개인정보 등 담은 민감한 데이터암호화 통해 해킹 막는 근본 개념성범죄자 등 접근금지 알림 가능금융 신용점수·맞춤 의료에 적용데이터를 보호하고 자유롭게 해독보적 기술에 성공한 대한민국세계에서 인정받는 것 보고 싶어 인공지능(AI)이 발전하려면 수많은 데이터가 필요하다. 많은 데이터는 민감한 개인정보를 담고 있어 사용이 자유롭지 않고 암호화돼 있다. 데이터를 활용하려고 암호를 푸는 과정에서 해킹의 위험에 노출된다. 데이터를 암호화해 계산해도 원래 값과 같게 만드는‘동형(同形)암호’ 개념이 1978년 나온 이유다. 많은 계산량으로 속도가 느려 외면받았으나 최근 연산 기술의 발달로 빠르게 적용되고 있다. 현재 최고의 동형암호 기술은 국내 스타트업 크립토랩이 갖고 있는 ‘혜안’(HEAAN)이다. 혜안을 2016년 개발하고 크립토랩을 세운 천정희(55) 서울대 수리과학부 교수를 지난달 30일 서울대 산업수학센터에서 만나 암호와 수학의 세계에 대해 들었다.-국내에서 혜안이 쓰인 사례는. “2021년 개발한 ‘코동이’(코로나 동선 안심이) 앱에 쓰였다. 사용자의 이동경로를 위성항법장치(GPS)로 추적해 스마트폰에 암호화해 저장한다. 확진자와 동선이 겹치는지를 실시간으로 확인할 수 있다. 당시 경기도, 서울대 등이 채택했다. 접근금지에도 쓸 수 있다.” -좀더 자세히 설명하면. “성범죄, 스토킹 등의 피해자가 접근금지명령을 요청할 때 정부가 피해자 정보를 가져간다. 피해자들은 이 과정에서 가해자에게 정보가 전달될 수 있다고 걱정한다. 피해자가 어디에 있건 위치정보를 암호화해 가해자와의 거리를 계산하면 된다. 결과는 피해자의 스마트폰에서 암호를 풀어 확인할 수 있다. 위험 상황이 발생하면 피해자가 능동적으로 가해자를 피할 수 있는 방식이다. 개인정보보호위원회와 한국인터넷진흥원(KISA)이 2022년 개최한 ‘개인정보 보호·활용 기술개발 스타트업 챌린지’에서 우수상을 받았다.” -민감한 개인정보는 금융과 의료 분야에 많다. “250만명의 국민연금 정보와 코리아크레딧뷰로(KCB)의 신용정보를 결합·분석해 국민연금을 성실하게 낸 사람은 대출 연체 발생률이 낮다는 결과를 얻었다(2021년부터 국민연금 성실 납부 기간에 따라 신용점수가 최대 41점 오른다). 세계 최초로 대규모 데이터를 동형암호로 분석한 사례다. 이후 여러 금융회사에서 문의는 오는데 진도가 느리다. 실리콘밸리에 있는 금융사라며 창업자들의 개인정보 분석에 동형암호를 쓸 수 있느냐고 물어 온 적도 있다. 혜안은 2017년 미국 올랜도에서 열린 ‘국제 게놈 정보보호 경연대회’(iDASH)에서 1등을 하면서 유명해졌다. 당시 분석이 2위보다 30배 빨랐다. 건강관리기업 마크로젠에 올해부터 3년간 동형암호 기술을 공급한다. 유전자 정보 분석을 통해 맞춤형 의료 서비스를 제공하는 것이 목표다. 마크로젠이 오늘 첫 입금을 해 줬다. 크립토랩의 첫 수익이자 동형암호 사업화의 세계 첫 번째 사례다.” -교수와 사업가를 병행하고 있다. “교수에게는 절대적 권한과 책임이 있다. 교수를 도와줄 사람은 별로 없고 교수한테 뭔가를 원하는 사람이 있는 편이다. 사업을 하고 나니 모두가 다 나를 도와줄 사람이다. 혜안을 누군가에게 주고 싶었는데 10년 이상 개발에 집중할지 확신이 들지 않았다. 수학적으로 생각한 것을 경영자에게 전달하는 과정도 힘들었다. 기술이 발전하면 산업이 될 줄 알았는데 산업은 완전히 다른 영역이더라. 기술개발 이후 산업화 과정까지 곳곳이 비어 있다. 아직까지는 크립토랩에서 기술을 개발하는 것이 중요하다. 지금 이 순간 최선책을 찾는, AI 용어로 ‘그레이디언트 디센트’(경사하강법)인데 나중에도 내가 사업을 할지는 모르겠다.” -크립토랩 지사가 있던데. “지난해 실리콘밸리에 세웠다. 신기술에 대한 수용성은 미국이 높다. 국방부 등 공공 분야의 드라이브도 세다. 드론, GPS 등 혁신적 기술개발을 주도한 국방고등연구계획국(DARPA)이 동형암호를 이용한 데이터 보호 프로그램 개발을 진행하고 있는데 여기에 인텔과 팀을 이뤄 참여하고 있다. 미국 기업과 ‘프라이빗 AI’(기업 고객의 데이터를 개인정보 노출 없이 처리해 활용하는 AI) 사업화를 논의 중이다. 프랑스에는 연구 지사가 있다.” -2017년 창업 이후 가장 힘들었던 때는. (천 교수는 한참을 생각했다) “늘 지금인 것 같다. 그래서 다시 돌아가고 싶지 않다. 힘들다는 것과 하기 싫다는 것은 다르다. 힘든데 많이 배우고 재미있다. 사업을 안 했으면 많이 아쉬웠을 거 같다. 사업을 시작하고 나서 사람들에 대한 관심도 많아졌다. 세상을 넓게 볼 수 있는 기회를 가졌다는 점이 감사하다.” -강의는 계속 하나. “2학년에게 정수론을 가르친다. 원래 전공이 순수수학이다. 정수론이 어디에 쓰이는지 설명하니 학생들이 좋아한다. 강의 중 동형암호 혜안에 대해 특강도 한다.” -‘수포자’(수학포기자)란 말도 있는데 수학은 본인에게 어떤 의미인가. “수학이 어려운 건 왜 배우는지 몰라서다. 수학은 물리적 실체가 없는데 생각을 통해 결론이 나올 수 있도록 하는 도구다. 블록체인은 현물이 없지만 사이버 세상에서 가치가 유지된다. 그 근간이 암호고 암호를 만드는 건 수학이다. 수학은 사이버 세상에서 질서를 유지해 주는 키다.” -그럼 수학만 잘해도 됐을 텐데 왜 암호를. “1997년 박사 학위를 받고 한국전자통신연구원(ETRI)에 들어갔다. 암호 연구하면 돈 많이 준다고 해서(당시 ETRI 연봉은 삼성보다 높았다). 5년 외도했으니 모은 돈으로 원래 하던 순수수학하려고 미국으로 떠났다. 가 보니 내가 했던 것이 더 재밌더라. 지도교수는 나한테 암호를 물었다. 내가 수학이 세상에서 어떻게 활용되는지에 관심이 있다는 걸 알았다.” -그래서 다시 암호로 돌아왔나. “지도교수가 순수수학에서는 나보다 몇 단계 위이지만 암호는 내가 몇 단계 위다. 자기가 많이 하고 열심히 한 걸 잘하는 거다. 자꾸 배우려 하지 말고 내가 잘하는 분야에서 새로운 걸 만들어야 되겠다고 생각했다. 우리나라 사람들은 배우려는 자세가 너무 많다. 학생도 정부도 우리가 새로운 걸 해야 될 때다. 새로운 걸 하면 힘들지만 재미있다. 다른 사람들이 쫓아온다.” -동형암호의 발전 가능성은. “특정 정보에서 민감한 개인정보는 굉장히 적을 수 있지만 이를 골라낼 수 없어 결국 대부분의 데이터는 동형암호화될 거라고 생각한다. 동형암호는 데이터를 보호하고 자유롭게 해 세상에 기여하는 기술이다. 우리나라가 어떤 원천기술에서 성공한 나라가 되는 것을 보고 싶다. 적어도 지금 서울이 동형암호의 메카가 돼 가고 있다.” ●천정희 교수는 한국과학기술원(KAIST) 수리과학과에서 정수론으로 박사 학위를 받았고 2003년부터 서울대 수리과학부 교수로 재직 중이다. 지난해 세계암호학회 석학회원에 선정됐다. 한국인으로는 2017년 김광조 KAIST 교수 이후 두 번째다. 세계암호학회가 밝힌 선정 사유는 ‘대수적 공격과 완전동형암호에 대한 탁월한 성과를 이뤘으며 아시아태평양 지역 암호학계 발전에 기여한 점’이다. 한국을 대표하는 암호학자로 인정받아 2022년 한국과학기술한림원 정회원에 선정되고 녹조근정훈장을 받았다.

