현대캐피탈 해킹과 농협 전산망 마비 사태를 계기로 프로그램·서비스 개발에 집중했던 금융권 내 정보기술(IT) 포트폴리오를 보안시스템 강화와 인력 육성에 초점을 맞춰야 한다고 전문가들은 17일 지적했다. 전문가들은 현대캐피탈과 농협을 타산지석으로 삼아 금융권 전체의 보안망 체계를 근본적으로 바꿔야 한다고 밝혔다. 전문가들은 ▲금융 보안 인력을 육성하고 ▲정부 조직을 혁신해야 하며 ▲금융회사 최고경영자(CEO)의 보안 인식을 높이고 ▲보안 시스템을 강화해야 한다고 강조했다. 임종인 고려대 금융보안대학원 교수는 “서버 관리를 외주에 맡기더라도 농협 본사에는 관리 능력을 갖춘 우수 요원을 확보했어야 했다.”면서 관리적 측면의 허점을 지적했다. 임 교수는 “앞으로 대책을 마련하면서 돈 들여 외국 장비를 들여놓을 생각을 할 텐데 장비만 들여오고 운영할 인력이 없다면 문제”라면서 보안 인력을 키워 내는 사회적 구조의 필요성을 강조했다. 한국은행 관계자도 컨트롤타워 성격의 금융 보안 전문가 육성이 시급하다고 지적했다. 성재모 금융보안연구원 정보보안본부장은 “일본 미쓰비시은행의 경우 3만~4만명의 직원 가운데 전산 개발 인력만 자체적으로 7000여명을 두고, 운영 인력을 별도로 300~400명을 확보하고 있어 장애가 발생해도 즉각 고칠 수 있다.”고 말했다. 임종인 교수는 금융 보안에서 권한과 책임을 갖춘 정부 기구를 만들어야 한다고 촉구했다. 정태명 성균관대 정보통신학부 교수는 “행정안전부, 방송통신위, 지식경제부, 국가정보원 등의 유관 부처는 서로 주도권 싸움만 하고 있다.”면서 정부 부처 내 컨트롤타워 부재를 지적했다. 그는 “디도스 사태 때 모든 금융회사에 대한 보안점검을 벌였어야 했다.”면서 “앞으로 금융감독원은 상시검사에서 IT 보안 관련 검사 항목을 확대해야 한다.”고 말했다. 박춘식 서울여대 정보보호학과 교수는 “정보 보호 부서는 힘들기 때문에 기피하는 경향이 있는데, 정부가 관심과 지원을 강화해야 한다.”면서 정보 보호를 강화하는 금융회사에 대해서는 정부가 세제 지원을 해주는 등의 인센티브를 제공해야 한다고 조언했다. 정보 보호 인력 채용 시 인건비 일부 지원 방안도 제시했다. 그는 “기업들은 IT 시스템 유지 비용을 내지 않고 있으며, 하청업체들은 개발할 때만 돈을 낸다.”면서 IT 비용을 단순한 비용 측면이 아니라 위험 관리 측면에서 봐야 한다고 강조했다. 유지 비용이 현실화돼야 인력에 대한 대우도 나아질 것이라는 얘기다. 정태명 교수는 “CEO들이 정보 보안의 중요성에 대해 인식하지 못하고 방관하다가 일이 터지고 있다.”면서 내부에서 문제가 발생하면 막을 수가 없는 만큼 내부 통제를 강화할 것을 주문했다. 이어 현대캐피탈의 경우는 ‘설마병’으로 봐야 한다면서 고객 정보를 모두 암호화해야 하는데 일부 소홀히 한 측면이 있고, 많은 기업들이 이런 식으로 정보가 유출당하는 사고를 낸다고 말했다. 정 교수는 현재 국회에 계류 중인 전자금융거래법 개정안이 빨리 처리돼 정보보안최고책임자(CISO)를 신설하는 것도 대안이 될 수 있다고 말했다. 김경두·오달란기자 golders@seoul.co.kr

금융 당국의 발걸음이 빨라지고 있다. 김석동 금융위원장과 권혁세 금융감독원장은 18일 은행회관에서 5대 금융지주 회장들과 긴급 회동을 갖고 금융 보안 대란 등 각종 금융 현안을 논의할 예정이다. 금융 당국 수장들이 함께 민간 금융회사 최고경영자(CEO)들과 공식 회동하는 것은 매우 이례적인 일이다. 은행 쪽 참석자는 이팔성 우리금융지주 회장, 한동우 신한금융지주 회장, 김승유 하나금융지주 회장, 어윤대 KB금융지주 회장, 강만수 산은금융지주 회장이다. 김 위원장이 이번 간담회를 통해 ▲금융회사 전산 보안 ▲부동산 프로젝트파이낸싱(PF) 대출 및 건설사 부실 문제 ▲가계 부채 연착륙 ▲서민 금융 기반 강화 ▲신용카드 부문 과당 경쟁 등 금융 관련 현안에 대한 의견을 나누고, 시장 안정을 위해 금융권이 적극 협력하고 대응해 줄 것을 당부할 예정이라고 금융위는 설명했다. 금융 보안 대란과 관련해 전문가들은 ‘제2의 농협’ 사태가 일어나지 않기 위해서 국회와 당국도 제 역할을 해야 한다고 지적한다. 최근 국회에 제출된 전자금융거래법 개정안이 조속히 처리돼야 한다는 이야기도 나온다. 금융회사는 정보보호 최고책임자(CISO) 지정을 의무화하고, CISO는 전산 시스템 운용에 필요한 인력과 예산 편성 및 관련 계획을 수립하도록 개정안은 규정하고 있다. 개정안을 발의한 이성헌 한나라당 의원 측은 17일 “금융권은 보안을 최대화해야 하는데 가급적 최소화하고 있으며, 해킹을 당해도 재수가 없다고 생각하는 경향이 있다.”면서 “국회에서도 금융 보안에 대한 관심이 부족했는데 입법 과정을 최대한 서둘러 조속히 법이 시행되도록 해야 한다.”고 말했다. 금융회사의 정보 보호 인력과 예산 부족도 문제지만 금융 당국의 인력 상황도 크게 다르지 않다. 금감원이 정보기술(IT) 부문 검사를 해야 할 금융회사는 180개지만 담당 직원은 11명뿐이다. 한때 금감원 내에 IT 검사국이 독립적으로 존재하기도 했으나 현재는 IT 검사실로 축소된 상태다. 사고가 났을 때 검사를 나가도 보조적인 역할을 하는 데 그치고 있다. 금융 당국의 인력 증강은 물론 금융권 감독도 강화해야 한다는 의견도 나온다. 금융 당국은 2005년 국내에서는 처음으로 인터넷 뱅킹 해킹 사건이 일어났을 때 종합대책의 하나로 금융기관의 전체 IT 예산 가운데 정보 보호 예산을 3% 이상, 전체 IT 인력 가운데 정보 보호 인력을 3% 이상 유지하도록 행정 지도했다. 2009년 디도스 공격 사태 이후에는 이 비율을 각각 5%로 강화했다. 이러한 가이드라인에 대한 관리 감독이 제대로 이뤄졌더라면 농협 사태를 방지할 수도 있었다는 게 전문가들의 중론이다. 홍지민기자 icarus@seoul.co.kr

