# 밤사이 주차장에 있던 차가 사라졌다. 스마트폰으로 문을 열고 시동을 걸 수 있었던 디지털키가 해킹을 당했던 것. 자율주행시스템과 내비게이션 프로그램을 해킹 당한 자동차는 도로 위에 갑자기 멈추거나 정해진 목적지를 이탈해 엉뚱한 곳으로 달렸다.
보안업계 전문가들은 “기존 사이버 해킹에선 피해가 발생하더라도 정보유출이나 금전적 피해에 그쳤지만 5G 시대에 사이버 공격은 생명을 위협하는 테러 수준의 공격도 가능하다”고 경고했다.
하지만 초연결성을 자랑하는 5G는 DDoS(디도스·서비스거부공격)에 매우 취약한 것으로 알려졌다. 100만단위의 기기가 연결되는 만큼 악성코드가 전파되는 속도도 빠르다. 기지국이 대량의 기기로부터 디도스 공격을 받을 가능성이 높다.
또 하나의 PC가 사이버공격을 당하면 그와 연결된 수십만 개의 IoT기기로 피해가 확산할 수도 있다. 실제로 한 반도체 제조기업은 최근 해킹 피해로 1주일간 공장 가동이 멈췄다. 한 직원 PC에서 시작된 악성코드가 수백 대의 PC를 감염시켰다는 진단이 나왔다.
이 시각 인기 뉴스
e메일은 해커들이 가장 손쉽게 사용하는 사이버 공격수단이다. SK인포섹에 따르면 올 상반기에 탐지된 악성메일 건수는 약 17만1400건으로 지난해 전체 탐지건수를 벌써 넘어섰다. 형태는 견적서나 대금청구서, 계약서, 입고관리대장 등 업무와 관련한 내용으로 위장한 경우가 대부분이었다. 경로상으로는 우선 e메일을 통해 PC에 침투한 후 랜섬웨어에 감염시키거나 채굴형 악성코드를 심었다.
김성동 SK인포섹 이큐스트(EQST) 침해사고대응팀장은 “올해는 피해를 확산하기 위해 AD(Active Directory) 서버를 장악하는 시도가 많아졌다”며 “AD서버가 장악되는 것은 도둑에게 아파트 전가구의 출입문 열쇠를 통째로 넘겨주는 것과 같다”고 지적했다. AD는 윈도시스템 관리도구다. 다수 시스템의 관리자계정과 설정 등을 관리한다. AD서버가 공격자에게 장악될 경우 내부망 권한과 윈도 SMB(파일공유 프로토콜) 기능을 이용해 악성파일을 전파할 수 있다.
◇“자율주행차 해킹 막아라” 기업 안간힘=자율주행차 시대가 눈앞에 와 있다. LG유플러스와 세종시는 5G 자율주행사업 실증을 추진한다. 2021년에는 세종시 일반도로와 주거단지에 자율주행셔틀이 다닐 예정이다. 경기 판교에 있는 자율주행센터는 자율주행버스를 시범운행한다. 서울시와 국토교통부는 지난달 상암 자율주행페스티벌에서 시민들이 일반도로에서 자율주행차를 직접 타보는 시연행사를 진행했다.
자율주행차 보급사업이 이처럼 탄력을 받지만 자율주행차 해킹 위협과 안전성 확보 논란은 현재진행형이다. 보안업체 관계자는 “자율주행차가 해킹되면 도로를 달리는 자동차가 마음대로 좌우회전을 하거나 속도조절이 안되는 등 큰 위험이 발생할 수 있다”고 전했다. 이 때문에 기업들은 자율주행 보안기술 강화에 안간힘을 쓰는 모습이다.
SK텔레콤은 최근 자율주행차의 보안을 강화하기 위한 양자암호솔루션을 선보였다. 5G V2X(차량사물통신)로 주고받는 차량운행 데이터를 QRNG(양자난수생성기)의 암호키와 함께 전송해 이동통신 해킹을 원천 차단한다는 설명이다.
현대차는 커넥티드카와 스마트카 해킹에 선제적으로 대응하기 위해 ‘화이트해커’로 구성된 사내TF(태스크포스)를 신설했다. 글로벌 자동차기업 GM도 지난해 자율주행차 해킹 보안에 대응하는 화이트해커를 채용했고, 토요타도 해킹 차단을 위한 블록체인 기술을 자율주행차에 도입하는 연구를 추진하고 있다.
◇“가상자산 세일합니다”…해커 표적된 ‘가상자산 시장’=가상자산(암호화폐) 시장도 해커들의 사냥감이 되고 있다. 최근 예로 가상자산 대장주 ‘비트코인’을 꼽을 수 있다.
비트코인은 지난 4월초 500만원에서 6월말 1600만원까지 올랐다가 하루 만에 20% 가까이 폭락하며 널뛰기를 했지만 투자열기를 다시 끌어올리기에 충분했다. 이때 가상자산을 노린 해킹 시도가 기승을 부렸다.
‘가상화폐 세일 이벤트에 당첨됐다’고 위장한 e메일과 투자계약서를 사칭한 한글파일 문서를 활용한 APT 공격(지능형 지속공격)도 잇따랐다.
보안전문가들은 “회사에서 무심코 열어본 e메일이 큰 피해를 입힐 수 있다”며 “e메일 공격을 효과적으로 차단할 수 있는 전용 솔루션을 도입하거나 회사 임직원이 e메일 공격에 대한 경각심을 갖도록 지속적인 모의훈련이 병행돼야 한다”고 조언했다.