농협 전산 장애를 촉발한 원인으로 북측의 사이버 테러 도발이 지목된 가운데 주대준 한국과학기술원(카이스트) 부총장은 3일 “청와대를 중심으로 국가 전체를 컨트롤하는 사이버 보안시스템 구축이 시급하다.”고 지적했다. 주 부총장은 “농협 전산망을 공격한 주체가 누구인지에 관계없이 우리가 사이버 테러를 당했다는 것은 명백한 사실”이라면서 “수력·전력·교통 등 국가 기반 시설망이 사이버 테러에 노출될 경우 상상할 수 없는 피해가 올 것”이라고 경고했다. 주 부총장은 6공화국 시절부터 현 정부까지 20여년간 청와대 경호실에서 사이버 보안 체제를 구축했다. 지난 2008년 대통령실 경호처 경호차장으로 정년 퇴직한 뒤 카이스트 사이버보안연구소장으로 사이버 해킹 탐지 원천 기술 개발과 후학 양성에 전념하고 있다. →2009년 7·7디도스 공격 뒤 사이버 테러가 고도화되고 있다. -삼풍백화점이나 성수대교 붕괴는 세월이 지나도 생생하다. 눈에 보이기 때문이다. 디도스 공격과 같은 사이버 테러는 실감하기 어렵다. 사이버 테러가 동시다발적으로 국가 기간산업망까지 무력화시킬 수 있는 파괴력을 갖고 있음에도 경각심이 일어나지 않는 이유다. 해킹을 당하고도 모르는 경우도 많다. 전문가들이 ‘폴스 네거티브 에러’(False Negative Error)라고 하는 상황이다. 최근 해커들은 특정 사이트를 관찰하다가 특정 시간대에 악성코드를 유포한다. 그 순간 사이트에 접속한 모든 개인용컴퓨터(PC)는 좀비PC가 된다. 사이트에 접속만 해도 좀비PC가 양산되는 것이다. →국내 PC가 유독 악성코드 공격에 취약한 이유가 있는가. -역설적으로 우리나라만큼 정보기술(IT) 분야가 활성화된 곳이 없기 때문이다. 고속 인터넷망이 전국에 퍼져 있으니 해커의 먹잇감이 되는 것이다. 이탈리아에 가면 관광객이 몰리니 지갑을 훔치기 쉬운 것처럼, 사이버환경이 발달되어 있으니 해커가 노릴 수밖에 없다. 최근 민간 부문의 2000여개 사이트를 조사한 결과 10% 이상의 홈페이지에 악성코드가 숨겨져 있었다. 내로라하는 대기업 홈페이지도 포함됐다. 해커의 공격이 갈수록 거세지는 것도 사실이다. 20여년 전 청와대 재직 시절에 이미 보안을 위해 내부망과 외부망을 분리했다. PC 한 대를 인터넷과 인트라넷으로 분리하는 것인데, 이 방법은 이제 큰 의미가 없다. 인터넷을 사용할 때 침투한 악성코드가 인트라넷으로 침투되기 때문이다. 물리적으로 PC를 분리해서 사용할 수 있는데, 최근 유럽에서는 인트라넷만 연결되는 PC에 유지보수업체가 꽂은 USB에서 악성코드가 묻어 들어간 사례가 발견됐다. →대책은 없는가. -지난해 주요 20개국(G20) 정상회의 당시 모니터링 시스템이 좋은 예가 될 수 있다. 당시 카이스트 사이버보안연구센터와 서울경찰청이 공조해 악성코드를 실시간으로 분석하고 바로 삭제하는 모니터링 시스템을 가동해 효과를 봤다. 악성코드가 발견되면 백신을 투입해 치료하는 현재 방식으로는 나날이 발전하는 해커의 공격을 당해내기 어렵다. 안철수연구소의 V3 백신이 국내를 벗어나면 힘을 못 쓰는 현실을 인정하고, 연구개발과 투자에 만전을 기해야 한다. →개인과 기관의 방어만으로는 한계가 있어 보인다. -대부분의 조직이 자신의 시스템을 잘 만들면 보안 문제가 해결된다고 생각한다. 하지만 금융시스템만 해도 인증 시스템이 따로 있고, 고객 서비스가 따로 있다. 모두 연결되어 있으니 정문만 막아서 될 문제가 아니다. 쪽문·옆문·뒷문 모두 지켜야 한다. 하청업체나 아웃소싱 업체와 인력 관리에 만전을 기해야 한다. 장기적인 대책 마련을 위해서는 국가 사이버보안수준 자체를 높여야 한다. 그러려면 컨트롤타워 구축이 시급하다. 백악관에는 오바마 정부 들어서 국가사이버안보조정관이 신설됐다. 청와대에는 이를 담당할 인력이 없는데, 담당 비서관 등을 만들어야 한다. 정부 조직 내에도 산업기밀과 금융기밀을 총괄할 수 있는 기관 신설이 시급하다. 사이버 테러에 따른 사회적 비용을 생각해 보라. 관공서나 금융업체가 공격당했을 때도 위험하지만 수력·원자력·전력·교통시스템 등 국가 기간망이 공격을 받을 경우 추산할 수 없을 정도의 혼란과 재난이 닥칠 수 있다. 홍희경기자 saloo@seoul.co.kr

3·4디도스, 현대캐피탈 정보유출, 농협 전산망 해킹 등 줄지어 일어나는 보안사고로 사이버 대한민국의 체면이 말이 아니다. 초고속망과 스마트폰으로 정보화가 가속화되고, 소셜네트워킹으로 개인정보의 노출이 심각해지고 있는 터에, 믿었던 금융권마저도 어이없게 구멍을 드러내 더는 방치할 수 없는 수준에 이르고 있다. 정부는 금융권 특별감사를 실시하고 보안을 강화하겠다고 공언하지만, 한번 잃은 신뢰를 회복하기는 쉬울 것 같지 않다. 오히려 공격의 진원지와 배경도 정확히 분석하지 못하고 있어 불안만 증폭되고 있다. 범죄 조직이 연루된 해킹이 우려되고, 언제 어떤 사건이 터질지 조마조마하다. “범죄 조직이 해커와 손잡고 사건을 일으키기 시작했다.”라는, 상하이에서 만난 중국 해커의 이야기가 생각난다. 그러나 정보보호가 족쇄가 되어 정보화의 발목을 죌 수는 없다. 이제라도 상황을 정확히 분석하고 해결책을 찾아야 한다. 이를 위해 연이어 발생하는 해킹 사건들을 거울삼아 우리나라의 정보보호 환경을 점검해 보는 일이 급선무일 것이다. 우선 기업의 정보보호 환경이 열악하다. 많은 기업은 고객의 정보를 다룰 자격조차 갖추고 있지 않다. 정보보호에 관심조차 없는 기업이 많고, 대부분은 ‘설마병’에 걸려 있어 이웃은 당해도 ‘나’는 당하지 않을 것이라는 막연한 기대 심리를 갖고 있다. 현대캐피탈은 정보보호 인프라를 갖추고도 보안 관리의 부실로 호되게 당했다. 설마병의 결과다. 설마병이 치유된다 해도, 대부분 기업에서 보안 조직의 위상이 지나치게 낮아 문제가 된다. 주기적으로 비밀번호를 바꾸려면 ‘지시’보다는 ‘부탁’을 해야 할 지경이기 때문이다. 한 사람의 실수와 취약점이 전체를 흔드는 보안의 특성상 이는 적절치 않다. 정보보호 업무는 최고경영자(CEO)의 직속 부서에서 담당하거나 감사실에서 추진할 때 실효성이 있다는 주장이 설득력이 있어 보인다. 정부도 해킹 사건이 나면 특별 보안 점검을 하는 등 법석을 떠는 뒷북치기보다는 예방정책을 시행해야 한다. 국민의 재산권을 보호하고 사회 질서를 유지하는 차원에서 정보보호가 다뤄져야 한다. 특히, 해킹 탓에 경제생활과 직결된 금융권의 신뢰와 질서가 무너진다면 이는 단순히 금융권만의 문제가 아니라는 사실을 간과하지 말아야 한다. 그럼에도, 최근 몇 년 동안에 정부는 정보보호 인력을 양성하는 대학 연구센터의 수를 줄이고 한국전자통신연구원의 정보보호 기술본부를 해체했다. 우리의 정보보호 기술이 이미 수준급이어서 민간 기업의 개발력만으로도 충분하다는 것인지, 아니면 정보보호 기술을 포기하겠다는 것인지 진의를 판단할 수 없다. 문제는 정부가 정보보호 인력 양성과 연구 개발에서 후퇴하고 있다는 점이다. 정보보호의 가장 큰 문제는 소비자 자신이다. 정보 유출의 최종 피해자가 자신임에도 이를 심각하게 여기지 않는 소비자 정서가 문제가 된다. 지금까지 대규모 개인정보의 유출이나, 상당한 해킹 피해가 다수 있었음에도 해당 기업은 꿋꿋하게 존재한다. 기업은 해킹으로 입은 손실과 정보보호를 위한 투자 규모를 견주고 있다는 사실을 소비자는 기억해야 한다. 해킹이라는 시한폭탄을 안은 기관은 비단 금융권만은 아니다. 의료·국방·에너지 분야 등 거의 모든 분야에서 해킹은 심각한 결과를 초래할 수 있다. 의료정보의 대량 유출에 의한 사회 혼란, 스턱스넷에 의한 국가 기간 시설의 파괴, 해커에 의한 국가 기밀의 유출 등은 걷잡을 수 없는 피해를 일으킬 수 있다. 정보보호가 결여된 정보화는 지뢰밭을 걸어가는 것과 다름없다. 이제라도 각 기업의 정보보호 환경을 재정비하고 해킹과 맞서는 것이 절실한 과제다. 성장을 위해 마케팅에 투자한다면, 그 성장을 지속하려면 정보보호에 투자해야 한다. 하루빨리 완벽한 정보보호 환경을 조성하지 않으면, 어렵게 이룩한 기업도, 사회도 바닷가의 모래성처럼 무너져 버리게 될 것이기 때문이다. 그 성장을 지속하려면 정보보호에 투자해야 한다. 하루빨리 완벽한 정보보호 환경을 조성하지 않으면, 어렵게 이룩한 기업도, 사회도 바닷가의 모래성처럼 무너져 버리게 될 것이기 때문이다.