‘자발적 인증’ 취득…정보시스템 입증 노력유길상 총장 “대학 정보보호 관심 높여야” 한국기술교육대학교(총장 유길상)는 한국인터넷진흥원(KISA)으로부터 정보보호 관리체계(ISMS, Information Security Management System) 인증을 획득했다고 29일 밝혔다. ISMS 인증은 기관 정보보호 관리체계가 정보자산 보호 기준에 적합한지를 종합적으로 평가해 인증을 부여한다. 인증 기준은 관리체계 수립 및 운영(16개)과 보호대책 요구사항 영역(64개) 총 80개다 이번 인증 대상은 대학 학사·행정 시스템인 아우누리와 홈페이지(대표 홈페이지, 능력개발교육원, 직업능력심사평가원, 도서관)이다. 한기대는 의무 인증 대상이 아니지만, 정보시스템의 대내외 신뢰성을 높이기 위해 자발적으로 인증을 획득했다. 인증기간은 2027년 4월까지 3년이다. 유길상 총장은 “한기대는 자발적인 인증 획득으로 대학의 정보보호에 대한 관심과 정보시스템의 신뢰성을 입증하게 됐다”며 “안심하고 신뢰할 수 있는 정보시스템 제공을 위해 지속적인 관심을 기울이겠다”고 강조했다.

국내 가상자산(암호화폐) 거래소들이 앞다투어 시스템 보안을 강화하고 있다. 오는 7월 가상자산 이용자 보호법 시행을 앞둔 가운데 국내외 정보보호 및 보안인증을 바탕으로 투자자 보호책을 보완하려는 것이다. 암호화폐 거래소 코빗은 23일 국내 업계 중 처음으로 SOC 1(Type 2)을 통과했다고 밝혔다. 국제 표준에 따라 재무 관련 내부통제를 평가하는 인증제도로 시스템 보안을 확보하고자 하는 조치다. SOC 인증(System and Organization Controls)은 기업이 안정적 서비스 제공을 위해 미국공인회계사회(AICPA) 및 국제 감사인증기준위원회(IAASB)가 확인하는 제도다. 글로벌 기준에 따라 고객사가 내부통제를 안정적으로 운영하고 있는지를 평가하고 확인한다. 코빗은 2022년 SOC 1의 ‘Type 1’ 인증을 받은바 있는데 이때 발표한 내부통제 설계 계획을 지난 1년간 실제로 이행한 뒤 이차적인 평가를 거쳤다. 향후 법인이 코빗에서 가상자산 입출금, 원화 입출금, 가상자산 매수매도, 기타 스테이킹 서비스를 이용할 때 SOC 1이 있다면 별도로 재무 내역을 확인할 필요가 없다. 코빗 관계자는 “선제적으로 안전장치를 도입한 것이다”며 “향후 법인의 가상자산 투자에 대비함과 동시에 보안 측면에서 신뢰를 확보하고자 했다”고 말했다. 국내 거래소들도 정보보호 관리체계(ISMS), 국제 표준 인증(ISO) 등 정보보호 및 보안인증을 확대하며 시스템을 강화 중이다. 한국인터넷진흥원(KISA)이 관리하는 ISMS 인증은 총 80개 항목의 적합성 평가를 모두 통과할 경우 주어지는데 특금법(특정금융거래정보법)에 따라 가상자산 사업자는 이 인증을 필수적으로 갖춰야 한다. 다만 거래소들은 ISMS 다음 단계의 인증을 취득하거나 해외 인증까지 얻어내는 방식으로 보안을 확보하고 있다. 국내 최대 거래소 업비트는 2018년 ISMS 인증을 취득하고 2021년에는 ISMS-P까지 얻어냈다. ISMS는 기업이 내부 관리체계를 안정적으로 확보했음을 의미하며 ISMS-P는 개인정보의 흐름까지 인정받은 것이다. 또 지난해 11월에는 업무 연속성 관리시스템 국제 표준인 ISO 22301을 인증받았다. 그 외에도 정보·클라우드·개인 정보 보안 등 ISO 인증을 보유하고 있다. 빗썸도 정보보안 인증을 다수 가지고 있다. 지난해 2월 KISA의 ISMS-P 인증을 취득했고 ISO 4종과 국제 인증인 BS10012도 확보했다. 코인원도 지난해 1월 ISMS를 승인받았으며 ISO27001(정보보안) 인증을 보유 중이다. 고팍스도 국제 정보보호 경영시스템 표준인 ISO/IEC 27001과 ISMS 인증을 2018년 업계 최초로 취득한 바 있다. 2021년에는 ISO/IEC 인증을 다음 단계인 ISO·IEC 27017, 27018까지 확장했다.

“피해자들이 보이스피싱에 당하는 이유는 범인들이 스미싱(문자메시지+피싱)을 통해 사전에 개인정보를 빼간 뒤 이를 바탕으로 전화를 걸기 때문입니다. 휴대전화에 저장된 지인 이름은 물론 은행 계좌번호 등 내밀한 정보까지 알고 접근하기에 깜박 속는 겁니다. 금융당국이 선전하는 것처럼 모르는 사람으로부터 전화가 걸려오면 ‘늘·꼭·또’를 꼭 기억하십시오. ‘늘’ 의심하고, ‘꼭’ 전화끊고, ‘또’ 확인하는 방법밖에 없습니다.” 김수민 서울동부지검 보이스피싱범죄 정부합동수사단장은 지난 7일 서울신문과 만나 “인공지능(AI)을 이용해 보이스피싱이나 스미싱 문자를 필터링하는 시스템이 고도화되고 있지만 이를 피하는 방법도 계속 출현하고 있어 발 빠른 대책이 필요하다”며 “은행이나 통신사가 고객을 대상으로 문자나 앱 알림 등을 통해 신종 수법에 대한 주의 메시지를 전송해 알려주는 게 가장 효과적”이라고 진단했다. 김 단장은 “보이스피싱 조직이 스미싱 문자를 뿌리기 위해 해외문자발송 사이트를 이용<서울신문 2월 5일자 9면>하는 가장 큰 이유는 발신번호 변경이 가능하고 한국인터넷진흥원(KISA)이나 통신 3사의 스팸문자 차단 필터링을 우회할 수 있기 때문”이라며 “이를 막을 수 있는 통신사의 투자와 노력이 더 절실하다”고 했다. “미국의 경우 가상납치 형태의 보이스피싱 범죄가 주로 발생하고 있습니다. 자녀 등을 납치했다고 속여 가족으로부터 돈을 받아챙기는 거죠. AI를 통해 합성된 사진이나 영상을 가족들에게 보내 자녀가 납치됐다고 가장하기도 합니다. 중국에서도 위챗 등을 통해 간편 송금 시스템이 활발하게 운영되고 있어 허위 투자나 자산관리, 물품 구매, 고객 서비스 등을 빙자한 보이스피싱 피해가 많이 발생하고 있습니다. 우리도 이런 형태를 주의해야 합니다.” 김 단장은 최근 대검찰청 유튜브인 ‘검찰나우’에 개그맨 심문규·이수지씨 등과 출연해 보이스피싱 신종 수법과 예방책을 홍보하기도 했다. 심씨가 김 단장을 사칭해 보이스피싱범을 연기하자 김 단장이 “내가 김 단장”이라며 그를 잡는 연기를 했다. 김 단장은 “촬영 당시 기온이 영하 14도까지 떨어졌는데 녹음기에 소음이 들어가는 걸 막기 위해 난방장치를 껐다”며 “핫팩 2개를 몸에 붙이고 연기한 기억이 난다”고 웃었다. 김 단장은 “검사가 유튜브에 출연하는 게 흔치는 않은 일이지만 국민에게 조금이라도 더 예방법을 알려야겠다는 생각에 응했다”며 “앞으로도 피해예방을 위한 홍보영상 등을 제작해 지속적으로 국민에게 알리겠다”고 말했다.