농협 전산망 마비는 외부 해커에 의해 바이러스에 감염된 좀비PC(악성코드 감염 컴퓨터)가 부차적으로 일으킨 해킹에 따른 것으로 확인됐다. 북한 해커의 소행으로 밝혀진 두 차례의 분산서비스거부(디도스:DDos) 공격과의 관련성도 배제할 수 없다는 지적이 나오고 있다. 검찰도 좀비PC의 공격 가능성에 무게를 두고, 이를 밝히기 위해 2차 해킹을 실행한 한국 IBM 직원의 노트북을 복원하는 데 주력하고 있다. 신원불상의 해커는 농협 내·외부 직원들의 개인PC를 감염시켜 중앙서버까지 제어할 수 있었던 것으로 알려져, 농협 보안 체계에 대대적인 혁신이 필요하다는 지적이 나오고 있다. 15일 수사당국에 따르면 농협 전산망 먹통 사태는 외부 해커에 의해 좀비PC가 된 한국 IBM 직원의 노트북을 통해 일어났다. 수사당국 관계자는 “농협 전산망 해킹은 꼬리에 꼬리를 무는 하도급 관행이 초래했다.”면서 “해커가 감염시킨 농협 직원의 좀비PC로 중앙서버까지 제어할 수 있을 정도로 농협 보안망이 허술하다.”고 지적했다. 한편 이번 해킹 사건을 수사 중인 서울중앙지검 첨단범죄수사2부(부장 김용대)는 농협 전산망의 마비를 초래한 외주 직원의 노트북 하드디스크 복구에 힘을 쏟고 있다. 검찰 관계자는 “단순 사고나 과실일 수도 있지만 한국 IBM 직원의 노트북이 ‘좀비 PC’일 수도 있다.”면서 “농협에서 가져온 폐쇄회로 (CCTV)나 직원들의 휴대전화 통화 내역도 분석하고 있지만 노트북 하드디스크를 복원하는 게 관건”이라고 밝혔다. 또 “지난 12일 농협 전산망이 마비된 시점에 노트북 내에 가동된 프로그램을 복원하고 있다.”면서 “복원에는 7~10일 정도 걸릴 것”이라고 말했다. 농협 내·외부 직원들의 공모, 외부 직원의 테러 여부 등도 노트북 복원을 통해 최종 로그인한 시간을 파악하면 확인할 수 있다고 검찰은 설명했다. 김승훈기자 hunnam@seoul.co.kr

“금융보안은 비용이 아니라 투자입니다. 금융기관 최고경영자(CEO)의 보안 마인드부터 달라져야 합니다.” 우리나라 전체 금융거래 가운데 80%가 비대면 거래로 이뤄진다. 창구에서 직원과 마주하는 대면거래가 아닌, 인터넷 뱅킹, 인터넷 결제, 모바일 결제 등이 그만큼 많다는 얘기다. 선진국의 비대면거래 비율이 50% 안팎인 점을 고려하면 엄청난 규모가 아닐 수 없다. 이러한 상황에 현대캐피탈 고객 정보 해킹 사건에 이어 농협 전산 장애 사태가 잇따르며 국내 금융 소비자들이 불안해하고 있다. 근본적인 대책은 없는 것일까. 14일 서울 여의도에서 만난 곽창규(55) 금융보안연구원장은 금융보안을 위한 예산을 쓰면 아까운 비용으로 여기는 금융기관 CEO의 마인드부터 바뀌어야 한다고 강조했다. →금융보안은 왜 중요한가. -전자금융은 편리하지만 그 이면에서는 사고가 지속적으로 발생하고 있다. 최근 들어서는 금전적 목적의 해킹 공격이 증가하고 점차 조직화되고 있다. 새로운 공격 기술이 나오는 주기도 점점 짧아지고 있다. 그러한 가운데 모바일 오피스 등 새로운 비즈니스 환경과 스마트폰 등 새로운 전자금융 거래 수단의 등장은 금융권에 새로운 과제를 던진다. 금융기관을 대상으로 한 사이버테러 발생 시 전자금융 서비스 지연 및 중단 등으로 일어나는 사회적 혼란과 경제적인 피해는 다른 어떤 분야보다 심각하다. →현대캐피탈에 이어 농협까지 사고가 잇따르고 있다. 우리 정보기술(IT) 수준이 낮아서인가. -그렇지 않다. 우리 기술 수준은 세계 최고다. 그래서 상대적으로 해외 해커들의 타깃이 되기도 한다. 그동안 전자금융거래 이용률 대비 해킹 사고 횟수를 살펴보면 전자금융시스템 보안은 상대적으로 잘 구축되어 있는 편이다. 하지만 경영자층의 보안 의식이 뒤따르지 못하고 있다. 특히 캐피털사 등 제2금융권의 정보보호 예산 및 인력 규모는 금융당국이 제시하는 가이드라인에 미치지 못하고 있는 상황이다. 적극적인 지원과 투자가 필요하다. →두 사건이 일으키고 있는 파장이 엄청난데. -현대캐피탈은 과거 사고에 견줘 대량의 금융정보가 유출됐다는 점에서 주의해야 한다. 신속한 후속 조치로 추가 피해는 막았지만, 유출된 정보를 통해 피싱 등의 2차 피해가 일어날 수 있기 때문에 주의가 필요하다. 농협 수준의 전산 장애는 사상 처음이다. 금융당국의 조사와 검찰 수사 결과가 나와 봐야 하겠지만 외부에서 내부 서버에 침입했다기보다는 내부 소행, 관리 소홀로 여겨진다. →개별 기관으로 대응하기보다는 업권별로 공동 대응해야 한다는 의견도 나오는데. -은행권역에서는 금융결제원, 증권권역에서는 코스콤이 전담해 디도스 및 해킹 공격 등에 대비하고 있다. 제2금융권의 소규모 회사의 경우 자체적으로 대응하기 어려운 게 현실이기 때문에 공동 대응을 전담하는 기관이 필요하다고 본다. →금융기관이 의무적으로 정보보호최고책임자(CISO)를 임명하는 법안이 추진되고 있는데. -국내 정보보호업무 담당자들은 책임만 있고 권한이 없는 경우가 많다. 책임을 지려면 합당한 권한이 있어야 한다. 이를 뒷받침해 주는 법적인 제도가 필요하다고 생각한다. →이번 사태가 주는 교훈은. -모든 금융권이 보안을 재점검하고 금융보안의 중요성을 다시 한번 인식하는 계기가 돼야 한다. 사실 사고가 날 때마다 호들갑을 떨다가도 시간이 지나가면 흐지부지되는 측면이 없지 않았다. 그래서는 안 된다. 정부도 마찬가지다. 홍지민·오달란기자 icarus@seoul.co.kr

