지난달 발생한 ‘3·4 디도스’(DDos·분산 서비스 거부) 사태에 이어 현대캐피탈, 농협 등의 금융권 보안 사고까지 잇따라 터지면서 해킹을 막을 수 있는 전문 인력인 ‘화이트 해커’에 대한 관심이 높아지고 있다. 화이트 해커란 코드 분석 등 해킹 기술을 악용해 이익을 취하려는 ‘블랙 해커’들과 달리 해킹 기술을 연구해 ‘방패’를 만드는 보안 전문가를 말한다. 현재 국내에 화이트 해커 그룹은 10여개로 500여명 정도가 활동하는 것으로 알려져 있다. 개인 해커들은 그보다 훨씬 더 많을 것으로 추정된다. 아직 우리나라에서는 보안 전문가를 체계적으로 키우는 시스템이 부족하다 보니 화이트 해커의 중요성이 더욱 클 수밖에 없다. 그럼에도 화이트 해커에 대한 사회적 처우는 무척 열악한 실정이다. 현재 국내에 정보 보호 관련 학과가 개설된 곳은 포항공대, 아주대, 상명대, 동국대 등 10여곳에 불과하다. 일부 보안 기관들이 해킹 방어 대회 등에서 입상한 화이트 해커들을 전문 인력으로 채용하기도 하지만 그 수가 많지 않다. 해킹 툴을 직접 만들 만큼 상당한 실력이 있더라도 직장 경력이나 석사 이상 학력 등 ‘스펙’이 없으면 취업이 쉽지 않기 때문이다. 어렵게 일반 회사에 들어가더라도 보안 회사 대부분이 영세해 연봉이 낮은 데다 대기업에 들어가더라도 보안업무를 비핵심 사업으로 간주해 일반 직원들보다 급여를 적게 지급하기도 한다. 한 보안업계 전문가는 “선진국의 경우 해커의 처우가 좋고 수입도 보장돼 화이트 해커로 살아갈 수 있지만 국내에서는 열악한 근무 환경과 검은돈의 유혹 때문에 어둠의 길로 쉽게 들어서게 된다.”고 말했다. 류지영기자 superryu@seoul.co.kr

현대캐피탈과 농협의 전산사고로 해커에 대한 관심이 높아지고 있다. 일부 청소년들에게 이들은 동경의 대상이 되기도 한다. 보안이 철저하다는 정부나 대기업 등의 전산망을 제집처럼 드나들며 해킹을 하기 때문이다. 하지만 해커 하면 컴퓨터에 매달려 사는, 사회성이 부족한 이른바 ‘오타쿠’(마니아)로 보는 어두운 그림자도 드리워져 있다. 또 해킹 기술을 통해 협박과 금전적 이득을 취하는 범죄자들도 적지 않다. 하지만 해커라고 모두 범죄자는 아니다. 해킹 기술을 악용해 금전적 이득을 노리는 ‘블랙 해커’가 있다면 이들을 막는 ‘화이트 해커’가 있다. 보안을 뚫으려는 ‘창’(블랙 해커)과 이를 저지하려는 ‘방패’(화이트 해커) 간의 보이지 않는 전쟁도 치열하다. 해커도 등급이 있다. 다른 사람이 개발한 해킹 프로그램을 사용하는 초보 수준 해커는 ‘스크립트 키디’(script kiddie)라 하며, 중간급 수준은 ‘위저드’(wizard)로 독자적으로 해킹 툴이나 보안 솔루션을 개발한다. 최고 보안이 적용된 정부·기업의 전산망을 뚫을 수 있는 최정상급 해커는 ‘구루’라고 불린다. 농협 서버를 뚫은 블랙 해커는 ‘구루급’으로 분류된다. 국내 해커는 ‘스크립트 키디’ 최소 1000여명, 위저드급 800여명, 구루급 50~100여명으로 추산된다. 화이트 해커는 범죄와 거리가 멀다. 보안 동아리에서 해킹 기술을 연구하고 기업의 보안 취약성을 분석하는 순기능을 한다. 실제 웹사이트가 아닌 가상 환경에서 해킹 기법을 익힌다. 미국 라스베이거스에서 열리는 세계 최대 해커협의회인 데프콘(DEFCON)을 비롯한 국내외 해킹 대회에 참가하는 등 대한민국 해커로서 자부심을 키운다. 국제해킹방어대회인 ‘코드게이트 2009’에서 최연소 우승자로 화제를 모은 박찬암(23)씨. 그는 국내외 해킹대회에서 6차례나 우승한 구루급이다. 현재 인하대 컴퓨터공학과 재학생이자 보안 전문업체인 소프트포럼의 보안기술팀장이다. 그는 “(알려진 것과는 달리) 해커들을 보면 활달하고 사회성이 뛰어나다.”고 말한다. 문제는 블랙 해커. 하지만 국내에서는 해커에 대한 보수 등이 열악해 화이트 해커도 ‘검은 유혹’을 받는다. 이는 박 팀장도 마찬가지. 경쟁 기업에 대한 디도스(분산서비스거부) 공격과 DB 해킹까지 의뢰가 다양하다. 그는 최대 3억원을 제안받기도 했다. 국내 화이트 해커 양성과 윤리 교육을 하는 해커 대학의 김태순 이사도 5000만원을 제시하며 악성코드를 제작해 달라는 의뢰를 받은 적이 있다. 경찰에 신고했지만 끝내 의뢰자는 붙잡지 못했다. 조직폭력배들이 한 온라인 기업의 해킹을 요구한 경우도 있었다. 국내에서 ‘작업 해커’를 확보하지 못하면 중국 해커를 매수한다. 한국과 중국의 블랙 해커들이 웹·시스템·네트워크로 각각 공격 역할을 분담해 공조하는 현상이 나타나고 있다. 김 이사는 “이들은 기업체의 DB나 가입자 정보 해킹부터 디도스 공격을 예고하고 돈을 요구하는 사례들이 파악되고 있다.”고 말했다. 화이트 해커들은 우리 기업들의 ‘위기관리’에 문제가 있다고 우려한다. 블랙 해커들의 협박에 많은 기업들이 돈으로 무마하거나 해킹 자체를 은폐한다고 지적한다. 안동환기자 ipsofacto@seoul.co.kr [용어클릭] ●해커 블랙 해커는 개인적인 목적을 노려 악의적으로 해킹을 일삼는 이들을 말한다. 반면 화이트 해커는 순수하게 학업과 연구 등을 위해 해킹을 하는 정보 보안 전문가를 뜻한다. 과거에는 해커가 유능한 컴퓨터 프로그래머를 뜻했고, 불순한 의도를 가진 해커를 크래커(cracker)라 부르기도 했다.