발송업 사업자 등록 안 해도 돼정부의 관리·감독 피할 수 있어미끼문자 보내고 수십억원 챙겨檢, 관련 기관과 보완책 논의 방침 “해외에서 한국으로 보내는 광고 문자는 한국 법에 저촉되지 않습니다. 특수문자를 써서 정부나 통신사 스팸 필터링에 걸리지 않게 할 수 있습니다.” 한 해외문자발송 사이트는 버젓이 이런 광고를 하며 홍보하고 있다. 국내에서 대량 문자를 발송할 때는 스팸 필터링을 피하기 위해 변칙적인 광고 문자를 쓰는 게 불법인데 해외에서 보내면 법에 걸리지 않을 수 있다는 얘기다. 이 사이트는 또 “발신 번호나 인증 없이도 문자 발송이 가능하다”고 덧붙였다. 누구나 손쉽게 익명으로 문자메시지를 보낼 수 있는 셈이다. 이런 해외문자발송 사이트가 보이스피싱 범죄 확산의 온상이 되고 있는 것으로 나타났다. 해외 서버를 이용하면 문자메시지 발송업 사업자 등록을 하지 않아도 되고 정부의 관리·감독을 피할 수 있다는 점을 악용한 것이다. 보이스피싱 범죄조직은 해외문자발송 사이트를 통해 미끼 문자를 대량으로 발송하고, 문자발송업체는 그 대가로 매년 수십억원에 달하는 수수료를 취하며 보이스피싱 피해를 키우고 있다. 4일 법조계에 따르면 춘천지검 강릉지청은 최근 불법 자금세탁 사건을 수사하다 문자발송업체의 수상한 점을 포착해 지난달 22일 A씨를 전기통신기본법·범죄수익은닉규제법 위반 등의 혐의로 구속 기소했다. 과거에는 미등록 문자발송업체에 대해 크게 주목하지 않았는데 최근에는 검찰이 이런 업체를 보이스피싱 방조범으로 적극적으로 기소하는 추세다. A씨의 수법이 대표적이다. 범죄자금세탁범 A씨는 문자발송업체도 운영 중인데 보이스피싱 범죄조직의 자금을 받아 직접 자금세탁을 한 후 자신이 운영하는 문자발송 사이트를 통해 스팸 문자를 대량으로 뿌렸다. 이 문자발송 사이트는 인도에 서버를 둔 곳이었다. A씨는 국내에서 사이트를 운영하며 인도 통신사업자로부터 문자메시지 발송 권한을 사 왔다. 즉, ‘고객이 요청한 문자를 사이트에 입력→인도 서버→국내 서버→국내 통신 3사’를 통해 대량 문자를 뿌리는 구조다. A씨는 보이스피싱 조직의 의뢰를 받아 이런 수법으로 국내 불특정인에게 ‘자녀 사칭’, ‘해외 결제 사칭’, ‘주식 리딩방 유인’ 등 수만건의 문자메시지를 발송한 것으로 조사됐다. A씨는 그 대가로 31억원을 받아 해외문자발송 권한을 사는 데 쓰고 수수료를 챙겼다. 특히 A씨는 또 다른 불법 해외문자발송 사이트를 운영한 혐의로도 경찰 조사를 받고 있는데 이 사이트에서만 무려 연매출 100억원, 순수익 월 1억원 이상을 취득하고 있는 것으로 조사됐다. 문제는 해외에 서버를 둔 문자발송업체는 국내 사업자 등록 대상에 해당하지 않아 정부의 관리나 감독이 어렵다는 점이다. 본래 국내에 서버를 둔 문자발송업체는 전기통신사업법상 과학기술정보통신부 산하 중앙전파관리소에 사업자 등록을 해야 한다. 이후 문자발송업체는 스팸 문자 발송, 개인정보 유출, 발신 번호 조작 등에 대해 정부의 관리와 감독을 받는다. 적발될 경우 과태료 등을 물어야 한다. 하지만 전기통신사업법 제2조 14항은 문자메시지 발송업체와 같은 부가통신역무(플랫폼)를 ‘전기통신사업자의 전기통신설비에 직접 또는 간접적으로 연결한’ 사업자로 하고 있다. 여기서 말하는 전기통신사업자에 해외 서버는 해당하지 않아 사업자 등록을 할 필요가 없다. 이러한 문자발송업체들은 수사에 걸리면 ‘보이스피싱 업체인 줄 몰랐다’고 주장한다고 한다. 그러나 실상은 국내 통신 3사의 스팸 필터링을 피하는 서비스까지 하며 범죄에 적극적으로 가담하고 있다는 게 검찰 시각이다. 국내 통신 3사는 계좌, 금융기관, 주식 등의 문자는 자체적으로 필터링하고 있다. 이에 문자발송업체는 필터링에 걸릴 만한 스팸성 단어는 띄어쓰기한다거나 숫자 ‘0’을 영문자 ‘o’로, 숫자 ‘6’을 ‘b’로 표시해 국내 통신사 스팸 필터링도 피해 갔다. 휴대전화 문자 스팸 신고·탐지 건수도 폭발적으로 늘고 있다. 한국인터넷진흥원(KISA)에 따르면 지난해 상반기 휴대전화 문자 스팸 신고·탐지 건수는 1억 89만건으로 2022년 하반기(1277만건)와 비교해 690.1% 급증했다. 이에 해외에 서버를 둔 문자발송업체도 국내 통신사를 통해 대량 문자를 발송한다면 적절한 규제가 필요하다는 지적이 나온다. 검찰 관계자는 “제도적 문제점에 대해 관련 기관과 제도적 보완책을 논의할 방침”이라고 밝혔다.

檢, 불법자금 세탁사건 수사하다 수상한 문자발송업체 적발 띄어쓰기, 영문자, 숫자 등 섞어쓰며 통신사 필터링 피해 작년 상반기 휴대전화 스팸 1억건...재작년 하반기보다 690% ↑“해외에서 한국으로 보내는 광고 문자는 한국 법에 저촉받지 않습니다. 특수 문자를 써서 정부나 통신사 스팸 필터링에 걸리지 않게 할 수 있습니다.” 한 해외문자발송 사이트는 버젓이 이런 광고를 하며 홍보를 하고 있다. 국내에서 대량 문자를 발송할 때는 스팸 필터링을 피하려고 변칙적인 광고 문자를 쓰는 게 불법인데 해외에서 보내면 법에 걸리지 않을 수 있다는 얘기다. 이 사이트는 또 “발신 번호나 인증 없이도 문자 발송이 가능하다”고 덧붙였다. 누구나 손쉽게 익명으로 문자메시지를 보낼 수 있는 셈이다. 이런 해외문자발송 사이트가 보이스피싱 조직의 범죄를 확산시키는 온상이 되고 있는 것으로 나타났다. 해외 서버를 이용하면 문자메시지 발송업 사업자 등록을 하지 않아도 되고, 정부의 관리·감독을 피할 수 있다는 점을 악용한 것이다. 보이스피싱 범죄조직은 해외문자발송 사이트를 통해 미끼 문자를 대량으로 발송하고, 문자발송 업체는 대가로 매년 수십억원에 달하는 수수료를 취하며 보이스피싱 피해를 키우고 있다. 4일 법조계에 따르면 춘천지검 강릉지청은 최근 불법자금 세탁 사건을 수사하다 문자발송업체의 수상한 점을 포착해 지난달 22일 A씨를 전기통신기본법·범죄수익은닉규제법 위반 등의 혐의로 구속기소 했다. 과거에는 미등록 문자발송업체에 대해 크게 주목하지 않았는데 최근에는 검찰이 이런 업체를 보이스피싱 방조범으로 적극적으로 기소하는 추세다. A씨 수법이 대표적이다. 범죄자금 세탁범 A씨는 문자발송업체도 운영 중인데 보이스피싱 범죄조직의 자금을 받아 직접 자금세탁을 한 후 자신이 운영하는 문자발송사이트를 통해 스팸 문자를 대량으로 뿌렸다. 이 문자발송사이트는 인도에 서버를 둔 곳이었다. A씨는 국내에서 사이트를 운영하면서 인도 통신사업자로부터 문자메시지 발송 권한을 사 왔다. 즉 ‘고객이 요청한 문자를 사이트에 입력→인도 서버→국내 서버→국내 통신 3사’를 통해 대량문자를 뿌리는 구조다. A씨는 보이스피싱 조직의 의뢰를 받아 이런 수법으로 국내 불특정인에게 ‘자녀 사칭’, ‘해외 결제 사칭’, ‘주식 리딩방 유인’ 등 수만 건의 문자 메시지를 발송한 것으로 조사됐다. A씨는 그 대가로 31억원을 받아 해외 문자발송 권한을 사는 데 쓰고, 수수료를 챙겼다. 특히 A씨는 또 다른 불법 해외 문자발송 사이트를 운영한 혐의로도 경찰 조사를 받고 있는데, 이 사이트에서만 무려 연 매출 100억원, 순수익 월 1억원 이상을 취득하고 있는 것으로 조사됐다. 사건을 수사한 강릉지청 황인혜(변시 8회) 검사는 “하루에도 보이스피싱 일당이 문자메시지 발송업체에 보낸 돈이 몇천만원에 달한다”고 말했다. 문제는 해외에 서버를 둔 문자발송 업체는 국내 사업자 등록 대상에 해당하지 않아 정부 관리나 감독이 어렵다는 점이다. 본래 국내에 서버를 둔 문자발송업체는 전기통신사업법상 과학기술정보통신부 산하 중앙전파관리소에 사업자 등록을 해야 한다. 이후 문자발송업체는 스팸 문자발송, 개인정보유출, 발신번호 조작 등에 대해 정부의 관리와 감독을 받는다. 적발될 경우 과태료 등을 물어야 한다. 하지만 전기통신사업법 제2조 14항은 문자메시지 발송업체와 같은 부가통신역무(플랫폼)를 ‘전기통신사업자의 전기통신설비에 직접 또는 간접적으로 연결한’ 사업자로 하고 있다. 여기서 말하는 전기통신사업자에 해외 서버는 해당하지 않아 사업자 등록을 할 필요가 없다. 이런 문자발송업체들은 수사에 걸리면 ‘보이스피싱 업체인 줄 몰랐다’고 주장한다고 한다. 그러나 실상은 국내 통신 3사의 스팸 필터링을 피하는 서비스까지 하며 범죄에 적극적으로 가담하고 있다는 게 검찰 시각이다. 국내 통신 3사는 계좌, 금융기관, 주식 등의 문자는 자체적으로 필터링하고 있다. 이에 문자발송업체는 필터링에 걸릴만한 스팸성 단어는 띄어쓰기한다거나 숫자 ‘0’을 영문자 ‘o’으로, 숫자 ‘6’을 ‘b’로 표시해 국내 통신사 스팸 필터링도 피해 갔다. 휴대전화 문자 스팸 신고·탐지 건수도 폭발적으로 늘고 있다. 한국인터넷진흥원(KISA)에 따르면 지난해 상반기 휴대전화 문자스팸 신고·탐지 건수는 1억 89만 건으로 2022년 하반기와 비교해 690.1%(8812만 건) 급증했다. 이에 해외에 서버를 둔 문자발송업체도 국내 통신사를 통해 대량 문자를 발송한다면 적절한 규제가 필요하다는 지적이 나온다. 검찰 관계자는 “제도적 문제점에 대해 관련 기관과 제도적 보완책을 논의할 방침”이라고 밝혔다.

