지난해 7월부터 인터넷뱅킹에서 공인인증서를 사용할 의무가 사라졌다. 이런 사실을 아는 이는 많지 않다. 스마트폰뱅킹을 비롯한 대부분의 전자거래에서 공인인증서를 여전히 요구하고 있다. 공인인증서를 사용하지 않게 된다면 은행 사이트에 접속했을 때 액티브X를 통해 은행이 요구하는 자체 보안 프로그램을 내려받는 과정이 없어지게 된다. 그동안 액티브X는 마이크로소프트(MS) 전용 브라우저인 인터넷익스플로러(IE)에서만 구동되기 때문에 소비자들의 브라우저 선택권이 제한되며, 보안업계 전반의 발전을 해친다는 지적이 있었다. 오픈웹의 김기창 고대법대 교수와 이민화 전 기업호민관이 논의를 주도했고, MS 운영체제가 아닌 맥 운영체제를 쓰는 아이폰이 보급되면서 결국 공인인증서 사용 의무가 폐지됐다. 김인성 IT칼럼니스트는 25일 서울신문과 가진 인터뷰에서 여기에 더해 공인인증서 체제가 보안 측면에서도 취약하다고 지적했다. 2009년 분산서비스거부(디도스) 공격부터 최근 농협 전산장애 사태까지 국내 보안사고에서 툭하면 서버가 공격을 당하는 이유가 여기에 있다는 것이다. 김 칼럼니스트는 “외국의 보안이 기관 사이트를 통제해 서버 관리에 만전을 기하는 식이라면, 국내는 기관 사이트의 허점을 방치한 채 개인만 통제하는 식”이라면서 “공인인증서로 사용자들은 불편해지지만, 사이트 보안은 전혀 이뤄지지 않고 있다.”고 강조했다. 이 상태로는 보안 분야에 돈을 아무리 쏟아부어도 보안업체의 배만 불릴 뿐 근본적인 해결은 안 된다고 했다. →농협 전산장애 사고를 전후해 피싱사이트가 출현했다. 사고 원인은 수사를 지켜봐야겠지만, 피싱사이트의 발빠른 움직임에 혀를 내둘렀다. -피싱사이트를 통해 고객 정보를 빼내는 것은 중국 쪽 해커집단의 돈벌이 수준이 된 지 오래다. 인터넷뱅킹을 하려고 하면 은행에서 보안 프로그램을 다운받게 한다. 해커들은 유사 사이트를 만들고 보안프로그램으로 위장한 바이러스를 다운받게 한다. 이렇게 해서 좀비가 된 PC가 국내에 100만대 이상으로 추정된다. 좀비PC들은 해커의 명령이 떨어지면 특정 사이트에 한꺼번에 접속을 시도, 마비시킨다. 트래픽이 집중돼 서비스가 불가능해지면 해커는 돈을 요구하고, 속도가 생명인 게임업체들은 대부분의 경우 이 협상에 응할 수밖에 없다. 우리의 보안은 보안이 아니다. →유독 우리가 국제 해커들의 먹잇감이 되는 이유가 있는가. -국내 인터넷의 보안시스템이 세계 표준과 다르기 때문이다. 근본적으로 해외 사이트가 스스로의 안전성을 증명하는 체계라면, 국내는 개인들이 사이트에 접속할 때 본인이 맞다는 것을 사이트에 증명해야 한다. 예를 들어 웹메일인 지메일(gmail) 사이트에 접속하면, 사이트 주소가 http://에서 https://(안전전송규약·SSL)로 바뀐다. 뒤에 붙는 s는 이 사이트가 정확한 사이트이니 믿고 이용하라는 표시로, 공인인증기관이 증명해 주는 신호이다. https://를 보고 사용자들은 추가 소프트웨어를 다운받을 필요 없이 안심하고 거래를 할 수 있다. 한국의 보안 방식은 이와는 달리 사이트는 안전하다고 일단 가정을 하고, 개인 사용자에게 자기들만의 보안 프로그램·키보드 해킹방지 프로그램·바이러스 백신 등을 다운받게 한다. 이것도 모자라 공인인증서를 요구한다. 액티브X를 다운받는 동안 사용자 컴퓨터는 보안에 완전히 취약한 상태가 된다. 시작 단계에서부터 보안이 무너져 있는 것이다. →안전연결은 국내만 채택을 안 한 것인가. -대부분의 국가에서 채택했다. 1990년대 중반까지 미국은 보안방식으로 복잡한 암호화 기법을 쓰지 못하게 했고, 해독 불가능한 암호화 방식은 수출도 금지했다. 그래서 우리가 독자적으로 만든 게 공인인증서다. 이후 해외에서는 사용자가 웹사이트에 보안접속을 시도하면 웹브라우저가 인증기관에 의뢰해 이상이 없다는 답을 받고 안전전송 규약을 허용하는 체제가 자리잡았다. 국내는 이를 받아들이지 않고, 개인에게 부담을 더 지우는 쪽으로 보안이 발전했다. 은행과 같은 기관이 서버관리를 제대로 하고 있는지 감시하는 곳은 없다. 이게 툭하면 보안사고가 일어나고, 서버 공격이 이뤄지는 이유다. 다른 문제도 있다. 우리 상황에서 보안업체들은 은행이나 공공기관에 납품 경쟁을 벌인다. 이 시장을 확보하면, 개인은 선택권을 갖지 못한 채 일방적으로 사이트 방침에 따라 다운로드를 해야 한다. 해외는 웹브라우저에 기본 보안 프로그램이 장착되고, 개인이 브라우저를 선택하는 구조이다. 그래서 기본적으로 보안 프로그램이 싸고, 그러면서도 개인 고객을 대상으로 성능 경쟁이 계속된다. →아이폰 도입과 함께 한 차례 공인인증서 폐지운동이 있었다. -결론적으로 스마트폰 도입 뒤에도 공인인증서 체제는 살아남았다. 이것은 새로운 문제로 이어질 수 있다. 예컨대 제2금융권은 스마트폰의 새로운 버전에서 구동시킬 공인인증서 보안체제를 개발할 자금이 부족할 것이다. 결국 이들은 보안을 외주에 맡기거나 스마트폰뱅킹 시장에 진출하기 어려울 것이다. 만일 국제 표준방식을 채택했다면, 2금융권 업체도 투자비용 없이 스마트폰뱅킹 시장에 진입할 수 있을 것이다. 국제 표준방식은 과거의 소프트웨어 뿐 아니라 미래의 어떤 플랫폼에서도 지원이 되도록 만들어져 있다. 스마트폰 운영체제 새 버전이 나왔다고 보안업체가 추가 개발 비용을 요구할 근거가 사라진다. →공인인증서 보안 체제 때문에 우리가 잃는 것이 또 있는가. -이 방식은 전체적으로 우리나라 전자상거래를 죽이고 있다. 물건을 하나 사는데 다른 나라와 달리 공인인증서를 요구하니 어떻게 물건을 팔 수 있겠나. 온라인에서는 오프라인처럼 해외진출을 할 때 막대한 투자를 하기보다 언어만 바꿔서 손쉽게 이동할 수 있어야 하는데, 한국만의 특수한 보안 방식은 이것을 불가능하게 한다. 커다란 세계 시장을 곁에 두고 중소기업들이 굶어 죽고 있다. 수출탑을 수여할 정도로 수출에 목 매는 나라에서 온라인 시장의 개방에 대해서는 왜 이런 모습인지 모르겠다. 홍희경기자 saloo@seoul.co.kr ■ 김인성 IT칼럼니스트는 ▲46세 ▲서울대 컴퓨터공학과 졸업 ▲리눅스 시스템으로 초기 엠파스 사이트 구축 ▲전 리눅스원 개발이사 ▲현 KT 계열 네트워크 장비업체 컨설팅 ▲저서 ‘한국IT산업의 멸망’, ‘리눅스 디바이스 드라이버’(공동번역), 잡지 ‘마이크로소프트웨어’에 칼럼 연재