농협 전산대란과 현대캐피탈 정보유출 등 연이은 사이버테러로 ‘해커’에 대한 관심이 집중되고 있다. 사이버전쟁 시대에서 국내 사이버 보안의 현주소와 해커들의 성취욕, 나름의 윤리의식 등에 대해 현직 해커(22)에게 들어봤다. 그는 신분과 위치 노출을 극도로 꺼려 전화 인터뷰조차 사양했다. 설득 끝에 그를 잘 아는 전직 화이트 해커 출신의 보안업체 대표(33)를 통해 이메일 인터뷰를 했다. 그는 “최첨단을 달리는 디지털 시대에, 아날로그적인 가치가 해결책”이라며 “정보 보안에서 가장 중요한 것은 유비무환의 자세와 윤리의식”이라고 강조했다. 다음은 그와의 일문일답. →‘농협사태’를 일으킨 해커들을 어떻게 보나. -보안이 생명인 금융권 전산망이 뚫렸다는 것에 대해 해커들도 놀라워하고 있다. 이유야 어쨌든 은행의 전산망이 망가졌다는 것은 애초부터 기본적인 보안조치가 잘못돼 있었다는 것을 의미한다. 내부자에 대한 정보 보안도 중요한데 이를 소홀히 한 게 아닌가 싶다. 사고가 터지고 나면 그제야 허겁지겁 해결책을 논한다는 게 문제다. 평소 체계적인 보안관리에 철저해야 한다. →해커로서 공격에 성공하고, 실패했을 때의 느낌은. -공격에 성공했을 때는 정말로 많은 것을 얻는다. 이미 알고 있던 기술 이외에 다른 꼼수나 공격기법 도출 등 해킹은 숨바꼭질과 같다. 성공하면 마치 성(城)을 점령한 장군 같은 희열을 느낀다. 실패란 없다. 끈기가 있고 체력이 되면 성공할 때까지 (공격을) 계속한다. →해커도 다양화됐다던데. -요즘은 워낙 분야가 넓어져 해커 혼자 모든 것을 담당할 수 없다. 그래서 웹, 파일분석, 암호화, 시스템 해킹 등 분야별로 수준 높은 해커들이 있다. 각자 전문 분야가 생긴 셈이다. 해커는 크게 두 종류가 있다. 완성된 프로그램을 사용하는 초보 수준의 ‘스크립트 키드’가 있다. 진짜 프로는 방화벽 등의 분석을 통해 프로그램을 짜서 침투한다. →국내 금융권 및 대기업 서버의 보안 수준은. -보통 메인 홈페이지의 보안 수준은 높지만, 관련 계열사 사이트 등은 대부분 취약하다. 때문에 초절정 고수의 해커에게는 ‘식은 죽 먹기’로 보인다. 또 메인 홈페이지의 보안 수준이 높다고 해도 기존에 알려지지 않은 공격기법이나 새로운 취약점이 발견되면 언제든지 뚫릴 수 있다. →스마트폰 보안 대란도 지적되는데. -스마트폰은 PC 기능을 축소해 놓은 ‘주머니 속의 PC’다. 스마트폰도 이미 보안 문제에 상당히 노출돼 있다. 디도스(DDoS)에 이용되거나 스마트폰의 개인정보 유출, 국제전화 과금 등 기본적인 보안 문제부터, 시스템 자체의 취약점을 이용한 모바일 대란이 발생할 공산이 매우 높다. 일부 해커들은 스마트폰 해킹 시나리오를 충분히 그려볼 수 있고, 앞으로 그것을 실행할 확률이 높다. →화이트 해커를 꿈꾸는 청소년에게 조언한다면. -사이버윤리를 기본적으로 갖춘 해커가 되라고 말하고 싶다. 청소년 시절 과시 욕구가 크기 때문에 윤리의식 없이 해킹을 공부했다가는 자신도 모르게 해킹사고의 주인공이 될 수도 있다. 한번 빠지면 영원히 빠져나오지 못하며, 사회적으로 매장당한다. 이영준기자 apple@seoul.co.kr

현대캐피탈과 농협에서 잇따라 대형 전산사고가 발생하면서 우리 사회의 보안 시스템이 전반적으로 열악하다는 현실이 다시 한번 드러났다. 특히 두 사건 모두 해커가 개입된 것으로 추정되면서 국가적 차원에서 ‘해커 전쟁’에 대비해야 한다는 목소리가 커지고 있다. 한국의 대표적 보안업체인 안철수연구소의 김홍선(51) 대표는 지난 20일 “해커들은 이미 글로벌 범죄 조직으로 성장했지만 이에 대처하는 우리 기업들의 보안 의식은 너무도 취약하다.”고 우려했다. 다음은 김홍선 대표와의 일문일답. →최근 발생한 일련의 전산 사고들 사이에 공통점이 있다면. -분산 서비스 거부(디도스) 공격부터 현대캐피탈, 농협 사태 모두 전 세계 모든 PC들이 초고속 인터넷(브로드밴드)으로 네트워크화되면서 해커들이 특정 PC에 접근하기가 더욱 쉬워지고 있다는 점을 잘 보여준다. 네트워크를 통해 원하는 PC에 들어올 수 있는 통로가 넓어져 이젠 중국인 해커가 아프리카에 서버를 둔 채 동남아에서 노트북 한대만 들고 한국의 금융기관을 해킹할 수 있는 시대가 됐다. 국내 정보 당국이 용의자를 찾더라도 인터폴 등과 협의해 해당 국가의 도움을 받으려고 하면 이미 자취를 감춘 지 오래다. →현대캐피탈이나 농협 같은 금융기관을 해킹할 수 있는 이들이 국내 혹은 세계에 얼마나 된다고 보나. -그 정도 수준의 해커들은 추정이 불가능할 정도로 많다. 영화에서 해커들이 1~2명 단위로 숨어 다니며 정부 등 거대 조직을 상대로 정의롭게 싸우다 보니 해커들을 ‘나홀로 움직이는’ 신비한 존재쯤으로 여기는 이들이 많다. 정부 관계자들조차 그렇게 보기도 해 놀라기도 한다. 하지만 해커들 대부분은 (마피아처럼) 전 세계에 걸친 글로벌 조직의 구성원으로 일한다. 해킹은 국제 조직의 주요한 범죄가 됐다. →해커들은 어떤 식으로 돈을 버나. -주로 동유럽과 중국 및 동남아, 아프리카, 브라질 등에 거대 조직들이 밀집해 있는데, 통상 이들은 크게 세 가지 방식으로 수익을 창출한다. 하나는 해킹을 원하는 일반인들에게 자신들이 개발한 해킹 프로그램을 판다. 동유럽의 한 해킹 조직이 개발한 ‘제우스’라는 프로그램은 한개에 3000달러(약 330만원)가 넘는 고가에 팔린다. 두 번째는 금융기관 등을 해킹해 정보를 빼낸 뒤 해당 업체를 협박해 돈을 갈취한다(현대캐피탈 사례가 대표적). 세 번째는 해킹을 원하는 조직을 위해 대신 일해 주고 사례금을 받는다(농협 사례도 이 경로로 이뤄졌을 것으로 추정). 일종의 아웃소싱인데 해킹 계약을 따내기 위한 글로벌 조직들의 ‘수주전’(戰)도 치열하다. →이들이 벌어들이는 수익은 얼마나 되나. -해커들이 지하 경제에서 활동하다 보니 정확한 계산은 힘들다. 하지만 우리가 생각하는 것 이상으로 엄청난 돈을 버는 것은 분명하다. 국내외를 막론하고 금융기관은 해킹당한 사실이 알려지면 신뢰도에 치명적인 타격을 입는다. 때문에 해커들이 달라는 대로 거액을 주고 넘어가는 경우가 대부분이다(실제 농협도 2008년 이미 한 차례 해킹을 당했지만 이를 숨겨 온 사실이 검찰 조사로 드러났다). 금융기관이 아니어도 기업 운영에 불법적인 요소가 많은 곳은 조사받는 것 자체를 꺼리게 된다. 해커들도 이를 알고 무리한 요구를 하는데 기업 입장에선 어쩔 수 없이 현금을 주고 덮고 간다. →그렇다면 국내 기업 가운데 현대캐피탈이나 농협 말고도 이미 해커들에게 해킹을 당한 뒤 돈으로 무마하고 넘어간 곳들이 있었다는 뜻인가. -(잠시 뜸을 들이더니) 그 질문에는 답하지 않겠다. →최근 전직 해커 한명이 언론 인터뷰를 통해 “6개월이면 어떤 은행도 다 뚫을 수 있다.”고 밝혀 화제가 됐다. 결국 기업들이 아무리 보안에 투자해도 마음먹고 덤벼드는 해커들은 못 막아 낸다는 의미로 해석된다. -(여러 번 웃으며) 요즘 언론에 ‘전직 해커’라는 이들이 자주 나오던데 나도 한번 만나보고 싶다. 난 그 해커의 말에 동의하지 않는다. 아무리 뛰어난 해커라 해도 사전에 철저히 보안 시스템을 2중, 3중으로 갖춘 ‘준비된 기업들’은 절대 뚫을 수 없다. 전 세계 해커들이 노리는 구글이나 아마존, 페이스북 등은 어떻게 지금까지 건재할 수 있었겠나. 만에 하나 이를 모두 뚫고 들어올 수 있는 능력이 있더라도 이런 시스템을 뚫게 되면 반드시 흔적을 남길 수밖에 없게 돼 있다. →끝으로 해킹과 관련해 우리 사회에 당부하고 싶은 것이 있다면. -10년째 같은 얘기를 반복해야 하는 우리 현실이 참 안타깝다. 해커들은 우리가 상상하는 것보다 훨씬 치밀하게 범죄를 준비한다. 우리나라에서 보안 검색이 가장 까다롭다는 한 기업에서는 아이러니하게도 오너 등 고위층이 들어갈 때 (일행인 척) 따라 들어가면 아무 검색도 받지 않고 출입할 수 있다. 해커들은 이런 사회공학적 배경까지도 모두 분석해 일을 진행한다. 하지만 우리 기업들의 보안 의식은 낮아도 너무 낮다. 국내 굴지의 한 기업에서는 쉬는 시간마다 직원들이 회사 공장 시스템을 돌리는 메인 컴퓨터로 인터넷 서핑이나 쇼핑을 하다 악성코드에 감염돼 가동이 중단되기도 했다. 보안 시스템 설치 당시 설정해 준 비밀번호를 한 차례도 바꾸지 않고 몇 년씩 쓰다 사고를 당하는 대기업도 많다. 무엇보다 보안 문제는 정보기술(IT) 담당자가 아닌 최고경영자(CEO)가 챙기는 풍토가 마련돼야 한다. 글 류지영기자 superryu@seoul.co.kr 사진 류재림기자 jawoolim@seoul.co.kr ●김홍선 대표는 ▲1960년 서울 ▲서울대 전자공학과(학·석사) 및 미국 퍼듀대(박사) ▲미국 텍사스주립대 연구원, 삼성전자 컴퓨터사업부 선임연구원, 시큐어소프트 대표이사 등 ▲정진기언론문화상, 미국 퍼듀대 최고의 동문상, 과학기술창의상 등 수상