스마트 선박, 자율운항선박 등 해양 모빌리티 사이버보안 전문 기업 ㈜싸이터(대표 조용현, 구 디에스랩컴퍼니)는 과학기술정보통신부(이하 과기정통부)와 한국인터넷진흥원(이하 KISA) 주관으로 추진된 ‘스마트 선박 사이버보안’ 실증과제를 성공적으로 마쳤다고 5일 밝혔다. 이번 실증과제에 참여한 조선 해양 및 정보보호 분야 학계, 산업계 전문가들은 과제 결과에 대해 해외 경쟁사 대비 기술적 우위를 확보하고 국제선급협회(IACS)의 사이버보안 규정인 UR E26과 E27에 대비하며 해양수산부 해사 사이버안전 관리 지침 등을 이행할 수 있는 모범사례로 평가했다.이번 실증을 통해 선박 사이버 위협 분석률이 400% 증가했고, 선박 설계 보안에 투입되는 자원이 83% 감소되고, 알려지지 않았던 스마트 선박의 공격표면(Attack Surfaces)을 확인하는 등 그동안 국내외 선박 사이버보안 기술들에서 볼 수 없었던 실증 방법론을 통해 성과를 극대화했다. 이는 그동안 싸이터가 축적해 온 선박 사이버보안 프레임워크, 공격 시나리오, 방어 메커니즘 등 우수한 기반연구 기술들이 종합적으로 적용된 결과다. 주관기관인 싸이터가 국내 최고 보안기업들과 검증한 보안 기술로는, ICS/OT 보안 전문기업인 NSHC(대표 최병규)와 선박 공격 시나리오 기반 스마트 선박 테스트 베드, 시뮬레이터, 축소 선박을 건조하여 향후 교육훈련, 보안기술 검증에 적극 활용할 예정이다. OT 보안 솔루션 안랩 자회사인 나온웍스(대표 이준경)는 선박 환경에서 OT 가시성을 확보하고 보안위협 탐지 기술을 실증했다. 또, 공격표면관리, 사이버위협인텔리전스 글로벌 기업 에이아이스페라(대표 강병탁)는 인공지능 기술을 통해 선박 공격표면을 학습하여 위협을 탐지하는 기술을 적용했다. 싸이터는 이들 보안 기업들에 선박 사이버위협 데이터, 기술, 노하우를 공유하며 선박 사이버위협 모델링 자동화 도구, 선박 사이버위협 통합 수집/분석 시스템, 해양/선박 사이버위협 인텔리전스 시스템을 실증에 적용했다. 주관기관으로 이번 실증과제를 추진한 싸이터는 자사의 선박 사이버 보안 브랜드인 싸이터(CYTUR, Cyber Turtle Ship의 약어)를 주축으로 선박에 필요한 사이버 보안 기술을 개발하여 공급하고 있으며, 싱가폴, 영국 등 해외 해양 ICT 기관과의 협업을 추진하고 있다. 2023년 11월에는 미 항공모함 칼빈슨호에 초청되어 승선하는 등 다양한 국내외 해양 관련 기관들과 교류를 추진하고 있다. ㈜싸이터(CYTUR Inc.) 조용현 대표는 “앞으로 싸이터는 그동안 축적한 연구기술, 특화된 선박/함정 위협 데이터 들을 기반으로 특수선 사이버보안 기술 SHIPPOT, 선박 전용 네트워크 침입탐지 시스템, 선박 사이버보안 교육훈련 체계, 선박/선사용 사이버 위협 모니터링 서비스, 제로트러스트 기반 선박 보안 시스템 등을 출시할 계획이며, 한국과 해외 유관 업계 및 학계와의 적극적인 얼라이언스를 통해 2024년 본격 활성화될 글로벌 스마트 선박 사이버보안 시장에 선도적인 입지를 구축하겠다”는 계획을 밝혔다.

경기 하남시 산하 하남도시공사에서 운영하는 국민체육센터 강습 프로그램 회원 6500여명의 개인정보가 직원 부주의로 유출됐다. 하남도시공사는 지난 24일 오후 4시 공사와 하남종합운동장 국민체육센터 인터넷 홈페이지에 이런 내용의 ‘개인정보 유출 안내’ 글을 공지하고 사과했다. 공사가 파악한 회원 개인정보 유출 경위에 따르면 이달 23일 오후 6시쯤 강습 프로그램 반 변경 내용을 홈페이지에 공지하는 과정에서 담당 직원의 부주의로 12월 프로그램 등록 회원 6658명의 개인정보가 담긴 파일이 잘못 첨부됐다. 이들 회원의 개인정보가 담긴 파일은 약 1시간 동안 홈페이지에 게시됐고, 그 사이 인적 사항이 확인되지 않는 32명이 문제의 파일을 내려받은 것으로 파악됐다. 담당 직원의 부주의로 6000명이 넘는 회원의 성명, 성별, 생년월일, 휴대전화 번호 등 4개 항목의 개인정보가 유출된 것이다. 공사는 곧바로 개인정보 유출 사고 대응반을 꾸려 2차 피해에 대비하고, 홈페이지에 별도 코너를 만들어 회원들의 개인정보 유출 여부 확인 작업을 벌이고 있다. 또 한국인터넷진흥원(KISA)에도 신고하고 구체적인 경위를 조사 중이다. 공사는 한국인터넷진흥원과 함께 이번 사고에 대한 경위를 조사한 뒤 필요한 조처를 할 방침이다. 공사 관계자는 “개인정보가 유출된 회원들에게 안내 문자를 보내 알리고 대응반을 마련해 후속 조치를 하고 있다”며 “유사한 사례가 발생하지 않도록 관리체계를 개선하겠다”고 말했다.