‘문화대통령’ 서태지와 배우 이지아의 14년에 걸친 만남과 이별, 법정 송사가 인터넷 세상을 점령한 한 주였다. 서태지와 이지아가 50억원대의 위자료 및 재산 분할 소송을 진행 중이라는 사실이 21일 알려졌다. 이날 밤 이지아는 소속사를 통해 공식 보도자료를 내고 대부분의 사실을 인정했다. 불과 오전까지만 해도 정우성과의 데이트 장면이 화제였지만 반나절 만에 대반전이 일어난 셈. 오리무중에 빠진 농협 사이버테러 사태가 2위에 올랐다. 검찰이 지난 19일 농협 서버에 삭제 명령을 내린 노트북 컴퓨터를 분석한 결과, 적어도 한달 전 이 명령이 예약 실행되도록 프로그램된 사실을 확인했다. 검찰은 농협 내부 시스템과 운영구조를 잘 아는 내부 직원 소행이거나 내부자가 외부 해커와 공모했을 개연성을 조사하고 있다. 소녀시대의 ‘가창력’을 담당하고 있는 태연이 지난 17일 공연에서 한 남성 관객에게 납치될 뻔한 사연은 3위에 올랐다. 평범한 대학생으로 밝혀진 이 남성은 잘못을 반성해 별다른 처벌을 받지 않고 귀가했다. 4위는 축구대표팀 공격수 박주영의 결혼 소식이 차지했다. 프랑스 프로축구 AS 모나코에서 활약 중인 박주영은 오는 6월 프랑스리그를 마친 뒤 한살 연상의 정유정씨와 결혼식을 올릴 계획이다. 이들은 2005년부터 캠퍼스 커플로 만나 6년째 공개 연애를 했다. 5위는 고학력 백수 300만명. 통계청에 따르면 1분기 비경제활동 인구 가운데 전문대와 4년제 대학교 이상을 졸업한 ‘고학력 백수’가 300만명에 이르는 것으로 조사됐다. 6위는 BBK 수사팀 패소였다. 이명박 대통령의 BBK 의혹을 담당한 수사팀이 김경준씨를 회유한 의혹이 있다고 보도한 언론사를 상대로 검찰이 낸 손해배상 청구 소송에서 원심을 깨고 원고 패소 판결이 났다. 가수 윤복희가 MBC ‘무릎팍도사’에서 가수 남진과의 결혼은 첫 남편 유주용에게 보여주기 위한 것이라고 고백한 것이 7위에 올랐다. 8위는 지난 23일 분당선 죽전역 부근에서 일어난 전동차 탈선사고 소식이었다. 만 16세 미만의 청소년들이 밤 12시부터 오전 6시까지 온라인 게임에 접속하지 못하도록 하는 셧다운제가 국회 법제사법위원회 법안심사소위를 통과했다는 소식이 9위, SBS ‘생활의 발견’ 방송 사고가 10위에 올랐다. 임일영기자 argus@seoul.co.kr

스마트폰의 위치 정보가 사용자 몰래 저장되고 있다는 논란이 확산되면서 1000만명을 웃도는 국내 스마트폰 사용자 사이에 공포감이 고조되고 있다. 특히 국내 스마트폰 운영체제(OS) 점유율 1위와 2위를 달리는 구글의 안드로이드와 애플의 iOS 모두 사용자 위치를 저장·전송해 온 것으로 알려져 사생활 침해 논란은 전방위로 확산될 듯하다. 하지만 전문가들은 안드로이드폰과 아이폰 사이에는 사용자 위치 정보를 수집·저장하는 방식에 있어 다소 차이가 있다고 설명한다. 안드로이드폰의 보안 체계가 아이폰보다 좀 더 낫다는 설명이다. ‘위치 정보 수집 논란’에 휩싸인 안드로이드폰과 아이폰의 가장 큰 차이는 사용자 이동 경로를 어떤 방식으로 저장하느냐에 있다. 미국 정보기술(IT) 개발자인 마이크 캐스텔먼은 “아이폰은 위치 정보를 로그방식으로 저장하지만 안드로이드폰은 캐시 방식으로 저장한 것으로 보인다.”고 말했다고 미 IT 전문지인 ‘ARS 테크니카’가 보도했다. 아이폰의 로그 저장 방식은 OS 설치 이후 위치 정보를 매초 저장·축적하는 데다 일반 사용자가 접근해 지우기 어렵다. 반면 안드로이드가 채택한 캐시 방식은 일정시간이 지나면 저장된 정보가 자동으로 삭제된다. 미국의 IT 전문 뉴스사이트인 와이어드닷컴도 “아이폰에 1년치가 넘는 위치 정보를 남기도록 한 건 시스템상의 결함”이라며 “만약 절도범이 제3자의 아이폰을 손에 넣는다면 타인의 생활을 속속들이 알 수 있게 된다.”고 지적했다. 하지만 캐스텔먼은 “스마트폰에 저장된 기록이 범죄 수사 때 사용자에게 불리한 증거로 활용될 수 있다는 점 등에서 아이폰과 안드로이드폰의 위치 정보 저장 기능은 같은 문제점이 있다.”고 말했다. 미국 일간지인 새너제이 머큐리뉴스는 “스마트폰만 들여다보면 당신이 주고받은 문자와 사진, 트위터와 페이스북, 병원 예약 기록까지 확인할 수 있어 ‘디지털 지문’으로까지 불린다.”고 전했다. 아이폰과 안드로이드폰은 정보를 보호하는 보안 시스템상에도 차이가 있다. 아이폰 사용자의 위치 정보 파일은 암호화하지 않은 채 스마트폰 안에 저장된다. 누구나 손쉽게 사용자의 이동경로를 확인해 볼 수 있다는 얘기다. 또 위치 정보를 휴대전화 내에 저장할지를 묻는 사용자 동의 과정도 없다. 이 때문에 휴대전화를 분실한다면 사용자는 자신도 모르는 이동 정보를 유출당해 사생활 침해 논란이 일 수 있다. 안드로이드폰 보안 체계는 아이폰에 비해 그나마 낫다. 구글은 24일 “안드로이드 기기는 위치정보 공유 여부를 전적으로 사용자들에게 맡기는 옵트인(opt-in) 형식을 택하고 있다.”면서 “구글은 위치정보 수집, 공유 및 사용에 대해서 사용자들에게 공지하고 통제권을 가질 수 있도록 하고 있다.”고 밝혔다. 또 아이폰과는 달리 사용자 위치정보를 암호화한 뒤 저장해 스마트폰을 잃어버리거나 해킹당했을 때의 사생활 침해 가능성을 낮췄다. 전문가들은 개인 이동 정보의 유출을 막으려면 스마트폰의 위치 정보 수집 기능을 사용하지 않으면 된다고 조언한다. 하지만 아이폰은 위치 정보 서비스를 사용하지 않는다면 지도 등 일부 애플리케이션을 사용할 수 없다. 이럴 경우 ‘스마트폰’의 기본적 기능을 상실하는 것과 마찬가지가 된다. 반면 안드로이드폰은 위치 정보 서비스를 꺼놓아도 앱 기능의 정확도가 떨어질 뿐 계속 사용할 수 있다. 유대근기자 dynamic@seoul.co.kr [용어 클릭] ●아이폰 로그·안드로이드 캐시 방식 애플 운영체제(OS)의 로그 방식과 안드로이드 OS의 캐시 방식은 사용자의 위치 정보를 계속 저장하느냐의 여부에 따라 구분된다. 로그 방식은 위치정보가 담긴 로그 파일을 하드나 서버 등에 지우지 않고 계속 쌓아두는 방식이다. 반면 캐시 방식은 빠른 데이터 전송을 위해 별도 서버에 임시로 데이터를 전송해 놓는다. 이런 이유로 일정 시간이 지나면 자동으로 삭제되고, 사용자가 원할 때도 쉽게 기록을 지울 수 있다.

현대캐피탈과 농협의 전산사고로 해커에 대한 관심이 높아지고 있다. 일부 청소년들에게 이들은 동경의 대상이 되기도 한다. 보안이 철저하다는 정부나 대기업 등의 전산망을 제집처럼 드나들며 해킹을 하기 때문이다. 하지만 해커 하면 컴퓨터에 매달려 사는, 사회성이 부족한 이른바 ‘오타쿠’(마니아)로 보는 어두운 그림자도 드리워져 있다. 또 해킹 기술을 통해 협박과 금전적 이득을 취하는 범죄자들도 적지 않다. 하지만 해커라고 모두 범죄자는 아니다. 해킹 기술을 악용해 금전적 이득을 노리는 ‘블랙 해커’가 있다면 이들을 막는 ‘화이트 해커’가 있다. 보안을 뚫으려는 ‘창’(블랙 해커)과 이를 저지하려는 ‘방패’(화이트 해커) 간의 보이지 않는 전쟁도 치열하다. 해커도 등급이 있다. 다른 사람이 개발한 해킹 프로그램을 사용하는 초보 수준 해커는 ‘스크립트 키디’(script kiddie)라 하며, 중간급 수준은 ‘위저드’(wizard)로 독자적으로 해킹 툴이나 보안 솔루션을 개발한다. 최고 보안이 적용된 정부·기업의 전산망을 뚫을 수 있는 최정상급 해커는 ‘구루’라고 불린다. 농협 서버를 뚫은 블랙 해커는 ‘구루급’으로 분류된다. 국내 해커는 ‘스크립트 키디’ 최소 1000여명, 위저드급 800여명, 구루급 50~100여명으로 추산된다. 화이트 해커는 범죄와 거리가 멀다. 보안 동아리에서 해킹 기술을 연구하고 기업의 보안 취약성을 분석하는 순기능을 한다. 실제 웹사이트가 아닌 가상 환경에서 해킹 기법을 익힌다. 미국 라스베이거스에서 열리는 세계 최대 해커협의회인 데프콘(DEFCON)을 비롯한 국내외 해킹 대회에 참가하는 등 대한민국 해커로서 자부심을 키운다. 국제해킹방어대회인 ‘코드게이트 2009’에서 최연소 우승자로 화제를 모은 박찬암(23)씨. 그는 국내외 해킹대회에서 6차례나 우승한 구루급이다. 현재 인하대 컴퓨터공학과 재학생이자 보안 전문업체인 소프트포럼의 보안기술팀장이다. 그는 “(알려진 것과는 달리) 해커들을 보면 활달하고 사회성이 뛰어나다.”고 말한다. 문제는 블랙 해커. 하지만 국내에서는 해커에 대한 보수 등이 열악해 화이트 해커도 ‘검은 유혹’을 받는다. 이는 박 팀장도 마찬가지. 경쟁 기업에 대한 디도스(분산서비스거부) 공격과 DB 해킹까지 의뢰가 다양하다. 그는 최대 3억원을 제안받기도 했다. 국내 화이트 해커 양성과 윤리 교육을 하는 해커 대학의 김태순 이사도 5000만원을 제시하며 악성코드를 제작해 달라는 의뢰를 받은 적이 있다. 경찰에 신고했지만 끝내 의뢰자는 붙잡지 못했다. 조직폭력배들이 한 온라인 기업의 해킹을 요구한 경우도 있었다. 국내에서 ‘작업 해커’를 확보하지 못하면 중국 해커를 매수한다. 한국과 중국의 블랙 해커들이 웹·시스템·네트워크로 각각 공격 역할을 분담해 공조하는 현상이 나타나고 있다. 김 이사는 “이들은 기업체의 DB나 가입자 정보 해킹부터 디도스 공격을 예고하고 돈을 요구하는 사례들이 파악되고 있다.”고 말했다. 화이트 해커들은 우리 기업들의 ‘위기관리’에 문제가 있다고 우려한다. 블랙 해커들의 협박에 많은 기업들이 돈으로 무마하거나 해킹 자체를 은폐한다고 지적한다. 안동환기자 ipsofacto@seoul.co.kr [용어클릭] ●해커 블랙 해커는 개인적인 목적을 노려 악의적으로 해킹을 일삼는 이들을 말한다. 반면 화이트 해커는 순수하게 학업과 연구 등을 위해 해킹을 하는 정보 보안 전문가를 뜻한다. 과거에는 해커가 유능한 컴퓨터 프로그래머를 뜻했고, 불순한 의도를 가진 해커를 크래커(cracker)라 부르기도 했다.