현대캐피탈 해킹과 농협 전산망 마비 사태를 계기로 프로그램·서비스 개발에 집중했던 금융권 내 정보기술(IT) 포트폴리오를 보안시스템 강화와 인력 육성에 초점을 맞춰야 한다고 전문가들은 17일 지적했다. 전문가들은 현대캐피탈과 농협을 타산지석으로 삼아 금융권 전체의 보안망 체계를 근본적으로 바꿔야 한다고 밝혔다. 전문가들은 ▲금융 보안 인력을 육성하고 ▲정부 조직을 혁신해야 하며 ▲금융회사 최고경영자(CEO)의 보안 인식을 높이고 ▲보안 시스템을 강화해야 한다고 강조했다. 임종인 고려대 금융보안대학원 교수는 “서버 관리를 외주에 맡기더라도 농협 본사에는 관리 능력을 갖춘 우수 요원을 확보했어야 했다.”면서 관리적 측면의 허점을 지적했다. 임 교수는 “앞으로 대책을 마련하면서 돈 들여 외국 장비를 들여놓을 생각을 할 텐데 장비만 들여오고 운영할 인력이 없다면 문제”라면서 보안 인력을 키워 내는 사회적 구조의 필요성을 강조했다. 한국은행 관계자도 컨트롤타워 성격의 금융 보안 전문가 육성이 시급하다고 지적했다. 성재모 금융보안연구원 정보보안본부장은 “일본 미쓰비시은행의 경우 3만~4만명의 직원 가운데 전산 개발 인력만 자체적으로 7000여명을 두고, 운영 인력을 별도로 300~400명을 확보하고 있어 장애가 발생해도 즉각 고칠 수 있다.”고 말했다. 임종인 교수는 금융 보안에서 권한과 책임을 갖춘 정부 기구를 만들어야 한다고 촉구했다. 정태명 성균관대 정보통신학부 교수는 “행정안전부, 방송통신위, 지식경제부, 국가정보원 등의 유관 부처는 서로 주도권 싸움만 하고 있다.”면서 정부 부처 내 컨트롤타워 부재를 지적했다. 그는 “디도스 사태 때 모든 금융회사에 대한 보안점검을 벌였어야 했다.”면서 “앞으로 금융감독원은 상시검사에서 IT 보안 관련 검사 항목을 확대해야 한다.”고 말했다. 박춘식 서울여대 정보보호학과 교수는 “정보 보호 부서는 힘들기 때문에 기피하는 경향이 있는데, 정부가 관심과 지원을 강화해야 한다.”면서 정보 보호를 강화하는 금융회사에 대해서는 정부가 세제 지원을 해주는 등의 인센티브를 제공해야 한다고 조언했다. 정보 보호 인력 채용 시 인건비 일부 지원 방안도 제시했다. 그는 “기업들은 IT 시스템 유지 비용을 내지 않고 있으며, 하청업체들은 개발할 때만 돈을 낸다.”면서 IT 비용을 단순한 비용 측면이 아니라 위험 관리 측면에서 봐야 한다고 강조했다. 유지 비용이 현실화돼야 인력에 대한 대우도 나아질 것이라는 얘기다. 정태명 교수는 “CEO들이 정보 보안의 중요성에 대해 인식하지 못하고 방관하다가 일이 터지고 있다.”면서 내부에서 문제가 발생하면 막을 수가 없는 만큼 내부 통제를 강화할 것을 주문했다. 이어 현대캐피탈의 경우는 ‘설마병’으로 봐야 한다면서 고객 정보를 모두 암호화해야 하는데 일부 소홀히 한 측면이 있고, 많은 기업들이 이런 식으로 정보가 유출당하는 사고를 낸다고 말했다. 정 교수는 현재 국회에 계류 중인 전자금융거래법 개정안이 빨리 처리돼 정보보안최고책임자(CISO)를 신설하는 것도 대안이 될 수 있다고 말했다. 김경두·오달란기자 golders@seoul.co.kr

금융 당국의 발걸음이 빨라지고 있다. 김석동 금융위원장과 권혁세 금융감독원장은 18일 은행회관에서 5대 금융지주 회장들과 긴급 회동을 갖고 금융 보안 대란 등 각종 금융 현안을 논의할 예정이다. 금융 당국 수장들이 함께 민간 금융회사 최고경영자(CEO)들과 공식 회동하는 것은 매우 이례적인 일이다. 은행 쪽 참석자는 이팔성 우리금융지주 회장, 한동우 신한금융지주 회장, 김승유 하나금융지주 회장, 어윤대 KB금융지주 회장, 강만수 산은금융지주 회장이다. 김 위원장이 이번 간담회를 통해 ▲금융회사 전산 보안 ▲부동산 프로젝트파이낸싱(PF) 대출 및 건설사 부실 문제 ▲가계 부채 연착륙 ▲서민 금융 기반 강화 ▲신용카드 부문 과당 경쟁 등 금융 관련 현안에 대한 의견을 나누고, 시장 안정을 위해 금융권이 적극 협력하고 대응해 줄 것을 당부할 예정이라고 금융위는 설명했다. 금융 보안 대란과 관련해 전문가들은 ‘제2의 농협’ 사태가 일어나지 않기 위해서 국회와 당국도 제 역할을 해야 한다고 지적한다. 최근 국회에 제출된 전자금융거래법 개정안이 조속히 처리돼야 한다는 이야기도 나온다. 금융회사는 정보보호 최고책임자(CISO) 지정을 의무화하고, CISO는 전산 시스템 운용에 필요한 인력과 예산 편성 및 관련 계획을 수립하도록 개정안은 규정하고 있다. 개정안을 발의한 이성헌 한나라당 의원 측은 17일 “금융권은 보안을 최대화해야 하는데 가급적 최소화하고 있으며, 해킹을 당해도 재수가 없다고 생각하는 경향이 있다.”면서 “국회에서도 금융 보안에 대한 관심이 부족했는데 입법 과정을 최대한 서둘러 조속히 법이 시행되도록 해야 한다.”고 말했다. 금융회사의 정보 보호 인력과 예산 부족도 문제지만 금융 당국의 인력 상황도 크게 다르지 않다. 금감원이 정보기술(IT) 부문 검사를 해야 할 금융회사는 180개지만 담당 직원은 11명뿐이다. 한때 금감원 내에 IT 검사국이 독립적으로 존재하기도 했으나 현재는 IT 검사실로 축소된 상태다. 사고가 났을 때 검사를 나가도 보조적인 역할을 하는 데 그치고 있다. 금융 당국의 인력 증강은 물론 금융권 감독도 강화해야 한다는 의견도 나온다. 금융 당국은 2005년 국내에서는 처음으로 인터넷 뱅킹 해킹 사건이 일어났을 때 종합대책의 하나로 금융기관의 전체 IT 예산 가운데 정보 보호 예산을 3% 이상, 전체 IT 인력 가운데 정보 보호 인력을 3% 이상 유지하도록 행정 지도했다. 2009년 디도스 공격 사태 이후에는 이 비율을 각각 5%로 강화했다. 이러한 가이드라인에 대한 관리 감독이 제대로 이뤄졌더라면 농협 사태를 방지할 수도 있었다는 게 전문가들의 중론이다. 홍지민기자 icarus@seoul.co.kr