정부가 내년 총선과 대선 등 정치일정에 따라 예산을 동반하는 선심성 법률이 늘어날 것으로 보고 일방적 입법 추진을 방지하는 노력을 강화하기로 했다. 내년 나라 살림은 ‘2단계 서민희망 예산’으로 편성, 일을 통해 빈곤에서 벗어나는 ‘일 친화적 복지체계’를 갖추기로 했다. 기획재정부는 28일 국무회의에서 이런 내용을 담은 내년 예산안 편성지침과 기금운용 계획안 작성지침을 의결하고 이달 말까지 각 부처에 통보할 예정이라고 밝혔다. 재정부는 균형 재정 회복의 기틀을 마련하기 위해 ‘정부 입법정책협의회’를 강화, 예산을 수반하는 법률의 일방적 추진을 적극 예방하기로 했다. 올해부터 시행되는 지방자치단체 보조사업 존치평가(보조금 일몰제)를 통해 성과가 미흡한 사업은 없애거나 예산을 깎을 방침이다. 내년에도 총지출 증가율을 총수입 증가율 보다 2~3%포인트 낮게 설정해 운용하기로 했다. 정부는 매년 관리대상수지(재정) 적자를 줄여 2013~2 014년에는 균형재정을 달성한다는 목표다. 그러나 내년에 4대강 사업 등 국정과제 마무리에 대한 지출소요 확대와 취득세 인하 보전, 구제역 매몰지 상수도 확충 등 돌발 요인이 발생해 상황이 녹록지 않은 상태다. 내년 예산 배분은 ▲일과 사람 중심의 삶의 질 선진화▲녹색 성장과 미래대비▲국민안전 및 국격 제고 등을 중심으로 지원하기로 했다. 이에 따라 올해 예산에 중점을 뒀던 보육과 특성화고, 다문화 가족 등 서민희망 3대 과제를 완결(1단계)하고 서민과 취약계층에 대한 맞춤형 지원(2단계)을 보강할 방침이다. 장애인 등 취약계층별 맞춤형 일자리 제공을 확대하고 취약계층을 중심으로 보육서비스가 확충된다. 일본 대지진과 금융회사 해킹 등을 계기로 국민안전에 대한 투자도 확대된다. 북한의 국지도발에 대응하는 전력투자를 강화하고 지진과 홍수 등 대형 재난에 대비한 예방투자가 확대된다. 전경하기자 lark3@seoul.co.kr

소니의 플레이스테이션 네트워크(PSN) 가입자 7700만명의 정보가 해킹으로 대량 유출되면서 2006년 PSN 서비스가 시작된 이래 최악의 피해를 낳고 있다. 업계 전문가들은 27일(현지시간) 지난 수년간 발생한 해킹 가운데 최악의 사건 가운데 하나인 이번 해킹으로 소니가 수십억 달러에 이르는 손실을 볼 수 있다고 지적했다. 소니의 PSN과 큐리오시티가 해커의 침입을 받은 것은 지난 17~19일로, 소니는 해킹 직후 두 서비스 모두 폐쇄했다. 해킹으로 장기간 접속장애가 발생한 것도 전례 없는 일이다. 이번에 해킹당한 사용자는 세계 59개국에 분포해 있으며, 미주 지역 3600만명, 유럽 3200만명 등이며 나머지 900만명은 아시아에 있는 것으로 나타났다. 데이터 보안업체 등은 지난해 해킹 사건에서 데이터 건당 피해액이 318달러였던 점을 감안하면 소니의 피해액이 240억 달러(약 26조원)를 웃돌 수 있다고 보고 있다. 소니컴퓨터엔터테인먼트코리아에 따르면 소니의 PSN으로 게임을 즐기는 국내 이용자는 하루 평균 5만~8만명에 이른다. 특히 한국 방송통신위원회는 플레이스테이션 네트워크와 큐리오시티의 국내 이용자 가운데 대다수가 청소년으로, 게임 구매에 사용한 신용카드 정보 등 금융정보가 유출됐을 가능성을 우려하고 있다. 방통위 관계자는 “소니사에 대해 개인정보 유출 경위 및 유출된 정보, 암호화 저장 여부 등 관리 실태를 확인할 계획”이라고 밝혔다. 해커들이 실제로 신용카드 정보를 빼내 갔다면, 이번 사건은 사상 최대 금융정보 절도 사건으로 기록될 전망이다. 소니를 공격한 해커의 정체는 정확히 밝혀지지 않았다. 지난 4월 소니에 선전포고를 한 해커집단 ‘어노니머스’(Anonymous)가 용의자로 유력하게 거론됐지만 이들은 사이트를 통해 “이번 사고와 어노니머스는 무관하다.”고 일축했다. PSN은 비디오 게임기인 플레이스테이션 사용자가 영화나 음악, 게임을 내려받거나 운영체제(OS)를 업데이트할 수 있게 해 주는 전산망이다. 큐리오시티는 영화·음악 콘텐츠를 웹으로 연결해 소니 TV인 브라비아TV나 블루레이 재생기를 통해 이용할 수 있는 서비스를 말한다. 소니는 최근 PSN 고객 정보를 큐리오시티와 통합했다. 박찬구·안동환기자 ckpark@seoul.co.kr

“난, 스마트폰 집에 두고 왔어.” 어느 주말, 골프장으로 가는 길에 카풀을 하려고 서울시내 모처에 모였을 때 어느 고위 공무원이 들려 준 말이다. 의아해하는 동반자 3명에게 이 공무원은 “스마트폰이 편리하긴 하지만 위치 추적을 당한다는 말이 있어서….”라고 설명했다. 스마트폰을 가진 다른 공무원의 표정이 묘하게 일그러졌다. 이를 반영하듯 국내 모 정보기관은 직원들에게 ‘보안성’을 이유로 아예 스마트폰을 지급하지 않는다. 모바일시대를 맞아 통신기기에 의한 개인정보 누출이 국내외에서 현실화되고 있다. 국내의 한 광고대행사는 스마트폰 사용자 80여만명의 정보를 불법으로 확보, 영업에 활용했다. 소니의 플레이스테이션 네트워크(PSN)도 해킹당해 7700만명의 고객 정보가 유출됐다. 국내 PSN 이용자 23만명이 피해를 당한 것으로 추정된다. 그런가 하면 네덜란드에서는 일반화된 자동차 내비게이션을 통해서도 차량 운행 정보가 줄줄 새는 것으로 확인됐다. 실제로 국내 스마트폰 사용자의 위치 정보 2억 1000만여건을 무단으로 수집한 광고 대행업체 E사 등 3곳과 김모(39)씨 등 업체 대표 3명이 경찰에 입건됐다. 서울경찰청 사이버범죄수사대는 27일 스마트폰 애플리케이션을 통해 개인정보를 불법으로 확보한 김씨 등을 위치정보의 보호 및 이용 등에 관한 법률 위반 혐의로 불구속 입건했다. 이들은 이런 개인정보를 이용해 맞춤형 광고를 제공하는 방식으로 6억 5000만원을 챙겼다. 김씨 등은 버스노선 안내서비스, 택시요금 사기 방지, 오목, 음악감상 등 스마트폰 앱 1451개를 제작해 무료로 배포했다. 스마트폰 사용자들이 이런 앱을 T스토어와 안드로이드 마켓, 애플 앱스토어 등에서 내려받아 설치했다. 스마트폰에 설치된 앱을 실행하면 사용자의 각종 개인정보가 자사의 서버에 자동으로 전송된다. 스마트폰을 꺼 놓아도 정보는 계속 전송된다. 이런 수법으로 스마트폰 사용자 80여만명에게서 수집한 위치정보는 2억 1000여만건에 이르는 방대한 분량이다. 누출된 정보는 위성항법장치(GPS)와 휴대전화의 고유 식별번호(MAC)인 주소, 신호를 주고받는 와이파이(WiFi)와 기지국의 아이피(IP), 이동 경로 등이 망라돼 있다. 경찰 관계자는 “포털사이트 등의 지도서비스를 통하면 언제든 누가 어디에 있는지 1m 오차 범위 안에서 확인이 가능하다.”고 말했다. PSN과 큐리오시티 온라인 서비스의 고객정보 누출 가능성이 제기됐다. 소니 대변인 패트릭 세이볼드는 27일(현지시간) 회사 블로그를 통해 “외부 침입자가 고객의 이름과 주소, 국가, 이메일 주소, 생일, PSN·큐리오시티 비밀번호 등 정보를 획득한 것으로 보인다.”고 밝혔다. 방통위 관계자는 “PSN과 큐리오시티 온라인 서비스를 이용하는 회원들은 2차 피해를 막기 위해 같은 비밀번호를 사용하는 다른 웹사이트에서도 비밀번호를 바꿔야 한다.”고 말했다. 안동환·백민경기자 white@seoul.co.kr

