초 국방부 청사의 컴퓨터도 10대가량 해킹당한 정황이 파악됐다고 밝혔다. 군 당국은 군사기밀이 유출되지는 않았지만 국방 관련 민간연구소 홈페이지에 접속한 컴퓨터가 악성코드에 전염됐던 것으로 파악하고 있다. 이에 따라 정부·여당은 사이버테러방지법 입법에 박차를 가하고 나섰다. 정연국 청와대 대변인은 “이번 국회에서 사이버테러방지법이 통과돼야 한다”고 말했다. 반면 더불어민주당 김성수 대변인은 “테러방지법만큼 국민 감시를 가능하게 하고 기본권을 침해할 것”이라며 반대 의사를 밝혔다. 문경근 기자 mk5227@seoul.co.kr 김민석 기자 shiho@seoul.co.kr

경찰청이 중국 공안부와 주요 기관 해킹 등 북한의 사이버테러에 공동 대응하는 내용의 양해각서(MOU) 체결을 추진한다. 남북 관계 경색 이후 북한의 사이버테러 위협이 고조되고 있는 데 따른 것이다. 경찰은 그동안 한국수력원자력 해킹 사건 등을 조사할 때 북한의 소행임을 확신하면서도 중국 측의 협조를 얻지 못해 결정적인 증거를 잡는 데 어려움을 겪어 왔다. 강신명 경찰청장은 23일 중국 베이징의 공안부를 방문, 멍훙웨이 부부장을 만나 양국 간 MOU 체결에 대해 협의한 것으로 확인됐다. 강 청장과 멍 부부장은 북한이 중국 내 인터넷 프로토콜(IP) 주소를 활용해 우리나라에 대한 사이버테러 등 도발을 하면 양국이 공동으로 수사팀을 구성하는 방안을 논의했다. 경찰청 사이버안전국과 중국 공안부 사이버안전보위국 간에 사이버수사 관련 핫라인을 구축하고, 사이버테러가 발생하면 신속하게 정보를 공유하는 내용에 대해서도 협의했다. 경찰청 관계자는 “최근 북한의 사이버테러 위협이 증대되면서 테러 예방 및 수사에서 중국과 실질적인 협조 관계를 맺는 것이 중요해졌다”며 “스미싱·피싱 등 한국인을 겨냥한 사이버범죄가 중국에서 대거 발생하고 있다는 점도 이번 MOU 체결의 주된 이유”라고 밝혔다. 이 관계자는 “두 나라가 긍정적으로 검토하기로 했기 때문에 연내에는 MOU가 체결될 것으로 보인다”고 말했다. 2014년 12월 한수원 해킹 당시 우리나라 검찰·경찰 등이 참여한 개인정보범죄합동수사단은 중국 공안부에 IP를 특정하기 위해 공조 수사를 요청했지만 1년이 넘은 지금까지도 답이 오지 않은 상태다. 경찰은 당시 북한의 해킹 조직이 랴오닝성 선양의 IP를 통해 접속했다는 사실은 밝혀냈지만, 구체적인 내용은 중국의 협조가 없어 확인하지 못했다. 이민영 기자 min@seoul.co.kr

IT 신생벤처기업 (주)지아이에스프로젝트가 엑티브엑스 및 각종보안프로그램이 없이도 인터넷뱅킹을 할 수 있는 ‘FASS Key 보안인증 솔루션’을 개발 완료 했다고 밝혔다. 회사 측에 따르면 ‘FASS Key’는 엑티브엑스를 사용하지 않고 단 한번의 QR코드 스캔으로 공인인증서, OTP를 대체할 금융보안인증솔루션이다. 미국 국방부 팬타곤의 고도의 보안기술 실현방식을 채택해 ‘FASS Key’ 앱을 스마트폰에 설치하고 보안서비스 등록을 하면 공인인증서나 스마트OTP와 동일한 용도로 사용이 가능하다. 각종 결제나 이체 시에는 보안QR코드를 스캔하고 지문인증을 하기 때문에 가장 안전한 금융이체와 결제가 가능하다는 것이 지아이에스프로젝트 측 설명이다. 지아이에스프로젝트 관계자는 “고도의 보안프로토콜 및 핵심 코어라이브러리를 순수하게 자체기술로 개발했다. 스마트폰을 이용하여 단 한번의 QR코드 스캔으로 인터넷뱅킹, 웹사이트의 보안로그인, 쇼핑몰결제, 각종 간편결제 등도 가능하다”면서 “해킹과 개인정보보호 기능 역시 크게 강화했다”고 강조했다. 이에 각종 엑티브엑스 설치과정과 인터넷사용에 익숙하지 못했던 노년층도 손쉽게 사용할 수 있고, 결제가 어려워 한국 쇼핑몰을 이용할 수 없었던 해외소비자들을 유치해 판매 증대효과도 기대할 수 있을 것이라고 덧붙였다. ‘FASS Key’ 개발에는 국내외 전문가들이 함께 했다는 점도 눈길을 끈다. 한국의 인터넷 인프라스트럭처의 근간이 된 KIDC의 설계자인 존밀번 FAST DDC 회장이 ‘FASS Key’ 연구소장을 맡았고 러시아의 중앙은행의 금융보안솔루션 개발자 블라디(Vladislav Matveev)는 보안 전분야의 프로토콜 및 솔루션을 개발했다. 