농협 전산망 마비는 외부 해커에 의해 바이러스에 감염된 좀비PC(악성코드 감염 컴퓨터)가 부차적으로 일으킨 해킹에 따른 것으로 확인됐다. 북한 해커의 소행으로 밝혀진 두 차례의 분산서비스거부(디도스:DDos) 공격과의 관련성도 배제할 수 없다는 지적이 나오고 있다. 검찰도 좀비PC의 공격 가능성에 무게를 두고, 이를 밝히기 위해 2차 해킹을 실행한 한국 IBM 직원의 노트북을 복원하는 데 주력하고 있다. 신원불상의 해커는 농협 내·외부 직원들의 개인PC를 감염시켜 중앙서버까지 제어할 수 있었던 것으로 알려져, 농협 보안 체계에 대대적인 혁신이 필요하다는 지적이 나오고 있다. 15일 수사당국에 따르면 농협 전산망 먹통 사태는 외부 해커에 의해 좀비PC가 된 한국 IBM 직원의 노트북을 통해 일어났다. 수사당국 관계자는 “농협 전산망 해킹은 꼬리에 꼬리를 무는 하도급 관행이 초래했다.”면서 “해커가 감염시킨 농협 직원의 좀비PC로 중앙서버까지 제어할 수 있을 정도로 농협 보안망이 허술하다.”고 지적했다. 한편 이번 해킹 사건을 수사 중인 서울중앙지검 첨단범죄수사2부(부장 김용대)는 농협 전산망의 마비를 초래한 외주 직원의 노트북 하드디스크 복구에 힘을 쏟고 있다. 검찰 관계자는 “단순 사고나 과실일 수도 있지만 한국 IBM 직원의 노트북이 ‘좀비 PC’일 수도 있다.”면서 “농협에서 가져온 폐쇄회로 (CCTV)나 직원들의 휴대전화 통화 내역도 분석하고 있지만 노트북 하드디스크를 복원하는 게 관건”이라고 밝혔다. 또 “지난 12일 농협 전산망이 마비된 시점에 노트북 내에 가동된 프로그램을 복원하고 있다.”면서 “복원에는 7~10일 정도 걸릴 것”이라고 말했다. 농협 내·외부 직원들의 공모, 외부 직원의 테러 여부 등도 노트북 복원을 통해 최종 로그인한 시간을 파악하면 확인할 수 있다고 검찰은 설명했다. 김승훈기자 hunnam@seoul.co.kr

2005년 5월 국내 최초로 발생한 인터넷뱅킹 해킹 사고를 계기로 정부가 추진한 전자금융거래 안전성 강화 종합대책에 따라 설립된 금융정보보호 전문기관이다. 비영리사단법인으로 2006년 12월 정식으로 문을 열고 올해로 5년 차를 맞았다. 연구원은 금융부문 정보기술(IT) 및 전자금융업무 전반에 대한 정책 연구 및 기술 지원을 통해 안전하고 편리한 전자금융거래 환경을 조성하는 역할을 맡고 있다. 현재 국내 131개 금융회사가 회원사로 가입돼 있다. 연구원은 인터넷 홈페이지·무선랜 취약점 분석, 디도스 공격 대응, 보안 적합성 시험, IT 컴플라이언스 지원, OTP 통합인증센터 운영 등 다양한 서비스를 회원사에 제공하고 있다. 또 안전한 전자 금융거래를 위한 정보 제공과 함께 대 국민교육 및 캠페인 등을 전개해 국내 금융 IT 환경의 보안 수준을 높이고 있다. 홍지민기자 icarus@seoul.co.kr

“금융보안은 비용이 아니라 투자입니다. 금융기관 최고경영자(CEO)의 보안 마인드부터 달라져야 합니다.” 우리나라 전체 금융거래 가운데 80%가 비대면 거래로 이뤄진다. 창구에서 직원과 마주하는 대면거래가 아닌, 인터넷 뱅킹, 인터넷 결제, 모바일 결제 등이 그만큼 많다는 얘기다. 선진국의 비대면거래 비율이 50% 안팎인 점을 고려하면 엄청난 규모가 아닐 수 없다. 이러한 상황에 현대캐피탈 고객 정보 해킹 사건에 이어 농협 전산 장애 사태가 잇따르며 국내 금융 소비자들이 불안해하고 있다. 근본적인 대책은 없는 것일까. 14일 서울 여의도에서 만난 곽창규(55) 금융보안연구원장은 금융보안을 위한 예산을 쓰면 아까운 비용으로 여기는 금융기관 CEO의 마인드부터 바뀌어야 한다고 강조했다. →금융보안은 왜 중요한가. -전자금융은 편리하지만 그 이면에서는 사고가 지속적으로 발생하고 있다. 최근 들어서는 금전적 목적의 해킹 공격이 증가하고 점차 조직화되고 있다. 새로운 공격 기술이 나오는 주기도 점점 짧아지고 있다. 그러한 가운데 모바일 오피스 등 새로운 비즈니스 환경과 스마트폰 등 새로운 전자금융 거래 수단의 등장은 금융권에 새로운 과제를 던진다. 금융기관을 대상으로 한 사이버테러 발생 시 전자금융 서비스 지연 및 중단 등으로 일어나는 사회적 혼란과 경제적인 피해는 다른 어떤 분야보다 심각하다. →현대캐피탈에 이어 농협까지 사고가 잇따르고 있다. 우리 정보기술(IT) 수준이 낮아서인가. -그렇지 않다. 우리 기술 수준은 세계 최고다. 그래서 상대적으로 해외 해커들의 타깃이 되기도 한다. 그동안 전자금융거래 이용률 대비 해킹 사고 횟수를 살펴보면 전자금융시스템 보안은 상대적으로 잘 구축되어 있는 편이다. 하지만 경영자층의 보안 의식이 뒤따르지 못하고 있다. 특히 캐피털사 등 제2금융권의 정보보호 예산 및 인력 규모는 금융당국이 제시하는 가이드라인에 미치지 못하고 있는 상황이다. 적극적인 지원과 투자가 필요하다. →두 사건이 일으키고 있는 파장이 엄청난데. -현대캐피탈은 과거 사고에 견줘 대량의 금융정보가 유출됐다는 점에서 주의해야 한다. 신속한 후속 조치로 추가 피해는 막았지만, 유출된 정보를 통해 피싱 등의 2차 피해가 일어날 수 있기 때문에 주의가 필요하다. 농협 수준의 전산 장애는 사상 처음이다. 금융당국의 조사와 검찰 수사 결과가 나와 봐야 하겠지만 외부에서 내부 서버에 침입했다기보다는 내부 소행, 관리 소홀로 여겨진다. →개별 기관으로 대응하기보다는 업권별로 공동 대응해야 한다는 의견도 나오는데. -은행권역에서는 금융결제원, 증권권역에서는 코스콤이 전담해 디도스 및 해킹 공격 등에 대비하고 있다. 제2금융권의 소규모 회사의 경우 자체적으로 대응하기 어려운 게 현실이기 때문에 공동 대응을 전담하는 기관이 필요하다고 본다. →금융기관이 의무적으로 정보보호최고책임자(CISO)를 임명하는 법안이 추진되고 있는데. -국내 정보보호업무 담당자들은 책임만 있고 권한이 없는 경우가 많다. 책임을 지려면 합당한 권한이 있어야 한다. 이를 뒷받침해 주는 법적인 제도가 필요하다고 생각한다. →이번 사태가 주는 교훈은. -모든 금융권이 보안을 재점검하고 금융보안의 중요성을 다시 한번 인식하는 계기가 돼야 한다. 사실 사고가 날 때마다 호들갑을 떨다가도 시간이 지나가면 흐지부지되는 측면이 없지 않았다. 그래서는 안 된다. 정부도 마찬가지다. 홍지민·오달란기자 icarus@seoul.co.kr