부산저축은행을 비롯한 7개 저축은행에서 영업 정지 전날 영업 시간이 지나 1000억원대가 부당 인출된 데 대해 국민들은 분노하고 있다. 분노는 부실한 감독을 한 금융 감독 당국으로 모아진다. 부당 인출은 정치적인 사안으로 일파만파 확산되고 있고, 검찰은 수사에 착수했다. 현대캐피탈 해킹, 농협 전산망 마비에 이어 제기된 저축은행 부당 인출로 인해 금융산업의 총체적 위기라는 지적이 나온다. 이명박 대통령이 26일 국무회의에서 김석동 금융위원장에게 “감독 기관의 직원 문제와 함께 근본 원인을 잘 챙겨야 한다.”고 강조한 것은 금융 감독 당국의 책임을 완곡하게 지적한 것으로 받아들여진다. 한나라당 부산 지역 의원들은 이날 국회 정무위 소회의실에서 권혁세 금융감독원장이 참석한 가운데 긴급 간담회를 갖고 금융 당국의 감독 부실을 강하게 질타했다. ●“국내 금융산업 전체의 위기” 허태열 국회 정무위원장은 “국내 금융산업 전체의 위기”라고 질타했으며, 김무성 원내대표는 “불법 인출된 돈을 환수 조치해 나머지 저축은행 피해자들과 나눌 수 있느냐.”고 따졌다. 민주당 소속 의원들도 금융위원회와 금감원을 항의 방문했으며, 야권은 국정 조사를 통한 진상 조사를 추진하기로 했다. 돈이 묶인 30만 저축은행 고객은 물론이고 5000만원 이상 예치했다가 돈을 떼인 1만여 예금자들은 저축은행 임직원들의 도덕적 해이보다는 이를 묵인한 금융 감독 당국에 분통을 터트린다. 국민들이 분노하는 것은 금융감독 당국이 사실상 두달 동안 손놓고 있지 않았느냐는 데 있다. 부산저축은행에는 영업 정지 전날인 2월 16일 금감원의 감독관이 3명이나 파견됐지만 ‘부당 예금 인출’을 지켜만 봤다. 밤 11시 30분까지 인출 사태가 계속됐다. 하지만 금감원은 저녁 8시 50분 “고객이 내방하지 않은 상태에서 직원들이 고객 예금을 무단으로 인출해 송금하고 있다.”며 이를 금지한다는 공문만 보냈을 뿐이다. 금감원은 그날 낮에 유동성 부족에 따른 영업 정지를 신청하러 서울에 온 부산저축은행 대표와 감사를 부산으로 돌려보냈다. 은행 내부의 의견 검토를 거친 뒤 임직원 동의서 등 필요 서류를 갖춰 다시 오라는 것이었다. 대표는 임직원들에게 부산 2, 대전 등 5개 계열 저축은행이 모두 영업 정지될 가능성이 있다고 알렸고 임직원들은 친인척과 지인들에게 전화를 걸어 예금 인출을 권유하기 시작했다. 영업 정지 정보가 사전에 유출될 가능성이 뻔히 보이는데도 금감원은 아무런 대응을 하지 않았다. 이에 대해 김장호 금감원 부원장보는 지난 25일 “(대표와 감사를 다시 영업점으로 돌려보낼 때 일어날 파장을) 왜 몰랐겠나. 감안이 됐을 거다.”라면서 “내부 직원들의 정보 접근성이 빨랐다.”고 설명했다. 금감원의 다른 관계자는 “금융기관 내부의 동의 절차 없이 대표의 뜻대로 영업 정지 신청을 받아들이면 금감원이 향후 법적 책임을 질 수도 있어 불가피한 조치였다.”고 해명했다. ●관계자 처벌 쉽지 않을듯 금감원은 부당 인출 관련자와 관련 계좌를 이미 지난 3월 검찰에 통보했다고 주장했다. 그렇다면 금융 당국은 부당 인출 사태를 알고도 두달 동안 문제제기를 하지 않았다는 얘기다. 이와 관련해 금감원은 27일부터 신응호 검사담당 부원장보를 부산에 보내는 등 부산저축은행의 5개 계열 저축은행에 대한 검사를 대폭 강화하기로 했지만 사후약방문이라는 지적이다. 금융 당국은 부당 인출된 돈을 환수하는 방안을 검토하고 있다고 밝히기는 했지만, 실제 환수 여부는 미지수다. 재산보전 조치를 취해야 하고 소송으로 이어질 수 있기 때문에 면밀한 검토가 필요하다는 게 금융 당국의 판단이다. 금융 당국의 관계자 처벌도 쉽지 않을 전망이다. 검찰 관계자는 “저축은행 직원들이 고객들에게 알려준 것은 공무원이 아니기 때문에 처벌하기 어렵다.”고 설명한다. 금융실명제법을 위반한 점이 확인되더라도 벌금만 내면 되기 때문에 형사처벌 대상은 아니다. 오달란·임주형기자 dallan@seoul.co.kr