우리나라 보안기술의 권위자인 고려대 이희조교수(IoT 소프트웨어보안 국제공동연구센터 센터장), KT 종합기술원장을 지냈던 정보통신대학원장 홍원기교수 등이 보안 및 인터넷기술 자문을 하고 있다. 지아이에스프로젝트의 최건 회장 역시 서버호스팅 서비스를 개발 및 공급했던 ‘주식회사 인터넷제국’의 설립자로 벤처 1세대 중 한사람이다. 최건 회장은 “FASS Key 보안인증앱은 한국뿐만 아니라 세계시장을 목표로 개발된 솔루션으로 130 여개국 언어로 개발 됐다. 글로벌시장 진출을 위하여 기존 해외투자사 FASS DDC와 함께 미화 3000달러, 한화로는 약 360억원에 이르는 펀딩을 진행 중이다. 4월 중에는 국내 대형 통신사와 연합해 상용화서비스를 개시하고 해외사업진출도 계획하고 있다”고 밝혔다. 온라인뉴스부 iseoul@seoul.co.kr

애플, 테러범 아이폰 잠금해제 거부… “대선 쟁점으로 부상” 대체 무슨 일?애플 테러범 아이폰 잠금해제 거부 미국 연방수사국(FBI)이 테러범의 아이폰을 들여다 볼 수 있또록 잠금장치를 해제하라는 법원의 명령을 애플이 ‘기업철학’을 들어 단호히 거부해 논란이 일고 있다. 특히 미국 대선의 공화당 주자들이 애플의 이같은 결정을 비판하면서 대선 쟁점으로까지 급부상할 조짐이 보이고 있다. 팀 쿡 애플 CEO는 17일(현지시간) ‘고객에게 드리는 메시지’를 통해 “미국 정부는 애플이 우리 고객의 보안을 위협하는 전에 없는 조처를 받아들이라고 요구해 왔다”면서 “우리는 이 명령에 반대한다”고 밝혔다. 쿡은 FBI의 요구를 수용하는 행위는 고객의 개인정보를 위협할 ‘위험한 선례’가 될 것이라고 경계했다. 앞서 로스앤젤레스 연방지법은 앞서 캘리포니아 샌버너디노에서 지난해 12월 발생한 무슬림 부부의 총기난사 사건과 관련, 애플에 FBI의 총기테러 수사를 위해 이들 테러범의 스마트폰 잠금해제를 위한 기술 지원을 명령했다.FBI는 14명을 살해한 이들 테러범 부부의 아이폰 교신 내용을 파악해 공범의 존재 여부나 극단주의 세력과의 연계성을 조사하려고 하지만, 잠금장치와 암호를 풀지 못해 수사의 어려움을 겪는 상태다.이와 관련, 쿡은 “FBI가 중요한 몇 가지 보안 특징을 피할 수 있는 새로운 운영 시스템을 만들어 용의자의 아이폰에 설치하기를 바라고 있다”면서 “정부는 애플이 우리 고객을 해킹으로부터 보호하기 위해 수십 년 동안 발전시켜온 보안을 해치려고 한다”고 말했다. 그러면서 “우리는 이번 법원 명령에 거부한다”며 “그 명령은 당면한 법률문제의 차원을 뛰어넘는 더 심각한 의미를 지니고 있다”고 강조했다. 쿡은 법원 명령을 거부하는 게 쉽지 않지만, 미국 정부의 도를 넘는 행태에 분명히 목소리를 내야 한다고 비판을 가하기도 했다. 이에 대해 공화당 대선 선두주자인 도널드 트럼프는 이날 폭스뉴스 인터뷰에서 “그 사람들은 도대체 자신들이 누구라고 생각하는 것이냐”고 비판하면서 “법원명령에 따라 애플은 잠금장치를 해제해야 한다”고 밝혔다.트럼프는 “법원명령에 100% 동의하며, 법원명령이 있으면 당연히 잠금장치를 해제해야 한다”면서 “결국 안보에 관한 것인데 우리는 잠금장치를 해제하고 또 (테러 방지를 위해) 머리를 써야 한다. 상식에 따라 행동해야 한다”고 강조했다.애플은 지난 2014년 9월부터 문자 메시지나 사진 등의 정보를 암호화했다. 기기가 잠겨 있으면 사용자가 설정한 비밀번호가 있어야만 자료에 접근할 수 있고, 설정에 따라 10번 이상 잘못된 비밀번호를 입력하면 기기의 모든 자료는 자동으로 삭제될 수 있다. 외신에 따르면 FBI는 샌버너디노 테러범인 사이드 파룩의 아이폰 비밀번호를 확인하려고 가능한 모든 값을 넣는 ‘무차별 대입 공격’(brute force attack)을 쓸 예정이다. 이를 위해 FBI는 무제한으로 비밀번호를 입력해도 자료가 삭제되지 않도록 해달라고 애플에 요청했다. 또 1만 개에 이르는 번호 조합을 일일이 손으로 입력하는 대신 빨리 처리하는 방법도 제공해달라고 요청했다. 온라인뉴스부 iseoul@seoul.co.kr