미국이나 영국 등 외국의 유수한 금융기관과 기업들도 ‘나는’ 해커들에게는 속수무책이다. 21일(현지시간) 버라이즌 비즈니스에 따르면 지난해 미국에서 개인 정보를 해킹한 사건은 모두 760건으로 2009년 140건의 5배가 넘는다. 가장 최근에 발생한 대규모 해킹 사건으로는 지난달 31일 미국과 영국 등의 50개 대기업 고객들의 이메일 주소가 유출된 사건을 꼽을 수 있다. 전 세계 2500개 기업의 이메일 마케팅을 담당해 온 미국의 엡실론사의 전산망이 해커들에게 뚫려 JP모건체이스, 시티뱅크, 바클레이스, 유에스뱅크코프, 디즈니, 매리엇, 베스트바이, 막스앤드스펜서 등 50개 주요 기업의 고객 명단과 이메일 주소를 도난당하는 사고가 발생했다. 앞서 2007년 미국의 유명 해커 앨버트 곤잘레스 일당은 카드 결제업체 허트랜드 페이먼트를 해킹해 미국의 소매유통업체에서 쇼핑한 고객 4000여만명의 카드 계좌 1억 3000만여개의 정보를 빼내 범죄 조직 등이 운영하고 있는 세계 각지의 서버로 전송했다. 개인 계좌에서 실제 현금을 빼내는 해킹도 발생했다. 지난해 10월 한 범죄 조직은 해커를 모집해 JP모건 등 투자은행 고객들의 계좌 비밀번호를 빼내 고객들의 계좌에서 돈을 훔쳤다. 피해액은 영국에서 950만 달러, 미국에서 300만 달러에 이르는 것으로 알려졌다. 지난해 6월에는 말레이시아계 해커 린먼푸가 미국 연방준비제도이사회(FRB) 홈페이지를 해킹해 40만건 이상의 신용카드 계좌 정보를 빼내고 네트워크 전산망에 악성코드를 심은 혐의로 기소돼 10년형을 선고받았다. 나스닥의 전산망도 지난해 해킹을 당했으나 보안검사에서 악성소프트웨어가 발견돼 피해를 막았다. 한편 버라이즌의 분석 결과에 따르면 최근 들어 해킹 건수는 급증한 반면 의외로 유출된 개인 정보량은 2010년 400만건으로 2008년 3억 6100만건, 2009년 1억 4400만건보다 크게 줄었다. 김균미기자 kmkim@seoul.co.kr

현대캐피탈과 농협의 전산사고로 해커에 대한 관심이 높아지고 있다. 일부 청소년들에게 이들은 동경의 대상이 되기도 한다. 보안이 철저하다는 정부나 대기업 등의 전산망을 제집처럼 드나들며 해킹을 하기 때문이다. 하지만 해커 하면 컴퓨터에 매달려 사는, 사회성이 부족한 이른바 ‘오타쿠’(마니아)로 보는 어두운 그림자도 드리워져 있다. 또 해킹 기술을 통해 협박과 금전적 이득을 취하는 범죄자들도 적지 않다. 하지만 해커라고 모두 범죄자는 아니다. 해킹 기술을 악용해 금전적 이득을 노리는 ‘블랙 해커’가 있다면 이들을 막는 ‘화이트 해커’가 있다. 보안을 뚫으려는 ‘창’(블랙 해커)과 이를 저지하려는 ‘방패’(화이트 해커) 간의 보이지 않는 전쟁도 치열하다. 해커도 등급이 있다. 다른 사람이 개발한 해킹 프로그램을 사용하는 초보 수준 해커는 ‘스크립트 키디’(script kiddie)라 하며, 중간급 수준은 ‘위저드’(wizard)로 독자적으로 해킹 툴이나 보안 솔루션을 개발한다. 최고 보안이 적용된 정부·기업의 전산망을 뚫을 수 있는 최정상급 해커는 ‘구루’라고 불린다. 농협 서버를 뚫은 블랙 해커는 ‘구루급’으로 분류된다. 국내 해커는 ‘스크립트 키디’ 최소 1000여명, 위저드급 800여명, 구루급 50~100여명으로 추산된다. 화이트 해커는 범죄와 거리가 멀다. 보안 동아리에서 해킹 기술을 연구하고 기업의 보안 취약성을 분석하는 순기능을 한다. 실제 웹사이트가 아닌 가상 환경에서 해킹 기법을 익힌다. 미국 라스베이거스에서 열리는 세계 최대 해커협의회인 데프콘(DEFCON)을 비롯한 국내외 해킹 대회에 참가하는 등 대한민국 해커로서 자부심을 키운다. 국제해킹방어대회인 ‘코드게이트 2009’에서 최연소 우승자로 화제를 모은 박찬암(23)씨. 그는 국내외 해킹대회에서 6차례나 우승한 구루급이다. 현재 인하대 컴퓨터공학과 재학생이자 보안 전문업체인 소프트포럼의 보안기술팀장이다. 그는 “(알려진 것과는 달리) 해커들을 보면 활달하고 사회성이 뛰어나다.”고 말한다. 문제는 블랙 해커. 하지만 국내에서는 해커에 대한 보수 등이 열악해 화이트 해커도 ‘검은 유혹’을 받는다. 이는 박 팀장도 마찬가지. 경쟁 기업에 대한 디도스(분산서비스거부) 공격과 DB 해킹까지 의뢰가 다양하다. 그는 최대 3억원을 제안받기도 했다. 국내 화이트 해커 양성과 윤리 교육을 하는 해커 대학의 김태순 이사도 5000만원을 제시하며 악성코드를 제작해 달라는 의뢰를 받은 적이 있다. 경찰에 신고했지만 끝내 의뢰자는 붙잡지 못했다. 조직폭력배들이 한 온라인 기업의 해킹을 요구한 경우도 있었다. 국내에서 ‘작업 해커’를 확보하지 못하면 중국 해커를 매수한다. 한국과 중국의 블랙 해커들이 웹·시스템·네트워크로 각각 공격 역할을 분담해 공조하는 현상이 나타나고 있다. 김 이사는 “이들은 기업체의 DB나 가입자 정보 해킹부터 디도스 공격을 예고하고 돈을 요구하는 사례들이 파악되고 있다.”고 말했다. 화이트 해커들은 우리 기업들의 ‘위기관리’에 문제가 있다고 우려한다. 블랙 해커들의 협박에 많은 기업들이 돈으로 무마하거나 해킹 자체를 은폐한다고 지적한다. 안동환기자 ipsofacto@seoul.co.kr [용어클릭] ●해커 블랙 해커는 개인적인 목적을 노려 악의적으로 해킹을 일삼는 이들을 말한다. 반면 화이트 해커는 순수하게 학업과 연구 등을 위해 해킹을 하는 정보 보안 전문가를 뜻한다. 과거에는 해커가 유능한 컴퓨터 프로그래머를 뜻했고, 불순한 의도를 가진 해커를 크래커(cracker)라 부르기도 했다.