1994년 성수대교가 무너졌을 때 가장 먼저 현장에 도착한 기자가 있습니다. 삼풍백화점이 무너졌을 때도, 세월호 참사 때도 그랬습니다. 사회부 사건팀 기자들입니다. 시대도 세대도 바뀌었지만, 취재수첩에 묻은 꼬깃한 손때는 그대롭니다. 기사에 실리지 않은 취재수첩 뒷장을 공개합니다. 지난 8월 18일, 서올 종로구에 위치한 ‘전기통신금융사기 통합신고대응센터’(센터)로 전화 한 통이 걸려왔습니다. 겁에 질린 목소리로 A씨는 ‘검사’로부터 “은행 계좌가 범죄에 연루됐다”는 전화를 받고 있다며 상담을 요청했습니다. 검사를 사칭한 보이스피싱 조직원은 “곧바로 구속영장을 청구해야 하지만 일단 보호관찰 조치를 취하고 두고 보겠다”며 A씨를 협박했습니다. 뿐만 아니라 금융감독원 담당 과장은 ‘은행 계좌는 새로 만들어야 한다’고 안내했다고 A씨는 전했습니다. 보이스피싱을 의심한 A씨가 이러한 내용을 112로 신고하자 센터에서 근무하는 통신사 직원에게 신고 내용이 전달됐습니다. A씨는 전화 한 번에 소액결제와 번호도용차단 서비스를 신청할 수 있었습니다. 은행 계좌에서 돈이 빠져나가지 않도록 센터는 A씨를 은행 핫라인으로 연결했습니다. 센터 관계자는 A씨가 무사히 조치를 끝냈는지 확인하기 위해 전화를 6차례 걸었지만 A씨는 전화를 받지 않았습니다. 센터 측은 추가 피해를 우려해 112에 신고자 위치추적을 요청했습니다. 출동한 경찰관은 A씨로부터 현금 4000만원을 받으려던 보이스피싱 인출책을 검거했습니다.‘전기통신금융사기 통합신고대응센터’가 지난 7월 문을 연 이후부턴 이처럼 112 신고 한번 만으로 보이스피싱 범죄를 신고부터 피해구제 절차까지 한 번에 해결할 수 있게 됐습니다. 이곳에선 경찰청, 금융감독원, 한국인터넷진흥원(KISA), 방송통신위원회, 통신사 등 총 32명이 함께 근무하기 때문입니다. 물론 본인의 휴대전화에 악성 애플리케이션(앱)이 설치됐다면 112에 전화를 걸어도 보이스피싱 조직이 전화를 가로챌 수 있으니, 다른 휴대전화로 전화를 걸어 상담해야 합니다. 센터에서는 경찰의 초동 조치 이후 피해구제와 범행수단 차단, 추가 피해 예방 등을 상세히 알려줍니다. 개인정보가 필요한 업무의 경우 센터에서 바로 진행할 수 없기에 특히 고령자를 대상으로 조치가 잘 이뤄졌는지를 후속 상담 등을 통해 확인하는 절차도 마련됐습니다. 보이스피싱 범죄가 여전히 기승을 부리다 보니 센터를 찾는 사람들은 갈수록 늘고 있습니다. 10월 마지막 주에는 하루 평균 상담 1116건이 이뤄졌습니다. 센터에 접수된 신고 종류별로는 보이스피싱(34%), 미끼문자(25%), 스미싱(13%) 순으로 많습니다. 주로 금융기관(33%)이나 기관(33%)을 사칭하는 수법이 과반을 차지합니다. 센터에 설치된 전광판에는 실시간으로 발생유형과 답변유형이 많은 순서대로 표시됩니다. 장기적으로는 센터로 들어온 신고 자료를 세밀하게 분석해 범죄 추세를 파악해 예보나 경보를 내릴 수 있을 거라는 기대도 나옵니다. 가령 추석 연휴가 시작되기 전이나 이후, 월요일에는 스미싱 신고가 평소(12.8%)보다 높은 16.8~24%로 나타났습니다. 공휴일에는 공공기관이 운영하지 않아 공공기관이라고 속이기 어려운 만큼 스미싱 문자를 대량 살포하기에 스미싱 신고가 늘어난 것으로 추정됩니다. 꾸준히 스미싱 수법으로 쓰이는 부고장·청첩장(37.3%)은 늘 주의가 필요합니다. 10·20대는 수사기관을 사칭(93.8%)하거나, 40대(81.5%)나 50대(73.1%)는 대환 대출 등으로 속이는 수법에 취약한 것으로 조사됐습니다. 60대는 지인을 사칭(19.5%)한 보이스피싱으로 피해를 많이 입었습니다. 30대는 피해 비중은 전체의 6.3%로 낮았지만 피해 금액은 1868만원으로 높습니다. 센터가 정식으로 출범한지 한달만에 안착되어 가는 모습이지만 보이스피싱 범죄를 근절하기 위해선 아직 과제가 많이 남아 있습니다. 경찰은 내년에는 ‘통합대응플랫폼’을 구축해 보이스피싱 신고 대응을 더욱 유기적으로 진행할 계획입니다. 상담이 늘어나는 만큼 상담인력을 확충해 응대율(93%)이 지나치게 떨어지지 않도록 관리할 필요도 있습니다. 또한 경찰은 장기적으로는 평일 오전 9시부터 오후 6시까지 운영하는 센터도 장기적으로는 24시간 운영한다는 구상입니다. 현재는 센터가 운영하지 않는 시간대에는 112 종합상황실을 통해 경찰이 초동 조치 등 대응을 하고 있습니다. 보이스피싱이 아닌 다른 사기 범죄까지 대응하기 위해 경찰은 ‘사기정보분석원’ 신설도 추진하고 있습니다. 영국에는 ‘사기정보분석원’, 싱가포르에는 ‘사기대응센터’를 참고한 것입니다. 사기정보분석원을 설치할 수 있는 근거를 담은 사기방지기본법 제정안은 김용판 국민의힘 의원이 대표 발의해 국회에서 논의 중입니다.

트리플콤마의 ‘골드스푼’이 한국인터넷진흥원으로부터 ‘정보보호 관리체계 ISMS’ 인증(ISMS-KISA-2023-140)을 획득했다. ISMS는 한국인터넷진흥원(KISA)이 증명하는 정보보호 및 개인정보 관리체계 인증이다. 골드스푼은 정보보호 관리체계 수립과 운영(16개), 정보보호 대책 요구사항(64개) 등 총 80개에 이르는 인증 기준 심사를 통과했다.이에 15만명의 골드스푼 앱 사용자 데이터 자산 보호에 주력하고 정보 주체에게 더 안전한 환경의 서비스를 제공할 수 있게 됐다. 또한 우수한 보안성으로 이용자는 해킹 등 위험 요소로부터 안전하게 본인 개인정보를 보호받을 수 있게 됐다. 특히 골드스푼은 ISMS 인증 의무 대상자는 아니지만 고객정보 보호관리 강화의 중요성을 사회분야의 핵심 역량으로 인식하고 자발적으로 인증을 추진해 눈길을 끌었다. 골드스푼 관계자는 “골드스푼이 2030세대에 두터운 사랑을 받고 있는 가운데, ISMS 인증은 국내 정보보호 관리체계에 적합한 수준으로 운영되고 있음을 확인받았다는 점에서 큰 의미가 있다”며 “데이팅앱 서비스 업계 최초로 ISMS 인증을 획득한 만큼 앞으로도 앱 내 모든 사용자가 개인정보보호로부터 안전하고 신뢰할 수 있도록 사용자의 정보자산 보호에 주력할 것”이라고 전했다.

중앙선거관리위원회의 사이버 보안 관리가 부실하다는 국가정보원의 조사 결과가 나온 가운데 검찰이 책임자로 지목된 노태악 선거관리위원장에 대한 고발 사건 수사에 착수했다. 총선을 6개월 앞두고 불거진 논란에 야당이 ‘선관위 길들이기’라고 반발하며 국정감사에서도 난타전이 벌어진 만큼 수사 확대에 따라 또 다른 정치 쟁점으로 번질 가능성도 제기된다. 17일 서울신문 취재를 종합하면 서울중앙지검 정보기술범죄수사부(부장 이춘)는 지난 13일 해당 사건을 배당받고 노 위원장 등을 피의자로 입건했다. 앞서 시민단체 신전국대학생대표자협의회는 11일 노 위원장을 포함해 선관위 관계자들을 업무상 배임, 업무방해, 직무유기 혐의로 서울중앙지검에 고발했다. 국정원과 한국인터넷진흥원(KISA)은 10일 선관위 투·개표 관리 시스템에 북한 등이 언제든 침투할 수 있는 상태라며 해킹 취약점이 다수 발견됐다고 발표했다. 국정원에 따르면 투표용지 분류기가 A후보로 기표된 투표용지를 눈 깜짝할 새 B후보의 투표용지 칸으로 분류할 수 있고, 해킹으로 동일한 QR코드를 가진 2장의 ‘쌍둥이’ 투표용지를 생성하는 일이 가능했다. 또 내부망에 침입한 해커는 ‘유령 유권자’를 등록하거나 사전투표를 마친 유권자가 투표하지 않은 것처럼 조작할 수 있고, 사전투표 용지에 날인되는 선관위와 투표관리관의 도장 파일도 훔칠 수 있어 사전투표지를 무단 인쇄할 수 있다는 게 국정원의 조사 결과다. 이에 대해 선관위는 “사실상 불가능한 시나리오”라고 반박했다. 부정선거가 가능하려면 ▲다수 내부 조력자의 가담 ▲내부 보안 관제시스템의 마비 ▲조작한 값에 맞춰 실물 투표지 바꿔치기 등의 조건이 갖춰져야 한다는 것이다. 이에 따라 ‘선관위 해킹 취약’ 논란을 둘러싼 검찰의 강제수사 시점도 주목된다. 법조계 관계자는 “압수수색이 얼마나 빨리 진행되는지에 따라 검찰의 수사 의지를 파악할 수 있다”고 했다. 총선을 앞두고 검찰이 선관위에 견제구를 날린 것이라면 이 역시 빠르게 나설 것이라는 해석이다. 정치권 공방은 내년 총선까지 이어질 것으로 전망된다. 13일과 16일 국회에서 열린 행정안전위원회·과학기술정보방송통신위원회 국정감사에서도 선관위 보안 점검 등에 관해 질의가 집중됐다. 여당 측에서는 ‘사전투표 폐지’ 주장도 나온다. 서울중앙지검 공공수사1부(부장 김종현)는 노 위원장이 전·현직 간부 자녀와 동생 등의 특혜 채용 의혹에 대한 감사원 감사를 거부해 고발당한 사건을 수사 중이다. 다만 감사원법 위반은 검찰 수사 범위인 부패·경제에 해당하지 않아 경찰로 이첩될 수도 있다.