지난해 7월부터 인터넷뱅킹에서 공인인증서를 사용할 의무가 사라졌다. 이런 사실을 아는 이는 많지 않다. 스마트폰뱅킹을 비롯한 대부분의 전자거래에서 공인인증서를 여전히 요구하고 있다. 공인인증서를 사용하지 않게 된다면 은행 사이트에 접속했을 때 액티브X를 통해 은행이 요구하는 자체 보안 프로그램을 내려받는 과정이 없어지게 된다. 그동안 액티브X는 마이크로소프트(MS) 전용 브라우저인 인터넷익스플로러(IE)에서만 구동되기 때문에 소비자들의 브라우저 선택권이 제한되며, 보안업계 전반의 발전을 해친다는 지적이 있었다. 오픈웹의 김기창 고대법대 교수와 이민화 전 기업호민관이 논의를 주도했고, MS 운영체제가 아닌 맥 운영체제를 쓰는 아이폰이 보급되면서 결국 공인인증서 사용 의무가 폐지됐다. 김인성 IT칼럼니스트는 25일 서울신문과 가진 인터뷰에서 여기에 더해 공인인증서 체제가 보안 측면에서도 취약하다고 지적했다. 2009년 분산서비스거부(디도스) 공격부터 최근 농협 전산장애 사태까지 국내 보안사고에서 툭하면 서버가 공격을 당하는 이유가 여기에 있다는 것이다. 김 칼럼니스트는 “외국의 보안이 기관 사이트를 통제해 서버 관리에 만전을 기하는 식이라면, 국내는 기관 사이트의 허점을 방치한 채 개인만 통제하는 식”이라면서 “공인인증서로 사용자들은 불편해지지만, 사이트 보안은 전혀 이뤄지지 않고 있다.”고 강조했다. 이 상태로는 보안 분야에 돈을 아무리 쏟아부어도 보안업체의 배만 불릴 뿐 근본적인 해결은 안 된다고 했다. →농협 전산장애 사고를 전후해 피싱사이트가 출현했다. 사고 원인은 수사를 지켜봐야겠지만, 피싱사이트의 발빠른 움직임에 혀를 내둘렀다. -피싱사이트를 통해 고객 정보를 빼내는 것은 중국 쪽 해커집단의 돈벌이 수준이 된 지 오래다. 인터넷뱅킹을 하려고 하면 은행에서 보안 프로그램을 다운받게 한다. 해커들은 유사 사이트를 만들고 보안프로그램으로 위장한 바이러스를 다운받게 한다. 이렇게 해서 좀비가 된 PC가 국내에 100만대 이상으로 추정된다. 좀비PC들은 해커의 명령이 떨어지면 특정 사이트에 한꺼번에 접속을 시도, 마비시킨다. 트래픽이 집중돼 서비스가 불가능해지면 해커는 돈을 요구하고, 속도가 생명인 게임업체들은 대부분의 경우 이 협상에 응할 수밖에 없다. 우리의 보안은 보안이 아니다. →유독 우리가 국제 해커들의 먹잇감이 되는 이유가 있는가. -국내 인터넷의 보안시스템이 세계 표준과 다르기 때문이다. 근본적으로 해외 사이트가 스스로의 안전성을 증명하는 체계라면, 국내는 개인들이 사이트에 접속할 때 본인이 맞다는 것을 사이트에 증명해야 한다. 예를 들어 웹메일인 지메일(gmail) 사이트에 접속하면, 사이트 주소가 http://에서 https://(안전전송규약·SSL)로 바뀐다. 뒤에 붙는 s는 이 사이트가 정확한 사이트이니 믿고 이용하라는 표시로, 공인인증기관이 증명해 주는 신호이다. https://를 보고 사용자들은 추가 소프트웨어를 다운받을 필요 없이 안심하고 거래를 할 수 있다. 한국의 보안 방식은 이와는 달리 사이트는 안전하다고 일단 가정을 하고, 개인 사용자에게 자기들만의 보안 프로그램·키보드 해킹방지 프로그램·바이러스 백신 등을 다운받게 한다. 이것도 모자라 공인인증서를 요구한다. 액티브X를 다운받는 동안 사용자 컴퓨터는 보안에 완전히 취약한 상태가 된다. 시작 단계에서부터 보안이 무너져 있는 것이다. →안전연결은 국내만 채택을 안 한 것인가. -대부분의 국가에서 채택했다. 1990년대 중반까지 미국은 보안방식으로 복잡한 암호화 기법을 쓰지 못하게 했고, 해독 불가능한 암호화 방식은 수출도 금지했다. 그래서 우리가 독자적으로 만든 게 공인인증서다. 이후 해외에서는 사용자가 웹사이트에 보안접속을 시도하면 웹브라우저가 인증기관에 의뢰해 이상이 없다는 답을 받고 안전전송 규약을 허용하는 체제가 자리잡았다. 국내는 이를 받아들이지 않고, 개인에게 부담을 더 지우는 쪽으로 보안이 발전했다. 은행과 같은 기관이 서버관리를 제대로 하고 있는지 감시하는 곳은 없다. 이게 툭하면 보안사고가 일어나고, 서버 공격이 이뤄지는 이유다. 다른 문제도 있다. 우리 상황에서 보안업체들은 은행이나 공공기관에 납품 경쟁을 벌인다. 이 시장을 확보하면, 개인은 선택권을 갖지 못한 채 일방적으로 사이트 방침에 따라 다운로드를 해야 한다. 해외는 웹브라우저에 기본 보안 프로그램이 장착되고, 개인이 브라우저를 선택하는 구조이다. 그래서 기본적으로 보안 프로그램이 싸고, 그러면서도 개인 고객을 대상으로 성능 경쟁이 계속된다. →아이폰 도입과 함께 한 차례 공인인증서 폐지운동이 있었다. -결론적으로 스마트폰 도입 뒤에도 공인인증서 체제는 살아남았다. 이것은 새로운 문제로 이어질 수 있다. 예컨대 제2금융권은 스마트폰의 새로운 버전에서 구동시킬 공인인증서 보안체제를 개발할 자금이 부족할 것이다. 결국 이들은 보안을 외주에 맡기거나 스마트폰뱅킹 시장에 진출하기 어려울 것이다. 만일 국제 표준방식을 채택했다면, 2금융권 업체도 투자비용 없이 스마트폰뱅킹 시장에 진입할 수 있을 것이다. 국제 표준방식은 과거의 소프트웨어 뿐 아니라 미래의 어떤 플랫폼에서도 지원이 되도록 만들어져 있다. 스마트폰 운영체제 새 버전이 나왔다고 보안업체가 추가 개발 비용을 요구할 근거가 사라진다. →공인인증서 보안 체제 때문에 우리가 잃는 것이 또 있는가. -이 방식은 전체적으로 우리나라 전자상거래를 죽이고 있다. 물건을 하나 사는데 다른 나라와 달리 공인인증서를 요구하니 어떻게 물건을 팔 수 있겠나. 온라인에서는 오프라인처럼 해외진출을 할 때 막대한 투자를 하기보다 언어만 바꿔서 손쉽게 이동할 수 있어야 하는데, 한국만의 특수한 보안 방식은 이것을 불가능하게 한다. 커다란 세계 시장을 곁에 두고 중소기업들이 굶어 죽고 있다. 수출탑을 수여할 정도로 수출에 목 매는 나라에서 온라인 시장의 개방에 대해서는 왜 이런 모습인지 모르겠다. 홍희경기자 saloo@seoul.co.kr ■ 김인성 IT칼럼니스트는 ▲46세 ▲서울대 컴퓨터공학과 졸업 ▲리눅스 시스템으로 초기 엠파스 사이트 구축 ▲전 리눅스원 개발이사 ▲현 KT 계열 네트워크 장비업체 컨설팅 ▲저서 ‘한국IT산업의 멸망’, ‘리눅스 디바이스 드라이버’(공동번역), 잡지 ‘마이크로소프트웨어’에 칼럼 연재

현대캐피탈 고객정보 해킹 사건을 수사 중인 서울지방경찰청 사이버범죄수사대가 “대부업체와의 연관성을 수사하고 있다.”고 25일 밝혔다. 경찰은 그동안 ‘대부업체 연루’와 관련된 서울신문 보도<4월 12일자 1, 8면>를 부인하다 14일 만에 이를 공식 인정했다. 경찰은 또 필리핀에 체류 중인 것으로 알려진 해커 신모(37·미검)씨와 주범 정모(36·미검)씨에 대해 현지 경찰에 사법공조와 범죄인 인도를, 중국으로 출국한 국내 인출책 조모(47·미검)씨에 대해서는 인터폴에 공조수사를 요청하기로 했다. 서울청이 대부업체 수사에 나선 이유는 크게 두 가지. 우선 정씨의 전과 기록 등에 나타난 범행 수법과 과거 전력 때문이다. 정씨는 전문 해커 신씨를 끌어들여 이번 사건을 계획한 것으로 알려진 실질적인 주범이다. 조사결과 정씨는 현대캐피탈 사건처럼 과거에도 개인정보를 빼돌려 대부업체에 팔아넘긴 유사 전과가 있는 것으로 확인됐다. 경찰에 따르면 정씨는 2005년 미등록 대부업체를 운영하면서 인터넷 팝업창을 통해 고객정보 1만 3000여건을 입수, 이를 대부 중개업체에 팔아넘겨 6억원을 챙긴 전력이 있다. 경찰은 “정씨는 이 때문에 2006년 4월에 신용정보법 위반으로 처벌까지 받았다.”면서 “정씨와 신씨가 관련된 계좌의 입출금 내역을 확인하는 등 대부업체와의 연계 파악에 수사력을 모으고 있다.”고 덧붙였다. 공범의 진술도 이를 뒷받침한다. 검거된 국내 총책 허모(40)씨도 정씨와 대부업체가 연루됐을 개연성에 관해 진술한 것으로 알려졌다. 경찰 관계자는 “정씨 등이 대부업체의 의뢰를 받고 현대캐피탈을 해킹, 개인정보를 빼내 ‘협박용’과 ‘DB 장사용’으로 이용한 것이라고 추정하고 있다.”면서 “신씨나 정씨가 잡히면 구체적인 전모가 드러날 것으로 보고 검거에 총력을 기울이고 있다.”고 말했다. 이와 함께 경찰은 정씨가 검거된 허씨를 필리핀 클라크 등지에서 만나 범행을 모의한 정황을 포착, 구체적인 경위를 캐는 데 수사력을 집중하고 있다. 경찰 조사 결과 허씨와 조씨는 지난해 말부터 지난달까지 세 차례에 걸쳐 필리핀에서 정씨를 만나 역할을 분담하는 등 범행을 모의한 것으로 드러났다. 경찰은 “신씨가 현대캐피탈을 협박해 돈을 뜯어내고, 정씨는 신씨와 국내 인출책을 연결하는 역할을 맡았으며, 허씨는 국내 인출책으로 조씨 등 3명을 지휘했다.”면서 “이후 허씨는 해킹 발생 후 현대캐피탈이 범인 계좌로 입금한 1억원 가운데 3500여만원을 국내에서 인출, 이 가운데 1700만원을 정씨 여동생 계좌를 통해 필리핀에 있는 정씨에게 전달한 것으로 조사됐다.”고 설명했다. 백민경·김양진기자 white@seoul.co.kr