검찰과 금융감독원은 14일 전산장애로 금융업무가 사흘째 마비된 농협중앙회 조사에 착수했다. 사상 최악의 금융권 전산사고로 기록될 이번 사건은 풀어야 할 궁금증이 산적해 있다. 아직도 누가, 왜, 어떻게 전산장애를 일으켰는지 실마리조차 나오지 않고 있다. 전문가들의 조언을 통해 궁금증을 짚어 본다. 가장 큰 의문은 농협의 전산 서버를 철저히 망가뜨린 사람이 누구냐 하는 점이다. 농협은 이번 사태가 협력업체 IBM 직원 A씨의 노트북 컴퓨터에서 모든 시스템파일을 삭제하는 명령이 내려져 발생했다고 밝혔다. 그러나 A씨는 “그런 명령어를 입력한 적이 없다.”고 부인한 것으로 알려졌다. A씨의 고의나 실수가 아니라면 그의 노트북이 농협 내·외부 세력에 의해 해킹됐을 수도 있다. 전문가들은 한대의 노트북으로 단 한번의 명령을 내려 한 은행의 전산시스템을 초토화하는 것은 불가능하다며 계획 범죄의 가능성을 제기했다. 한 금융보안 전문가는 “하나의 명령어로 특정 서버를 마비시킬 수 있지만 은행 전산망과 장비가 여러 지역에 분산돼 있기 때문에” 전 시스템을 통제하는 것은 불가능하다.”고 말했다. 따라서 특정 세력이 은행 지점, 자동입출금기(ATM), 인터넷뱅킹의 거래정보가 중계서버로 이동하는 전산통로 등에 악성코드를 미리 심어 놓고 특정 시간에 서버를 파괴하도록 ‘시한폭탄’을 설치했을 거라는 추정이 가능하다. 해커들이 좀비컴퓨터(PC)를 조종하는 디도스(DDos) 공격과 비슷한 방식이다. 누군가가 의도적으로 전산장애를 일으켰다면 개인정보 유출을 노린 게 아니냐는 의문이 제기될 수 있다. A씨의 노트북은 ‘슈퍼 유저’의 자격을 얻은 것으로 보인다. 슈퍼 유저란 보통 전산시스템을 총괄하는 관리책임자의 접속 권한을 말한다. 한 IT 전문가는 “슈퍼 유저로 접속했다면 사실상 하고 싶은 것은 모두 할 수 있다. 개인 금융거래 정보를 유출한 뒤 삭제하는 것도 가능하다.”고 말했다. 노트북이 제3의 해킹세력의 조종을 받고 있었다면 이 노트북의 아이피(IP) 주소를 경유해 외부로 정보를 빼낼 수도 있다는 것이다. 이에 대해 전태민 농협 IT본부분사 시스템부장은 “해당 노트북은 농협 내부망용으로 바깥 망에 접속할 수 없다.”고 해명했다. 세 번째 의문은 복구가 너무 지연되고 있다는 것이다. 농협은 중계 서버에만 장애가 발생했다고 밝혔지만 전문가들은 금융거래 내역이 집합되는 원장(메인 서버)과 재해복구(DR) 서버까지 심각하게 손상된 것으로 보고 있다. 보통 전산장애가 발생하면 메인 서버의 전원을 껐다 켠다. 자료는 백업 저장이 되기 때문에 거래 내역이 고스란히 남아야 한다. 하지만 농협의 경우 이 데이터가 상당부분 날아갔다. 운영시스템(OS)을 처음부터 깔고 다시 자료를 입력하고 있어 복구가 더뎌지고 있다. 또한 밝혀지지 않은 이유로 DS 서버까지 망가지면서 단시간 복구가 어렵게 됐다. 전 부장은 “금융·경제사업 및 단위조합의 서버가 통합관리되고 있어 농협의 서버 용량이 시중은행의 3배에 달한다.”면서 “노트북 삭제 명령이 전체 553개 서버 가운데 275개를 파괴해 복구가 지체됐다.”고 설명했다. 농협이 그동안 전산 관리에 허술했다는 지적이 나올 수밖에 없다. 농협은 전산 유지와 보수관리를 IBM을 포함, 3개 외부 업체에 맡기고 있다. 운영비 절감 차원에서다. 협력업체 직원에게 지나치게 많은 권한을 부여했다는 비판도 나온다. A씨는 전체 서버의 상황을 모니터링하는 역할을 맡았는데 문제의 발단이 된 노트북을 외부로 반출할 수 있었던 것으로 알려졌다. 외부에서 노트북 시스템이 조작될 수 있었다는 얘기다. 홍희경·오달란기자 dallan@seoul.co.kr

금융당국이 현대캐피탈 고객 정보 해킹 사건을 계기로 금융회사의 정보 보안 관련 인력 및 예산 확대를 적극적으로 유도키로 했다. 이와 함께 금융당국 내 정보기술(IT) 검사 인력도 확충할 예정이다. 금융감독원은 12일 이같은 내용을 담은 IT 부문 업무계획을 추진한다고 밝혔다. 금감원은 우선 각 금융회사가 정보보호 전담 조직과 인력을 운영하는지 여부를 확인해 경영실태 평가에 반영할 계획이다. 현재 은행권에서는 독립적인 조직이 정보보호 업무를 맡고 있으나, 제2금융권에서는 그렇지 않은 경우가 대부분이다. 이와 함께 금감원은 지난해 디도스(분산서비스 거부) 공격 사태 뒤 각 금융회사의 정보보호 예산을 전체 IT 예산의 5%까지 확보하고, 정보보호 인력을 전체 IT 인력의 5% 이상 두도록 권고한 행정 지도 사항도 경영실태 평가에 반영할 방침이다. 최근 금융회사들이 정보보호 예산을 조금씩 삭감하는 추세를 고려한 조치로 보인다. 이와 관련, 금감원은 모호한 정보보호 예산의 범위를 명확하게 하기 위해 기준을 만들고, 대규모 IT 설비투자가 이뤄지면 정보보호 예산 비율이 낮아질 수 있는 문제 등을 개선하기로 했다. 금융위원회는 전자금융거래법이나 전자금융감독규정을 고쳐 이를 의무화하는 방안을 검토하고 있다. 금융회사 정보보호 업무를 검사하는 금감원의 인력도 늘어날 것으로 보인다. 금감원 IT서비스실은 현재 검사 인력이 11명인데, 검사 대상인 금융회사가 600여개에 이르는 점을 감안하면 턱없이 부족한 수준이다. 홍지민기자 icarus@seoul.co.kr

경찰은 지난달 3~5일 청와대·국방부 등 주요 웹사이트 40곳을 노린 ‘분산서비스거부’(디도스:DDos) 공격을 2년 전 ‘7·7 디도스 대란’을 일으킨 동일범의 소행으로 확인했다. 경찰은 북한 체신성(통신관리 및 기술개발을 담당하는 부서)이 저질렀을 가능성에 무게를 두고 있다. 경찰청 사이버테러대응센터는 6일 “악성코드 유포 사이트와 국내 감염 좀비 PC, 외국 공격명령 서버를 정밀 분석한 결과 공격 체계와 방식, 악성코드 설계방식과 통신방식이 2009년 7월 7일 발생한 디도스 공격과 일치한다.”고 밝혔다. 2009년 7월 7∼9일 61개국에서 435대의 서버를 이용해 한국과 미국 주요기관 35곳의 사이트를 해킹한 ‘7·7 디도스 공격’의 공격 근원지는 중국에 있는 북한 체신성으로 확인됐다. 반면 이번 디도스 공격의 근원지는 북한 체신성이 아니라 중국 통신사이지만, 7·7 디도스 공격에서 활용된 외국 공격 명령 서버의 일부가 같은 것으로 나타났다. 때문에 이번 공격도 북한 소행으로 볼 수 있다는 것이 경찰의 설명이다. 경찰청 관계자는 “전 세계 IP 주소는 42억개 이상이다. 공개되지 않은 ‘7·7 디도스 공격’의 외국 공격 명령 서버와 동일한 IP를 사용한 것은 동일범이 아니면 불가능하다.”고 밝혔다. 하지만 이 관계자는 “이번 디도스 공격의 범행 주체에 대한 정확한 실체를 밝혀내기는 어렵다.”고 덧붙였다. 경찰은 보다 명확한 증거를 확보하기 위해 중국 공안 등과 공조 수사에 나설 계획이다. 김동현기자 moses@seoul.co.kr