검찰과 금융감독원은 14일 전산장애로 금융업무가 사흘째 마비된 농협중앙회 조사에 착수했다. 사상 최악의 금융권 전산사고로 기록될 이번 사건은 풀어야 할 궁금증이 산적해 있다. 아직도 누가, 왜, 어떻게 전산장애를 일으켰는지 실마리조차 나오지 않고 있다. 전문가들의 조언을 통해 궁금증을 짚어 본다. 가장 큰 의문은 농협의 전산 서버를 철저히 망가뜨린 사람이 누구냐 하는 점이다. 농협은 이번 사태가 협력업체 IBM 직원 A씨의 노트북 컴퓨터에서 모든 시스템파일을 삭제하는 명령이 내려져 발생했다고 밝혔다. 그러나 A씨는 “그런 명령어를 입력한 적이 없다.”고 부인한 것으로 알려졌다. A씨의 고의나 실수가 아니라면 그의 노트북이 농협 내·외부 세력에 의해 해킹됐을 수도 있다. 전문가들은 한대의 노트북으로 단 한번의 명령을 내려 한 은행의 전산시스템을 초토화하는 것은 불가능하다며 계획 범죄의 가능성을 제기했다. 한 금융보안 전문가는 “하나의 명령어로 특정 서버를 마비시킬 수 있지만 은행 전산망과 장비가 여러 지역에 분산돼 있기 때문에” 전 시스템을 통제하는 것은 불가능하다.”고 말했다. 따라서 특정 세력이 은행 지점, 자동입출금기(ATM), 인터넷뱅킹의 거래정보가 중계서버로 이동하는 전산통로 등에 악성코드를 미리 심어 놓고 특정 시간에 서버를 파괴하도록 ‘시한폭탄’을 설치했을 거라는 추정이 가능하다. 해커들이 좀비컴퓨터(PC)를 조종하는 디도스(DDos) 공격과 비슷한 방식이다. 누군가가 의도적으로 전산장애를 일으켰다면 개인정보 유출을 노린 게 아니냐는 의문이 제기될 수 있다. A씨의 노트북은 ‘슈퍼 유저’의 자격을 얻은 것으로 보인다. 슈퍼 유저란 보통 전산시스템을 총괄하는 관리책임자의 접속 권한을 말한다. 한 IT 전문가는 “슈퍼 유저로 접속했다면 사실상 하고 싶은 것은 모두 할 수 있다. 개인 금융거래 정보를 유출한 뒤 삭제하는 것도 가능하다.”고 말했다. 노트북이 제3의 해킹세력의 조종을 받고 있었다면 이 노트북의 아이피(IP) 주소를 경유해 외부로 정보를 빼낼 수도 있다는 것이다. 이에 대해 전태민 농협 IT본부분사 시스템부장은 “해당 노트북은 농협 내부망용으로 바깥 망에 접속할 수 없다.”고 해명했다. 세 번째 의문은 복구가 너무 지연되고 있다는 것이다. 농협은 중계 서버에만 장애가 발생했다고 밝혔지만 전문가들은 금융거래 내역이 집합되는 원장(메인 서버)과 재해복구(DR) 서버까지 심각하게 손상된 것으로 보고 있다. 보통 전산장애가 발생하면 메인 서버의 전원을 껐다 켠다. 자료는 백업 저장이 되기 때문에 거래 내역이 고스란히 남아야 한다. 하지만 농협의 경우 이 데이터가 상당부분 날아갔다. 운영시스템(OS)을 처음부터 깔고 다시 자료를 입력하고 있어 복구가 더뎌지고 있다. 또한 밝혀지지 않은 이유로 DS 서버까지 망가지면서 단시간 복구가 어렵게 됐다. 전 부장은 “금융·경제사업 및 단위조합의 서버가 통합관리되고 있어 농협의 서버 용량이 시중은행의 3배에 달한다.”면서 “노트북 삭제 명령이 전체 553개 서버 가운데 275개를 파괴해 복구가 지체됐다.”고 설명했다. 농협이 그동안 전산 관리에 허술했다는 지적이 나올 수밖에 없다. 농협은 전산 유지와 보수관리를 IBM을 포함, 3개 외부 업체에 맡기고 있다. 운영비 절감 차원에서다. 협력업체 직원에게 지나치게 많은 권한을 부여했다는 비판도 나온다. A씨는 전체 서버의 상황을 모니터링하는 역할을 맡았는데 문제의 발단이 된 노트북을 외부로 반출할 수 있었던 것으로 알려졌다. 외부에서 노트북 시스템이 조작될 수 있었다는 얘기다. 홍희경·오달란기자 dallan@seoul.co.kr

2005년 5월 국내 최초로 발생한 인터넷뱅킹 해킹 사고를 계기로 정부가 추진한 전자금융거래 안전성 강화 종합대책에 따라 설립된 금융정보보호 전문기관이다. 비영리사단법인으로 2006년 12월 정식으로 문을 열고 올해로 5년 차를 맞았다. 연구원은 금융부문 정보기술(IT) 및 전자금융업무 전반에 대한 정책 연구 및 기술 지원을 통해 안전하고 편리한 전자금융거래 환경을 조성하는 역할을 맡고 있다. 현재 국내 131개 금융회사가 회원사로 가입돼 있다. 연구원은 인터넷 홈페이지·무선랜 취약점 분석, 디도스 공격 대응, 보안 적합성 시험, IT 컴플라이언스 지원, OTP 통합인증센터 운영 등 다양한 서비스를 회원사에 제공하고 있다. 또 안전한 전자 금융거래를 위한 정보 제공과 함께 대 국민교육 및 캠페인 등을 전개해 국내 금융 IT 환경의 보안 수준을 높이고 있다. 홍지민기자 icarus@seoul.co.kr

금융당국이 현대캐피탈 고객 정보 해킹 사건을 계기로 금융회사의 정보 보안 관련 인력 및 예산 확대를 적극적으로 유도키로 했다. 이와 함께 금융당국 내 정보기술(IT) 검사 인력도 확충할 예정이다. 금융감독원은 12일 이같은 내용을 담은 IT 부문 업무계획을 추진한다고 밝혔다. 금감원은 우선 각 금융회사가 정보보호 전담 조직과 인력을 운영하는지 여부를 확인해 경영실태 평가에 반영할 계획이다. 현재 은행권에서는 독립적인 조직이 정보보호 업무를 맡고 있으나, 제2금융권에서는 그렇지 않은 경우가 대부분이다. 이와 함께 금감원은 지난해 디도스(분산서비스 거부) 공격 사태 뒤 각 금융회사의 정보보호 예산을 전체 IT 예산의 5%까지 확보하고, 정보보호 인력을 전체 IT 인력의 5% 이상 두도록 권고한 행정 지도 사항도 경영실태 평가에 반영할 방침이다. 최근 금융회사들이 정보보호 예산을 조금씩 삭감하는 추세를 고려한 조치로 보인다. 이와 관련, 금감원은 모호한 정보보호 예산의 범위를 명확하게 하기 위해 기준을 만들고, 대규모 IT 설비투자가 이뤄지면 정보보호 예산 비율이 낮아질 수 있는 문제 등을 개선하기로 했다. 금융위원회는 전자금융거래법이나 전자금융감독규정을 고쳐 이를 의무화하는 방안을 검토하고 있다. 금융회사 정보보호 업무를 검사하는 금감원의 인력도 늘어날 것으로 보인다. 금감원 IT서비스실은 현재 검사 인력이 11명인데, 검사 대상인 금융회사가 600여개에 이르는 점을 감안하면 턱없이 부족한 수준이다. 홍지민기자 icarus@seoul.co.kr