북한은 1990년대 초반부터 정보전에 눈을 돌렸다. 정보전이야말로 ‘저비용 고효율’로 상대방을 밑바닥부터 뒤흔들 수단이라는 판단을 내렸다. 가장 공을 들인 것은 사이버 인간병기인 ‘정보전사’(해커) 양성이다. 조선컴퓨터센터(KCC), 지휘자동화대학(옛 미림대학), 모란대학 등 해커 양성을 전문으로 하는 대학들이 속속 생겨났다. 이곳들을 통해 10대 후반에서 20대 초반에 이르는 유능한 해커들이 대거 배출됐다. 북한은 최근 대남 공작을 수행하는 노동당 35호실과 작전부를 당에서 떼어 내 인민무력부 정찰총국으로 확대 개편했다. 정찰총국은 총정치국, 총참모부와 함께 북한 군부의 3대 실세 조직이다. 북한 전자전 부대의 핵심은 총참모부 내 정보통제센터다. 해킹 기술 등 정보전에 필요한 기능을 익히고 정보전을 수행할 부대 간 협동작전을 조율하는 한편 북한군 전체의 디지털 정보 작전능력을 강화하는 역할을 한다. 북한 정찰국 121소와 35호실 산하 기초조사실은 실무를 담당하는 행동대원이라 할 수 있다. 남한의 컴퓨터나 서버에 침입해 기밀자료를 빼내거나 변조하는 것을 목표로 고도의 훈련을 하고 있다. 적공국 204소와 중앙당 작전부는 심리·여론전을 담당한다. 남측을 겨냥해 허위정보를 흘린다든지 사회와의 반목과 질시를 유도하는 것이 목표다. 실제 작전은 인터넷 이용이 비교적 자유로우면서도 접근이 편한 중국 단둥지역에서 주로 이뤄진다. 국내 정보당국 관계자는 “단둥에서 조선족 교포가 운영하는 A호텔은 북한이 사이버전을 진행하는 초기 안전가옥으로 널리 알려져 있으며 4성급 B호텔과 C오피스텔에서는 연중 내내 북한의 정보전이 수행된다.”고 말했다. 사이버전의 주축이 당에서 군으로 옮겨감에 따라 북한의 해킹 도발 가능성이 한층 커졌다. 이에 따라 국방부는 최근 사이버사령부의 기능을 대폭 강화해 국방부 직할부대로 격상하고, 사령관의 계급도 준장에서 소장 이상으로 격상하는 방안을 추진 중이다. 유영규기자 whoami@seoul.co.kr

농협 전산대란과 현대캐피탈 정보유출 등 연이은 사이버테러로 ‘해커’에 대한 관심이 집중되고 있다. 사이버전쟁 시대에서 국내 사이버 보안의 현주소와 해커들의 성취욕, 나름의 윤리의식 등에 대해 현직 해커(22)에게 들어봤다. 그는 신분과 위치 노출을 극도로 꺼려 전화 인터뷰조차 사양했다. 설득 끝에 그를 잘 아는 전직 화이트 해커 출신의 보안업체 대표(33)를 통해 이메일 인터뷰를 했다. 그는 “최첨단을 달리는 디지털 시대에, 아날로그적인 가치가 해결책”이라며 “정보 보안에서 가장 중요한 것은 유비무환의 자세와 윤리의식”이라고 강조했다. 다음은 그와의 일문일답. →‘농협사태’를 일으킨 해커들을 어떻게 보나. -보안이 생명인 금융권 전산망이 뚫렸다는 것에 대해 해커들도 놀라워하고 있다. 이유야 어쨌든 은행의 전산망이 망가졌다는 것은 애초부터 기본적인 보안조치가 잘못돼 있었다는 것을 의미한다. 내부자에 대한 정보 보안도 중요한데 이를 소홀히 한 게 아닌가 싶다. 사고가 터지고 나면 그제야 허겁지겁 해결책을 논한다는 게 문제다. 평소 체계적인 보안관리에 철저해야 한다. →해커로서 공격에 성공하고, 실패했을 때의 느낌은. -공격에 성공했을 때는 정말로 많은 것을 얻는다. 이미 알고 있던 기술 이외에 다른 꼼수나 공격기법 도출 등 해킹은 숨바꼭질과 같다. 성공하면 마치 성(城)을 점령한 장군 같은 희열을 느낀다. 실패란 없다. 끈기가 있고 체력이 되면 성공할 때까지 (공격을) 계속한다. →해커도 다양화됐다던데. -요즘은 워낙 분야가 넓어져 해커 혼자 모든 것을 담당할 수 없다. 그래서 웹, 파일분석, 암호화, 시스템 해킹 등 분야별로 수준 높은 해커들이 있다. 각자 전문 분야가 생긴 셈이다. 해커는 크게 두 종류가 있다. 완성된 프로그램을 사용하는 초보 수준의 ‘스크립트 키드’가 있다. 진짜 프로는 방화벽 등의 분석을 통해 프로그램을 짜서 침투한다. →국내 금융권 및 대기업 서버의 보안 수준은. -보통 메인 홈페이지의 보안 수준은 높지만, 관련 계열사 사이트 등은 대부분 취약하다. 때문에 초절정 고수의 해커에게는 ‘식은 죽 먹기’로 보인다. 또 메인 홈페이지의 보안 수준이 높다고 해도 기존에 알려지지 않은 공격기법이나 새로운 취약점이 발견되면 언제든지 뚫릴 수 있다. →스마트폰 보안 대란도 지적되는데. -스마트폰은 PC 기능을 축소해 놓은 ‘주머니 속의 PC’다. 스마트폰도 이미 보안 문제에 상당히 노출돼 있다. 디도스(DDoS)에 이용되거나 스마트폰의 개인정보 유출, 국제전화 과금 등 기본적인 보안 문제부터, 시스템 자체의 취약점을 이용한 모바일 대란이 발생할 공산이 매우 높다. 일부 해커들은 스마트폰 해킹 시나리오를 충분히 그려볼 수 있고, 앞으로 그것을 실행할 확률이 높다. →화이트 해커를 꿈꾸는 청소년에게 조언한다면. -사이버윤리를 기본적으로 갖춘 해커가 되라고 말하고 싶다. 청소년 시절 과시 욕구가 크기 때문에 윤리의식 없이 해킹을 공부했다가는 자신도 모르게 해킹사고의 주인공이 될 수도 있다. 한번 빠지면 영원히 빠져나오지 못하며, 사회적으로 매장당한다. 이영준기자 apple@seoul.co.kr

“말이 좋아 사이버 보안 전문가지, 하는 일이나 처우는 날품팔이 막노동자 수준입니다. 나이는 40줄에 접어들었는데 아직도 하도급 용역으로만 전전하고 있으니….” 김진우(가명)씨는 요즘 백수다. 일감이 없다. 올 초까지 그는 한 은행 전산망 재구축에 용역으로 투입돼 보안 관련 작업을 했다. 하지만 계약이 끝나면서 출근할 곳을 잃었다. 그런 김씨에게 얼마 전 옛 직장 동료가 솔깃한 제안을 해 왔다. 미국에 서버를 둔 국내 도박사이트가 있는데 거기에 침투해 회원 리스트를 빼내고 서버를 다운시키면 이전 연봉의 4배를 주겠다고 했다. “거절은 했지만 솔직히 아쉬움이 전혀 없는 것도 아니에요. 어차피 불법 도박사이트인데 우리한테 당하더라도 신고도 못 할 텐데 하는 생각도 들고….” 최근 농협과 현대캐피탈 등 금융기관의 보안망이 해커들에게 무방비로 뚫린 가운데 정보기술(IT)업계의 고질적인 다단계 하도급 구조와 이에 따른 열악한 처우가 취약한 보안 인프라의 주범이라는 지적이 나오고 있다. 유능한 보안 전문가들이 생활고 때문에 음지의 해커로 전락하고, 일부는 직장을 찾아 국내를 떠나는 결과로 이어지기 때문이다. IT업계는 대기업-중견기업-중소기업-영세업체로 이어지는 협력업체의 먹이사슬이 어느 업종보다 길고 복잡하다. 삼성SDS, LG CNS, SK C&C 등 대기업을 정점으로 1차, 2차, 3차로 하도급 발주가 켜켜이 이어진다. 그러다 보니 아래 단계로 내려갈수록 IT 인력들의 근무 여건과 처우가 악화된다. 그 결과는 용역 등 비정규직 고용으로 이어지고 있다. 은행 인사담당자는 “자체적으로 보안 전문 인력을 고용하면 1인당 7000만원 이상 주어야 하지만 외주를 주면 1인당 3000만원이면 충분하니 외부 인력을 쓰는 게 당연하지 않겠느냐.”고 했다. 심지어 국가 인터넷정책을 총괄하는 한국인터넷진흥원(KISA)의 경우도 사이버 보안을 담당하는 인터넷 침해 대응 센터 인력 131명 중 29%(38명)만 정규직이고 71%(93명)는 비정규직이다. 이영상 경찰청 사이버테러대응센터장은 “보안 전문가들에 대한 적절한 대우가 선행돼야만 이들이 나쁜 길로 빠져드는 것을 막을 수 있다.”고 말했다. 유영규기자 whoami@seoul.co.kr

