사이버 보안, 해결책은 없나

"해커들의 사이버 공격에 무방비로 노출되는 점도 문제지만 기업들이 회원 개인 정보를 지나치게 많이 가지고 있는 것이 더 큰 문제다. 기업들은 서비스 제공에 꼭 필요한 개인 정보만 최소한으로 수집해야 한다."

조선미디어그룹의 경제 전문 매체 조선비즈(chosunbiz.com)는 지난 15일 서울 소공동 조선호텔에서 '사이버 보안, 해결책은 없나'를 주제로 좌담회를 개최했다. 김기성 조선비즈 산업팀장의 사회로 강은성 SK커뮤니케이션즈 CSO (최고정보보안책임자), 김광수 방송통신위원회 개인 정보보호윤리과장, 방인구 안철수연구소 컨설팅사업본부장, 염흥열 순천향대 정보보호학과 교수, 이득춘 지식정보보안산업협회장이 토론자로 참석했다.

참석자들은 개인 정보 유출사고를 원천적으로 방지하려면 기업들이 수집하는 개인 정보의 양을 최소화해야 한다고 주장했다. 해커들이 공격하지 못하게 방어벽을 세우는 것도 중요하지만 개인 정보가 없으면 처음부터 해킹을 시도할 목표가 사라지기 때문이다. 이들은 "개인 정보 수집을 최소화하면 해킹사고가 발생했을 때 2차 피해를 줄일 수도 있다"고 강조했다.

◆갈수록 정교해지는 사이버 해킹

1.이득춘 지식정보보안산업협회 회장 2.염흥열 순천향대 정보보호학과 교수 3.방인구 안철수연구소 본부장 4.김광수 방송통신위원회 과장 5.강은성 SK커뮤니케이션즈 CSO

해커들의 범죄 수법은 날로 정교해지고 있다. 과거 불특정 다수를 대상으로 벌어지던 사이버 공격과 달리 처음부터 대상을 정해놓고 전략적으로 내부 전산망에 침투한다. 특히 '지능형 지속 공격(APT·키워드 참조)'처럼 전산망 관리자의 아이디(ID)와 비밀번호를 탈취, 마치 내부자가 접속하는 것처럼 가장하는 수법이 기승을 부리고 있다. 과거 방식이 자물쇠를 부수고 금고문을 여는 방법이었다면, 이제는 열쇠를 복제한 뒤 자연스럽게 침입하는 것이다.

대표적 사례가 보안 전문 회사인 미국 RSA시큐리티가 해킹당한 사건이다. 해커는 이 회사 직원들에게 '2011 채용 계획(Recruitment Plan)'이라는 제목의 이메일을 지속적으로 발송했다. 이 중 한 명이 이 이메일을 열어 봤고 거기에는 해커가 전산망에 침투하기 위해 심어놓은 악성 코드가 들어 있었다. 해커는 악성 코드에 감염된 PC를 악용해 전체 전산망 관리자 권한을 획득, 중요 정보를 빼낸 것으로 밝혀졌다. SK커뮤니케이션즈·농협·현대캐피탈 해킹에도 APT 수법이 동원됐다. 김광수 방통위 과장은 "과거의 해킹사건은 보안 기술이나 시설이 미비해 발생한 사례들이 많은데 최근에는 법으로 규정한 투자를 했는데도 범죄의 표적이 되는 경우가 종종 발생한다"고 말했다.

SK커뮤니케이션즈는 지난해와 올해 각각 26억원과 30억원을 보안시설 확충에 투입했다. 지난해 국내 26개 증권사의 보안 투자액이 258억원인 것과 비교하면 개별 기업으로서는 적지 않은 투자 규모다. 그런데도 해커의 공격을 막을 수 없었다.

◆개인 정보 수집 최소화해야 해킹 원천 봉쇄

보안시설에 대한 투자 못지않게 개인 정보 수집을 최소화해야 한다는 목소리가 높다. 방인구 안철수연구소 컨설팅사업본부장은 "우리나라 인터넷 환경은 세계 어느 나라보다 개인 정보가 한곳에 잘 모여 있는 구조"라며 "'사이버 암시장'이 형성돼 있을 정도로 '개인 정보는 돈'이라는 인식이 일반화돼 있다"고 설명했다. 방통위는 이르면 내년부터 기업들이 고객의 주민등록번호 수집을 원칙적으로 금지하고, 예외적인 경우에만 허용하는 방안을 추진 중이다.

개인 정보 수집·관리체제를 개선하는 사례도 늘고 있다. SK커뮤니케이션즈는 회원 가입시 이름·아이디·주민등록번호·주소·비밀번호·전화번호·이메일 관련 정보 전체를 저장해왔다. 하지만 대규모 해킹사건 이후 이달부터는 이름·아이디·전화번호·이메일 등 필수 정보만 보관하고 있다. 강은성 SK커뮤니케이션즈 CSO는 "실명 인증을 위해 입력한 주민등록번호는 본인인지 여부만 확인하고 따로 저장하지는 않는다"고 말했다.

휴대폰 사용자 모임 '세티즌'도 140만명에 이르는 개인 정보 유출사고를 겪은 뒤 개인 정보 보관 항목을 축소했다. 원래 회원 가입과 동시에 12종류의 개인 정보를 저장했지만 앞으로는 이름·아이디·비밀번호·닉네임·이메일 등 5개 항목만 보관키로 했다. 다음커뮤니케이션은 특정인이 회원 개인 정보를 대량으로 열람할 경우 사내 시스템 관리자에게 경고 신호가 뜬다. 최근 국내외 개인 정보 유출사건이 빈발하자 과거보다 적은 양의 개인 정보가 조회돼도 바로 경고 메시지를 발송하고 있다.

◆개인 정보 보호에 무관심한 기업·개인도 문제

기업의 적극적인 보안 투자가 필요하다는 지적도 많았다. 이득춘 지식정보보안산업협회장은 "대부분의 기업들이 보안 투자를 'ROI(투자수익률)' 관점에서 바라본다"며 "CEO(최고경영자)를 포함해 직원들이 보안에 대해 필요성을 전혀 느끼지 못하는 기업들도 상당수"라고 말했다. 염흥열 순천향대 정보보호학과 교수는 "악성 코드 경계령이 통보돼도 이를 무시하거나 대책을 마련하지 않는 기업들이 많다"며 "기업들이 보안 투자에 좀 더 많은 자원을 배분해야 한다"고 강조했다.

자신의 정보를 보호하기 위해 개인들도 스스로 노력해야 한다. 김광수 방통위 과장은 "개인 정보 유출사고는 온라인에 등록된 자신의 정보를 제대로 관리하지 않는 회원들에게도 어느 정도의 책임이 있다"며 "개인 정보가 어느 웹사이트에 등록돼 있는지 정확히 알고 주기적으로 비밀번호를 변경하는 등의 노력을 해야 한다"고 말했다.

>> 지능형 지속 공격 (Advanced Persistent Threat)

특정 기업이나 조직 전산망에 침투해 활동 거점을 마련한 뒤 외부로 정보를 빼돌리는 해킹 수법. 소수의 대상을 표적으로 삼아 장기간에 걸쳐 시도된다. 경쟁사의 주요 제품설계도, 재무·투자계획서 같은 기밀 정보나 대량의 개인 정보를 훔칠 때 사용된다.