애플이 단말기에 축적하고 있다는 사용자 위치정보가 가장 심각한 논란을 일으키는 대목은 이 모든 민감한 정보가 사용자들이 모르는 상태에서 암호화되지 않은 채 저장돼 있다는 점이다. 문제의 위치정보는 데이터베이스 파일 형태로 돼 있으며, 1초 단위로 저장돼 있다. 아이폰 운영체계인 iOS4를 내놓을 때부터 위치정보를 단말기에 축적하기 시작했기 때문에 10개월 동안 어느 곳을 언제 얼마나 방문했는지 모조리 확인 가능하다는 것을 뜻한다. 구매자 입장에서는 아이폰4를 구입하는 순간부터 지금까지의 움직임이 1초 단위로 고스란히 자신의 아이폰4에 저장돼 있고, 분실할 경우 타인에게 언제 어디를 갔었는지 고스란히 노출될 수 있다는 말이 된다. 아이폰 사용자들이 개인용컴퓨터(PC)와 동기화를 통해 애플 전용 온라인장터인 아이튠즈 등을 이용한다는 점을 감안하면 사용자들의 컴퓨터에도 위치정보가 고스란히 담겨 있을 가능성이 농후하다. 아이폰이 단말기 위치정보를 수집해 본사에 전송한다는 것 자체는 아이폰 사용설명서에도 나오는 것으로 전혀 새로울 것이 없다. 하지만 위치정보가 단말기나 동기화된 PC에 암호화되지도 않은 채 저장돼 있다면 얘기가 달라진다. 해커가 PC를 해킹함으로써 결과적으로 아이폰에 저장된 위치정보를 악용할 가능성이 있으며 자칫 걷잡을 수 없는 사생활 침해로 이어질 수 있다. 단말기를 분실하거나 도둑맞았을 경우에도 동일한 문제가 발생할 수 있다. 애플이 말 그대로 ‘의도적’으로 위치정보를 수집했는지는 첨예한 관심사지만 아직 애플이 별다른 답변을 내놓지 않으면서 논란은 계속되고 있다. 크리스천 사이언스 모니터(CSM)는 위치정보 축적 문제를 처음 제기했던 컴퓨터 전문가 앨러스데어 앨런과 피트 워든은 “우리는 왜 애플이 그 데이터를 수집했는지 모르지만 그것은 확실히 의도적이었다.”고 밝혔다고 지난 22일 보도했다. 보도에 따르면 업체들이 사용자 위치정보에 눈독을 들이는 것은 행태기반 맞춤형 서비스 등 상업적 활용 가능성 때문이다. 특정 거리를 자주 지나가는 사용자에게 그 거리에 있는 레스토랑 광고를 보내는 방식처럼, 위치정보는 그 자체로 ‘돈’이 된다는 것이다. 강국진기자 betulo@seoul.co.kr

‘문화대통령’ 서태지와 배우 이지아의 14년에 걸친 만남과 이별, 법정 송사가 인터넷 세상을 점령한 한 주였다. 서태지와 이지아가 50억원대의 위자료 및 재산 분할 소송을 진행 중이라는 사실이 21일 알려졌다. 이날 밤 이지아는 소속사를 통해 공식 보도자료를 내고 대부분의 사실을 인정했다. 불과 오전까지만 해도 정우성과의 데이트 장면이 화제였지만 반나절 만에 대반전이 일어난 셈. 오리무중에 빠진 농협 사이버테러 사태가 2위에 올랐다. 검찰이 지난 19일 농협 서버에 삭제 명령을 내린 노트북 컴퓨터를 분석한 결과, 적어도 한달 전 이 명령이 예약 실행되도록 프로그램된 사실을 확인했다. 검찰은 농협 내부 시스템과 운영구조를 잘 아는 내부 직원 소행이거나 내부자가 외부 해커와 공모했을 개연성을 조사하고 있다. 소녀시대의 ‘가창력’을 담당하고 있는 태연이 지난 17일 공연에서 한 남성 관객에게 납치될 뻔한 사연은 3위에 올랐다. 평범한 대학생으로 밝혀진 이 남성은 잘못을 반성해 별다른 처벌을 받지 않고 귀가했다. 4위는 축구대표팀 공격수 박주영의 결혼 소식이 차지했다. 프랑스 프로축구 AS 모나코에서 활약 중인 박주영은 오는 6월 프랑스리그를 마친 뒤 한살 연상의 정유정씨와 결혼식을 올릴 계획이다. 이들은 2005년부터 캠퍼스 커플로 만나 6년째 공개 연애를 했다. 5위는 고학력 백수 300만명. 통계청에 따르면 1분기 비경제활동 인구 가운데 전문대와 4년제 대학교 이상을 졸업한 ‘고학력 백수’가 300만명에 이르는 것으로 조사됐다. 6위는 BBK 수사팀 패소였다. 이명박 대통령의 BBK 의혹을 담당한 수사팀이 김경준씨를 회유한 의혹이 있다고 보도한 언론사를 상대로 검찰이 낸 손해배상 청구 소송에서 원심을 깨고 원고 패소 판결이 났다. 가수 윤복희가 MBC ‘무릎팍도사’에서 가수 남진과의 결혼은 첫 남편 유주용에게 보여주기 위한 것이라고 고백한 것이 7위에 올랐다. 8위는 지난 23일 분당선 죽전역 부근에서 일어난 전동차 탈선사고 소식이었다. 만 16세 미만의 청소년들이 밤 12시부터 오전 6시까지 온라인 게임에 접속하지 못하도록 하는 셧다운제가 국회 법제사법위원회 법안심사소위를 통과했다는 소식이 9위, SBS ‘생활의 발견’ 방송 사고가 10위에 올랐다. 임일영기자 argus@seoul.co.kr

스마트폰의 위치 정보가 사용자 몰래 저장되고 있다는 논란이 확산되면서 1000만명을 웃도는 국내 스마트폰 사용자 사이에 공포감이 고조되고 있다. 특히 국내 스마트폰 운영체제(OS) 점유율 1위와 2위를 달리는 구글의 안드로이드와 애플의 iOS 모두 사용자 위치를 저장·전송해 온 것으로 알려져 사생활 침해 논란은 전방위로 확산될 듯하다. 하지만 전문가들은 안드로이드폰과 아이폰 사이에는 사용자 위치 정보를 수집·저장하는 방식에 있어 다소 차이가 있다고 설명한다. 안드로이드폰의 보안 체계가 아이폰보다 좀 더 낫다는 설명이다. ‘위치 정보 수집 논란’에 휩싸인 안드로이드폰과 아이폰의 가장 큰 차이는 사용자 이동 경로를 어떤 방식으로 저장하느냐에 있다. 미국 정보기술(IT) 개발자인 마이크 캐스텔먼은 “아이폰은 위치 정보를 로그방식으로 저장하지만 안드로이드폰은 캐시 방식으로 저장한 것으로 보인다.”고 말했다고 미 IT 전문지인 ‘ARS 테크니카’가 보도했다. 아이폰의 로그 저장 방식은 OS 설치 이후 위치 정보를 매초 저장·축적하는 데다 일반 사용자가 접근해 지우기 어렵다. 반면 안드로이드가 채택한 캐시 방식은 일정시간이 지나면 저장된 정보가 자동으로 삭제된다. 미국의 IT 전문 뉴스사이트인 와이어드닷컴도 “아이폰에 1년치가 넘는 위치 정보를 남기도록 한 건 시스템상의 결함”이라며 “만약 절도범이 제3자의 아이폰을 손에 넣는다면 타인의 생활을 속속들이 알 수 있게 된다.”고 지적했다. 하지만 캐스텔먼은 “스마트폰에 저장된 기록이 범죄 수사 때 사용자에게 불리한 증거로 활용될 수 있다는 점 등에서 아이폰과 안드로이드폰의 위치 정보 저장 기능은 같은 문제점이 있다.”고 말했다. 미국 일간지인 새너제이 머큐리뉴스는 “스마트폰만 들여다보면 당신이 주고받은 문자와 사진, 트위터와 페이스북, 병원 예약 기록까지 확인할 수 있어 ‘디지털 지문’으로까지 불린다.”고 전했다. 아이폰과 안드로이드폰은 정보를 보호하는 보안 시스템상에도 차이가 있다. 아이폰 사용자의 위치 정보 파일은 암호화하지 않은 채 스마트폰 안에 저장된다. 누구나 손쉽게 사용자의 이동경로를 확인해 볼 수 있다는 얘기다. 또 위치 정보를 휴대전화 내에 저장할지를 묻는 사용자 동의 과정도 없다. 이 때문에 휴대전화를 분실한다면 사용자는 자신도 모르는 이동 정보를 유출당해 사생활 침해 논란이 일 수 있다. 안드로이드폰 보안 체계는 아이폰에 비해 그나마 낫다. 구글은 24일 “안드로이드 기기는 위치정보 공유 여부를 전적으로 사용자들에게 맡기는 옵트인(opt-in) 형식을 택하고 있다.”면서 “구글은 위치정보 수집, 공유 및 사용에 대해서 사용자들에게 공지하고 통제권을 가질 수 있도록 하고 있다.”고 밝혔다. 또 아이폰과는 달리 사용자 위치정보를 암호화한 뒤 저장해 스마트폰을 잃어버리거나 해킹당했을 때의 사생활 침해 가능성을 낮췄다. 전문가들은 개인 이동 정보의 유출을 막으려면 스마트폰의 위치 정보 수집 기능을 사용하지 않으면 된다고 조언한다. 하지만 아이폰은 위치 정보 서비스를 사용하지 않는다면 지도 등 일부 애플리케이션을 사용할 수 없다. 이럴 경우 ‘스마트폰’의 기본적 기능을 상실하는 것과 마찬가지가 된다. 반면 안드로이드폰은 위치 정보 서비스를 꺼놓아도 앱 기능의 정확도가 떨어질 뿐 계속 사용할 수 있다. 유대근기자 dynamic@seoul.co.kr [용어 클릭] ●아이폰 로그·안드로이드 캐시 방식 애플 운영체제(OS)의 로그 방식과 안드로이드 OS의 캐시 방식은 사용자의 위치 정보를 계속 저장하느냐의 여부에 따라 구분된다. 로그 방식은 위치정보가 담긴 로그 파일을 하드나 서버 등에 지우지 않고 계속 쌓아두는 방식이다. 반면 캐시 방식은 빠른 데이터 전송을 위해 별도 서버에 임시로 데이터를 전송해 놓는다. 이런 이유로 일정 시간이 지나면 자동으로 삭제되고, 사용자가 원할 때도 쉽게 기록을 지울 수 있다.