현대캐피탈과 농협에서 잇따라 대형 전산사고가 발생하면서 우리 사회의 보안 시스템이 전반적으로 열악하다는 현실이 다시 한번 드러났다. 특히 두 사건 모두 해커가 개입된 것으로 추정되면서 국가적 차원에서 ‘해커 전쟁’에 대비해야 한다는 목소리가 커지고 있다. 한국의 대표적 보안업체인 안철수연구소의 김홍선(51) 대표는 지난 20일 “해커들은 이미 글로벌 범죄 조직으로 성장했지만 이에 대처하는 우리 기업들의 보안 의식은 너무도 취약하다.”고 우려했다. 다음은 김홍선 대표와의 일문일답. →최근 발생한 일련의 전산 사고들 사이에 공통점이 있다면. -분산 서비스 거부(디도스) 공격부터 현대캐피탈, 농협 사태 모두 전 세계 모든 PC들이 초고속 인터넷(브로드밴드)으로 네트워크화되면서 해커들이 특정 PC에 접근하기가 더욱 쉬워지고 있다는 점을 잘 보여준다. 네트워크를 통해 원하는 PC에 들어올 수 있는 통로가 넓어져 이젠 중국인 해커가 아프리카에 서버를 둔 채 동남아에서 노트북 한대만 들고 한국의 금융기관을 해킹할 수 있는 시대가 됐다. 국내 정보 당국이 용의자를 찾더라도 인터폴 등과 협의해 해당 국가의 도움을 받으려고 하면 이미 자취를 감춘 지 오래다. →현대캐피탈이나 농협 같은 금융기관을 해킹할 수 있는 이들이 국내 혹은 세계에 얼마나 된다고 보나. -그 정도 수준의 해커들은 추정이 불가능할 정도로 많다. 영화에서 해커들이 1~2명 단위로 숨어 다니며 정부 등 거대 조직을 상대로 정의롭게 싸우다 보니 해커들을 ‘나홀로 움직이는’ 신비한 존재쯤으로 여기는 이들이 많다. 정부 관계자들조차 그렇게 보기도 해 놀라기도 한다. 하지만 해커들 대부분은 (마피아처럼) 전 세계에 걸친 글로벌 조직의 구성원으로 일한다. 해킹은 국제 조직의 주요한 범죄가 됐다. →해커들은 어떤 식으로 돈을 버나. -주로 동유럽과 중국 및 동남아, 아프리카, 브라질 등에 거대 조직들이 밀집해 있는데, 통상 이들은 크게 세 가지 방식으로 수익을 창출한다. 하나는 해킹을 원하는 일반인들에게 자신들이 개발한 해킹 프로그램을 판다. 동유럽의 한 해킹 조직이 개발한 ‘제우스’라는 프로그램은 한개에 3000달러(약 330만원)가 넘는 고가에 팔린다. 두 번째는 금융기관 등을 해킹해 정보를 빼낸 뒤 해당 업체를 협박해 돈을 갈취한다(현대캐피탈 사례가 대표적). 세 번째는 해킹을 원하는 조직을 위해 대신 일해 주고 사례금을 받는다(농협 사례도 이 경로로 이뤄졌을 것으로 추정). 일종의 아웃소싱인데 해킹 계약을 따내기 위한 글로벌 조직들의 ‘수주전’(戰)도 치열하다. →이들이 벌어들이는 수익은 얼마나 되나. -해커들이 지하 경제에서 활동하다 보니 정확한 계산은 힘들다. 하지만 우리가 생각하는 것 이상으로 엄청난 돈을 버는 것은 분명하다. 국내외를 막론하고 금융기관은 해킹당한 사실이 알려지면 신뢰도에 치명적인 타격을 입는다. 때문에 해커들이 달라는 대로 거액을 주고 넘어가는 경우가 대부분이다(실제 농협도 2008년 이미 한 차례 해킹을 당했지만 이를 숨겨 온 사실이 검찰 조사로 드러났다). 금융기관이 아니어도 기업 운영에 불법적인 요소가 많은 곳은 조사받는 것 자체를 꺼리게 된다. 해커들도 이를 알고 무리한 요구를 하는데 기업 입장에선 어쩔 수 없이 현금을 주고 덮고 간다. →그렇다면 국내 기업 가운데 현대캐피탈이나 농협 말고도 이미 해커들에게 해킹을 당한 뒤 돈으로 무마하고 넘어간 곳들이 있었다는 뜻인가. -(잠시 뜸을 들이더니) 그 질문에는 답하지 않겠다. →최근 전직 해커 한명이 언론 인터뷰를 통해 “6개월이면 어떤 은행도 다 뚫을 수 있다.”고 밝혀 화제가 됐다. 결국 기업들이 아무리 보안에 투자해도 마음먹고 덤벼드는 해커들은 못 막아 낸다는 의미로 해석된다. -(여러 번 웃으며) 요즘 언론에 ‘전직 해커’라는 이들이 자주 나오던데 나도 한번 만나보고 싶다. 난 그 해커의 말에 동의하지 않는다. 아무리 뛰어난 해커라 해도 사전에 철저히 보안 시스템을 2중, 3중으로 갖춘 ‘준비된 기업들’은 절대 뚫을 수 없다. 전 세계 해커들이 노리는 구글이나 아마존, 페이스북 등은 어떻게 지금까지 건재할 수 있었겠나. 만에 하나 이를 모두 뚫고 들어올 수 있는 능력이 있더라도 이런 시스템을 뚫게 되면 반드시 흔적을 남길 수밖에 없게 돼 있다. →끝으로 해킹과 관련해 우리 사회에 당부하고 싶은 것이 있다면. -10년째 같은 얘기를 반복해야 하는 우리 현실이 참 안타깝다. 해커들은 우리가 상상하는 것보다 훨씬 치밀하게 범죄를 준비한다. 우리나라에서 보안 검색이 가장 까다롭다는 한 기업에서는 아이러니하게도 오너 등 고위층이 들어갈 때 (일행인 척) 따라 들어가면 아무 검색도 받지 않고 출입할 수 있다. 해커들은 이런 사회공학적 배경까지도 모두 분석해 일을 진행한다. 하지만 우리 기업들의 보안 의식은 낮아도 너무 낮다. 국내 굴지의 한 기업에서는 쉬는 시간마다 직원들이 회사 공장 시스템을 돌리는 메인 컴퓨터로 인터넷 서핑이나 쇼핑을 하다 악성코드에 감염돼 가동이 중단되기도 했다. 보안 시스템 설치 당시 설정해 준 비밀번호를 한 차례도 바꾸지 않고 몇 년씩 쓰다 사고를 당하는 대기업도 많다. 무엇보다 보안 문제는 정보기술(IT) 담당자가 아닌 최고경영자(CEO)가 챙기는 풍토가 마련돼야 한다. 글 류지영기자 superryu@seoul.co.kr 사진 류재림기자 jawoolim@seoul.co.kr ●김홍선 대표는 ▲1960년 서울 ▲서울대 전자공학과(학·석사) 및 미국 퍼듀대(박사) ▲미국 텍사스주립대 연구원, 삼성전자 컴퓨터사업부 선임연구원, 시큐어소프트 대표이사 등 ▲정진기언론문화상, 미국 퍼듀대 최고의 동문상, 과학기술창의상 등 수상

금융권이 최근 농협의 전산망 마비 사태를 계기로 정보기술(IT) 보안을 대폭 강화하고 있다. 금융당국의 권고에 맞게 IT 관련 예산을 늘리거나 아예 이동식저장장치(USB) 사용을 통제하는 곳도 있다. 21일 금융권에 따르면 하나은행은 ‘농협 사태’의 원인 중 하나가 노트북을 통한 USB 접속으로 알려지자 전 행원에 USB 사용을 자제시켰다. 하나은행 관계자는 “단말기에서 USB로 쓰기 기능이 불가능하도록 조치했다.”면서 “불가피하게 사용할 일이 생기면 부서장의 허가를 받도록 했다.”고 밝혔다. 하나은행은 또 국내 금융기관 중 유일하게 주요 서버에 아이디(ID)와 비밀번호뿐 아니라 일회용 비밀번호(OTP) 발생기 인증도 거쳐야만 들어갈 수 있도록 했다. 아이디와 비밀번호를 해킹으로 알아내도 OTP 기기가 없으면 서버접속 자체가 불가능한 것이다. IT 보안 예산과 인력을 늘리려는 움직임도 있다. 금융당국은 IT 보안 예산과 보안 인력을 전체 IT 예산 및 인력의 5%씩 갖추라고 권고하고 있다. 지난해 주요 금융업권별 IT 예산 중 보안 예산은 은행이 3.4%, 증권 3.1%, 카드 3.6%, 생보 2.7%, 손보가 2.7%에 불과했다. 우리은행 관계자는 “IT 보안 예산과 인력을 권고에 맞게 늘렸는데, 숫자에 대한 해석이 달라 감독당국이 미흡하다고 보는 것 같다.”면서 “추가로 확충할 계획”이라고 말했다. 신한은행 관계자도 “향후 보안과 관련된 인력 충원과 설비 투자를 검토하고 있다.”면서 “특히 보안 담당자의 교육도 확대해 인적 역량도 강화하겠다.”고 밝혔다. 한편 저축은행 부실과 농협 사태의 여파로 우체국 수신이 크게 늘었다. 우체국예금 잔액은 지난달 중 3조 5837억원 증가했다. 월중 증가액이 지난해 1월(3조 7488억원) 이후 14개월 만에 최고치다. 우체국 예금은 이달에도 증가세를 이어가고 있다. 지난 19일 현재 우체국 예금 잔액은 56조 3775억원으로 지난달 말보다 1조 7965억원 늘었다. 김경두기자 golders@seoul.co.kr