경찰은 지난달 3~5일 청와대·국방부 등 주요 웹사이트 40곳을 노린 ‘분산서비스거부’(디도스:DDos) 공격을 2년 전 ‘7·7 디도스 대란’을 일으킨 동일범의 소행으로 확인했다. 경찰은 북한 체신성(통신관리 및 기술개발을 담당하는 부서)이 저질렀을 가능성에 무게를 두고 있다. 경찰청 사이버테러대응센터는 6일 “악성코드 유포 사이트와 국내 감염 좀비 PC, 외국 공격명령 서버를 정밀 분석한 결과 공격 체계와 방식, 악성코드 설계방식과 통신방식이 2009년 7월 7일 발생한 디도스 공격과 일치한다.”고 밝혔다. 2009년 7월 7∼9일 61개국에서 435대의 서버를 이용해 한국과 미국 주요기관 35곳의 사이트를 해킹한 ‘7·7 디도스 공격’의 공격 근원지는 중국에 있는 북한 체신성으로 확인됐다. 반면 이번 디도스 공격의 근원지는 북한 체신성이 아니라 중국 통신사이지만, 7·7 디도스 공격에서 활용된 외국 공격 명령 서버의 일부가 같은 것으로 나타났다. 때문에 이번 공격도 북한 소행으로 볼 수 있다는 것이 경찰의 설명이다. 경찰청 관계자는 “전 세계 IP 주소는 42억개 이상이다. 공개되지 않은 ‘7·7 디도스 공격’의 외국 공격 명령 서버와 동일한 IP를 사용한 것은 동일범이 아니면 불가능하다.”고 밝혔다. 하지만 이 관계자는 “이번 디도스 공격의 범행 주체에 대한 정확한 실체를 밝혀내기는 어렵다.”고 덧붙였다. 경찰은 보다 명확한 증거를 확보하기 위해 중국 공안 등과 공조 수사에 나설 계획이다. 김동현기자 moses@seoul.co.kr

스마트폰 메신저인 카카오톡의 안드로이드 특정 버전에서 ‘스니핑’(sniffing·네트워크상의 정보를 가로채는 행위)을 통해 문자 내용이 해킹되는 보안 취약점이 드러났다. 대량의 트래픽을 유발하는 디도스(DDoS·분산서비스거부) 공격까지 가능한 것으로 나타났다. 카카오톡은 해당 안드로이드용 버전에 대한 서비스를 중단했다. 네트워크 보안솔루션업체인 윈스테크넷은 4일 “카카오톡 안드로이드용 1.3.4 버전에서 한시적으로 데이터 패킷을 암호화하지 못하는 취약점이 발견됐다.”며 “해당 버전의 카카오톡 사용자들에 대해 보안 주의를 권고했다.”고 밝혔다. 윈스테크넷에 따르면 안드로이드용 카카오톡 1.3.4 버전은 무선 인터넷망(Wi-Fi) 환경에서 사용할 때 초기 부팅에서 특정 시간까지 암호화가 되지 않은 상태로 데이터를 전송하고 있다. 카카오톡은 1.3.4 버전은 전체 사용자의 1%에 불과하다고 해명했다. 안드로이드용 카카오톡의 경우 스니핑 기법으로 문자메시지가 해킹될 수 있다. 또 해킹된 데이터를 조작해 불특정 다수의 스마트폰 사용자에게 특정 메시지를 삽입해 대량으로 살포하는 ‘메일 폭탄’과 카카오톡 서버를 대상으로 대량의 트래픽을 전송하는 디도스 공격에 악용될 수 있다. 카카오톡의 스니핑 등 보안 취약점은 이번에 처음 제기된 문제가 아니다. 서울신문은 지난 3월 23일 자 지면(1·4·5면)을 통해 보안전문업체의 테스트 결과 카카오톡 안드로이드 버전에서 문자메시지 등 대화 내용을 해킹하는 것이 가능했다고 보도했다. 당시 네이버톡과 다음 마이피플의 메신저 서비스는 해킹에 안전한 것으로 나타났다. 손동식 윈스테크넷 이사는 “카카오톡이 자사 서비스의 보안 취약점에 대해 전혀 인식하지 못하고 있었다.”며 “1.3.4 버전뿐 아니라 현재 버전인 2.4.1에 대해 해킹 취약점을 추가로 분석할 계획”이라고 말했다. 윈스테크넷은 지난달 30일 카카오톡에 분석 내용을 전달했고, 카카오톡은 해당 안드로이드 버전 등 일부 버전에 대해 서비스 중단 조치를 취했다. 안동환기자 ipsofacto@seoul.co.kr

한국교육방송공사(EBS) 수능 강의사이트를 마비시킨 ‘분산서비스거부(DDoS·디도스)’ 공격은 고교 3학년 수험생이 호기심에 저지른 것으로 드러났다. 경찰청 사이버테러대응센터는 지난 20일부터 이틀에 걸쳐 수능강의 사이트(www.ebsi.co.kr)를 디도스 공격한 고교생 김모(17)군을 정보통신망 이용촉진 및 정보보호 등에 관한 법률위반 등의 혐의로 입건했다고 28일 밝혔다. 조사 결과 평소 온라인게임 해킹 등에 관심이 많았던 김 군은 몇달 전 담임교사에게 꾸지람을 듣고 화가 나 학교 홈페이지를 디도스 공격으로 마비시킨 다음 대형 사이트 보안에 대한 호기심으로 범행을 저질렀다. 백민경기자 white@seoul.co.kr

지난해 인터넷 이용자 10명 중 1.5명꼴로 해킹 피해를, 3.4명은 바이러스 피해를 경험한 것으로 나타났다. 또 인터넷 이용자의 90.7%가 스마트폰 보안 문제가 심각한 것으로 인식하고 있으며, 84.9%는 ‘소셜네트워크서비스(SNS)’의 보안 피해도 우려했다. 24일 방송통신위원회와 한국인터넷진흥원(KISA)의 ‘2010년 정보보호실태 및 정보보호 지수’ 조사에 따르면 지난해 해킹 피해를 본 인터넷 이용자는 14.0%로 집계됐다. 해킹·바이러스, 스파이웨어 등의 연간 피해 횟수는 평균 6.9회로 나타났다. 개인정보 침해는 연간 평균 4.77회로 17.1%가 경험했고, 이 가운데 사업자 관리 소홀로 인한 개인정보 유출이 전체의 67.3%에 달했다. 그러나 침해사고 피해를 경험한 인터넷 이용자 중 신고한 사용자는 해킹 48.3%, 애드웨어·스파이웨어 22.7%, 웜·바이러스 22.6%에 그쳐 여전히 침해 사고에 대한 인식이 낮은 수준에 머물고 있다. 보안 침해 사고로 인한 피해 기업도 적지 않았다. 전체 조사 기업의 12.6%가 인터넷 침해 사고를 경험했고, 직원 250명 이상의 기업은 50명 미만의 소기업보다 4~5배 많은 해킹, 디도스(DDoS·분산서비스거부) 공격 피해를 당한 것으로 나타났다. 기업의 보안 피해액도 2009년 대비 26.2%가 늘어난 것으로 조사됐다. 국내 기업의 85.5%가 사내 정보보호를 전담하는 조직이 없으며 74.2%가 기업 내 정보보호를 위한 대책을 수립하지 않고 있다. 지난해 국가 정보보호지수는 80.5점으로 전년 73.9점보다 6.6점이 상승해 다소 개선된 것으로 나타났다. 정보보호 실태조사는 전국 12~59세 인터넷 이용자 5422명에 대한 온라인 조사와 종사자 5인 이상 6529개 기업에 대한 방문 조사로 이뤄졌다. 안동환기자 ipsofacto@seoul.co.kr