스마트폰 메신저인 카카오톡의 안드로이드 특정 버전에서 ‘스니핑’(sniffing·네트워크상의 정보를 가로채는 행위)을 통해 문자 내용이 해킹되는 보안 취약점이 드러났다. 대량의 트래픽을 유발하는 디도스(DDoS·분산서비스거부) 공격까지 가능한 것으로 나타났다. 카카오톡은 해당 안드로이드용 버전에 대한 서비스를 중단했다. 네트워크 보안솔루션업체인 윈스테크넷은 4일 “카카오톡 안드로이드용 1.3.4 버전에서 한시적으로 데이터 패킷을 암호화하지 못하는 취약점이 발견됐다.”며 “해당 버전의 카카오톡 사용자들에 대해 보안 주의를 권고했다.”고 밝혔다. 윈스테크넷에 따르면 안드로이드용 카카오톡 1.3.4 버전은 무선 인터넷망(Wi-Fi) 환경에서 사용할 때 초기 부팅에서 특정 시간까지 암호화가 되지 않은 상태로 데이터를 전송하고 있다. 카카오톡은 1.3.4 버전은 전체 사용자의 1%에 불과하다고 해명했다. 안드로이드용 카카오톡의 경우 스니핑 기법으로 문자메시지가 해킹될 수 있다. 또 해킹된 데이터를 조작해 불특정 다수의 스마트폰 사용자에게 특정 메시지를 삽입해 대량으로 살포하는 ‘메일 폭탄’과 카카오톡 서버를 대상으로 대량의 트래픽을 전송하는 디도스 공격에 악용될 수 있다. 카카오톡의 스니핑 등 보안 취약점은 이번에 처음 제기된 문제가 아니다. 서울신문은 지난 3월 23일 자 지면(1·4·5면)을 통해 보안전문업체의 테스트 결과 카카오톡 안드로이드 버전에서 문자메시지 등 대화 내용을 해킹하는 것이 가능했다고 보도했다. 당시 네이버톡과 다음 마이피플의 메신저 서비스는 해킹에 안전한 것으로 나타났다. 손동식 윈스테크넷 이사는 “카카오톡이 자사 서비스의 보안 취약점에 대해 전혀 인식하지 못하고 있었다.”며 “1.3.4 버전뿐 아니라 현재 버전인 2.4.1에 대해 해킹 취약점을 추가로 분석할 계획”이라고 말했다. 윈스테크넷은 지난달 30일 카카오톡에 분석 내용을 전달했고, 카카오톡은 해당 안드로이드 버전 등 일부 버전에 대해 서비스 중단 조치를 취했다. 안동환기자 ipsofacto@seoul.co.kr

한국교육방송공사(EBS) 수능 강의사이트를 마비시킨 ‘분산서비스거부(DDoS·디도스)’ 공격은 고교 3학년 수험생이 호기심에 저지른 것으로 드러났다. 경찰청 사이버테러대응센터는 지난 20일부터 이틀에 걸쳐 수능강의 사이트(www.ebsi.co.kr)를 디도스 공격한 고교생 김모(17)군을 정보통신망 이용촉진 및 정보보호 등에 관한 법률위반 등의 혐의로 입건했다고 28일 밝혔다. 조사 결과 평소 온라인게임 해킹 등에 관심이 많았던 김 군은 몇달 전 담임교사에게 꾸지람을 듣고 화가 나 학교 홈페이지를 디도스 공격으로 마비시킨 다음 대형 사이트 보안에 대한 호기심으로 범행을 저질렀다. 백민경기자 white@seoul.co.kr

지난해 인터넷 이용자 10명 중 1.5명꼴로 해킹 피해를, 3.4명은 바이러스 피해를 경험한 것으로 나타났다. 또 인터넷 이용자의 90.7%가 스마트폰 보안 문제가 심각한 것으로 인식하고 있으며, 84.9%는 ‘소셜네트워크서비스(SNS)’의 보안 피해도 우려했다. 24일 방송통신위원회와 한국인터넷진흥원(KISA)의 ‘2010년 정보보호실태 및 정보보호 지수’ 조사에 따르면 지난해 해킹 피해를 본 인터넷 이용자는 14.0%로 집계됐다. 해킹·바이러스, 스파이웨어 등의 연간 피해 횟수는 평균 6.9회로 나타났다. 개인정보 침해는 연간 평균 4.77회로 17.1%가 경험했고, 이 가운데 사업자 관리 소홀로 인한 개인정보 유출이 전체의 67.3%에 달했다. 그러나 침해사고 피해를 경험한 인터넷 이용자 중 신고한 사용자는 해킹 48.3%, 애드웨어·스파이웨어 22.7%, 웜·바이러스 22.6%에 그쳐 여전히 침해 사고에 대한 인식이 낮은 수준에 머물고 있다. 보안 침해 사고로 인한 피해 기업도 적지 않았다. 전체 조사 기업의 12.6%가 인터넷 침해 사고를 경험했고, 직원 250명 이상의 기업은 50명 미만의 소기업보다 4~5배 많은 해킹, 디도스(DDoS·분산서비스거부) 공격 피해를 당한 것으로 나타났다. 기업의 보안 피해액도 2009년 대비 26.2%가 늘어난 것으로 조사됐다. 국내 기업의 85.5%가 사내 정보보호를 전담하는 조직이 없으며 74.2%가 기업 내 정보보호를 위한 대책을 수립하지 않고 있다. 지난해 국가 정보보호지수는 80.5점으로 전년 73.9점보다 6.6점이 상승해 다소 개선된 것으로 나타났다. 정보보호 실태조사는 전국 12~59세 인터넷 이용자 5422명에 대한 온라인 조사와 종사자 5인 이상 6529개 기업에 대한 방문 조사로 이뤄졌다. 안동환기자 ipsofacto@seoul.co.kr

블랙 컨슈머(black consumer). 나쁜 소비자를 일컫는다. 고의로 상품의 하자를 문제삼는다. 보상금을 노리기도 한다. 생산자에겐 무서운 존재다. 자칫하면 치명적인 피해가 따른다. 지난해 쥐식빵 파문은 여기서 진화한 사건이다. 빵가게 주인이 소비자처럼 위장했다. 이웃 빵가게의 식빵에 쥐를 넣어 거짓 고발했다. 경쟁업체에 타격을 주려는 잔꾀였다. 소비자 주권을 범죄 수단으로 악용했다. 자작극은 블랙 컨슈머의 변형이다. 블랙 해커(black hacker). 이를테면 나쁜 해커다. 갖가지 사이버 폭력을 일삼는다. 남의 컴퓨터를 침입하는 존재다. 인터넷 시스템을 파괴한다. 악의(惡意)를 담고 있다. 크래커(cracker)로도 불린다. 화이트 해커(white hacker), 즉 착한 해커와 대비된다. 프랑스 외인부대는 용병으로 운용된다. 이를 글로벌 기업화한 회사가 있다. 블랙 워터(black water). 미국의 용병 회사다. 이를테면 전쟁 청부회사다. 세계 최대의 규모를 자랑한다. 무대는 국경을 초월한다. 사이버 범죄가 지능화되고 있다. 디도스(DDos·분산 서비스 거부)가 요즘엔 골칫거리다. 정부기관, 기업체, 개인 PC 등을 무차별 공격한다. 네트워크 공격 가운데 3분의1에 이른다. 그러다 보니 요즘 업계의 공공연한 비밀이 생겼다. 디도스 공격을 당하면 경쟁업체부터 의심한다고 한다. 디도스 공격은 주로 중국발(發)이다. 청부 해커들이 그 일을 맡는다. 한글로 운영되는 중국 사이트들에서 거래가 이뤄진다. 해커를 구하는 광고를 버젓이 올린다. 디도스 공격용 등 용도를 적시하기도 한다. 청부 바이러스 제작도 등장했다. 사이버 범죄는 끝 모르게 진화 중이다. 아이템베이의 디도스 사건을 보자. 2008~2009년 게임업계를 뒤흔들었다. 피해액은 무려 1400억원에 이른다. 지난해 말에야 전말이 드러났다. 경쟁사 사주를 받은 중국 지린성 해커들의 소행이라고 한다. ‘블랙’의 종합판이다. 블랙 해커를 동원했으니 청부 범죄다. 경쟁업체를 위협했으니 블랙 컨슈머의 변형이다. 블랙 워터처럼 국경을 넘나든다. 사이버 블랙 마켓(black market). 블랙들이 날뛰는 공간이다. 개인 정보를 불법 거래하는 데 머물지 않는다. 대형화하고 조직화하는 추세다. 오프라인 범죄까지 가세하고 있다. 두 경계가 무너지면 더 위험하다. ‘크라임 웨어’, 즉 범죄 소프트웨어는 더 다양해진다. 대책 마련이 시급하다. 사이버 인터폴이 필요하다. 국제 공조를 서둘러야 한다. 박대출 논설위원 dcpark@seoul.co.kr