현대캐피탈과 농협의 전산사고로 해커에 대한 관심이 높아지고 있다. 일부 청소년들에게 이들은 동경의 대상이 되기도 한다. 보안이 철저하다는 정부나 대기업 등의 전산망을 제집처럼 드나들며 해킹을 하기 때문이다. 하지만 해커 하면 컴퓨터에 매달려 사는, 사회성이 부족한 이른바 ‘오타쿠’(마니아)로 보는 어두운 그림자도 드리워져 있다. 또 해킹 기술을 통해 협박과 금전적 이득을 취하는 범죄자들도 적지 않다. 하지만 해커라고 모두 범죄자는 아니다. 해킹 기술을 악용해 금전적 이득을 노리는 ‘블랙 해커’가 있다면 이들을 막는 ‘화이트 해커’가 있다. 보안을 뚫으려는 ‘창’(블랙 해커)과 이를 저지하려는 ‘방패’(화이트 해커) 간의 보이지 않는 전쟁도 치열하다. 해커도 등급이 있다. 다른 사람이 개발한 해킹 프로그램을 사용하는 초보 수준 해커는 ‘스크립트 키디’(script kiddie)라 하며, 중간급 수준은 ‘위저드’(wizard)로 독자적으로 해킹 툴이나 보안 솔루션을 개발한다. 최고 보안이 적용된 정부·기업의 전산망을 뚫을 수 있는 최정상급 해커는 ‘구루’라고 불린다. 농협 서버를 뚫은 블랙 해커는 ‘구루급’으로 분류된다. 국내 해커는 ‘스크립트 키디’ 최소 1000여명, 위저드급 800여명, 구루급 50~100여명으로 추산된다. 화이트 해커는 범죄와 거리가 멀다. 보안 동아리에서 해킹 기술을 연구하고 기업의 보안 취약성을 분석하는 순기능을 한다. 실제 웹사이트가 아닌 가상 환경에서 해킹 기법을 익힌다. 미국 라스베이거스에서 열리는 세계 최대 해커협의회인 데프콘(DEFCON)을 비롯한 국내외 해킹 대회에 참가하는 등 대한민국 해커로서 자부심을 키운다. 국제해킹방어대회인 ‘코드게이트 2009’에서 최연소 우승자로 화제를 모은 박찬암(23)씨. 그는 국내외 해킹대회에서 6차례나 우승한 구루급이다. 현재 인하대 컴퓨터공학과 재학생이자 보안 전문업체인 소프트포럼의 보안기술팀장이다. 그는 “(알려진 것과는 달리) 해커들을 보면 활달하고 사회성이 뛰어나다.”고 말한다. 문제는 블랙 해커. 하지만 국내에서는 해커에 대한 보수 등이 열악해 화이트 해커도 ‘검은 유혹’을 받는다. 이는 박 팀장도 마찬가지. 경쟁 기업에 대한 디도스(분산서비스거부) 공격과 DB 해킹까지 의뢰가 다양하다. 그는 최대 3억원을 제안받기도 했다. 국내 화이트 해커 양성과 윤리 교육을 하는 해커 대학의 김태순 이사도 5000만원을 제시하며 악성코드를 제작해 달라는 의뢰를 받은 적이 있다. 경찰에 신고했지만 끝내 의뢰자는 붙잡지 못했다. 조직폭력배들이 한 온라인 기업의 해킹을 요구한 경우도 있었다. 국내에서 ‘작업 해커’를 확보하지 못하면 중국 해커를 매수한다. 한국과 중국의 블랙 해커들이 웹·시스템·네트워크로 각각 공격 역할을 분담해 공조하는 현상이 나타나고 있다. 김 이사는 “이들은 기업체의 DB나 가입자 정보 해킹부터 디도스 공격을 예고하고 돈을 요구하는 사례들이 파악되고 있다.”고 말했다. 화이트 해커들은 우리 기업들의 ‘위기관리’에 문제가 있다고 우려한다. 블랙 해커들의 협박에 많은 기업들이 돈으로 무마하거나 해킹 자체를 은폐한다고 지적한다. 안동환기자 ipsofacto@seoul.co.kr [용어클릭] ●해커 블랙 해커는 개인적인 목적을 노려 악의적으로 해킹을 일삼는 이들을 말한다. 반면 화이트 해커는 순수하게 학업과 연구 등을 위해 해킹을 하는 정보 보안 전문가를 뜻한다. 과거에는 해커가 유능한 컴퓨터 프로그래머를 뜻했고, 불순한 의도를 가진 해커를 크래커(cracker)라 부르기도 했다.

전 북한 공산대학 컴퓨터강좌장(학과장) 출신으로 탈북주민 사이에서 ‘컴퓨터 귀재’로 통하는 김흥광(51) NK지식인연대 대표는 “남한 사람들은 북한의 사이버테러 능력을 무시하는 경향이 있는데 결코 만만치 않다.”고 경고했다. 제자들을 ‘정보전사’(해커)로 키웠던 전직 북한 교수의 충고다. →북한의 해킹 배후설이 제기될 때마다 한국에선 우파의 음모라는 얘기가 나오는데. -북한이 워낙 폐쇄된 사회이다 보니 근거가 있다, 없다는 논박이 일어날 수는 있다고 본다. 하지만 나는 내 삶의 경험을 근거로 말하는 것이다. 함흥 컴퓨터기술대학에서 9년 동안 컴퓨터를 가르쳤고 1994년부터 탈북 직전인 2003년 8월까지 함흥 공산대학 컴퓨터강좌장을 지냈다. 그렇게 교육한 내 제자들이 정찰국 121소에서 활동했다. 군사위원회가 요구한 연구과제들도 직접 만들었다. →북한의 사이버테러 역량은 어느 정도인가. -최정예다. 미국 보안전문가들도 북한 미림대학에서 한해 100명씩 양성하는 정보 전사들의 능력을 인정한 바 있지 않은가. →북한 정보전사들의 강점은. -북한은 사이버테러로 최대의 효과를 발휘할 방법들을 1990년대 초반부터 고민했다. 사이버테러는 우주과학처럼 최첨단 기술이 반드시 있어야 하는 것이 아니다. 소수 엘리트를 뽑아 강제로 특수교육을 시킬 수 있는 북한의 비민주성과 폐쇄성이 어찌 보면 가장 강력한 무기일 수 있다. 유영규기자 whoami@seoul.co.kr

미국이나 영국 등 외국의 유수한 금융기관과 기업들도 ‘나는’ 해커들에게는 속수무책이다. 21일(현지시간) 버라이즌 비즈니스에 따르면 지난해 미국에서 개인 정보를 해킹한 사건은 모두 760건으로 2009년 140건의 5배가 넘는다. 가장 최근에 발생한 대규모 해킹 사건으로는 지난달 31일 미국과 영국 등의 50개 대기업 고객들의 이메일 주소가 유출된 사건을 꼽을 수 있다. 전 세계 2500개 기업의 이메일 마케팅을 담당해 온 미국의 엡실론사의 전산망이 해커들에게 뚫려 JP모건체이스, 시티뱅크, 바클레이스, 유에스뱅크코프, 디즈니, 매리엇, 베스트바이, 막스앤드스펜서 등 50개 주요 기업의 고객 명단과 이메일 주소를 도난당하는 사고가 발생했다. 앞서 2007년 미국의 유명 해커 앨버트 곤잘레스 일당은 카드 결제업체 허트랜드 페이먼트를 해킹해 미국의 소매유통업체에서 쇼핑한 고객 4000여만명의 카드 계좌 1억 3000만여개의 정보를 빼내 범죄 조직 등이 운영하고 있는 세계 각지의 서버로 전송했다. 개인 계좌에서 실제 현금을 빼내는 해킹도 발생했다. 지난해 10월 한 범죄 조직은 해커를 모집해 JP모건 등 투자은행 고객들의 계좌 비밀번호를 빼내 고객들의 계좌에서 돈을 훔쳤다. 피해액은 영국에서 950만 달러, 미국에서 300만 달러에 이르는 것으로 알려졌다. 지난해 6월에는 말레이시아계 해커 린먼푸가 미국 연방준비제도이사회(FRB) 홈페이지를 해킹해 40만건 이상의 신용카드 계좌 정보를 빼내고 네트워크 전산망에 악성코드를 심은 혐의로 기소돼 10년형을 선고받았다. 나스닥의 전산망도 지난해 해킹을 당했으나 보안검사에서 악성소프트웨어가 발견돼 피해를 막았다. 한편 버라이즌의 분석 결과에 따르면 최근 들어 해킹 건수는 급증한 반면 의외로 유출된 개인 정보량은 2010년 400만건으로 2008년 3억 6100만건, 2009년 1억 4400만건보다 크게 줄었다. 김균미기자 kmkim@seoul.co.kr