농협 전산망 해킹 사건을 수사 중인 서울중앙지검 첨단범죄수사2부(부장 김영대)는 21일 해킹 진원지를 규명할 수 있는 ‘맥 주소’(MAC address) 추적에 주력하고 있다. 검찰은 해킹 공격이 국내에서 일어났는지 아니면 해외에서 가해졌는지를 파악하기 위해 ‘맥 주소’를 쫓고 있다. 로그기록 분석을 통해 아이피(IP) 주소를 알아낸 뒤 그 아이피를 따라 들어가 ‘맥 주소’를 찾는 작업을 하고 있다. 맥 주소는 컴퓨터의 랜카드를 제작할 때 새기는 고유 식별 번호다. 사람마다 지문이 다르듯 맥 주소도 랜카드마다 다르다. 아이피는 바꿀 수 있지만 맥 주소는 고유번호여서 바꿀 수 없다. 이정현 숭실대 컴퓨터학부 교수는 “변동 가능한 아이피 주소가 휴대전화 번호라고 하면, 맥 주소는 휴대전화 기계에 새겨진 제조번호와 같다.”면서 “휴대전화 기계 제조번호를 알면 그 기계를 누구한테 팔았고 누가 사용하는지 알 수 있듯 맥 주소를 추적해서 밝혀내면 그 랜카드가 어디에서 사용되고 있는지를 알 수 있다.”고 설명했다. 검찰은 사건 발생 이후 로그기록을 계속 분석하고 있어, 머지않아 해킹 진원지를 밝힐 수 있을 것으로 보인다. 검찰은 또 해킹에 사용된 프로그램 분석에도 힘을 쏟고 있다. 검찰 관계자는 “정상 프로그램 중 어느 프로그램에 붙어 해킹 프로그램이 가동됐는지 등 분석해야 할 게 많다.”고 전했다.한편 농협 비밀번호(1, 0000) 해킹과 방화벽 침투가 동시에 이뤄졌을 가능성이 제기되고 있다. 한 보안전문가는 “비밀번호를 수시로 바꿔야 하는데, 6년 9개월이나 안 바꾼 건 문제”라면서 “비밀번호를 알면 서버 접근이 훨씬 용이하다.”고 지적했다. 검찰 관계자는 “비밀번호를 바꾸지 않은 게 외부 침투와 관계가 있는지 검토하겠다.”고 말했다. 김승훈·강병철기자 hunnam@seoul.co.kr

농협 전산망 해킹은 최소 2~3명의 전문 프로그래머가 수개월 전부터 치밀하게 계획하고 저지른 것으로 파악됐다. 이들이 선택한 해킹 방식은 전대미문의 ‘스크립트 해킹’이었다. 검찰은 2~3주 후면 정확한 해킹 경로까지 파악할 수 있을 것이라고 전망했다. 임을규 한양대 정보통신학부 교수는 “스크립트는 여러 가지 명령을 하나로 합쳐서 만들어 놓은 것”이라면서 “스크립트를 실행하면 명령이 하나씩 실행된다.”고 설명했다. 이번 농협 해킹에서도 파일 삭제 명령어를 방화벽이 정상 지시어로 인식할 수 있도록 4~5개의 프로그램(바이러스)이 노트북에 설치됐고, 그 프로그램들이 하나씩 가동되면서 농협 방화벽이 뚫렸다. 검찰 관계자는 “스크립트 해킹 방식은 가장 복잡한 해킹 방법 중 하나”라면서 “이번 농협 건은 간단치 않은 사건”이라고 말했다. 농협 전산망을 마비시킨 방식은 철두철미했다. 우선 전문 프로그래머들이 외주 직원의 유에스비(USB)에 바이러스를 심었다. 외주 직원이 유에스비에 프로그램 등을 저장할 때 옮겨 가도록 한 것이다. 이후 해당 직원이 유에스비를 노트북에 꽂을 때 그 노트북에 바이러스가 옮겨지도록 했다. 노트북이 농협 서버에 접속될 때마다 외부에서 농협 방화벽 구조를 파악했다. 수사 당국 관계자는 “농협 방화벽은 유동적”이라면서 “방화벽을 ‘움직이는 10미터짜리 벽’이라고 치면 그 움직이는 벽을 찾아 1미터씩 벗겨낸 뒤 전산망의 정확한 구조와 위치를 파악해야 한다. 수개월 전에 범행을 준비했을 것이라는 건 이 때문”이라고 설명했다. 이정현 숭실대 컴퓨터학부 교수는 “유에스비를 통해 바이러스를 노트북에 옮길 수 있다.”면서 “다만 서버 접근 권한을 지니고 있는 사람이 바이러스를 심은 유에스비를 노트북에 꽂아야 스크립트를 실행할 수 있다. (외부 전문 프로그래머가) 그 권한을 어떻게 가질 수 있었느냐가 문제”라고 지적했다. 임을규 한양대 정보통신학부 교수도 “(외부 프로그래머가) 유에스비를 통해 노트북에 바이러스를 심은 뒤 스크립트를 실행하려면 서버 접근 권한이 있는 사람의 유에스비를 택해야 한다.”고 말했다. 한국IBM 직원인 한모 과장은 최고 접근 권한을 가진 사람 중 한 명인 것으로 알려졌다. 이 때문에 내부 직원의 소행이라는 주장이 나오고 있지만 검찰은 가능성을 낮게 보고 있다. 검찰 관계자는 “농협 직원도 검찰 조사에서 내부 직원 소행이라고 (외부에) 말한 적이 없다고 했다.”고 전했다. 검찰 안팎에서는 이번 해킹이 중국 소재 전문 프로그래머에 의해 일어났을 가능성이 높다는 지적이 나오고 있다. 검찰 관계자는 “기존 해킹 범죄에 비춰 보면 농협 해킹은 중국 소재 전문 프로그래머의 소행일 확률이 높다.”면서 “중국에는 이 정도 실력을 갖춘 전문 프로그래머가 50여명 있는 것으로 안다.”고 말했다. 김승훈·강병철기자 hunnam@seoul.co.kr

농협 전산망은 외주 직원의 USB를 통해 노트북에 심어진 프로그램(바이러스)에 의해 파괴됐고, 이 프로그램은 ‘스크립트 해킹’ 방식으로 실행된 것으로 파악됐다. 여러 프로그램을 차례대로 실행하라는 명령어의 조합인 스크립트 기법이 금융기관 해킹에 사용된 것은 국내에서 처음이다. 20일 수사 당국에 따르면 농협 전산망 마비 사태는 외주 직원의 USB를 통해 노트북에 옮겨진 바이러스가 발단이었다. 전문 프로그래머는 바이러스에 감염된 노트북에 4~5개 정도의 프로그램을 설치했다. 수사 당국 관계자는 “노트북에 심어진 프로그램 용량은 상당히 적고, 파일 삭제 명령어도 A4용지 반 정도 될 것”이라며 “USB를 컴퓨터에 꽂아 뭔가를 저장할 때 거기 묻어 들어갔을 것”이라고 말했다. 이 관계자는 이어 “유동적인 농협 방화벽 전체 구조를 노트북이 농협 서버에 접속될 때마다 하나씩 알아냈다.”면서 “노트북의 외부 반출과 바이러스 감염은 상관이 없다.”고 덧붙였다. 이 프로그램은 일종의 ‘시한폭탄’ 해킹 수법인 스크립트 해킹 방식에 의해 가동됐다. 수사 당국 관계자는 “이번 해킹은 가장 복잡한 해킹 방법 중 하나”라고 말했다. 이번 사건을 수사 중인 서울중앙지검 첨단범죄수사2부는 다수의 전문 프로그래머가 해킹을 했을 것으로 보고, 해킹 공모자들을 추적하는 한편 해킹이 실행된 경로 분석에 주력하고 있다. 검찰 관계자는 “외부 침입 흔적이 보이는 만큼 농협 전산망을 외부에서 해킹했을 가능성이 있다.”면서 “프로그램을 하나하나 분석해 생성시기 등을 파악해야 하기 때문에 분석하는 데 2~3주 정도 걸릴 것”이라고 밝혔다. ●스크립트(Script) 일련의 프로그램을 차례대로 자동 실행하도록 모아 놓은 명령어의 조합. 일반 응용 프로그램과 해당 프로그램을 언제, 어떻게 실행 시킬지 등 각종 조건의 조합으로 구성된다. 자바스크립트(JavaScript) 언어 등이 대표적이다. ‘스크립트 해킹’은 이런 명령어 조합에 악성 코드를 심어 정보를 파괴하거나 빼내는 방법이다. 김승훈·강병철기자 hunnam@seoul.co.kr