애플, 테러범 아이폰 잠금해제 거부… “고객 개인정보가 더 중요?“ 무슨 일?애플 테러범 아이폰 잠금해제 거부 미국 연방수사국(FBI)이 테러범의 아이폰을 들여다 볼 수 있또록 잠금장치를 해제하라는 법원의 명령을 애플이 ‘기업철학’을 들어 단호히 거부해 논란이 일고 있다. 특히 미국 대선의 공화당 주자들이 애플의 이같은 결정을 비판하면서 대선 쟁점으로까지 급부상할 조짐이 보이고 있다. 팀 쿡 애플 CEO는 17일(현지시간) ‘고객에게 드리는 메시지’를 통해 “미국 정부는 애플이 우리 고객의 보안을 위협하는 전에 없는 조처를 받아들이라고 요구해 왔다”면서 “우리는 이 명령에 반대한다”고 밝혔다. 쿡은 FBI의 요구를 수용하는 행위는 고객의 개인정보를 위협할 ‘위험한 선례’가 될 것이라고 경계했다. 앞서 로스앤젤레스 연방지법은 앞서 캘리포니아 샌버너디노에서 지난해 12월 발생한 무슬림 부부의 총기난사 사건과 관련, 애플에 FBI의 총기테러 수사를 위해 이들 테러범의 스마트폰 잠금해제를 위한 기술 지원을 명령했다.FBI는 14명을 살해한 이들 테러범 부부의 아이폰 교신 내용을 파악해 공범의 존재 여부나 극단주의 세력과의 연계성을 조사하려고 하지만, 잠금장치와 암호를 풀지 못해 수사의 어려움을 겪는 상태다.이와 관련, 쿡은 “FBI가 중요한 몇 가지 보안 특징을 피할 수 있는 새로운 운영 시스템을 만들어 용의자의 아이폰에 설치하기를 바라고 있다”면서 “정부는 애플이 우리 고객을 해킹으로부터 보호하기 위해 수십 년 동안 발전시켜온 보안을 해치려고 한다”고 말했다. 그러면서 “우리는 이번 법원 명령에 거부한다”며 “그 명령은 당면한 법률문제의 차원을 뛰어넘는 더 심각한 의미를 지니고 있다”고 강조했다. 쿡은 법원 명령을 거부하는 게 쉽지 않지만, 미국 정부의 도를 넘는 행태에 분명히 목소리를 내야 한다고 비판을 가하기도 했다. 이에 대해 공화당 대선 선두주자인 도널드 트럼프는 이날 폭스뉴스 인터뷰에서 “그 사람들은 도대체 자신들이 누구라고 생각하는 것이냐”고 비판하면서 “법원명령에 따라 애플은 잠금장치를 해제해야 한다”고 밝혔다.트럼프는 “법원명령에 100% 동의하며, 법원명령이 있으면 당연히 잠금장치를 해제해야 한다”면서 “결국 안보에 관한 것인데 우리는 잠금장치를 해제하고 또 (테러 방지를 위해) 머리를 써야 한다. 상식에 따라 행동해야 한다”고 강조했다.애플은 지난 2014년 9월부터 문자 메시지나 사진 등의 정보를 암호화했다. 기기가 잠겨 있으면 사용자가 설정한 비밀번호가 있어야만 자료에 접근할 수 있고, 설정에 따라 10번 이상 잘못된 비밀번호를 입력하면 기기의 모든 자료는 자동으로 삭제될 수 있다. 외신에 따르면 FBI는 샌버너디노 테러범인 사이드 파룩의 아이폰 비밀번호를 확인하려고 가능한 모든 값을 넣는 ‘무차별 대입 공격’(brute force attack)을 쓸 예정이다. 이를 위해 FBI는 무제한으로 비밀번호를 입력해도 자료가 삭제되지 않도록 해달라고 애플에 요청했다. 또 1만 개에 이르는 번호 조합을 일일이 손으로 입력하는 대신 빨리 처리하는 방법도 제공해달라고 요청했다. 온라인뉴스부 iseoul@seoul.co.kr

애플, 테러범 아이폰 잠금해제 거부… “고객 개인정보 보호” 대선 쟁점까지 부상애플 테러범 아이폰 잠금해제 거부 미국 연방수사국(FBI)이 테러범의 아이폰을 들여다 볼 수 있또록 잠금장치를 해제하라는 법원의 명령을 애플이 ‘기업철학’을 들어 단호히 거부해 논란이 일고 있다. 특히 미국 대선의 공화당 주자들이 애플의 이같은 결정을 비판하면서 대선 쟁점으로까지 급부상할 조짐이 보이고 있다. 팀 쿡 애플 CEO는 17일(현지시간) ‘고객에게 드리는 메시지’를 통해 “미국 정부는 애플이 우리 고객의 보안을 위협하는 전에 없는 조처를 받아들이라고 요구해 왔다”면서 “우리는 이 명령에 반대한다”고 밝혔다. 쿡은 FBI의 요구를 수용하는 행위는 고객의 개인정보를 위협할 ‘위험한 선례’가 될 것이라고 경계했다. 