유령표 조작 등 해킹 가능성 논란고발 사건 정보기술범죄수사부 배당선관위 “불가능한 시나리오” 반박野 “길들이기” 정치쟁점 번질수도 중앙선거관리위원회의 사이버 보안 관리가 부실하다는 국가정보원의 조사 결과가 나온 가운데 검찰이 책임자로 지목된 노태악 선거관리위원장에 대한 고발 사건 수사에 착수했다. 총선을 6개월 앞두고 불거진 해당 논란에 대해 야당이 ‘선관위 길들이기’라고 반발하며 국정감사에서도 난타전이 벌어진 만큼 수사 확대에 따라 또 다른 정치 쟁점으로 번질 가능성도 제기된다. 17일 서울신문 취재를 종합하면 서울중앙지검 정보기술범죄수사부(부장 이춘)는 지난 13일 해당 사건을 배당받고 노 위원장 등을 피의자로 입건했다. 앞서 시민단체 신전국대학생대표자협의회는 지난 11일 노 위원장을 포함해 선관위 관계자들을 업무상 배임, 업무방해, 직무 유기 혐의로 서울중앙지검에 고발했다. 국정원과 한국인터넷진흥원(KISA)은 지난 10일 선관위 투·개표 관리 시스템에 북한 등이 언제든 침투할 수 있는 상태라며 해킹 취약점이 다수 발견됐다고 발표했다. 국정원에 따르면 투표용지 분류기가 A후보에 기표가 된 투표용지를 눈 깜짝할 새 B후보의 투표용지 칸으로 분류할 수 있고, 해킹으로 동일한 QR코드를 가진 2장의 ‘쌍둥이’ 투표용지 생성이 가능했다. 또 내부망에 침입한 해커는 ‘유령 유권자’를 등록하거나 사전투표를 마친 유권자가 투표하지 않은 것처럼 조작할 수 있고, 사전투표 용지에 날인되는 선관위와 투표관리관의 도장 파일도 훔칠 수 있어 사전투표지를 무단 인쇄할 수 있다는 게 국정원의 조사 결과다. 이에 대해 선관위는 “사실상 불가능한 시나리오”라고 반박했다. 부정선거가 가능하려면 ▲다수 내부 조력자의 가담 ▲내부 보안 관제시스템의 마비 ▲조작한 값에 맞춰 실물 투표지 바꿔치기 등의 조건이 갖춰져야 한다는 것이다. 이에 따라 ‘선관위 해킹 취약’ 논란을 둘러싼 검찰의 강제수사 시점도 주목된다. 법조계 관계자는 “압수수색이 얼마나 빨리 진행되는지에 따라 검찰 수사의 의지를 파악할 수 있다”고 했다. 총선을 앞두고 검찰이 선관위에 견제구를 날린 것이라면, 이 역시 빠르게 나설 것이란 해석이다. 정치권 공방은 내년 총선까지 이어질 전망이다. 지난 13일과 16일 국회에서 열린 행정안전위원회와 과학기술정보방송통신위원회에서도 선관위 보안 점검 등에 질의가 집중됐다. 여당 측에선 ‘사전투표 폐지’ 주장도 나온다. 서울중앙지검 공공수사1부(부장 김종현)는 노 위원장이 전·현직 간부들의 자녀와 동생 등 특혜 채용 의혹에 대한 감사원의 감사를 거부해 고발당한 사건도 수사 중이다. 다만 감사원법 위반은 검찰 수사 범위인 부패·경제에 해당하지 않아 경찰로 이첩될 수도 있다.

“과도하게 해석해 위험성 단언 쉽지 않다”역술인 ‘천공’ 영상 재생으로 여야 충돌 중앙선거관리위원회 보안 점검에 참여한 한국인터넷진흥원(KISA)이 16일 일부 시스템의 보안취약점과 해킹 가능성이 있지만 선거 조작 등 관리 전반에 대한 위협으로 해석하기는 어렵다고 밝혔다. 이원태 KISA 원장은 이날 국회 과학기술정보방송통신위원회 국정감사에서 “비 (전산) 시스템, 제도적 장치를 감안해서 (선거 결과 조작 가능성을) 점검해 봐야 한다”고 말했다. 앞서 국가정보원은 KISA와 공동으로 진행한 보안점검 결과를 발표했고, 투·개표 전반에 걸쳐 해킹 위험에 노출됐다고 밝혔다. 민형배 더불어민주당 의원이 보안 취약점이 실질적 투표 결과 조작으로 이어지느냐고 묻자 이 원장은 “KISA 직원이 참여한 이상 선관위 일부 시스템에서 보안 취약점이 발견돼 해킹 가능성이 있다는 점은 확인됐다고 생각한다”면서도 “(이번 합동 점검 결과를) 과도하게 해석해서 선거관리 전반에 대한 위험성이라고 판단하고 해석하는 것은 한계가 있고 그렇게 단언하기 쉽지 않다”고 말했다. 북한 해킹 가능성에 대해 “만약 그런 일이 있다면 신속한 조치를 취해야 할 것”이라면서 “이번 점검에서는 아직 그런 흔적은 없던 것으로 확인됐다”고 답했다. 이날 질의 과정에서 박찬대 민주당 의원은 선거 부정 음모론이 제기된 역술가 천공이 등장하는 동영상을 재생하며 여야가 한때 충돌했다. 박 의원은 “청와대 용산 이전, ‘도어 스테핑’ 중단 등 그동안 윤석열 대통령의 결정에 관해서 이야기가 많은데, (국정원의) 부정선거 점검도 천공의 영향을 받은 것은 아닌지 의심된다”며 “국정원이 무리하게 발표를 서두른 것에 어느 정도의 힘이 작용한 것인지 의문이 든다”고 주장했다. 이에 장제원 과방위원장 대신 여당 간사로 국감을 진행하던 박성중 국민의힘 의원은 “국정감사장이라고 해도 국회의원이 정확하지 않은 천공 강의를 가지고 (질의를) 하는 것은 문제가 있다”고 지적했다. 한편 중앙선거관리위원회는 이날 국정원과 합동 보안점검 종료 뒤 시스템에 남아 있던 점검도구(툴) 2개를 삭제한 것에 대해 “국정원 등과 합의된 보안 컨설팅 후속 조치 과정의 일부였다”고 밝혔다. 강병원 민주당 의원은 지난 13일 국회 행정안전위원회 국감에서 “국정원이 보안 시스템을 조사한 후 철수하면서 심어놓은 툴이 2개 있었고, 선관위가 이를 발견해 삭제했다는 이야기가 있다”며 “국정원발 관권 선거가 현실로 다가올 수 있다”고 주장했다.

외부에서 내부 ‘선거망’까지 침투선관위 “불가능한 시나리오” 반박 국가정보원은 10일 중앙선거관리위원회의 투개표 시스템 등의 보안 실태를 점검한 결과 기술적으로는 북한 등 외부세력에 의해 해킹 공격이 가능한 상태로 파악됐다고 밝혔다. “투·개표 모두 해킹이 가능하다”는 국정원의 발표에 대해 선관위는 “내부 조력자가 다수 가담하지 않고서는 사실상 불가능”이라고 정면 반박했다. 서울 강서구청장 보궐선거를 하루 앞둔 데다 총선을 불과 6개월도 채 남기지 않은 시점에서 나온 국정원 발표를 둘러싼 혼란과 논란이 거세질 전망이다. 백종욱 국정원 3차장은 선관위, 한국인터넷진흥원(KISA)과 함께 지난 7~9월 합동 보안점검을 벌인 결과를 브리핑하면서 “가상의 해커가 선관위 전산망 침투를 시도해 본 결과 투·개표 시스템, 선관위 내부망 등에서 해킹 취약점이 다수 발견됐다”고 밝혔다. 그는 다만 “과거 선거 결과 의혹과 결부하는 건 경계해야 한다”고 했다. 국정원은 실제 북한에 의한 해킹 피해 여부에 대해서는 “확인이 안 된다”고 밝혔다. 앞서 국정원 등은 지난 5월 보수언론과 정치권에서 선관위 해킹 의혹을 제기하자 합동점검을 시작했다. 국정원의 가상해킹 결과에 따르면 후보 A와 B가 경합을 벌이는 개표 현장에서 투표용지 분류기가 A후보에 기표된 투표용지를 눈 깜짝할 새 B후보의 투표용지 칸으로 분류하는 것이 가능했다. 국정원은 해킹으로 동일한 QR코드를 가진 2장의 ‘쌍둥이’ 투표용지 생성도 보여 줬다. 백 차장은 “외부에서 내부 선거망까지 충분히 해킹된다는 것을 확인했다”며 “가능성은 항상 있다”고 말했다. 국정원에 따르면 내부망에 침입한 해커는 ‘유령유권자’를 등록하거나 사전투표를 마친 유권자가 투표하지 않은 것처럼 조작할 수도 있었다. 사전투표용지에 날인되는 청인(선관위 도장), 사인(투표관리관 도장) 파일을 선관위 시스템에서 훔칠 수 있어서 사전투표지를 무단으로 인쇄하는 것도 가능했다. 선관위가 개표시스템 관리 계정의 비밀번호를 초기에 설정된 ‘12345’, ‘admin’(관리자) 등을 바꾸지 않고 그대로 사용하는 경우도 있어 개표 결과도 조작할 수 있었다. 2021년 4월에는 선관위 투·개표 시스템과는 무관한 인터넷용 컴퓨터가 북한 ‘킴수키’ 조직의 악성코드에 감염돼 상용 메일함에 저장됐던 대외비 문건 등 업무 자료가 유출된 사실도 이번에 드러났다. 이에 선관위는 즉각 입장문을 내고 “선거 결과 조작은 사실상 불가능하다”며 “기술적인 해킹 가능성만 부각해 선거 결과 조작 가능성을 언급하는 것은 선거 불복을 조장할 위험성이 있다”고 밝혔다. 선관위는 특히 부정선거가 가능하려면 ▲다수 내부 조력자 가담 ▲내부 보안 관제시스템 마비 ▲조작한 값에 맞춰 실물 투표지 바꿔치기 등의 조건이 갖춰져야 한다고 설명했다. 여야는 “‘뻥뚫어’ 보안시스템”(박대출 국민의힘 정책위의장), “선거 개입”(윤영덕 더불어민주당 원내대변인)이라며 엇갈린 반응을 보였다. 여당 일각에서는 11일 열리는 강서구청장 보궐선거부터 수(手)개표를 해야 한다는 주장도 나왔다. 김승주 고려대 정보보호대학원 교수는 “국정원이 전산보안만 갖고 과하게 표현한 측면이 있다”면서도 “선관위는 보안대책을 제대로 수립하는 계기로 삼아야 할 것”이라고 말했다.