농협 전산망 파괴는 고도로 훈련된 전문 프로그래머에 의해 발생했다. ‘어떤 프로그래머가 왜, 어떤 경로를 통해’ 바이러스를 문제의 노트북에 심었는지 궁금증이 증폭되고 있다. 검찰 수사도 이 점에 초점을 맞출 것으로 보인다. ① “유사 수법·전문가 중국에 많아” 농협 전산망 마비는 전대미문의 프로그램(바이러스)에 의해 발생했다. 파일 삭제 명령어가 방화벽을 통과하는 과정에서 정상 지시어로 인식되도록 프로그래밍됐다. 바이러스를 정상 명령어로 교묘하게 포장해 2중, 3중의 방화벽을 뚫고 들어가 전산망을 파괴한 것이다. 수사 당국 관계자는 “이 정도 기술력을 가진 전문 프로그래머는 중국에 있다.”면서 “중국 소재 전문 프로그래머와 국내 프로그래머가 공모했을 가능성도 있다.”고 지적했다. 금융 당국 관계자는 “증권사 서버 다운 등 농협과 유사한 사례가 중국에서 발생한 적이 있다.”면서 “사법 당국에 체포돼 처벌받은 사람들을 보면, 이 정도 전문가급은 대개 중국에 있다.”고 전했다. ② “수개월 준비… 거절당하자 범행” 농협 전산망을 파괴한 이들이 농협 측에 돈을 요구했는지도 관심사다. 농협 측은 강력히 부인하고 있다. 하지만 일각에서는 전문 프로그래머들이 농협 전산망 해킹을 수개월 전부터 공모한 뒤 농협 측에 돈을 요구했다 거절당하자 사전에 노트북에 심어 놓은 해킹 프로그램을 그대로 가동했을 것이라는 주장이 나오고 있다. 수사 당국 관계자는 “해외 해커들이 현대캐피탈 사건처럼 국내 금융권에 해킹 등의 협박을 하며 돈을 요구한 적이 있다.”면서 “농협도 해커에게서 돈을 달라는 요구를 받았을 가능성이 있다.”고 말했다. ③ 내부소행·외부침입·국내외 공모說 바이러스가 노트북에 장착된 경로도 의문이다. 검찰 안팎에서는 ▲내부자 소행 ▲내·외부자 공모 ▲전문 프로그래머들 소행 등 세 가지 관측이 나오고 있다. 내부자 소행은 농협 측이 주장하고 있다. 삭제 명령어 조합으로 봤을 때 내부자가 아니면 불가능하다는 것이다. 한 보안 전문가는 “상당히 훈련된 프로그래머가 전산망 파괴 프로그램을 짰다. 농협 전산망 시스템을 훤히 꿰뚫지 않고서는 도저히 설계할 수 없는 프로그램”이라면서 “외부에서 바이러스를 노트북에 심었다기보다는 내부 전문가의 소행일 가능성이 높다.”고 설명했다. 내·외부자 공모설도 농협 전산망을 정확하게 들여다볼 수 있는 내부자가 없고서는 이번과 같은 프로그램을 만들 수 없다는 데서 비롯됐다. 전문 프로그래머설은 원격 제어 시스템 등 농협 전산 센터와 연결된 외부 연결망을 통해 노트북을 원격 조정했다는 것이다. 검찰은 내부자 소행, 내·외부자 공모, 전문 해커 소행 등 모든 가능성을 열어 놓고 수사하고 있다. 김승훈·강병철기자 hunnam@seoul.co.kr

농협 전산망에 2중, 3중으로 설치된 방어벽이 뚫린 것으로 알려졌다. 이 같은 방어벽이 뚫린 것은 처음 있는 일이다. 관계당국은 상당한 수준의 전문가들이 저지른 소행일 가능성에 주목하고 있다. 수사당국은 치밀하게 계획된 범죄 쪽에 무게를 두고 수사력을 모으고 있으며, 농협은 ‘고의적인 사이버테러’라고 규정지었다. 정부의 고위 관계자는 18일 “주센터와 백업센터의 파일이 함께 지워진 점에 주목한다.”면서 “이 정도 일은 몇명이 저지를 수 없다. 100명 이상의 초(超)전문가들의 소행”이라고 말했다. 농협 측은 브리핑에서 “전산장애를 일으킨 삭제 명령이 상당히 치밀하게 계획되고, 고도의 경험이 있는 사람이 작성한 명령어의 조합”이라면서 “고도의 기술을 가진 전문가에 의한 고의적인 사이버테러”라고 규정했다. 이어 “파일 삭제 명령만 내리고 카피(복사) 등 특정정보 유출 명령은 없었다.”면서 “외부에서 특정한 정보를 얻을 목적으로 하는 일반적인 해킹과는 다르다.”고 설명했다. 농협 측은 또 “전산장애를 일으킨 명령어는 공격당한 275대의 중계서버뿐 아니라 다른 서버도 침투하려고 했다.”고 강조한 뒤 파일 삭제를 통해 무력화를 시도할 정도로 원한을 가질 만한 내부 직원이 있었느냐는 질문에는 “최근 해고당한 직원은 없다.”고 밝혔다. 관계자는 “중계시스템에는 2중, 3중의 방어장치가 돼 있어 내부인도 접근이 어렵다.”면서 “하지만 이 방어장치가 뚫렸다.”고 말했다. 이와 관련, 정부 소식통은 “방어장치가 뚫린 것은 국내에서 처음 있는 일이며 상당한 전문가 집단이 아니면 뚫기가 어렵다.”면서 국내 공모자가 있을 가능성이 높다고 말했다. 이에 따라 중국을 무대로 한 조직 개입 가능성을 제기했다. 서울중앙지검 첨단범죄수사2부는 농협 전산망 마비는 과실이 아닌 범죄라는 쪽에 무게를 두고 수사를 진행하고 있다. 검찰은 또 내부자 소행에 무게를 두고 농협 서버관리 협력업체인 한국 IBM 직원 등 2~3명을 출국금지 조치했다. 검찰은 현대캐피탈 고객정보 해킹 유출사건과의 연관성도 조사 중인 것으로 알려졌다. 금융감독원과 한국은행도 이날 농협을 대상으로 한 공동검사에 착수했다. 홍희경·강병철기자 saloo@seoul.co.kr

18일 농협이 “거래 내역 유실이나 개인정보 유출은 없다.”고 단언했지만 우려는 여전하다. 농협의 전산복구 작업이 22일까지 ‘진행형’이기 때문이다. 그동안 복구 과정에서 무사하다던 카드 거래 내역이 일부 유실된 채 발견됐듯이 새로운 돌발변수가 나타날지 안심할 수 없는 상태다. ●거래내역 유실땐 피해규모 파악 못해 농협의 전체 서버 553개 가운데 275개가 훼손되면서 거래 내역 유실에 대한 우려는 그대로 남는다. 농협 IT본부 분사 관계자는 “카드 거래 내역은 100% 복구가 가능하다.”고 단언했지만, 금융자료가 관련됐기 때문에 한건이라도 유실되면 농협이나 고객에게 피해가 발생하기 때문이다. 제대로 복구되지 않는다면, 정확한 피해 규모조차 파악하기 어렵고 금융권의 신뢰도는 떨어질 수밖에 없다. 개인정보 유출이 없었는지에 대해서도 논란이 여전하다. 농협 측은 ▲노트북에서 들어간 명령어에 정보유출 명령어가 없이 파일삭제 명령어만 있었다는 점 ▲개인정보를 보관한 HP 서버가 공격받지 않았다는 점을 들어 정보 유출이 없었다고 설명했다. 하지만 농협은 파일삭제 명령이 중계 서버인 IBM 서버를 표적으로 삼은 게 아니고, 다른 서버에 대해서도 침투 기미를 보였다는 설명을 덧붙였다. 서버 공격자의 의도나 목표는 오리무중이다. 범행 의도에 대한 의문도 유출에 대한 우려를 부채질한다. 검찰과 금융 당국은 이번 사건의 성격을 치밀하게 계획된 범죄로 규정했다. 그렇다면 해킹을 대가로 금품을 요구한 현대캐피탈 사건처럼 반대 급부가 나타나는 게 상식적이다. 농협 측 설명대로 “단순히 삭제 명령을 내렸다.”고 하면 해명되지 않는 부분이 남는 셈이다. ●금감원·한은, 농협 과실여부에 초점 피해보상 범위를 어디까지 둘 것인지는 앞으로 큰 논란이 될 전망이다. 농협 측은 “수수료 등 금전적 피해뿐 아니라 전산 장애로 인해 발생한 신용불량 정보를 다른 금융기관과 협의해 삭제되도록 하겠다.”고 약속했다. 이에 대해 금융권 관계자는 “신용평가기관이나 농협의 상대가 된 다른 금융기관이 신용등급을 복귀시키는 데 합의해 줄지 장담할 수 없다.”고 일축했다. 무엇보다 개인이 자신의 신용등급을 잘 알지 못하는 상태이기 때문에 피해가 발생했는지를 모르고 지나갈 수도 있다고 금융권 관계자는 설명했다. 복잡다단한 문제가 얽혀 있지만, 이날 서울 양재동 농협 IT본부 분사를 찾아 검사에 착수한 금융감독원과 한국은행은 일단 농협의 과실 여부에 초점을 맞추기로 했다. 금감원은 특별검사에서 농협의 전산 관련 내부통제 시스템에 문제가 있었는지, 농협이 전자금융거래법이나 관련 감독 규정을 제대로 지켰는지, 협력업체 관리에 만전을 기했는지를 점검한다. 한은은 농협 전산장애로 인해 한은 금융망이나 소액결제 시스템에 문제가 발생할 가능성이 없는지를 조사할 계획이다. 홍희경기자 saloo@seoul.co.kr