앞서 로스앤젤레스 연방지법은 앞서 캘리포니아 샌버너디노에서 지난해 12월 발생한 무슬림 부부의 총기난사 사건과 관련, 애플에 FBI의 총기테러 수사를 위해 이들 테러범의 스마트폰 잠금해제를 위한 기술 지원을 명령했다.FBI는 14명을 살해한 이들 테러범 부부의 아이폰 교신 내용을 파악해 공범의 존재 여부나 극단주의 세력과의 연계성을 조사하려고 하지만, 잠금장치와 암호를 풀지 못해 수사의 어려움을 겪는 상태다.이와 관련, 쿡은 “FBI가 중요한 몇 가지 보안 특징을 피할 수 있는 새로운 운영 시스템을 만들어 용의자의 아이폰에 설치하기를 바라고 있다”면서 “정부는 애플이 우리 고객을 해킹으로부터 보호하기 위해 수십 년 동안 발전시켜온 보안을 해치려고 한다”고 말했다. 그러면서 “우리는 이번 법원 명령에 거부한다”며 “그 명령은 당면한 법률문제의 차원을 뛰어넘는 더 심각한 의미를 지니고 있다”고 강조했다. 쿡은 법원 명령을 거부하는 게 쉽지 않지만, 미국 정부의 도를 넘는 행태에 분명히 목소리를 내야 한다고 비판을 가하기도 했다. 이에 대해 공화당 대선 선두주자인 도널드 트럼프는 이날 폭스뉴스 인터뷰에서 “그 사람들은 도대체 자신들이 누구라고 생각하는 것이냐”고 비판하면서 “법원명령에 따라 애플은 잠금장치를 해제해야 한다”고 밝혔다.트럼프는 “법원명령에 100% 동의하며, 법원명령이 있으면 당연히 잠금장치를 해제해야 한다”면서 “결국 안보에 관한 것인데 우리는 잠금장치를 해제하고 또 (테러 방지를 위해) 머리를 써야 한다. 상식에 따라 행동해야 한다”고 강조했다.애플은 지난 2014년 9월부터 문자 메시지나 사진 등의 정보를 암호화했다. 기기가 잠겨 있으면 사용자가 설정한 비밀번호가 있어야만 자료에 접근할 수 있고, 설정에 따라 10번 이상 잘못된 비밀번호를 입력하면 기기의 모든 자료는 자동으로 삭제될 수 있다. 외신에 따르면 FBI는 샌버너디노 테러범인 사이드 파룩의 아이폰 비밀번호를 확인하려고 가능한 모든 값을 넣는 ‘무차별 대입 공격’(brute force attack)을 쓸 예정이다. 이를 위해 FBI는 무제한으로 비밀번호를 입력해도 자료가 삭제되지 않도록 해달라고 애플에 요청했다. 또 1만 개에 이르는 번호 조합을 일일이 손으로 입력하는 대신 빨리 처리하는 방법도 제공해달라고 요청했다. 온라인뉴스부 iseoul@seoul.co.kr

보이스 피싱이 사회문제로 대두된 것은 최근의 일이 아니다. 금융감독원 통계에 따르면 2014년 기준 보이스 피싱, 스미싱, 파밍 등 통신서비스 관련 피해액은 1,222억원으로 2013년 대비 60% 이상 증가한 것으로 나타났으며, 실제로 보이스 피싱 피해액은 꾸준히 증가하는 추세다. 전문가들은 통신서비스 관련 금융사기가 쉽게 해결되지 못하는 이유로 현재 사용자 한쪽에서만 일방적으로 진행하는 인증방식의 한계를 지적했다. 특히 피싱 서비스로 인한 인해의 경우, 누군가에 의해 아이디와 패스워드 등 개인정보가 도용 당했는지 사용자가 알 수 없는 상태에서 이용중인 서비스에 대한 확인없이 보안카드, SMS, OTP, ARS, 지문정보 등의 인증정보를 제공하는 과정이 진행되기 때문이라는 것이다. 결국 피싱, 파밍 피해를 예방하기 위해서는 개인의 피해예방 노력을 강조하는 데서 한 발 나아가 본인인증방식을 개선하는 것이 최선의 방법이라는 것. 이런 가운데 ㈜이스톰에서 개발한 초간편인증서비스기술 ‘DualCheck’는 상호인증 개념을 적용한 인증방식으로 금융사 관계자들의 관심을 끌고 있다. DualCheck 서비스는 사용자와 금융 서비스가 서로 올바른 거래 주체인지 상호간 확인이 완료된 후 거래가 진행될 수 있도록 했다. 금융사에서만 본인인증을 요구하는 것이 아니라, 개인도 금융사를 인증하도록 해 스미싱, 파밍 등의 피해를 예방하는 효과를 톡톡히 누릴 수 있다. 사용법 또한 간단하다. DualCheck는 스마트폰 어플리케이션 형태의 인증기술로 iOS와 Android OS기기에서 모두 사용이 가능하다. 사용자가 인증을 위해 별도의 기기를 구입, 변경할 필요가 없어 더욱 편리하게 이용이 가능하다. 