블랙 컨슈머(black consumer). 나쁜 소비자를 일컫는다. 고의로 상품의 하자를 문제삼는다. 보상금을 노리기도 한다. 생산자에겐 무서운 존재다. 자칫하면 치명적인 피해가 따른다. 지난해 쥐식빵 파문은 여기서 진화한 사건이다. 빵가게 주인이 소비자처럼 위장했다. 이웃 빵가게의 식빵에 쥐를 넣어 거짓 고발했다. 경쟁업체에 타격을 주려는 잔꾀였다. 소비자 주권을 범죄 수단으로 악용했다. 자작극은 블랙 컨슈머의 변형이다. 블랙 해커(black hacker). 이를테면 나쁜 해커다. 갖가지 사이버 폭력을 일삼는다. 남의 컴퓨터를 침입하는 존재다. 인터넷 시스템을 파괴한다. 악의(惡意)를 담고 있다. 크래커(cracker)로도 불린다. 화이트 해커(white hacker), 즉 착한 해커와 대비된다. 프랑스 외인부대는 용병으로 운용된다. 이를 글로벌 기업화한 회사가 있다. 블랙 워터(black water). 미국의 용병 회사다. 이를테면 전쟁 청부회사다. 세계 최대의 규모를 자랑한다. 무대는 국경을 초월한다. 사이버 범죄가 지능화되고 있다. 디도스(DDos·분산 서비스 거부)가 요즘엔 골칫거리다. 정부기관, 기업체, 개인 PC 등을 무차별 공격한다. 네트워크 공격 가운데 3분의1에 이른다. 그러다 보니 요즘 업계의 공공연한 비밀이 생겼다. 디도스 공격을 당하면 경쟁업체부터 의심한다고 한다. 디도스 공격은 주로 중국발(發)이다. 청부 해커들이 그 일을 맡는다. 한글로 운영되는 중국 사이트들에서 거래가 이뤄진다. 해커를 구하는 광고를 버젓이 올린다. 디도스 공격용 등 용도를 적시하기도 한다. 청부 바이러스 제작도 등장했다. 사이버 범죄는 끝 모르게 진화 중이다. 아이템베이의 디도스 사건을 보자. 2008~2009년 게임업계를 뒤흔들었다. 피해액은 무려 1400억원에 이른다. 지난해 말에야 전말이 드러났다. 경쟁사 사주를 받은 중국 지린성 해커들의 소행이라고 한다. ‘블랙’의 종합판이다. 블랙 해커를 동원했으니 청부 범죄다. 경쟁업체를 위협했으니 블랙 컨슈머의 변형이다. 블랙 워터처럼 국경을 넘나든다. 사이버 블랙 마켓(black market). 블랙들이 날뛰는 공간이다. 개인 정보를 불법 거래하는 데 머물지 않는다. 대형화하고 조직화하는 추세다. 오프라인 범죄까지 가세하고 있다. 두 경계가 무너지면 더 위험하다. ‘크라임 웨어’, 즉 범죄 소프트웨어는 더 다양해진다. 대책 마련이 시급하다. 사이버 인터폴이 필요하다. 국제 공조를 서둘러야 한다. 박대출 논설위원 dcpark@seoul.co.kr

스마트폰은 휴대전화 기능을 갖춘 컴퓨터다. 스마트폰도 일반 PC와 마찬가지로 ‘디도스’(DDoS·분산서비스거부) 바이러스에 감염되면 해커의 의도대로 특정 사이트를 공격하는 ‘좀비폰’으로 바뀔 수 있다. 22일 보안업계에 따르면 스마트폰 보안 현실은 위험 수위를 넘어선 상태로 지난해 8월 국내 안드로이드 전용 악성코드가 처음 출현한 후 현재까지 발견된 악성코드는 2151개에 달한다. 국내에서는 지난해 스마트폰 155대가 악성코드인 ‘트레드다이얼’에 감염됐다. 악성코드는 사용자도 모르게 50초 단위로 국제전화를 걸어 요금을 지급하도록 했다. 최근에는 유료 과금 전화로 문자메시지(SMS)를 보내는 바이러스와 스마트폰 통화 내용을 녹음하는 악성코드가 나타났다. ‘3·4 디도스 공격’처럼 스마트폰을 통한 디도스 공격 우려도 커지고 있다. 특히 스마트폰을 기반으로 한 모바일 인터넷전화(mVoIP) 서비스의 보안 취약점도 원인이 된다. 무선랜(와이파이)이 더 많은 위협에 노출돼 있어 스마트폰으로 착신 전화를 할 때 해커에 의해 좀비폰으로 둔갑하면서 디도스 공격에 악용될 수 있다. 이형우 한신대 교수는 “현재 mVoIP 서비스 업체들이 인증을 강화하기 위한 암호화 작업을 거의 하지 못하고 있는 상황”이라면서 “악성코드에 감염된 스마트폰이 사용자의 의지와 상관없이 특정 사이트에 대량 접속하면 서버가 검증하지 못해 좀비폰으로 인한 ‘디도스 대란’이 발생할 수 있다.”고 우려했다. 국내외 안드로이드 마켓에서 발견된 악성코드 10개 중 9개는 ‘메이드 인 차이나’이다. 검증이 안 된 중국산 애플리케이션(앱)을 내려받다가 좀비폰으로 둔갑할 수 있다. 정현철 한국인터넷진흥원(KISA) 인터넷전화 보안팀장은 “스마트폰의 운영체제(OS)와 앱이 많이 공개돼 전문가가 클릭 몇번만 하면 악성코드가 만들어진다.”며 “해커가 좀비폰으로 디도스 공격을 시도하면 그 파괴력은 좀비 PC를 동원한 공격 수준을 뛰어넘을 것”이라고 말했다. 이두걸기자 douzirl@seoul.co.kr