국가정보원은 10일 중앙선거관리위원회의 투개표 시스템 등의 보안 실태를 점검한 결과 기술적으로는 북한 등 외부세력에 의해 해킹 공격이 가능한 상태로 파악됐다고 밝혔다. “투개표 모두 해킹이 가능하다”는 국정원의 발표에 대해 선관위는 “다수 내부 조력자가 조직적으로 가담하지 않고서는 사실상 불가능한 시나리오”라고 정면 반박했다. 서울 강서구청장 보궐선거를 하루 앞둔 데다 총선을 불과 6개월도 채 남기지 않은 시점에서 나온 국정원 발표를 둘러싼 혼란과 논란이 거세질 전망이다. 백종욱 국정원 3차장은 선관위, 한국인터넷진흥원(KISA)과 함께 지난 7~9월 합동 보안점검을 벌인 결과를 브리핑하면서 “가상의 해커가 선관위 전산망 침투를 시도하는 방식으로 시스템 취약점을 점검한 결과 투표 시스템, 개표 시스템, 선관위 내부망 등에서 해킹 취약점이 다수 발견됐다”고 밝혔다. 다만 “해커의 관점으로 취약점 여부를 확인한 것”이라며 “과거 선거 결과 의혹과 결부하는 건 경계해야 한다”고 했다. 국정원은 실제 북한에 의한 해킹 피해 여부가 확인됐는지에 대해서는 “확인이 안 된다”고 밝혔다. 앞서 국정원 등은 지난 5월 보수언론과 정치권에서 선관위 해킹 의혹을 제기하자 합동 점검을 시작했다. 국정원의 가상해킹 결과에 따르면 후보 A와 B가 경합을 벌이는 개표 현장에서 투표지 분류기가 A후보에 기표된 투표용지를 눈 깜짝할 새 B후보의 투표용지 칸으로 분류하는 것도 가능했다. 국정원은 해킹으로 동일한 QR코드를 가진 2장의 ‘쌍둥이’ 투표용지 생성도 보여 줬다. 투표인 명부, 투표용지, 개표, 득표 집계 등 전 과정에서 해킹이 가능하다는 것이다. 백 차장은 “외부에서 내부 선거망까지 충분히 해킹된다는 것을 확인했다”면서 “가능성은 항상 있다”고 말했다. 국정원에 따르면 내부망에 침입한 해커는 ‘유령유권자’를 등록하거나 사전투표를 마친 유권자가 투표하지 않은 것처럼 조작할 수도 있었다. 사전투표용지에 날인되는 청인(선관위 도장), 사인(투표관리관 도장) 파일을 선관위 시스템에서 훔칠 수 있어서 사전투표지를 무단으로 인쇄하는 것도 가능했다. 선관위가 개표시스템 관리 계정의 비밀번호를 초기에 설정된 ‘12345’, ‘admin’(관리자) 등을 바꾸지 않고 그대로 사용하는 경우도 있었다고 국정원은 밝혔다. 2021년 4월에는 선관위의 투개표 시스템과는 무관한 인터넷용 컴퓨터가 북한 ‘킴수키’ 조직의 악성코드에 감염돼 상용 메일함에 저장됐던 대외비 문건 등 업무 자료가 유출된 사실도 이번에 드러났다. 선관위는 즉각 입장문을 내고 “선거 결과 조작은 사실상 불가능하다”며 “기술적인 해킹 가능성만 부각해 선거 결과 조작 가능성을 언급하는 것은 선거 불복을 조장해 사회통합을 저해하고 국민 불안과 사회 혼란을 야기할 수 있으며 선출된 권력의 민주적 정당성까지 훼손할 위험성이 있다”고 지적했다. 여야는 “선관위의 ‘뻥뚫어’ 보안시스템”(박대출 국민의힘 정책위의장), “국정원의 선거 개입”(윤영덕 더불어민주당 원내대변인)이라며 엇갈린 반응을 보였다. 김승주 고려대 정보보호대학원 교수는 “국정원이 전산보안만 갖고 과하게 표현한 측면이 있다”고 밝혔다.

중앙선거관리위원회(선관위)의 투·개표 관리 시스템이 북한 등 외부 해킹 세력에게 언제든 침투당할 수 있는 부실한 상태로 드러났다. 대통령, 국회의원 총선거 등 전국 단위 선거에 사용되는 선관위 내부망의 보안관리도 부실해 공격 세력이 의도하면 실제 투·개표 결과까지 조작할 수 있는 것으로 나타났다. 10일 국가정보원과 선관위와 한국인터넷진흥원(KISA)은 판교 사이버안보협력센터에서 브리핑을 열고 선관위·국정원·KISA 3개 기관 합동으로 7월 17일~9월 22일 실시한 선관위 사이버 보안관리에 대한 점검 결과를 공개했다. 합동 점검은 가상의 해커가 모든 기술을 동원해 실제 선관위 전산망 침투를 시도하는 방식으로 진행됐다. 먼저 유권자 등록 현황과 투표 여부를 관리하는 선관위의 ‘통합 선거인 명부 시스템’은 인터넷을 쉽게 통해 침투할 수 있고, 접속 권한과 계정 관리도 부실해 수시로 해킹이 가능한 것으로 확인됐다. 선거인명부에서 사전 투표한 인원을 투표하지 않은 인원으로 표시하거나, 반대로 분류하는 것도 가능했다. 심지어 존재하지 않는 유령 유권자를 정상적인 유권자로 등록할 수도 있었다. 가상 해커들은 사전 투표용지에 날인되는 선관위 청인과 투표소 사인을 빼내는 데 성공했고, 용역업체 직원이 쓰는 프로그램을 활용해 실제 사전투표용지와 QR코드가 같은 투표지를 대량 인쇄할 수 있었다. 개표 시스템 보완 관리 미흡해 개표 결과도 조작 가능 사전투표소에 설치된 통신장비에 외부의 비인가 컴퓨터도 연결할 수 있어 내부 선거망으로 침투할 수 있었다. 투표지 분류기에서는 비인가 휴대용 저장장치를 무단으로 연결해 해킹 프로그램을 설치할 수 있었다. 이를 통해 개표 결과가 저장되는 ‘개표 시스템’에 해커가 개입해 실제 후보별 개표 결괏값도 변경할 수 있는 것으로 나타났다. 선관위의 전반적인 시스템 자체도 해킹에 취약한 것으로 파악됐다. 주요 시스템에 접속할 때 선관위에서 사용하는 비밀번호는 12345처럼 단순하게 쓰거나 관리자 패스워드로 손쉽게 유추할 수 있었다는 게 국정원 설명이다. 중요 정보를 처리하는 내부 전산망의 보안 정책이 미흡해 전산망 간 통신이 가능했고 선관위 업무망·선거망 등 내부 중요망까지 침입할 수 있었다. 실제 해킹 사고가 발생한 이후 선관위의 후속 조치도 미흡한 것으로 나타났다. 국정원에 따르면 2021년 4월 선관위의 인터넷 컴퓨터가 북한 ‘김수키’ 조직의 악성코드에 감염돼 메일함에 저장됐던 대외비 문건 등 업무 자료가 유출된 사실도 드러났다. 선관위는 지난해 ‘주요 정보통신 기반 시설 보호 대책 이행 여부 점검’을 자체 평가한 결과 ‘100점 만점’이었다고 통보했지만, 이번 점검에서 재평가했더니 31.5점에 불과했다고 국정원은 전했다. 국정원은 “국제 해킹조직들이 통상적으로 사용하는 해킹 수법을 통해 선관위 시스템에 침투할 수 있어 북한 등 외부 세력이 의도할 경우 어느 때라도 공격이 가능한 상황”이라면서 “선관위에 선거 시스템 보안 관리를 국가 사이버 위협 대응체계와 연동시켜 해킹 대응 역량을 강화하는 방안을 제의하고, 취약한 비밀번호는 즉시 보완했다”고 밝혔다.