스마트폰은 휴대전화 기능을 갖춘 컴퓨터다. 스마트폰도 일반 PC와 마찬가지로 ‘디도스’(DDoS·분산서비스거부) 바이러스에 감염되면 해커의 의도대로 특정 사이트를 공격하는 ‘좀비폰’으로 바뀔 수 있다. 22일 보안업계에 따르면 스마트폰 보안 현실은 위험 수위를 넘어선 상태로 지난해 8월 국내 안드로이드 전용 악성코드가 처음 출현한 후 현재까지 발견된 악성코드는 2151개에 달한다. 국내에서는 지난해 스마트폰 155대가 악성코드인 ‘트레드다이얼’에 감염됐다. 악성코드는 사용자도 모르게 50초 단위로 국제전화를 걸어 요금을 지급하도록 했다. 최근에는 유료 과금 전화로 문자메시지(SMS)를 보내는 바이러스와 스마트폰 통화 내용을 녹음하는 악성코드가 나타났다. ‘3·4 디도스 공격’처럼 스마트폰을 통한 디도스 공격 우려도 커지고 있다. 특히 스마트폰을 기반으로 한 모바일 인터넷전화(mVoIP) 서비스의 보안 취약점도 원인이 된다. 무선랜(와이파이)이 더 많은 위협에 노출돼 있어 스마트폰으로 착신 전화를 할 때 해커에 의해 좀비폰으로 둔갑하면서 디도스 공격에 악용될 수 있다. 이형우 한신대 교수는 “현재 mVoIP 서비스 업체들이 인증을 강화하기 위한 암호화 작업을 거의 하지 못하고 있는 상황”이라면서 “악성코드에 감염된 스마트폰이 사용자의 의지와 상관없이 특정 사이트에 대량 접속하면 서버가 검증하지 못해 좀비폰으로 인한 ‘디도스 대란’이 발생할 수 있다.”고 우려했다. 국내외 안드로이드 마켓에서 발견된 악성코드 10개 중 9개는 ‘메이드 인 차이나’이다. 검증이 안 된 중국산 애플리케이션(앱)을 내려받다가 좀비폰으로 둔갑할 수 있다. 정현철 한국인터넷진흥원(KISA) 인터넷전화 보안팀장은 “스마트폰의 운영체제(OS)와 앱이 많이 공개돼 전문가가 클릭 몇번만 하면 악성코드가 만들어진다.”며 “해커가 좀비폰으로 디도스 공격을 시도하면 그 파괴력은 좀비 PC를 동원한 공격 수준을 뛰어넘을 것”이라고 말했다. 이두걸기자 douzirl@seoul.co.kr

지난 2월 스마트폰을 장만한 윤모(33·여)씨는 요즘 친구들과 모바일 인터넷전화(mVoIP)와 카카오톡으로 대화하는 재미에 푹 빠졌다. 요금이 무료인 데다가 무선인터넷망인 와이파이존에서는 언제 어디서나 통신이 가능하기 때문이다. 친구의 험담에서부터 가끔은 돈거래도 한다. 윤씨는 단 한번도 자신의 통화를 누군가 엿들을 수 있다고 생각하지 않았다. 하지만 스마트폰 인터넷 통화나 문자 전송도 절대 안심하면 안 된다. 무료 통화 및 메시지 전송 기능으로 국내 1000만 스마트폰 사용자에게 빠르게 확산 중인 mVoIP와 ‘스마트폰 메신저’가 도청 및 스니핑(sniffing)에 무방비로 노출된 것으로 드러났다. 서울신문이 지난달 1일부터 한달 동안 국내 주요 mVoIP 서비스 6개와 카카오톡 등 메신저 4개에 대한 와이파이망 등 무선랜 환경에서의 도청·스니핑 테스트를 한 결과 국내 기술로 개발된 mVoIP는 모두 수·발신 대화 내용이 도청된 것으로 22일 확인됐다. 국내외 930만명의 가입자를 둔 카카오톡은 안드로이드 애플리케이션에서 가입자 간 문자 채팅 내용이 스니핑됐다. 도청·스니핑 검증은 국내 모바일 보안업체인 쉬프트웍스가 수행했고, 한달에 세번 반복 테스트했다. 반면 해외 mVoIP인 스카이프와 바이버는 독자적인 프로토콜(통신규약)로 도청 및 스니핑을 차단했다. 국내 mVoIP인 다음 마이피플, 수다폰, 올리브폰, 터치링은 국제 표준 프로토콜을 쓰지만 데이터 패킷을 암호화하지 않아 양쪽의 통화 내용을 도청할 수 있었다. 보안 전문가들은 국내 mVoIP들이 품질보다 가입자 경쟁에만 치중하고 있다고 지적한다. 약관에도 무선 통화의 보안 취약성에 대한 기본적인 안내나 경고가 없다. 취재팀의 보안 취약성 제기에 일부 업체는 보안 패치나 암호화 기술을 곧바로 적용하겠다고 응답했다. 보안을 강화할 수 있는데도 하지 않은 것이다. 도청·스니핑 피해는 고스란히 소비자의 몫이어서 자칫 국내 mVoIP가 900만명(중복 포함)에 달하는 이용자들로부터 외면받을 수 있다는 우려도 나온다. 이형우 한신대 컴퓨터공학부 교수는 “국내 mVoIP가 급성장하고 있는 가운데 기존의 디도스(DDoS·분산서비스 거부) 공격 등 인터넷망에 대한 테러뿐 아니라 mVoIP 도청, 스마트폰 개인정보 유출, 좀비폰 등장 등 모바일 공격이 본격화될 것”이라고 경고했다. 안동환기자 ipsofacto@seoul.co.kr [용어 클릭] ●모바일인터넷전화(mVoIP) 무선랜(와이파이) 등 무선 인터넷망을 통해 인터넷전화(VoIP)를 할 수 있는 기술. 애플리케이션을 내려받은 스마트폰 사용자끼리 무료 통화가 가능하다. 음성통화뿐 아니라 메신저 기능이 통합되면서 무료 문자 전송도 가능하다. ●스니핑(sniffing) ‘냄새를 맡다.’는 뜻. 일종의 해킹 기법으로 네트워크상에 오가는 정보를 중간에서 훔치는 행위다. 메신저·무선 패킷·와이파이 스니핑 등으로 발전하고 있다.

　EBS는 EBSi 수능강의 사이트가 20∼22일 3차례에 걸쳐 디도스(DDos) 공격을 받아 관련 주요 IP주소를 파악해 경찰청 사이버수사대에 수사 의뢰했다고 22일 밝혔다. 　EBS는 지난 20일 오후 10시부터 디도스 공격이 발생한 사실을 확인한 뒤 비정상적인 접속 로그를 확인, 서버 리부팅 및 디도스 방어장비 설정을 조정해 21일 오전 2시쯤 사이트를 정상화시켰다. 　하지만 21일 오후 6시16분부터 제2차 디도스 공격이 시작돼 EBSi 로딩 장애가 발생하자 EBS는 방송통신위원회에 협조 요청을 보냈다. 이어 한국인터넷진흥원(KISA)와 협의해 KISA의 디도스 클린 존(사이버 대피소)을 통해 수험생들이 우회 접속하도록 유도, 오후 7시40분쯤 사이트를 재차 정상화시켰다. 　그러나 이날 오후 10시50분부터 EBSi 수능강의 사이트의 강의 목록에 대한 집중적인 디도스 공격이 다시 발생,사이트 장애가 22일 밤 0시40분까지 지속됐다. 　한편 전국 4년제 대학의 협의체인 한국대학교육협의회 홈페이지도 지난 16일 오후 5시부터 1시간 가량 디도스 공격을 받아 접속이 늦려지는 현상이 빚어졌던 것으로 뒤늦게 알려졌다. 　인터넷서울신문 event@seoul.co.kr