지난 2월 스마트폰을 장만한 윤모(33·여)씨는 요즘 친구들과 모바일 인터넷전화(mVoIP)와 카카오톡으로 대화하는 재미에 푹 빠졌다. 요금이 무료인 데다가 무선인터넷망인 와이파이존에서는 언제 어디서나 통신이 가능하기 때문이다. 친구의 험담에서부터 가끔은 돈거래도 한다. 윤씨는 단 한번도 자신의 통화를 누군가 엿들을 수 있다고 생각하지 않았다. 하지만 스마트폰 인터넷 통화나 문자 전송도 절대 안심하면 안 된다. 무료 통화 및 메시지 전송 기능으로 국내 1000만 스마트폰 사용자에게 빠르게 확산 중인 mVoIP와 ‘스마트폰 메신저’가 도청 및 스니핑(sniffing)에 무방비로 노출된 것으로 드러났다. 서울신문이 지난달 1일부터 한달 동안 국내 주요 mVoIP 서비스 6개와 카카오톡 등 메신저 4개에 대한 와이파이망 등 무선랜 환경에서의 도청·스니핑 테스트를 한 결과 국내 기술로 개발된 mVoIP는 모두 수·발신 대화 내용이 도청된 것으로 22일 확인됐다. 국내외 930만명의 가입자를 둔 카카오톡은 안드로이드 애플리케이션에서 가입자 간 문자 채팅 내용이 스니핑됐다. 도청·스니핑 검증은 국내 모바일 보안업체인 쉬프트웍스가 수행했고, 한달에 세번 반복 테스트했다. 반면 해외 mVoIP인 스카이프와 바이버는 독자적인 프로토콜(통신규약)로 도청 및 스니핑을 차단했다. 국내 mVoIP인 다음 마이피플, 수다폰, 올리브폰, 터치링은 국제 표준 프로토콜을 쓰지만 데이터 패킷을 암호화하지 않아 양쪽의 통화 내용을 도청할 수 있었다. 보안 전문가들은 국내 mVoIP들이 품질보다 가입자 경쟁에만 치중하고 있다고 지적한다. 약관에도 무선 통화의 보안 취약성에 대한 기본적인 안내나 경고가 없다. 취재팀의 보안 취약성 제기에 일부 업체는 보안 패치나 암호화 기술을 곧바로 적용하겠다고 응답했다. 보안을 강화할 수 있는데도 하지 않은 것이다. 도청·스니핑 피해는 고스란히 소비자의 몫이어서 자칫 국내 mVoIP가 900만명(중복 포함)에 달하는 이용자들로부터 외면받을 수 있다는 우려도 나온다. 이형우 한신대 컴퓨터공학부 교수는 “국내 mVoIP가 급성장하고 있는 가운데 기존의 디도스(DDoS·분산서비스 거부) 공격 등 인터넷망에 대한 테러뿐 아니라 mVoIP 도청, 스마트폰 개인정보 유출, 좀비폰 등장 등 모바일 공격이 본격화될 것”이라고 경고했다. 안동환기자 ipsofacto@seoul.co.kr [용어 클릭] ●모바일인터넷전화(mVoIP) 무선랜(와이파이) 등 무선 인터넷망을 통해 인터넷전화(VoIP)를 할 수 있는 기술. 애플리케이션을 내려받은 스마트폰 사용자끼리 무료 통화가 가능하다. 음성통화뿐 아니라 메신저 기능이 통합되면서 무료 문자 전송도 가능하다. ●스니핑(sniffing) ‘냄새를 맡다.’는 뜻. 일종의 해킹 기법으로 네트워크상에 오가는 정보를 중간에서 훔치는 행위다. 메신저·무선 패킷·와이파이 스니핑 등으로 발전하고 있다.

　EBS는 EBSi 수능강의 사이트가 20∼22일 3차례에 걸쳐 디도스(DDos) 공격을 받아 관련 주요 IP주소를 파악해 경찰청 사이버수사대에 수사 의뢰했다고 22일 밝혔다. 　EBS는 지난 20일 오후 10시부터 디도스 공격이 발생한 사실을 확인한 뒤 비정상적인 접속 로그를 확인, 서버 리부팅 및 디도스 방어장비 설정을 조정해 21일 오전 2시쯤 사이트를 정상화시켰다. 　하지만 21일 오후 6시16분부터 제2차 디도스 공격이 시작돼 EBSi 로딩 장애가 발생하자 EBS는 방송통신위원회에 협조 요청을 보냈다. 이어 한국인터넷진흥원(KISA)와 협의해 KISA의 디도스 클린 존(사이버 대피소)을 통해 수험생들이 우회 접속하도록 유도, 오후 7시40분쯤 사이트를 재차 정상화시켰다. 　그러나 이날 오후 10시50분부터 EBSi 수능강의 사이트의 강의 목록에 대한 집중적인 디도스 공격이 다시 발생,사이트 장애가 22일 밤 0시40분까지 지속됐다. 　한편 전국 4년제 대학의 협의체인 한국대학교육협의회 홈페이지도 지난 16일 오후 5시부터 1시간 가량 디도스 공격을 받아 접속이 늦려지는 현상이 빚어졌던 것으로 뒤늦게 알려졌다. 　인터넷서울신문 event@seoul.co.kr

안철수 카이스트 석좌교수는 뭐든지 완벽하게 이해하고 알게 될 때까지 끊임없이 반복하는 완벽주의자로 유명하다. 어린 시절 새가 알을 품어 새끼를 깐다는 얘기를 듣고는 에디슨처럼 메추리알을 가슴에 품고 이불 속에서 잠들었다는 에피소드가 전한다. 바둑을 배울 때 잘 두는 사람의 지도를 받기보다 먼저 책을 50권쯤 읽어 이론을 익힌 다음 바둑알을 잡았고, 컴퓨터도 먼저 책을 사 읽고 모르는 부분에 빨간줄을 그어 가며 공부한 뒤 기계를 샀다고 한다. 1991년 군에 입대하는 날에도 새벽까지 컴퓨터 바이러스와 씨름하다 열차에 오르는 바람에 가족들에게 군대 간다는 말도 못하고 나왔다는 이야기도 있다. 최근에는 전문기술을 완벽하게 알기 위해 어려움을 자청했다는 ‘안철수식 공부법’이 화제가 되고 있다. 바이러스 백신을 만들기 위해서는 매달 최첨단 기술이 나올 때마다 새로 익혀야 하는데, 공부할 시간이 여의치 않았던 안 교수가 택한 방법은 잡지사에 전화해 해당 기술에 대한 칼럼을 기고하겠다고 나서는 것이다. 그렇게 스스로에게 강제로 책임감을 부여해 원고 마감 때까지 죽을 고생을 해 공부하면서 결국 해당 기술을 완벽하게 익혀 나갈 수 있었다. 그가 좋아한다는 ‘큰 힘에는 책임이 따른다.’는 영화 ‘스파이더맨’의 대사처럼 해당 분야에 대해 완벽하게 알고 있어야만 언급을 하는 것으로도 유명하다. 잘 알지 못하는 분야를 섣부르게 언급했다가 ‘선무당이 사람 잡는’ 잘못을 저지르지 않기 위한 그만의 원칙이다. 그래서일까. 안 교수는 ‘3·4 디도스’ 공격과 관련해서도 말을 아꼈다. 자타가 공인하는 보안업계 1인자임에도 “카이스트 교수로 부임하면서 안철수연구소 현업에서 손을 뗀 지 3년이나 됐고, 김홍선 최고경영자(CEO) 등이 연구소를 잘 운영하고 있기 때문에 내가 나서서 할 이야기가 없다.”는 이유에서였다. 대전 류지영기자 superryu@seoul.co.kr