　농협은 18일 최근 발생한 전산마비 사고의 성격에 대해 “고도의 기술을 가진 전문가에 의한 고의적인 사이버 테러”라고 규정했다. 　농협중앙회 김유경 팀장은 이날 브리핑에서 ”해킹은 외부에서 특정 정보를 취득해 이득을 보는 것이지만 이번 사건은 (농협) 내부에서 저질러졌고 전체 서버 시스템을 파괴하도록 명령이 내려졌고, 동시다발적으로 시행됐다.”면서 이같이 말했다. 그는 ”이같은 사례는 국내외 보안 관련 사고에서조차 상당히 보기 어려운 사건“이라고 첨언했다. 　김 팀장은 “협력업체 소유 노트북PC에서 내려진 삭제명령이 상당히 치밀하게 계획된 명령어로 고도의 경험이 있는 사람이 작성한 명령어의 조합”이라면서 “해당 서버의 파일을 파괴하도록 하는 내부적인 명령어로 엔지니어가 아니면 모른다.”고 설명했다. 　그는 “전산관련 기본적인 상식으로 판단할 때 파일삭제는 최고의 명령어로 이런 명령은 내릴 수도 없고, 내려서도 안되며 상상하기 어려운 명령어”라면서 “정보유출을 위한 ‘복사(copy)’와 같은 명령도 없이 파괴명령만 있었다.”고 부연했다. 　김 팀장은 “IBM 중계서버 뿐만 아니라 다른 서버도 공격을 시도한 흔적이 있다.”면서 “명령어가 통상의 시스템을 모니터하는 스크립트가 아니라 독립된 스크립트에서 내려졌다.”고 덧붙였다. 인터넷서울신문 event@seoul.co.kr

현대캐피탈 해킹과 농협 전산망 마비 사태를 계기로 프로그램·서비스 개발에 집중했던 금융권 내 정보기술(IT) 포트폴리오를 보안시스템 강화와 인력 육성에 초점을 맞춰야 한다고 전문가들은 17일 지적했다. 전문가들은 현대캐피탈과 농협을 타산지석으로 삼아 금융권 전체의 보안망 체계를 근본적으로 바꿔야 한다고 밝혔다. 전문가들은 ▲금융 보안 인력을 육성하고 ▲정부 조직을 혁신해야 하며 ▲금융회사 최고경영자(CEO)의 보안 인식을 높이고 ▲보안 시스템을 강화해야 한다고 강조했다. 임종인 고려대 금융보안대학원 교수는 “서버 관리를 외주에 맡기더라도 농협 본사에는 관리 능력을 갖춘 우수 요원을 확보했어야 했다.”면서 관리적 측면의 허점을 지적했다. 임 교수는 “앞으로 대책을 마련하면서 돈 들여 외국 장비를 들여놓을 생각을 할 텐데 장비만 들여오고 운영할 인력이 없다면 문제”라면서 보안 인력을 키워 내는 사회적 구조의 필요성을 강조했다. 한국은행 관계자도 컨트롤타워 성격의 금융 보안 전문가 육성이 시급하다고 지적했다. 성재모 금융보안연구원 정보보안본부장은 “일본 미쓰비시은행의 경우 3만~4만명의 직원 가운데 전산 개발 인력만 자체적으로 7000여명을 두고, 운영 인력을 별도로 300~400명을 확보하고 있어 장애가 발생해도 즉각 고칠 수 있다.”고 말했다. 임종인 교수는 금융 보안에서 권한과 책임을 갖춘 정부 기구를 만들어야 한다고 촉구했다. 정태명 성균관대 정보통신학부 교수는 “행정안전부, 방송통신위, 지식경제부, 국가정보원 등의 유관 부처는 서로 주도권 싸움만 하고 있다.”면서 정부 부처 내 컨트롤타워 부재를 지적했다. 그는 “디도스 사태 때 모든 금융회사에 대한 보안점검을 벌였어야 했다.”면서 “앞으로 금융감독원은 상시검사에서 IT 보안 관련 검사 항목을 확대해야 한다.”고 말했다. 박춘식 서울여대 정보보호학과 교수는 “정보 보호 부서는 힘들기 때문에 기피하는 경향이 있는데, 정부가 관심과 지원을 강화해야 한다.”면서 정보 보호를 강화하는 금융회사에 대해서는 정부가 세제 지원을 해주는 등의 인센티브를 제공해야 한다고 조언했다. 정보 보호 인력 채용 시 인건비 일부 지원 방안도 제시했다. 그는 “기업들은 IT 시스템 유지 비용을 내지 않고 있으며, 하청업체들은 개발할 때만 돈을 낸다.”면서 IT 비용을 단순한 비용 측면이 아니라 위험 관리 측면에서 봐야 한다고 강조했다. 유지 비용이 현실화돼야 인력에 대한 대우도 나아질 것이라는 얘기다. 정태명 교수는 “CEO들이 정보 보안의 중요성에 대해 인식하지 못하고 방관하다가 일이 터지고 있다.”면서 내부에서 문제가 발생하면 막을 수가 없는 만큼 내부 통제를 강화할 것을 주문했다. 이어 현대캐피탈의 경우는 ‘설마병’으로 봐야 한다면서 고객 정보를 모두 암호화해야 하는데 일부 소홀히 한 측면이 있고, 많은 기업들이 이런 식으로 정보가 유출당하는 사고를 낸다고 말했다. 정 교수는 현재 국회에 계류 중인 전자금융거래법 개정안이 빨리 처리돼 정보보안최고책임자(CISO)를 신설하는 것도 대안이 될 수 있다고 말했다. 김경두·오달란기자 golders@seoul.co.kr

현대캐피탈의 해킹과 농협의 전산망 마비는 ‘남의 일’이 아니다. 전문가들은 금융권의 총체적인 정보기술(IT)보안 부실이 대형사고로 이어졌으며, 다른 은행 등에서도 언제든 되풀이될 수 있다고 경고한다. 보안 의식, IT 투자, 인력 육성 등에 소홀한 게 금융권의 현실이었다. 한해 1조~2조원의 순이익을 내고 있는 은행권이 몇 푼 아끼려다 고객 신뢰라는 가장 큰 자산을 잃을 판이다. 17일 금융감독원에 따르면 지난해 국내 인터넷뱅킹 거래 액수는 1경 3265조 6150억원으로 집계됐다. 현금 자동입출금기(ATM)를 통한 거래 금액은 714조 6940억원이며, 폰뱅킹 692조 5570억원, 모바일뱅킹이 133조 7110억원으로 전자금융을 통한 거래가 폭발적으로 늘어나고 있는 추세다. ●인터넷뱅킹 거래액 1경 3265조 하지만 IT 보안 투자에는 인색했다. 전체 금융권의 인터넷뱅킹 시스템 구축 등 IT에 대한 투자 규모는 2009년 1조 2000억원이었지만 지난해는 39%나 줄어든 7700억원에 그쳤다. 특히 농협은 IT 보안 분야에 2009년 71억 5000만원을 투입했지만 지난해는 시스템 구축이 완료됐다는 이유로 무려 23억 5000만원을 삭감한 것으로 알려졌다. 그나마 예산의 대부분이 인건비로 들어갔다. ●은행 등 보안예산 3~4%대 그쳐 금융권은 전산 시스템을 관리할 인력 투자에도 소홀했다. 우리나라의 은행 IT 인력은 2000년 4100여명에서 2009년엔 3876명으로 6.3% 줄었다. 같은 기간 은행 전체 인원이 8.2% 늘어난 것과 대조된다. 18개 주요 은행의 IT 보안 담당자는 121명에 불과하다. 은행 관계자는 “비용 절감을 이유로 저렴한 하드웨어와 소프트웨어 등을 도입하면서 정작 복구 작업이 지연되고 원인 분석마저 안 되는 경우가 있다.”고 말했다. 은행권 IT 예산 중 보안 예산은 3.4%로 금융감독원의 권고 수준 5%에 못 미친다. IT 부서 근무자 중 보안 담당은 2.9%(2010년 8월 기준)로 더 낮다. 농협의 인력과 예산은 모두 2.0%로 업계 평균치에도 못 미친다. 실제로 대규모 금융지주사들은 전산망 관리를 시스템 자회사에 맡기고, 자회사들도 2·3차 하도급을 통해 전산 보안을 수준 이하의 업체에 맡기고 있는 실정이다. 특히 서버 관리와 핵심 지급 결제 프로그램 등 금융 전산망의 핵심 업무마저 아웃소싱을 하다 보니 사고 가능성이 커지고 사고 수습도 쉽지 않다는 것이다. 현재 은행권 본사의 IT 인력 대부분은 주로 IT 전략과 프로그램 개발에 집중하고 있다. 또 금융지주사들이 계열사 IT 인력을 한곳에 모으는 것도 지나친 편의주의적 발상이라는 지적이 나온다. 은행이나 증권, 보험 등의 비즈니스 속성이 다른데도 무리하게 관련 인력들을 한곳에 집중시켜 전문성을 떨어뜨리고, 이 때문에 사고가 터지면 피해가 더 확대될 수 있다. 김경두기자 golders@seoul.co.kr