불특정 다수의 PC를 악용해 인터넷 사이트를 마비시킨 뒤 이를 풀어주는 조건으로 금품을 요구하는 DDoS 공격자들은 이제 증권사나 은행 등 금융권을 정조준할 정도로 과감해지고 있다. 유명 웹사이트를 해킹한 뒤 그곳을 통해 게임계정 탈취용 악성코드를 유포하는 중국발(發) 웹바이러스 공격도 그칠 기미를 보이지 않는다.
그런데도 기업의 보안투자와 대응시스템은 수년째 제자리만 맴돌고 있다. 24일 오전 9시~오후 5시 30분까지 서울 여의도 전경련회관 국제회의실에서 개최되는 '네트워크 시큐리티 페어(NSF) 2008'은 날로 지능적으로 변하고 있는 사이버 해킹에 대해 기업들이 어떻게 대처해야 할 것인지에 대한 해법을 제시한다.
머니투데이가 주최하고 한국정보보호산업협회(KISIA)가 주관하는 이번 세미나 내용을 미리 훑어본다.
◇조직화·전문화되는 해킹
전문가들은 최근의 보안 위협을 '예고된 재앙'으로 보고있다. 기업과 사용자의 보안투자와 대응시스템은 제자리걸음인데 사이버 공격자들의 수법은 갈수록 전문화되고 있기 때문이다.
충남대 류재철 교수는 이날 세미나에서 해킹수법이 아마추어리즘에서 벗어나 이제 고도의 직업적인 사이버 범죄 비즈니스 모델로 진화되고 있는 현실을 경고한다. 류 교수에 따르면, 개인 해커 혹은 해커그룹에서 이제는 해킹 기술자와 관리자, 리셀러 등 역할을 분담하고 나름대로 보상체계를 갖춘 다단계적 사이버범죄 조직으로 해킹이 이뤄지고 있다. 이에 대해 류 교수는 "마피아 조직도와 비견될 정도로 조직화되고 있는 실정"이라고 꼬집었다.
특히, 류 교수는 중국발 악성코드와 해킹 증가에 따른 위협이 크게 증가하고 있다며 이에 대한 대책을 강조할 예정이다. 실제 한국 웹서버 해킹방법과 한국인 개인정보를 빼내는 해킹기법이 담긴 잡지가 시중에 유통될 정도로 현지에서 일반화되고 있다는 것이 류 교수의 설명이다.
반면, 국내 기업들 중 보안 전담부서를 운영하는 곳은 11.8%에 불과하고, IT예산 중 보안예산이 2% 미만에 그치는 곳이 42.3%나 될 정도로 보안투자가 제대로 이뤄지지 않고 있는 현실이다. 류 교수는 "전문화되고 있는 새로운 위협에 대비하기 위해서는 보안 전문가에 의한 지속적이면서도 종합적인 보안관리가 필요하다"며 "무엇보다 전문인력과 예산편성이 중요하다"고 역설할 예정이다.
상황이 이렇다보니 사이버범죄도 매년 급증세다. 경찰청에 따르면, 지난 2006년 1만9401건이던 사이버범죄가 지난해 2만1872건, 올해는 8월 현재 2만961건으로 급증했다.
이날 세미나의 주제발표를 맡은 경찰청 사이버테러대응센터 이병귀 실장은 "단순 호기심 차원에서 진행됐던 사이버 범죄가 현재는 금전 취득 목적의 조직범죄 성향을 띄고 있다"며 "특히 올들어 추적을 피하기 위해 사이버 범죄가 대부분 외국을 경유해 들어오는 경향이 있다"고 지적했다. 이 실장은 이날 기업 담당자들이 최근 사이버범죄와 법적 이슈에 맞춰 기업들의 대응전략을 소개할 예정이다.
검은 돈과 결탁된 사이버 위협 중에서 가장 대표적인 게 바로 분산서비스거부(DDoS) 공격이다. DDoS 공격이란 불특정 다수의 좀비PC를 이용해 특정 웹서버를 공격하는 사이버 공격으로, 서비스 마비가 직접적인 금전손실로 직결되고 있는 현실에서 적잖은 기업들이 피해를 입고 있다.
이를 미끼로 금품을 노리는 범죄자들이 기승을 부리는 것도 이 때문이다. 실제 최근 국내 74개 업체를 상대로 서버를 마비시키겠다고 협박한 공격자가 구속되기도 했다. 금융보안연구소 성재모 팀장은 이날 세미나를 통해 "DDoS 공격을 효과적으로 방어하기 위해선 국가보안기관, 인터네서비스회사(ISP), 민간 보안업체뿐 아니라 인터넷 이용자까지 참여하는 종합적인 보안대책이 수립돼야 한다"고 강조할 예정이다.
안철수연구소 KAIST 석좌교수는 이날 '정보보호와 미래 IT사회'라는 주제의 기조연설을 통해 "웹2.0과 IPTV 등 유비쿼터스 멀티미디어 서비스 환경으로 진화되면서 사이버 위협에 따른 경제손실도 기하급수적으로 늘어날 수밖에 없다"는 점을 지적하고 있다. 안 교수는 "지속적이고 종합적인 보안대응체계와 모든 조직구성원과 인터넷 사용자가 참여하는 참여형 시큐리티가 필요하다"고 역설할 예정이다.
◇내부 도둑을 잡아라
옥션, GS칼텍스 등 고객정보 유출사고가 잇따라 터져나오면서 고객정보를 포함한 기업들의 핵심정보 유출 대응방안도 이날 세미나의 뜨거운 테마다. LG CNS 전경화 과장은 '기업 정보유출 대응전략' 섹션에서 자료복사, 이메일, 시찰, 핵심인력 스카웃, 관계자 매수 등 전방위적인 경로로 빠져나가고 있는 정보유출 실태를 진단하고, 대응방안을 소개할 예정이다.
전 과장은 "현재 PC, 출입통제, DB보안, 출력보안 등 개별적으로 보안 통제가 이뤄지다보니 모니터링 업무효율이 떨어지고 통제 사각지대가 발생하고 있다"며 "정보유출 방지를 위해 전사적인 통제를 위한 베이스라인이 우선 결정돼야 한다"고 강조했다.
최근 무선인터넷과 와이브로 등 모바일 컨버전스 서비스는 내부 정보 유출의 또다른 다양한 우회 경로로 제시되고 있다. 유넷시스템 남인우 이사는 "무선네트워크는 오픈환경과 암호화되지않는 데이터 전송, 관리상 어려움으로 인해 새로운 취약점으로 대두될 것"이라고 경고했다.
개인정보 유출사고와 관련한 법적 분쟁도 앞으로 풀어나가야 할 숙제다. 이상직 변호사는 이날 세미나에서 "이용자 정보보호 이슈는 이용자와 사업자간 극적으로 대치되는 부분이 있다"며 "수집은 하되, 불법활용과 유출을 억제하는 사전예방과 법률시스템으로의 전환이 필요하다"며 정보보호상황평가제도 도입의 필요성을 역설할 예정이다.
<저작권자 © ‘돈이 보이는 리얼타임 뉴스’ 머니투데이. 무단전재 및 재배포, AI학습 이용 금지>