또한 기존 인증수단처럼 인증번호 값을 키보드로 입력할 필요 없이 단 한 번 확인 버튼만 누르면 사용자 인증을 완료할 수 있게 해 인증에 대한 사용자의 심리적, 비용적 부담을 최소화했다. ㈜이스톰 관계자는 “모바일 인증 앱은 복제 문제로 보안이 취약할 수 밖에 없다. 하지만 DualCheck는 앱을 구동하는 시점마다 사용자, 통신망, 앱, 커넥션, 앱의 위변조 등을 확인한 뒤 인증번호를 생성하기 때문에 해커가 사용자의 모든 환경을 동시에 해킹해야만 DualCheck에 대한 해킹시도가 가능하다. 사실상 담당 개발자 조차 해킹이 불가능한 구조”라며 “DualCheck가 피싱∙파밍 대책 마련에 고심하고 있는 금융권 및 간편결제 등 인증이 필요한 각종 서비스 관계자들에게 완벽한 해결책을 될 것으로 기대한다”라고 전했다. 한편, DualCheck는 지난 2년간 10여개의 특허(국내 등록 3개, 출원 7개, PCT 2개 출원 및 해외 중국특허 1개, 미국특허 1개 출원) 출연을 완료했으며, 현재도 지속적인 고도화 작업을 진행 중이다. DualCheck에 대한 자세한 내용 및 서비스 적용은DualCheck 공식 홈페이지 또는 전화로 문의하면 된다. 온라인뉴스부 iseoul@seoul.co.kr

지난 2일 행정자치부가 10만명 이상 개인정보 유출 사고를 낸 업체 가운데 개인정보보호법 위반이 확인된 5곳을 공표하여 논란이 일고 있다. 이처럼 해킹으로 인한 개인정보 유출은 국내뿐 아니라 전 세계적으로도 심각한 문제로 대두된다. 이에 기업 및 정부기관 등에서 정보 보안이 최대의 과제로 떠오른 가운데, 개인정보 유출을 가져오는 피싱메일을 탐지하고 사전에 방어하는 장비가 등장해 화제를 모으고 있다. ㈜기원테크(대표 김동철)의 ‘시큐메일 클라우드(SCM CLOUD)’는 사기 메일 보안 솔루션인 시큐메일과 지능형 지속 공격(APT)에 선제 대응할 수 있는 지능형 메일 방화벽 장비인 시큐메일가드를 결합한 장비다. 다양한 메일공격 가능성을 실시간 검사할 수 있는 S/W가 탑재된 메일 방화벽을 통해 악성 해킹메일로부터 메일 보안을 책임진다. 시큐메일 클라우드는 발송지를 추적해 수신된 주소가 정상적인 메일이지만 발송 서버가 도메인 서버와 다를 경우 메일의 신뢰도를 생성, 조기 탐지하여 차단한다. 얼마 전 발생했던 북한 추정 해킹메일과 같이 내부직원 메일을 통해 받았지만 실제 발송지를 추적한 결과 위/변조메일로 판명되면 곧바로 차단해 줌으로써 청와대나 검찰 사칭 메일 등 다양한 사칭 메일들에 선제 대응할 수 있다. 또한 수신된 메일을 열었을 때 자동실행 파일이 있는지 검사가 가능하고, 본문 URL로 연결되거나 첨부파일로 온 메일 모두 장비가 가상공간(VA)에서 열어보고 실행해 봄으로써 정상메일 여부를 미리 확인한다. 나아가 차단된 메일을 사용자가 허용했을 경우, 해당메일 원문 전체를 분석하고 원문 분석 시 각 예외사항에 맞도록 자동으로 신뢰도를 생성하며, 신뢰도의 변조를 방지하기 위해 유동 암호화 방식으로 보관하는 지능형 학습 기능도 갖췄다. 이와 같은 기능을 통해 고도화된 APT의 대표적인 표적 공격 기법으로 이메일에 악성 코드를 심은 파일을 첨부하여 발송하는 ‘스피어 피싱’에도 원천 방어가 가능하다. 기원테크 관계자는 “시큐메일 클라우드는 수신보안은 기본이고 종합적인 메일서비스까지 가능한 맞춤형 메일 보안 서비스로 많은 기업들의 수요를 만족시켜주고 있다. 대부분의 회사에서 많이 활용되는 Outlook, Mobile과의 호환성 기능을 탑재하고 있어 별도의 설정 없이 모든 보안기능을 지원 받을 수 있다”면서 “30분 이내의 간편한 구축으로 다양한 유형의 이메일 피싱, 해킹에도 메일 환경을 안전하게 지킬 수 있다”고 전했다. 온라인뉴스부 iseoul@seoul.co.kr