지난달 발생한 ‘3·4 디도스’(DDos·분산 서비스 거부) 사태에 이어 현대캐피탈, 농협 등의 금융권 보안 사고까지 잇따라 터지면서 해킹을 막을 수 있는 전문 인력인 ‘화이트 해커’에 대한 관심이 높아지고 있다. 화이트 해커란 코드 분석 등 해킹 기술을 악용해 이익을 취하려는 ‘블랙 해커’들과 달리 해킹 기술을 연구해 ‘방패’를 만드는 보안 전문가를 말한다. 현재 국내에 화이트 해커 그룹은 10여개로 500여명 정도가 활동하는 것으로 알려져 있다. 개인 해커들은 그보다 훨씬 더 많을 것으로 추정된다. 아직 우리나라에서는 보안 전문가를 체계적으로 키우는 시스템이 부족하다 보니 화이트 해커의 중요성이 더욱 클 수밖에 없다. 그럼에도 화이트 해커에 대한 사회적 처우는 무척 열악한 실정이다. 현재 국내에 정보 보호 관련 학과가 개설된 곳은 포항공대, 아주대, 상명대, 동국대 등 10여곳에 불과하다. 일부 보안 기관들이 해킹 방어 대회 등에서 입상한 화이트 해커들을 전문 인력으로 채용하기도 하지만 그 수가 많지 않다. 해킹 툴을 직접 만들 만큼 상당한 실력이 있더라도 직장 경력이나 석사 이상 학력 등 ‘스펙’이 없으면 취업이 쉽지 않기 때문이다. 어렵게 일반 회사에 들어가더라도 보안 회사 대부분이 영세해 연봉이 낮은 데다 대기업에 들어가더라도 보안업무를 비핵심 사업으로 간주해 일반 직원들보다 급여를 적게 지급하기도 한다. 한 보안업계 전문가는 “선진국의 경우 해커의 처우가 좋고 수입도 보장돼 화이트 해커로 살아갈 수 있지만 국내에서는 열악한 근무 환경과 검은돈의 유혹 때문에 어둠의 길로 쉽게 들어서게 된다.”고 말했다. 류지영기자 superryu@seoul.co.kr

현대캐피탈과 농협의 전산사고로 해커에 대한 관심이 높아지고 있다. 일부 청소년들에게 이들은 동경의 대상이 되기도 한다. 보안이 철저하다는 정부나 대기업 등의 전산망을 제집처럼 드나들며 해킹을 하기 때문이다. 하지만 해커 하면 컴퓨터에 매달려 사는, 사회성이 부족한 이른바 ‘오타쿠’(마니아)로 보는 어두운 그림자도 드리워져 있다. 또 해킹 기술을 통해 협박과 금전적 이득을 취하는 범죄자들도 적지 않다. 하지만 해커라고 모두 범죄자는 아니다. 해킹 기술을 악용해 금전적 이득을 노리는 ‘블랙 해커’가 있다면 이들을 막는 ‘화이트 해커’가 있다. 보안을 뚫으려는 ‘창’(블랙 해커)과 이를 저지하려는 ‘방패’(화이트 해커) 간의 보이지 않는 전쟁도 치열하다. 해커도 등급이 있다. 다른 사람이 개발한 해킹 프로그램을 사용하는 초보 수준 해커는 ‘스크립트 키디’(script kiddie)라 하며, 중간급 수준은 ‘위저드’(wizard)로 독자적으로 해킹 툴이나 보안 솔루션을 개발한다. 최고 보안이 적용된 정부·기업의 전산망을 뚫을 수 있는 최정상급 해커는 ‘구루’라고 불린다. 농협 서버를 뚫은 블랙 해커는 ‘구루급’으로 분류된다. 국내 해커는 ‘스크립트 키디’ 최소 1000여명, 위저드급 800여명, 구루급 50~100여명으로 추산된다. 화이트 해커는 범죄와 거리가 멀다. 보안 동아리에서 해킹 기술을 연구하고 기업의 보안 취약성을 분석하는 순기능을 한다. 실제 웹사이트가 아닌 가상 환경에서 해킹 기법을 익힌다. 미국 라스베이거스에서 열리는 세계 최대 해커협의회인 데프콘(DEFCON)을 비롯한 국내외 해킹 대회에 참가하는 등 대한민국 해커로서 자부심을 키운다. 국제해킹방어대회인 ‘코드게이트 2009’에서 최연소 우승자로 화제를 모은 박찬암(23)씨. 그는 국내외 해킹대회에서 6차례나 우승한 구루급이다. 현재 인하대 컴퓨터공학과 재학생이자 보안 전문업체인 소프트포럼의 보안기술팀장이다. 그는 “(알려진 것과는 달리) 해커들을 보면 활달하고 사회성이 뛰어나다.”고 말한다. 문제는 블랙 해커. 하지만 국내에서는 해커에 대한 보수 등이 열악해 화이트 해커도 ‘검은 유혹’을 받는다. 이는 박 팀장도 마찬가지. 경쟁 기업에 대한 디도스(분산서비스거부) 공격과 DB 해킹까지 의뢰가 다양하다. 그는 최대 3억원을 제안받기도 했다. 국내 화이트 해커 양성과 윤리 교육을 하는 해커 대학의 김태순 이사도 5000만원을 제시하며 악성코드를 제작해 달라는 의뢰를 받은 적이 있다. 경찰에 신고했지만 끝내 의뢰자는 붙잡지 못했다. 조직폭력배들이 한 온라인 기업의 해킹을 요구한 경우도 있었다. 국내에서 ‘작업 해커’를 확보하지 못하면 중국 해커를 매수한다. 한국과 중국의 블랙 해커들이 웹·시스템·네트워크로 각각 공격 역할을 분담해 공조하는 현상이 나타나고 있다. 김 이사는 “이들은 기업체의 DB나 가입자 정보 해킹부터 디도스 공격을 예고하고 돈을 요구하는 사례들이 파악되고 있다.”고 말했다. 화이트 해커들은 우리 기업들의 ‘위기관리’에 문제가 있다고 우려한다. 블랙 해커들의 협박에 많은 기업들이 돈으로 무마하거나 해킹 자체를 은폐한다고 지적한다. 안동환기자 ipsofacto@seoul.co.kr [용어클릭] ●해커 블랙 해커는 개인적인 목적을 노려 악의적으로 해킹을 일삼는 이들을 말한다. 반면 화이트 해커는 순수하게 학업과 연구 등을 위해 해킹을 하는 정보 보안 전문가를 뜻한다. 과거에는 해커가 유능한 컴퓨터 프로그래머를 뜻했고, 불순한 의도를 가진 해커를 크래커(cracker)라 부르기도 했다.