시스템 해킹, 디도스 공격, 랜섬웨어 감염 등 사이버침해 사고가 지난해 2배 가까이 급증했지만 정부의 대응 인력과 예산은 오히려 감축된 것으로 드러났다. 국회 과학기술정보통신위원회 윤영찬 더불어민주당 의원이 6일 한국인터넷진흥원(KISA)로부터 제출받은 자료에 따르면, 사이버침해 사고 신고는 지난해 1142건으로 2021년 640건보다 약 1.78배 증가했다. 2019년 418건에서 2020년 603건으로 늘어난 뒤 2021년 600건대를 이어오다 지난해 급증한 것이다. 올해에도 8월까지 890건이 신고돼 이러한 흐름이 유지되면 지난해 신고 건수를 넘어설 것으로 보인다. 사이버침해 사고가 증가세를 이어가고 있지만, KISA 사이버침해대응본부의 대응 인력은 올해 122명으로 2018년 128명보다 6명 감축됐다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따라 사업자는 침해 사고가 발생하면 즉시 과학기술정보통신부 장관 또는 KISA에 신고해야 한다. 신고를 접수한 KISA는 사이버침해대응본부의 현장 조사를 통해 사고 대응과 재발 방지책 마련에 나서야 한다. 윤영찬 의원은 “고질적인 인력 부족으로 인해 사고 시 대응이 지연되는 등 악순환에 빠진 상태”라고 지적했다. 아울러 사이버침해 사고를 신고하지 않은 기업에 과태료를 부과한 사례는 최근 5년 동안 단 한 건도 없는 것으로 파악됐다. 기업들이 이미지 실추 등의 이유로 사고를 신고하지 않는 경우에 미신고 사이버침해를 파악하고 과태료를 부과할 KISA의 대응 인력이 부족하기 때문이라고 윤 의원은 지적했다. KISA 사이버침해대응본부의 내년도 예산도 약 27억원 감액 편성됐다. 해당 예산은 2019년 218억 4800만원에서 올해 661억 3700만원까지 5년 동안 꾸준히 늘어났지만, 지난해 감소하게 됐다.윤영찬 의원은 “지난해 사이버침해 사고 중 88.5%가 자체 대응 역량을 갖추기 힘든 중소기업을 대상으로 발생했다”며 “사이버침해 사고에 적극 대응하고 건전한 기업활동을 보장하려면 정부 차원에서 충분한 인력과 예산 지원이 이뤄져야 한다”라고 말했다.

은행을 사칭한 스팸문자가 올해 32만건에 이를 것으로 추산된다. 지난해보다 2배 이상 늘어난 규모다. 한국인터넷진흥원(KISA)이 6일 황운하 더불어민주당 의원실에 제출한 자료에 따르면 은행 사칭 스팸문자 신고 건수는 2021년 66만건에서 2022년 15만건으로 줄었다가 올 들어 급증했다. 지난 8월까지 은행 사칭 스팸문자 24만건이 신고됐다. 이 추세대로라면 올 연말까지 32만건에 이를 것으로 보인다. 이에 대해 일각에서는 2021년 관계부처 합동으로 실시한 ‘은행사칭 불법스팸 유통방지 대책’의 효과가 다한 것이 아니냐는 지적이 제기된다. 후속 대책 마련이 시급하다는 목소리도 나온다. 이번 자료는 신고 건수일 뿐 전체 유통이 건수가 아니다. 실제로 시민들에게 뿌려진 은행 사칭 스팸 메시지 규모는 훨씬 더 클 것으로 분석된다. 황 의원은 “일반광고와 시중은행 사칭스팸은 육안으로 구별하기 굉장히 어렵다. 디지털소외계층이나 생계유지가 어려운 국민들에게 피해가 집중될 우려가 있다. 금융위원회, 금융감독원, 과학기술정보통신부 등 관계부처가 나서 고강도 대책을 신속히 마련해야 한다”고 밝혔다.

보이스피싱을 당했을 때 112에 전화만 하면 신고부터 피해 구제까지 원스톱으로 처리된다. 국무조정실은 ‘전기통신금융사기(보이스피싱) 통합신고·대응센터’를 개소했다고 26일 밝혔다. 통합신고·대응센터는 그간 통합 대응 기구가 없어 보이스피싱 범죄에 대한 종합적·체계적 대응이 어렵다는 지적에 따라 출범한 것이다. 그간 보이스피싱 피해 신고는 112(경찰), 지급정지는 1332(금융감독원), 범행 수단 차단은 118(한국인터넷진흥원·KISA)로 신고·대응 창구를 개별 운영하고 있어 국민이 직접 소관 부처를 찾고 동일 내용을 반복 신고해야 하는 불편함이 있었다. 그러나 이번 통합신고·대응센터 개소로 전화 신고는 112, 인터넷 신고는 ‘보이스피싱지킴이’ 사이트로 일원화됐다. 금감원, KISA 등 유관기관, 통신 3사 등 민간기관이 통합신고·대응센터에 참여한다. 피해자가 112에 신고하면 경찰관이 초동 조치(계좌 지급정지, 현장 CCTV 확보, 정식 사건 접수 등)를 실시한 후 통합신고·대응센터에 인계한다. 피해자는 통합신고·대응센터에서 피해구제, 범행 수단, 추가 예방 방법 등을 설명 듣는다. 피해가 없거나 단순 상담인 경우에도 피해구제 방법(피해금 지급 등)과 추가 예방 상담을 안내할 예정이다. 보이스피싱은 112 신고 건수가 일 평균 1000건에 달하며, 2021년 7744억원의 피해액을 기록한 대표적인 서민경제 침해 범죄다. 정부는 2021년 12월부터 ‘보이스피싱 대응 범정부 태스크포스(TF)’를 중심으로 단속과 수사를 실시하고 통신·금융 특별대책 마련 등을 추진했다. 지난해 발생 건수와 피해 금액이 전년 대비 30%가량 감소하는 성과를 냈다. 다만 통합 대응 기구의 부재로 인한 불편이 여러 차례 도마 위에 올랐다. 방기선 국무조정실장은 “보이스피싱 대응 범정부 TF는 통합신고·대응센터와 유기적인 협력을 통해 즉각적이고 실효적인 대책이 현장에 즉시 반영될 수 있도록 범정부 총력 대응을 지속적으로 펼쳐나갈 것이다”라고 말했다.

CJ그룹의 IT서비스 전문기업 CJ올리브네트웍스가 업무 전문성을 활용해 중소기업의 정보보호 역량 강화를 위한 활동을 추진하며 ESG 경영 실천에 앞장서고 있다. 4년째 운영 중인 CJ화이트햇은 중소기업의 안전한 디지털 정보 보호 환경을 지원하는 대표 프로그램으로 모의 해킹, 개인정보 컴플라이언스 점검, 정보보호 교육 등 맞춤형 컨설팅을 무료로 제공한다. 특히 전 세계적으로 정보보호의 중요성이 점차 높아지는 가운데 지난해부터 한국인터넷진흥원(KISA)과 파인더갭이 함께 참여하는 ‘화이트햇 투게더’를 추진하며 고도화했다. 22일 CJ올리브네트웍스에 따르면 올해는 지원 규모를 확대하고 프로그램 다양화로 더 많은 기업이 혜택을 받을 수 있도록 했다. 지원 대상을 중견기업까지 포함하고, 프로그램 총예산도 5억원으로 전년 대비 3배가량 늘렸다. 현재 24개의 중소·중견 기업이 ▲버그바운티 참여 ▲정보보호 컨설팅 ▲컨설팅 및 솔루션 제공 등 니즈에 따른 선택을 통해 정보보호 역량을 키워가고 있다. CJ올리브네트웍스 CJ정보보호센터는 디지털 시대에 정보보호의 중요성이 점차 강조되고 있는 흐름에 맞춰 지난 30여년간 CJ그룹 정보보호를 담당하고 있으며, 다년간 쌓아온 역량과 화이트햇 투게더 활동을 통한 경험을 기반으로 대외 사업에도 적극 나서고 있다. 모의해킹이나 웹∙모바일 취약점 점검, 개인정보 컴플라이언스 컨설팅 등을 제공해 고객사의 보안 위협 요소를 사전에 진단하고 조치할 수 있도록 해 고객의 서비스가 외부 환경에서 보다 안전하게 운영될 수 있도록 지원한다는 계획이다. 또한 CJ올리브네트웍스는 IT 서비스기업으로 현대 사회의 문제에 공감하여 ESG 전략과제로 ‘디지털 접근성과 리터러시 향상’을 선정, 지난해부터 시니어 디지털 리터러시 교육 프로그램을 운영해 디지털 격차 해소에 기여하고 있다. 시니어 디지털 리터러시 교육은 크게 ▲스마트폰 교육 ▲키오스크 교육 ▲키오스크 현장실습 등 3개 과정으로 실생활에서 바로 활용할 수 있도록 구성했다. 총 8곳의 노인사회복지관과 협력해 400여명의 어르신께 1대1 맞춤형 교육을 제공했다. 마지막 수업에는 CJ올리브네트웍스 임직원들과 어르신이 함께 패스트푸드점, 카페, 영화관 등에 방문해 매장 내 키오스크를 직접 사용해 보는 시간을 갖기도 했다. 이외에도 코로나19 엔데믹 전환에 따라 한강 플로깅(걸으면서 쓰레기를 줍는 활동) 캠페인, 반려동물보호소 동물 돌봄 등 다양한 임직원 봉사활동에도 적극 참여해 사회공헌 활동을 펼치고 있다.