개인의 대출 및 소득 정보 등을 통합 관리하는 ‘한국신용정보원’이 이달 초 공식 출범했습니다. 대규모 ‘카드 정보 유출 사태’ 이후 은행연합회·여신금융협회·생명보험협회·손해보험협회 등에 흩어져 있던 정보를 한데 모은 신용정보집중기관이지요. 그런데 ‘작명’에 얽힌 뒷얘기가 재미있습니다. 비슷한 이름으로 금융정보분석원(FIU)이 있습니다. 그런데 FIU가 원래 추진했던 이름은 ‘금융정보원’이었습니다. 이 이름이 뒤집힌 것은 국가정보원 때문이었지요. 국정원 측에서 ‘정보원’이라는 이름을 쓰는 데 제동을 걸었다는 게 금융권에 전해져 내려오는 ‘정설’입니다. 결국 정보원 앞에 ‘분석’이라는 두 글자를 집어넣는 것으로 타협안이 도출됐습니다. 그런데 이번에는 어떻게 신용정보원이 무사히 통과됐을까요. 신용정보원 측의 해석은 이렇습니다. “언론에 계속 신용정보집중기관으로만 소개됐다. 신정원이라는 이름은 한번도 보도되지 않았다. 막판에 작명이 이뤄져 초스피드로 (국회를) 통과되는 바람에 국정원이 미처 인지하지 못했거나 (인지했어도) 딴지를 걸 새가 없었을 것이다.” 또 하나의 해석도 있습니다. 국정원이 과거의 권위주의에서 탈피해 변했다는 겁니다. 진짜 이유는 알 수 없지만 ‘금융정보원’이 안 되던 시절이 분명 존재했던 점을 떠올리면 ‘신용정보원’이라는 간판의 등장은 격세지감을 느끼게 합니다. 앞으로 신정원이 본궤도에 오르면 모든 금융권 부채 정보를 수집하는 역할까지 해야 합니다. 금융사들의 리스크 관리, 기술금융 발전, 빅데이터 활성화에 긍정적인 영향을 미칠 것이라는 기대감이 큰 만큼 ‘빅 브라더’에 대한 우려도 큽니다. 또 한 가지 걱정되는 점은 해킹 등으로 한번 뚫리면 대규모 개인정보 유출사태가 발생할 수 있다는 것입니다. ‘정보원’이라는 이름에 걸맞게 신용정보원의 철저한 보안 수준을 기대해 봅니다. ‘정보원’의 부정적 이미지인 빅브라더만 남는 일은 결코 없어야 할 것입니다. 백민경 기자 white@seoul.co.kr

종로구가 샐 틈 없는 ‘개인정보 보호’를 위해 팔을 걷어붙였다. 구는 오는 8월까지 구 홈페이지의 휴면 계정(미사용 개인정보)을 자동 파기하는 자체 시스템 개발에 나선다고 19일 밝혔다. 이 시스템은 매월 2년 이상 이용이 없는 회원 정보를 추출해 자동으로 30일 내에 당사자에게 안내할 예정이다. 이후에도 이용하지 않으면 그 회원의 개인정보를 파기한다. 시스템은 오는 9월부터 운영된다. 구 관계자는 “개인정보 유출 피해 사례가 전반적으로 증가하고 있고, 특히 휴면계정을 통해 악성코드를 유포하거나 해킹하는 경우가 많아 사전에 예방하려는 취지”라고 설명했다. 개정된 정보통신망법 시행령은 ‘장기(長期) 미이용자’의 기준을 3년에서 1년으로 단축해 규정하고 있다. 1년 내 접속하지 않는 이용자에 대해서는 의무적으로 개인정보를 파기하거나 접근이 어려운 장소에 별도 보관해야 한다. 파기 대상은 홈페이지 가입 시 입력한 이름, 성별, 생년월일, 휴대전화, 주소 등 모든 정보다. 구는 이에 앞서 홈페이지 회원 총 5만 5159명 중 2년간 접속하지 않은 3만 9645명의 개인정보를 영구 파기했다. 아울러 각종 캠페인과 직원 교육으로 개인정보 보호 노력을 기울여 왔다. 이를 인정받아 지난해 7월에는 방송통신위원회 산하 개인정보보호협회에서 10년 연속으로 ‘정보보호 인증마크’(i-Safe)를 취득하기도 했다. 김영종 구청장은 “이용자들의 정보 유출에 대한 불안감을 해소할 수 있도록 홈페이지 정보 보안 체계를 더욱 강화할 예정”이라면서 자동 파기 시스템의 차질 없는 개발을 약속했다. 최지숙 기자 truth173@seoul.co.kr

날로 데이터 보안의 중요성이 높아지는 현재에도 여전히 패스워드 만큼은 '구석기 시대'에 머무는 것 같다. 최근 미국의 비밀번호 관리 솔루션업체 스플래시데이터'(Splashdata)가 2015년 최악의 패스워드 25개를 선정 발표해 관심을 끌고있다. 지난 2011년부터 매년 해킹 등으로 온라인 상에 유출된 데이터를 분석해 발표하는 이 조사에서 지난해 가장 흔히 쓰이는 패스워드 즉, 가장 털리기 쉬운 패스워드는 2014년과 마찬가지로 '123456'이 차지했다. 사용자가 가장 기억하기 쉽지만 털리기도 쉬운 ‘123456’이 역대 최악의 패스워드인 셈이다. 2위 역시 지난해와 마찬가지로 패스워드를 의미하는 'password'가 차지했다. 3위는 한 계단 오른 '12345678'이, 4위는 키보드 왼쪽 위 배열 순서인 'qwerty'가 올랐다. 