북한은 1990년대 초반부터 정보전에 눈을 돌렸다. 정보전이야말로 ‘저비용 고효율’로 상대방을 밑바닥부터 뒤흔들 수단이라는 판단을 내렸다. 가장 공을 들인 것은 사이버 인간병기인 ‘정보전사’(해커) 양성이다. 조선컴퓨터센터(KCC), 지휘자동화대학(옛 미림대학), 모란대학 등 해커 양성을 전문으로 하는 대학들이 속속 생겨났다. 이곳들을 통해 10대 후반에서 20대 초반에 이르는 유능한 해커들이 대거 배출됐다. 북한은 최근 대남 공작을 수행하는 노동당 35호실과 작전부를 당에서 떼어 내 인민무력부 정찰총국으로 확대 개편했다. 정찰총국은 총정치국, 총참모부와 함께 북한 군부의 3대 실세 조직이다. 북한 전자전 부대의 핵심은 총참모부 내 정보통제센터다. 해킹 기술 등 정보전에 필요한 기능을 익히고 정보전을 수행할 부대 간 협동작전을 조율하는 한편 북한군 전체의 디지털 정보 작전능력을 강화하는 역할을 한다. 북한 정찰국 121소와 35호실 산하 기초조사실은 실무를 담당하는 행동대원이라 할 수 있다. 남한의 컴퓨터나 서버에 침입해 기밀자료를 빼내거나 변조하는 것을 목표로 고도의 훈련을 하고 있다. 적공국 204소와 중앙당 작전부는 심리·여론전을 담당한다. 남측을 겨냥해 허위정보를 흘린다든지 사회와의 반목과 질시를 유도하는 것이 목표다. 실제 작전은 인터넷 이용이 비교적 자유로우면서도 접근이 편한 중국 단둥지역에서 주로 이뤄진다. 국내 정보당국 관계자는 “단둥에서 조선족 교포가 운영하는 A호텔은 북한이 사이버전을 진행하는 초기 안전가옥으로 널리 알려져 있으며 4성급 B호텔과 C오피스텔에서는 연중 내내 북한의 정보전이 수행된다.”고 말했다. 사이버전의 주축이 당에서 군으로 옮겨감에 따라 북한의 해킹 도발 가능성이 한층 커졌다. 이에 따라 국방부는 최근 사이버사령부의 기능을 대폭 강화해 국방부 직할부대로 격상하고, 사령관의 계급도 준장에서 소장 이상으로 격상하는 방안을 추진 중이다. 유영규기자 whoami@seoul.co.kr

최근 금융권의 보안 사고가 잇따르면서 정부도 중앙부처와 지방자치단체 등의 정보 시스템에 대한 긴급 점검에 나섰다. 행정안전부는 22일 금융권 보안 사고에 따른 국민 불안을 해소하기 위해 중앙 부처, 지자체 및 소속·산하 기관에 정보 시스템 관리와 운영 실태를 긴급 점검하도록 지시했다고 밝혔다. 이번 특별 점검은 유지 보수 업체 등 협력업체 직원의 고의나 실수로 인한 보안 사고를 사전에 예방할 수 있도록 노트북·이동식 저장장치(USB) 등 휴대용 저장 매체 반·출입 통제, 중요 데이터 백업 등에 초점이 맞춰졌다. 정부 기관 정보 시스템을 노린 해킹에 대비해 각급 기관 사이버 보안관제센터의 비상근무도 강화했다. 황수정기자 sjh@seoul.co.kr

농협 전산대란과 현대캐피탈 정보유출 등 연이은 사이버테러로 ‘해커’에 대한 관심이 집중되고 있다. 사이버전쟁 시대에서 국내 사이버 보안의 현주소와 해커들의 성취욕, 나름의 윤리의식 등에 대해 현직 해커(22)에게 들어봤다. 그는 신분과 위치 노출을 극도로 꺼려 전화 인터뷰조차 사양했다. 설득 끝에 그를 잘 아는 전직 화이트 해커 출신의 보안업체 대표(33)를 통해 이메일 인터뷰를 했다. 그는 “최첨단을 달리는 디지털 시대에, 아날로그적인 가치가 해결책”이라며 “정보 보안에서 가장 중요한 것은 유비무환의 자세와 윤리의식”이라고 강조했다. 다음은 그와의 일문일답. →‘농협사태’를 일으킨 해커들을 어떻게 보나. -보안이 생명인 금융권 전산망이 뚫렸다는 것에 대해 해커들도 놀라워하고 있다. 이유야 어쨌든 은행의 전산망이 망가졌다는 것은 애초부터 기본적인 보안조치가 잘못돼 있었다는 것을 의미한다. 내부자에 대한 정보 보안도 중요한데 이를 소홀히 한 게 아닌가 싶다. 사고가 터지고 나면 그제야 허겁지겁 해결책을 논한다는 게 문제다. 평소 체계적인 보안관리에 철저해야 한다. →해커로서 공격에 성공하고, 실패했을 때의 느낌은. -공격에 성공했을 때는 정말로 많은 것을 얻는다. 이미 알고 있던 기술 이외에 다른 꼼수나 공격기법 도출 등 해킹은 숨바꼭질과 같다. 성공하면 마치 성(城)을 점령한 장군 같은 희열을 느낀다. 실패란 없다. 끈기가 있고 체력이 되면 성공할 때까지 (공격을) 계속한다. →해커도 다양화됐다던데. -요즘은 워낙 분야가 넓어져 해커 혼자 모든 것을 담당할 수 없다. 그래서 웹, 파일분석, 암호화, 시스템 해킹 등 분야별로 수준 높은 해커들이 있다. 각자 전문 분야가 생긴 셈이다. 해커는 크게 두 종류가 있다. 완성된 프로그램을 사용하는 초보 수준의 ‘스크립트 키드’가 있다. 진짜 프로는 방화벽 등의 분석을 통해 프로그램을 짜서 침투한다. →국내 금융권 및 대기업 서버의 보안 수준은. -보통 메인 홈페이지의 보안 수준은 높지만, 관련 계열사 사이트 등은 대부분 취약하다. 때문에 초절정 고수의 해커에게는 ‘식은 죽 먹기’로 보인다. 또 메인 홈페이지의 보안 수준이 높다고 해도 기존에 알려지지 않은 공격기법이나 새로운 취약점이 발견되면 언제든지 뚫릴 수 있다. →스마트폰 보안 대란도 지적되는데. -스마트폰은 PC 기능을 축소해 놓은 ‘주머니 속의 PC’다. 스마트폰도 이미 보안 문제에 상당히 노출돼 있다. 디도스(DDoS)에 이용되거나 스마트폰의 개인정보 유출, 국제전화 과금 등 기본적인 보안 문제부터, 시스템 자체의 취약점을 이용한 모바일 대란이 발생할 공산이 매우 높다. 일부 해커들은 스마트폰 해킹 시나리오를 충분히 그려볼 수 있고, 앞으로 그것을 실행할 확률이 높다. →화이트 해커를 꿈꾸는 청소년에게 조언한다면. -사이버윤리를 기본적으로 갖춘 해커가 되라고 말하고 싶다. 청소년 시절 과시 욕구가 크기 때문에 윤리의식 없이 해킹을 공부했다가는 자신도 모르게 해킹사고의 주인공이 될 수도 있다. 한번 빠지면 영원히 빠져나오지 못하며, 사회적으로 매장당한다. 이영준기자 apple@seoul.co.kr

“말이 좋아 사이버 보안 전문가지, 하는 일이나 처우는 날품팔이 막노동자 수준입니다. 나이는 40줄에 접어들었는데 아직도 하도급 용역으로만 전전하고 있으니….” 김진우(가명)씨는 요즘 백수다. 일감이 없다. 올 초까지 그는 한 은행 전산망 재구축에 용역으로 투입돼 보안 관련 작업을 했다. 하지만 계약이 끝나면서 출근할 곳을 잃었다. 그런 김씨에게 얼마 전 옛 직장 동료가 솔깃한 제안을 해 왔다. 미국에 서버를 둔 국내 도박사이트가 있는데 거기에 침투해 회원 리스트를 빼내고 서버를 다운시키면 이전 연봉의 4배를 주겠다고 했다. “거절은 했지만 솔직히 아쉬움이 전혀 없는 것도 아니에요. 어차피 불법 도박사이트인데 우리한테 당하더라도 신고도 못 할 텐데 하는 생각도 들고….” 최근 농협과 현대캐피탈 등 금융기관의 보안망이 해커들에게 무방비로 뚫린 가운데 정보기술(IT)업계의 고질적인 다단계 하도급 구조와 이에 따른 열악한 처우가 취약한 보안 인프라의 주범이라는 지적이 나오고 있다. 유능한 보안 전문가들이 생활고 때문에 음지의 해커로 전락하고, 일부는 직장을 찾아 국내를 떠나는 결과로 이어지기 때문이다. IT업계는 대기업-중견기업-중소기업-영세업체로 이어지는 협력업체의 먹이사슬이 어느 업종보다 길고 복잡하다. 삼성SDS, LG CNS, SK C&C 등 대기업을 정점으로 1차, 2차, 3차로 하도급 발주가 켜켜이 이어진다. 그러다 보니 아래 단계로 내려갈수록 IT 인력들의 근무 여건과 처우가 악화된다. 그 결과는 용역 등 비정규직 고용으로 이어지고 있다. 은행 인사담당자는 “자체적으로 보안 전문 인력을 고용하면 1인당 7000만원 이상 주어야 하지만 외주를 주면 1인당 3000만원이면 충분하니 외부 인력을 쓰는 게 당연하지 않겠느냐.”고 했다. 심지어 국가 인터넷정책을 총괄하는 한국인터넷진흥원(KISA)의 경우도 사이버 보안을 담당하는 인터넷 침해 대응 센터 인력 131명 중 29%(38명)만 정규직이고 71%(93명)는 비정규직이다. 이영상 경찰청 사이버테러대응센터장은 “보안 전문가들에 대한 적절한 대우가 선행돼야만 이들이 나쁜 길로 빠져드는 것을 막을 수 있다.”고 말했다. 유영규기자 whoami@seoul.co.kr