예전에는 해커들이 주로 분산서비스거부(DDoS)나 웹사이트 취약점을 노린 외부 공격을 선호했다면 최근에는 내부 직원들의 방심을 노린 '은밀한 공격' 방식으로 바뀌고 있다는 것이 그의 설명이다.
사이버 공격의 패러다임이 바뀌고 있다는 얘기다.
해커는 이번 네이트·싸이월드 회원 정보 유출을 위해 내부 직원 PC에 악성코드를 설치하는 수법을 사용했다. 이를 통해 현재 핵심 데이터 서버에 접근할 수 있는 시스템 관리자 권한까지 획득했는 지 여부는 확인되지 않았다. 다만, 직원 PC에 몰래 설치된 악성코드를 통해 한동안 내부망에 잠복해있다가 결국 회원정보를 통째로 탈취했다는 점에서 사전에 철저한 목표를 세우고 시도된 공격일 가능성이 크다는 분석이다.
지난 4월 발생한 농협의 전산망 마비 사태도 이와 유사하다. 해커는 농협 전산망을 직접 뚫는 대신 외주 정보기술(IT) 용역직원의 노트북에 악성코드를 심어놓은 뒤 7개월여간에 걸쳐 주요 내부 정보를 빼내고 원격 조정을 통해 전산망을 마비시켰다.
이 시각 인기 뉴스
기업이나 정부기관 등 특정 타깃을 정한 뒤 내부시스템에 침투, 들키지 않고 잠복해있다가 특정시기에 필요한 정보를 빼내는 이른바 'APT(Advanced Persistent Threat) 공격'이다.
주로 관리자의 허점을 노리는 사회공학적인 기법이 사용된다. 가령 홈페이지를 통해 웹마스터를 찾아내 업무 요청건으로 위장해 이메일 악성코드를 보낸 뒤 내부 PC들을 점령하거나 시스템 관리자의 실명을 알아낸 뒤 소셜네트워킹서비스(SNS)를 통해 접근하는 형태다.
지난해에는 국가 정보를 노린 해외 해커조직들이 업무파일처럼 위장한 해킹메일을국내 정부공공기관에 1000여통 가까이 유포된 사례가 확인되기도 했다. 메일에 첨부된 파일을 열면 악성코드를 감염시켜 추가로 자료가 유출되는 피해를 유발하는 당시 해커들의 수법도 APT 공격의 일종이다. 이외에 필요에 따라서는 내부 시스템 상황에 정통한 전현직 임직원들과 결탁하는 수법도 동원된다.
◇기업보안 전면적인 재검토돼야==이같은 APT 공격에 국내 기업들이 사실상 속수무책으로 당할 수 밖에 없다는 것이 보안 전문가들의 진단이다. 내부 관리자의 열쇠를 훔쳐 시스템에 접근하기 때문에 보안시스템으로 탐지 자체가 어렵다.
그런데도 현재 대다수 국내기업들의 보안정책이 대부분 방화벽-침입방지시스템-보안관제 등 장비투자에만 관심이 쏠려있다는 지적이다.
잉카인터넷의 문종현 보안실장은 "최근의 해킹공격은 주로 조직내 가장 취약한 빈틈을 노리고 있다"면서 "전체 직원들의 보안의식과 시스템적인 접근통제 체계가 절대적으로 선행돼야할 것"이라고 지적했다.
이와 관련, APT 공격과 같은 은밀한 공격을 차단하기 위해서는 외부적인 보안시스템은 물론 내부 통제 영역까지 조직내 체계적인 보안 정책이 재정립돼야한다는 목소리가 높다.
염흥렬 한국정보보호학괴 회장(순천향대 교수)는 "새로운 보안위협에 대응할 수 있는 전사적 보안 체계를 마련하기 위해서는 최고경영책임자(CEO)의 의지가 수반되지 않으면 어렵다"며 "개인정보를 취급하는 기업들을 대상으로 임원급 보안최고책임자(CSO)를 의무화하는 제도적 보완 대책도 한 방법"이라고 지적했다. 조직 상부로부터의 강력한 통제정책이 뒷따라야한다는 설명이다.
아울러 APT 공격이 일반화되고 있는만큼 이를 막을만한 100% 안전한 보안기술이 없다는 점에서 기업들의 개인 정보수집을 최소화하는 방안도 현실적인 대안으로 지적되고 있다.
업계의 한 관계자는 "포털을 비롯한 주요 인터넷기업들이 주민등록번호을 비롯해등 너무 많은 정보를 갖고 있다는 것이 문제"라며 "제2, 제3의 네이트 해킹사건이 재발되지 않게 하려면 사업자들의 정보수집 자체를 엄격히 통제할 필요가 있다"고 밝혔다.