이어 '12345'(5위), '123456789'(6위), '1234'(8위), 1234567(9위)이 10위안에 올라 단순한 숫자 조합이 여전히 패스워드로 널리 쓰이고 있음이 확인됐다. 이외에 10위권 안에는 'football'(7위), 'baseball'(10위)이 올랐으며 역시 키보드 배열순서인 '1qaz2wsx'(15위), 'passw0rd'(24위)가 25위 권 안에 새롭게 진입했다. 스플래시데이터 측은 "단순한 숫자 조합등의 패스워드 사용이 지금도 바뀌지 않고있다"면서 "올해 특기할 만한 점은 'starwars' 와 'solo' 처럼 영화의 인기가 반영된 것이 눈에 띈다"고 밝혔다. 이어 "가급적 쉽게 유추할 수 있는 개인정보를 활용한 패스워드 활용은 피해야하며 대문자, 소문자, 숫자, 특수문자를 적절히 섞어 만드는 것이 좋다"고 덧붙였다. 다음은 스플래시데이터가 공개한 최악의 패스워드 25　　1. 123456 　　2. password　　3. 12345678　　4. qwerty　　5. 12345　　6. 123456789　　7. football 　　8. 1234　　9. 1234567　　10. baseball　　11. welcome　　12. 1234567890　　13. abc123　　14. 111111　　15. 1qaz2wsx　　16. dragon　　17. master　　18. monkey 　　19. letmein 　　20. login　　21. princess 　　22. qwertyuiop 　　23. solo 　　24. passw0rd 　　25. starwars 　박종익 기자 pji@seoul.co.kr

지난해 12월 9일 한국수력원자력 직원들은 ‘증기 발생기 자동 감압 내용 참조하세요’라는 내용의 정체불명의 이메일을 받았다. 직원들이 이 이메일에 첨부된 파일을 열자 해커가 심어 놓은 악성코드에 컴퓨터가 감염됐다. ●사이버사령부 정치 댓글 선거 개입 오명만 해커의 공격은 여기서 멈추지 않았다. 해커는 12월 15일 자신을 ‘원전반대그룹’이라고 밝히고 인터넷에 한수원 직원들의 개인정보 파일 등을 올렸다. 해커는 12월 18일부터 23일까지 원자력발전소의 설계도면과 각종 프로그램 실행화면, 국산화된 원전 핵심 기술 관련 자료 등을 잇달아 인터넷에 공개했지만 우리 정부는 속수무책으로 당할 수밖에 없었다. 정부합동수사단은 올해 3월 17일 범행에 사용된 악성코드가 북한이 사용하는 것과 유사하고 인터넷 접속 IP가 중국이라는 점 등을 감안해 범인이 북한으로 추정된다고 결론 내렸다. 북한으로 추정되는 사이버 공격은 끊이지 않고 있다. 지난달에는 한국형 전투기(KFX)의 핵심장비인 다기능 위상배열(AESA)레이더를 개발 중인 LIG넥스원 등 국내외 386개 방산업체를 대상으로 악성코드를 심어 놓은 메일이 발송돼 국군기무사령부가 조사에 나섰다. 사이버전은 적은 비용으로 막대한 효과를 거둘 수 있다는 점에서 재래식 무기보다 휠씬 큰 타격을 줄 ‘비대칭 전력’으로 꼽힌다. 문제는 우리 군 당국의 사이버전 대책이 국방 인트라넷(폐쇄망)의 방어 수준으로 소극적이고, 군 수뇌부의 인식도 보병 작전 위주의 아날로그적 사고에 머물러 있다는 점이다. 사이버 안보의 주무 기관이 국가정보원이라는 점을 들어 사이버 분야를 군사전략적 관점보다 정보통신 일부 병과가 전담하는 기술적 영역으로만 과소평가하고 있다는 지적도 나온다. 특히 국군사이버사령부는 2012년 총선과 대선을 전후해 심리전단 요원들이 1만 2844회에 걸쳐 인터넷에서 야당 후보를 비방하는 정치 댓글을 올려 선거에 개입했다는 오명만 얻었다. 올해 초 정부 일각에서는 유사시에 대비해 해군 이지스 구축함 전산망에 대한 해킹을 시도해 보자는 의견을 제시했다. 하지만 군 당국은 첨단 장비가 밀집한 이지스함이 행여나 고장 나게 되면 고치기 힘들다는 이유로 반대했다. 정부의 한 관계자는 24일 “북한이 유사시 1순위로 공격할 이지스함 시스템을 고장 나면 고치기 어렵다는 이유로 해킹 실험조차 시도하지 않으려고 해 어이가 없었다”며 복지부동을 질타했다. 