지난 4일 발생한 디도스(분산서비스거부) 공격 사태는 2009년 ‘7·7디도스’ 때와 같은 통신대란을 일으키진 않았지만, 보안 인력과 정부 간 협력체제 등 우리나라의 전반적인 사회 보안 시스템이 여전히 취약하다는 점을 다시 한번 보여 줬다. 디도스 공격이 개시된 직후인 지난 5일 한국의 대표적 보안업체 안철수연구소를 설립한 안철수 카이스트(KAIST) 석좌교수를 찾아 디도스 등 국내 정보기술(IT)에 대한 생각을 들어 봤다. 안 교수는 ‘3·4 디도스 사태’에 대한 정부 대응과 관련한 IT 컨트롤타워 부재 논란을 의식한 듯 “정부가 하루빨리 옛 정보통신부와 같은 IT 선제대응 조직을 복원해야 한다.”고 강조했다. 대통령 등 의사결정권자가 열린 자세를 보여 주면 이전과 달리 정부에 참여하는 것도 고려해 보겠다고 말했다. 다음은 안 교수와의 일문일답. →이명박 정부가 출범한 2008년 이후 한국의 IT 경쟁력이 약화됐다는 뜻으로 안 교수가 쓰고 있는 ‘잃어버린 3년’이란 표현이 정치권에서 공방을 야기하고 있는데. -이 말이 ‘현 정부와 대통령을 비난하기 위한 것 아니냐.’는 오해를 풀고 싶다. ‘잃어버린 3년’은 현 정부 출범이 아닌 애플이 아이폰을 처음 내놓은 2007년 시작됐다. ‘닷컴 버블’ 붕괴 후 고전하던 실리콘밸리도 징가(2007년), 그루폰·트위터(2008년) 등 거물급 벤처들이 생겨나면서 활기를 얻었다. 이런 열기는 소셜네트워크서비스(SNS), 클라우드 등과 맞물리면서 세계 곳곳에 퍼져 나갔다. 하지만 아쉽게도 우리는 이런 흐름을 읽어 내지 못했다. 다른 나라보다 선제적으로 신기술을 개발하고 상용화하는 데 기여했던 정보통신부가 해체된 것도 주된 이유다. →하지만 안 교수가 말한 ‘잃어버린 3년’ 동안 삼성, LG와 같은 IT 기업들은 수출을 늘리며 선전하지 않았나. -결정적으로 이 시기에 우리 기업들은 IT 업계의 화두가 된 플랫폼을 구축하는 데 모두 실패했다. 애플이나 닌텐도가 대단한 것은 단지 매출이 많아서가 아니다. 자신들의 기기를 중심에 놓고 끊임없이 관련 하드웨어와 소프트웨어를 창출해 생태계의 주도권을 쥐게 됐기 때문이다. 독자적인 플랫폼이 없다면 삼성이나 LG와 같은 업체도 나중에는 플랫폼 기업에 좌지우지되는 하청업체로 전락하게 된다. 아이폰 출시를 계기로 전 세계가 플랫폼의 중요성을 깨달았지만 우리는 이런 변화를 제대로 파악하지 못했다. →애플이나 구글, 마이크로소프트와 같은 미국 업체들이 운영체제(OS) 등 플랫폼을 장악한 현실에서 우리가 독자적인 플랫폼을 가져가려는 노력이 과연 실효성이 있을까. -얼마 전 미국의 유명 IT 전문매체에서 삼성의 스마트TV를 호평한 기사를 봤다. 애플과 구글이 주도하는 스마트TV 분야에서 애플리케이션(응용프로그램) 수를 늘리며 분전하는 삼성의 노력이 인상적이었다. 우리가 글로벌 시장에서 플랫폼을 주도하기가 쉽지 않은 게 사실이지만, 그렇다고 시도 자체도 하지 않으면 기회는 오지 않는다. 다양한 분야에서 독자적인 플랫폼을 갖춰 선두를 부지런히 좇다 보면 역전의 기회는 오게 돼 있다. 만약 소니가 브라운관 TV 시장을 장악했다는 이유만으로 우리 업체들이 TV 기술 개발에 소홀했다면 평판 TV 시장에서 지금과 같은 점유율을 가져갈 수 있었겠나. →안 교수의 말을 요약하면 ‘IT 분야에서 플랫폼 구축 등 다양한 선제적 대응을 위해 컨트롤타워 복원이 필요하다.’는 것으로 받아들여진다. 만약 정부가 컨트롤타워를 복원한다면 어떤 식으로 꾸려져야 한다고 보는지. -과거 정통부와 같은 정부 부처의 형태가 될 수도 있고, 위원회가 될 수도 있을 것이다. 위원회는 상대적으로 의견 교환이 자유롭다는 게 장점이다. 하지만 위원회에서 내린 결론이 해당 부처로 이관되면서 원래 내용과 다르게 해석돼 시행되는 것을 여러 번 봤다. 과거 정통부의 경우 규제기관으로서 문제가 많았던 게 사실이지만 막상 없애고 보니 국내 IT 경쟁력이 떨어지는 폐해가 생겨났다. 따라서 이제는 과거 조직의 장점을 살리면서도 단점을 줄인 새로운 형태의 정통부 조직이 필요하다고 본다. →그간 여러 차례 입각 제의를 받았지만 모두 거절한 것으로 알고 있다. 만약 정부가 새 컨트롤타워를 복원한다면 참여하겠는가. -국회의원 출마 제안까지 포함하면 정치권의 참여 요청을 받은 지가 10년은 넘은 것 같다. 난 살면서 뭔가 의미 있는 흔적을 남기는 것을 중요하게 여기는데, 지금의 현실에서는 (나 같은) 한 사람이 정치에 뛰어들어 변화를 이끌어 낸다는 게 불가능해 보인다. 바꾸지도 못할 거면서 높은 자리에만 앉아 있는 게 무슨 의미가 있는가. 다만 의사결정권자(대통령)가 내 말에 제대로 귀 기울여 준다는 것을 전제로 ‘십고초려’하면 (장관 등 여러 역할을) 고려해 보겠다. 하지만 (의사결정권자가) 그렇게 하기가 쉽진 않을 것이고, 정치가 아니어도 사회를 변화시킬 수 있는 일들은 많다. →벤처 기업가 출신으로 현재 학생들에게 기업가 정신에 대해 강의하고 있는데, 안 교수가 보기에 국내 IT 관련 창업 여건은 어떤가. -10년 전만 해도 국내 시장에서는 네이버나 다음, 싸이월드와 같은 될성부른 기업들이 생겨났지만 지금은 그런 회사들을 찾아볼 수 없다. 당시에 20명이 해야 할 일을 지금은 1명이 해 낼 수 있을 만큼 소프트웨어가 좋아지면서 창업 비용도 낮아졌지만 사회적인 여건은 오히려 척박해졌다. 창업을 돕는 정부 및 민간의 지원 인프라가 취약하고, 대기업이 중소기업을 고사시키는 불공정 거래 관행도 여전하다. →최근 대통령까지 직접 나서 대기업과 중소기업 간 동반성장을 강조하는 등 상생이 이슈가 되고 있는데, 기업 전문가로서 대안이 있다면. -대기업의 명백한 불법적 횡포부터 근절해야 한다는 생각이다. 이를 위해 공정위의 전속고발권(공정거래법과 하도급법 위반 행위에 대해 공정위만 검찰에 고발할 수 있게 한 제도) 조항은 반드시 고쳐져야 한다. 중소기업이 피해를 하소연해도 공정위에서 채택하는 비율이 1%도 되지 않아 오히려 대기업을 감싸고 있다. 대기업에 대한 징벌적 손해배상제도(가해자의 행위가 악의적일 경우 실제 손해액보다 훨씬 많은 금액을 배상하게 하는 제도)도 도입돼야 한다. 상대방에게 해가 된다는 걸 알면서도 단속이 쉽지 않다는 점을 악용해 중소기업에 피해를 주는 것을 묵과해선 안 된다. 대전 류지영기자 superryu@seoul.co.kr ●안철수 교수는 ▲1962년 부산 출생 ▲서울대 의대-미국 펜실베이니아 공대 및 와튼스쿨 ▲단국대 의예과 학과장, 안철수연구소 대표이사, 포스코 사외이사, 카이스트 석좌교수 ▲한국CEO상, 윤리경영대상 투명경영 부문 대상, 동탑산업훈장 등 다수