지난 4일 발생한 디도스(분산서비스거부) 공격 사태는 2009년 ‘7·7디도스’ 때와 같은 통신대란을 일으키진 않았지만, 보안 인력과 정부 간 협력체제 등 우리나라의 전반적인 사회 보안 시스템이 여전히 취약하다는 점을 다시 한번 보여 줬다. 디도스 공격이 개시된 직후인 지난 5일 한국의 대표적 보안업체 안철수연구소를 설립한 안철수 카이스트(KAIST) 석좌교수를 찾아 디도스 등 국내 정보기술(IT)에 대한 생각을 들어 봤다. 안 교수는 ‘3·4 디도스 사태’에 대한 정부 대응과 관련한 IT 컨트롤타워 부재 논란을 의식한 듯 “정부가 하루빨리 옛 정보통신부와 같은 IT 선제대응 조직을 복원해야 한다.”고 강조했다. 대통령 등 의사결정권자가 열린 자세를 보여 주면 이전과 달리 정부에 참여하는 것도 고려해 보겠다고 말했다. 다음은 안 교수와의 일문일답. →이명박 정부가 출범한 2008년 이후 한국의 IT 경쟁력이 약화됐다는 뜻으로 안 교수가 쓰고 있는 ‘잃어버린 3년’이란 표현이 정치권에서 공방을 야기하고 있는데. -이 말이 ‘현 정부와 대통령을 비난하기 위한 것 아니냐.’는 오해를 풀고 싶다. ‘잃어버린 3년’은 현 정부 출범이 아닌 애플이 아이폰을 처음 내놓은 2007년 시작됐다. ‘닷컴 버블’ 붕괴 후 고전하던 실리콘밸리도 징가(2007년), 그루폰·트위터(2008년) 등 거물급 벤처들이 생겨나면서 활기를 얻었다. 이런 열기는 소셜네트워크서비스(SNS), 클라우드 등과 맞물리면서 세계 곳곳에 퍼져 나갔다. 하지만 아쉽게도 우리는 이런 흐름을 읽어 내지 못했다. 다른 나라보다 선제적으로 신기술을 개발하고 상용화하는 데 기여했던 정보통신부가 해체된 것도 주된 이유다. →하지만 안 교수가 말한 ‘잃어버린 3년’ 동안 삼성, LG와 같은 IT 기업들은 수출을 늘리며 선전하지 않았나. -결정적으로 이 시기에 우리 기업들은 IT 업계의 화두가 된 플랫폼을 구축하는 데 모두 실패했다. 애플이나 닌텐도가 대단한 것은 단지 매출이 많아서가 아니다. 자신들의 기기를 중심에 놓고 끊임없이 관련 하드웨어와 소프트웨어를 창출해 생태계의 주도권을 쥐게 됐기 때문이다. 독자적인 플랫폼이 없다면 삼성이나 LG와 같은 업체도 나중에는 플랫폼 기업에 좌지우지되는 하청업체로 전락하게 된다. 아이폰 출시를 계기로 전 세계가 플랫폼의 중요성을 깨달았지만 우리는 이런 변화를 제대로 파악하지 못했다. →애플이나 구글, 마이크로소프트와 같은 미국 업체들이 운영체제(OS) 등 플랫폼을 장악한 현실에서 우리가 독자적인 플랫폼을 가져가려는 노력이 과연 실효성이 있을까. -얼마 전 미국의 유명 IT 전문매체에서 삼성의 스마트TV를 호평한 기사를 봤다. 애플과 구글이 주도하는 스마트TV 분야에서 애플리케이션(응용프로그램) 수를 늘리며 분전하는 삼성의 노력이 인상적이었다. 우리가 글로벌 시장에서 플랫폼을 주도하기가 쉽지 않은 게 사실이지만, 그렇다고 시도 자체도 하지 않으면 기회는 오지 않는다. 다양한 분야에서 독자적인 플랫폼을 갖춰 선두를 부지런히 좇다 보면 역전의 기회는 오게 돼 있다. 만약 소니가 브라운관 TV 시장을 장악했다는 이유만으로 우리 업체들이 TV 기술 개발에 소홀했다면 평판 TV 시장에서 지금과 같은 점유율을 가져갈 수 있었겠나. →안 교수의 말을 요약하면 ‘IT 분야에서 플랫폼 구축 등 다양한 선제적 대응을 위해 컨트롤타워 복원이 필요하다.’는 것으로 받아들여진다. 만약 정부가 컨트롤타워를 복원한다면 어떤 식으로 꾸려져야 한다고 보는지. -과거 정통부와 같은 정부 부처의 형태가 될 수도 있고, 위원회가 될 수도 있을 것이다. 위원회는 상대적으로 의견 교환이 자유롭다는 게 장점이다. 하지만 위원회에서 내린 결론이 해당 부처로 이관되면서 원래 내용과 다르게 해석돼 시행되는 것을 여러 번 봤다. 과거 정통부의 경우 규제기관으로서 문제가 많았던 게 사실이지만 막상 없애고 보니 국내 IT 경쟁력이 떨어지는 폐해가 생겨났다. 따라서 이제는 과거 조직의 장점을 살리면서도 단점을 줄인 새로운 형태의 정통부 조직이 필요하다고 본다. →그간 여러 차례 입각 제의를 받았지만 모두 거절한 것으로 알고 있다. 만약 정부가 새 컨트롤타워를 복원한다면 참여하겠는가. -국회의원 출마 제안까지 포함하면 정치권의 참여 요청을 받은 지가 10년은 넘은 것 같다. 난 살면서 뭔가 의미 있는 흔적을 남기는 것을 중요하게 여기는데, 지금의 현실에서는 (나 같은) 한 사람이 정치에 뛰어들어 변화를 이끌어 낸다는 게 불가능해 보인다. 바꾸지도 못할 거면서 높은 자리에만 앉아 있는 게 무슨 의미가 있는가. 다만 의사결정권자(대통령)가 내 말에 제대로 귀 기울여 준다는 것을 전제로 ‘십고초려’하면 (장관 등 여러 역할을) 고려해 보겠다. 하지만 (의사결정권자가) 그렇게 하기가 쉽진 않을 것이고, 정치가 아니어도 사회를 변화시킬 수 있는 일들은 많다. →벤처 기업가 출신으로 현재 학생들에게 기업가 정신에 대해 강의하고 있는데, 안 교수가 보기에 국내 IT 관련 창업 여건은 어떤가. -10년 전만 해도 국내 시장에서는 네이버나 다음, 싸이월드와 같은 될성부른 기업들이 생겨났지만 지금은 그런 회사들을 찾아볼 수 없다. 당시에 20명이 해야 할 일을 지금은 1명이 해 낼 수 있을 만큼 소프트웨어가 좋아지면서 창업 비용도 낮아졌지만 사회적인 여건은 오히려 척박해졌다. 창업을 돕는 정부 및 민간의 지원 인프라가 취약하고, 대기업이 중소기업을 고사시키는 불공정 거래 관행도 여전하다. →최근 대통령까지 직접 나서 대기업과 중소기업 간 동반성장을 강조하는 등 상생이 이슈가 되고 있는데, 기업 전문가로서 대안이 있다면. -대기업의 명백한 불법적 횡포부터 근절해야 한다는 생각이다. 이를 위해 공정위의 전속고발권(공정거래법과 하도급법 위반 행위에 대해 공정위만 검찰에 고발할 수 있게 한 제도) 조항은 반드시 고쳐져야 한다. 중소기업이 피해를 하소연해도 공정위에서 채택하는 비율이 1%도 되지 않아 오히려 대기업을 감싸고 있다. 대기업에 대한 징벌적 손해배상제도(가해자의 행위가 악의적일 경우 실제 손해액보다 훨씬 많은 금액을 배상하게 하는 제도)도 도입돼야 한다. 상대방에게 해가 된다는 걸 알면서도 단속이 쉽지 않다는 점을 악용해 중소기업에 피해를 주는 것을 묵과해선 안 된다. 대전 류지영기자 superryu@seoul.co.kr ●안철수 교수는 ▲1962년 부산 출생 ▲서울대 의대-미국 펜실베이니아 공대 및 와튼스쿨 ▲단국대 의예과 학과장, 안철수연구소 대표이사, 포스코 사외이사, 카이스트 석좌교수 ▲한국CEO상, 윤리경영대상 투명경영 부문 대상, 동탑산업훈장 등 다수