합동참모본부는 북한이 전·평시 구분이 모호한 사이버 영역에서 간헐적인 사이버 공격을 수행하다 위기가 고조되거나 전시가 되면 우리 군의 정보 체계와 국가기반 체계를 본격 공격해 전쟁지휘 체계를 마비시키려 한다고 보고 있다. 특히 군 내부 인트라넷(폐쇄망)을 공격해 주요 부대의 위치와 군사활동 자료를 수집하거나 지휘통신(C4I) 체계와 레이더, 미사일, 위성항법장치(GPS)를 마비시키려 할 것으로 예측한다. 군 당국은 민감한 정보를 취급하는 군 내부 인트라넷이 해킹당해 주요 군사 기밀이 유출된 적은 없다고 주장한다. 하지만 지난 7월 기무사령부는 2011년부터 2012년까지 김관진 국가안보실장(당시 국방부 장관)이 미 국방장관, 국무장관에게 보낸 서신 등 74건의 문서가 대량으로 해킹돼 유출된 사실을 확인했다. 이는 장관 보좌관실에서 근무하던 장교가 사용하던 외부 컴퓨터 개인 메일 계정을 통해 유출된 것이다. 군 당국은 이 서신이 민감한 기밀 자료가 아니라는 점을 강조하며 뒤늦게 직원들이 개인 메일 대신 기관 이메일을 사용하도록 했으나 북한으로 추정되는 해킹 세력이 그만큼 대상을 특정해 공격을 시도한 정황이 포착된 셈이다. 새정치민주연합 진성준 의원실이 국군사이버사령부로부터 제출받은 자료에 따르면 2013년부터 올해 7월까지 군에서 사용하는 컴퓨터 5만 2361대가 바이러스에 감염됐다. 하지만 이 중 일반인이 접근할 수 없는 내부 국방망(인트라넷)이 3만 8762대, 군사 작전에 활용하는 전장망이 914대, 인터넷망은 1만 2685대로 나타났다. 사이버사령부는 이를 주로 각 부대 컴퓨터에서 운용 중인 운영프로그램을 처음 설치할 때 보관된 파일에 의한 바이러스 감염으로 보고 있다. 그러나 바이러스가 발견된 곳이 주로 국방과학연구소(ADD)나 육군훈련소, 한국국방연구원(KIDA), 해군 군수사령부 등 군의 핵심 기술을 보유한 기관이나 교육기관 등으로 나타나 이를 노린 조직적 공격이 진행되는 것 아니냐는 분석이 나온다. ●北 전문 인력만 6800여명… 해커 영재 육성도 주변국과 비교할 때 정부 차원의 사이버전 대책이 미흡하다는 지적도 나온다. 무엇보다 북한은 1990년대 전자전 부대를 창설한 이후 현재 6800여명의 전문 인력을 운용하고 있다. 국방위·노동당 등 예하 6개 조직에 해킹 인력만 1700여명, 해킹 지원 인력은 5100여명에 달한다. 무엇보다 해커 영재를 중학생 때부터 집중 육성하고 사이버 전사에게는 고급 아파트를 제공하는 등의 혜택을 부여한다. 미국은 2010년 5월 전력사령부 예하에 사이버사령부를 창설했고 국가안전보장국(NSA) 국장이 사이버사령관을 겸직한다. 특히 대규모 국방 예산 감축 기조 속에서도 사이버전 예산은 매년 10~20% 증액했고 올해 예산은 51억 달러(약 6조원)로 추정된다. 중국도 1999년 창설된 ‘네트워크군’을 2010년 사이버사령부로 재창설했고 관련 인력은 10만여명 이상 규모로 추정된다. 일본도 지난해 90여명 규모의 사이버방위대를 발족시켰지만 예산은 212억엔(약 2000억원)으로 추정된다. 반면 우리 군은 2010년 500명 규모의 사이버사령부를 창설했지만 올해 예산은 259억 5300만원이다. 이 가운데 60%인 156억원이 인건비이고 국방 정보화 관련 예산은 16%인 41억 6200만원에 불과한 것으로 나타났다. 국방부는 2013년 뒤늦게 국방정책실에 과장급이 전담하는 국방 사이버 정책TF를 설치했고 합참은 지난해 말 군사지원본부의 민군작전부에 사이버작전과를 신설하며 사이버전을 군사 작전의 영역에 포함시키겠다고 밝혔다. 하지만 이는 작전본부가 아닌 군사지원본부에 편성돼 국방부와 업무의 연계성도 미흡하다는 지적이다. 더군다나 국방부에는 사이버를 관장하는 국장급 직위가 없다. 손영동 고려대 정보보호대학원 초빙 교수는 “전 세계적으로 사이버 전쟁이 치열하게 진행되고 있지만 군 수뇌부의 인식이 아직 아날로그적 사고를 벗어나지 못하고 있다”고 평가했다. 하종훈 기자 artg@seoul.co.kr 강윤혁 기자 yes@seoul.co.kr