최시중 방송통신위원장이 ‘3·4 분산서비스거부’(DDoS·디도스) 공격에 대한 배후로 북한을 지목해 관심을 모으고 있다. 2009년 7·7 디도스 공격 때도 북한 배후설이 제기됐지만 입증되지 않았다. 최 위원장은 8일 국회 문화체육관광방송통신위원회 업무보고에서 디도스 공격 진원지를 묻는 질문에 “북한이라고 추정한다.”고 답변했다. 최 위원장은 “구체적으로 어느 사이트에서 발생했는지는 모르지만 북한이라고 추정하고 있다. 그런 심증이 있다.”며 “발생 시점이 대체로 우리 안보 관계 훈련이 있었던 전후라는 공통점이 있는 등 여러 징후를 보면 그렇다.”고 말했다. 정부 인사가 3·4 디도스 공격에 대해 북한을 배후로 추정한다고 발언한 것은 처음이다. 정부는 악성코드 일일점검 대상 사이트를 기존 100만개에서 180만여개로 확대하고 사이버 침해 대응 민·관합동 모의훈련도 연간 1회에서 4회로 늘리기로 했다. 안동환기자 ipsofacto@seoul.co.kr

　경찰청이 공식 블로그인 ‘폴인러브’를 통해 ‘좀비 스마트폰’을 막는 방법을 소개했다. 　경찰청은 지난 7일 이 블로그에서 “스마트폰도 악성코드 감염으로 인해 개인정보 유출은 물론 데이터 조작, 기기 오작동, 사생활 침해, 심지어 스마트폰이 ‘좀비 스마트폰’으로 전락해 디도스(DDoS·분산서비스거부) 공격의 또다른 범인이 될 수 있다.”고 경고했다. 　이어 “악성코드를 통한 스마트폰 뱅킹 해킹은 물론 개인정보 유출로 문자메시지 가로채기를 이용한 소액결제 해킹도 가능하다.”고 덧붙였다. 　경찰청은 ‘좀비 스마트폰이 되지 않는 방법’을 공개했다. 　경찰청은 “아이폰의 탈옥, 안드로이드의 루팅 등 해킹을 통해 본래 단말기에서 제공하는 응용프로그램의 설정을 변경할 경우 보안상 취약점이 발생할 수 있다”고 지적했다. 또 의심이 가는 응용프로그램(애플리케이션)은 다운받지 말고 신뢰할 수 없는 사이트의 방문도 지양할 것을 권장했다. 　이어 “스마트폰용 백신(V3, 알약 등)을 반드시 설치해야 하며, 해커들의 해킹 능력이나 기술이 업데이트 되기 때문에 수시로 업데이트 해야 한다.”고 강조했다. 　경찰청은 “보안 설정이 된 무선랜을 사용해야 하며 만일 가정에서 무선랜을 이용한다면 최상위급 암호화 보안기술인 WPA2를 적용해야 한다.”고 말했다. 어쩔 수 없이 외부에서 보안 설정이 없는 무선랜 사용시에는 인터넷뱅킹 등의 서비스는 지양하라고 당부했다. 　또 “같은 맥락으로 무선 인터페이스(블루투스)는 사용시에만 켜두고, 보안이 취약할 가능성이 높은 중소형 쇼핑몰에서의 거래도 주의를 기울여야 한다.”고 말했다. 　경찰청은 “멀티미디어 메시지(MMS)나 e메일 첨부파일 등에서 발신인이 불분명하고 경품에 당첨되었다든지 친한 척하는 의심스러운 메일 등은 특히 주의하라.”면서 “개인 무선랜에 보안설정을 해 자신의 무선랜이 불법행위에 활용되지 않도록 하라.”고 강조했다. 　경찰청은 이어 “스마트폰 사용자들에게 이미 널리 애용 중인 P2P를 통한 정보 공유나 이를 통한 불법 다운로드를 하지 말라.”면서 “전 국민의 대다수가 사용중인 스마트폰이 디도스의 희생양이 되면 엄청난 피해가 예상된다. 개개인이 조금씩만 주의한다면 디도스 공격으로부터 안전한 한국을 만들 수 있을 것”이라고 덧붙였다. 　인터넷서울신문 event@seoul.co.kr

지난 4일부터 시작된 ‘분산서비스거부’(DDoS 디도스)공격이 큰 피해없이 마무리 된 가운데 경찰청은 8일 이른바 ‘좀비 스마트폰’의 위험성을 경고하면서 예방법을 소개했다. 　경찰청은 공식 블로그인 ‘폴인러브’를 통해 컴퓨터는 물론 스마트폰도 악성코드에 감염돼 개인정보 유출과 데이터 조작, 기기 오작동, 사생활 침해 등에 노출될 수 있다고 밝혔다. 경찰청은 “특히 악성코드를 통한 스마트폰 뱅킹 해킹은 물론 문자 메시지 가로채기를 통한 소액결재 해킹도 가능하다는 것이 전문가들의 의견이며 실제로 가능하다.”며 “심한 경우 스마트폰이 해커들에 의해 좀비 스마트폰으로 악용돼 디도스 공격의 또 다른 범인이 될 수도 있다.”고 경고했다. 　현재 스마트폰의 인터넷 매개체인 와이파이 등 무선랜은 보안 설정을 하지 않을 경우 누구든 접속이 가능하기 때문에 해킹하거나 악성코드를 침투시키기 쉽다는 것이다. 경찰청은 스마트폰 해킹을 막기 위해서는 사용자의 주의가 필요하다며 다음과 같은 예방법을 소개했다. 　●정품을 그대로 사용하자. 　아이폰과 안드로이드폰 사용자들은 이른바 ‘탈옥’, ‘루팅’이라는 자의적이고 임의적인 해킹을 통해 단말기에서 제공하는 응용프로그램 등 설정사항을 마음대로 변경하고 있다. 하지만 이런 해킹은 단말기에 보안상 취약점을 만들 수 있기 때문에 정품을 사용하는 것이 중요하다. 　●조금이라도 의심이 가는 응용프로그램(애플리케이션)은 내려받지 말자.　 　●신뢰할 수 없는 사이트의 방문을 되도록 줄이자. 　●스마트폰용 백신(V3, 알약 등)을 반드시 설치하자. 　백신 설치와 함께 중요한 것은 수시 업데이트이다. 해커들의 해킹능력과 기술이 업데이트되는 만큼 백신의 업데이트도 중요하다. 　●보안설정이 된 무선랜을 사용하자. 　가정에서 무선랜을 이용하고 있다면 최상위급 암호화 보안기술인 WPA2를 적용하고, 어쩔 수 없이 외부에서 보안설정이 없는 무선랜을 사용할 때는 인터넷뱅킹 등의 서비스는 이용하지 말자. 　 　●무선 인터페이스(블루트스기능)는 사용할 때만 켜두자. 　 　●보안이 취약할 가능성이 높은 중소형 쇼핑몰에서의 거래에도 주의를 귀울여야 한다. 　 　●멀티미디어 메시지(MMS)나 e메일의 첨부파일도 주의하자. 　특히 발신인이 불분명하고 경품에 당첨되었다고 하거나, 친한 척하는 의심스로운 메일은 특히 주의해야 한다. 　 　●개인 무선랜에 보안설정을 해 자신의 무선랜이 불법행위에 악용되지 않게 주의하자. 　●스마트폰 사용자에게 이미 널리 애용중인 P2P를 통한 정보공유나 불법 다운로드를 하지 말자. 맹수열기자 guns@seoul.co.kr