택배 이메일 클릭한 김대리, 보안점수 깎였다

한 대기업에 다니는 A씨는 최근 '아직 수령하지 않은 소포가 있으니 확인하라'는 제목의 이메일을 받았다. '소포를 보낼 사람이 없을 텐데…'라며 이메일 첨부 파일을 클릭하려고 할 때 카카오톡이 왔다. 같은 회사 동료가 보낸 메신저였다. "지금 회사 내에 돌고 있는 소포 관련 이메일은 회사 보안팀에서 보안 의식을 점검하려고 보낸 테스트 메일이래요. 클릭하면 안 돼요." A씨는 "회사에서 부정기적으로 이런 이메일을 보내 직원들의 사이버 보안 의식을 평가한다"며 "이런 이메일의 첨부 파일을 반복 클릭한 직원은 불이익을 받는 것으로 안다"고 말했다.

모든 사물이 인터넷으로 이어지는 초연결사회가 되면서 한 곳만 뚫려도 전체 시스템이 마비되는 대형 사이버 보안 사고가 늘고 있다. 회사 전산망에 연결된 PC 한 대만 해커에게 침투당해도 다음 순간 전체 시스템이 장악되는 사례가 빈번하게 나타나는 것이다. 주요 기업은 수시로 직원의 보안 의식을 테스트하거나, 화이트 해커(해킹 막는 보안 전문가)를 고용하며 적극적인 대응에 나서고 있다.

◇한 번 클릭으로 도시 전체가 마비 우려…초연결사회의 그림자

미국 플로리다주에 있는 중소 도시 리비에라비치 시 당국은 최근 해커에게 60만달러(약 7억원) 상당의 비트코인을 지불했다. 3주 전 한 직원이 이메일의 한 파일을 클릭하자, 경찰·소방·911 신고 시스템을 제어하는 컴퓨터 시스템이 랜섬웨어에 감염됐기 때문이다. 랜섬웨어는 해커가 시스템이나 파일의 관리 권한을 빼앗은 뒤 돈을 요구하는 악성 프로그램이다.

/일러스트=김성규

시 의회는 보안 전문가에게 자문했지만, 결국 해커에게 대가를 지불하고 시스템의 관리 권한을 도로 찾아오기로 한 것이다. 당장 911에 걸려온 긴급전화의 통화 내용을 저장하지 못하고, 경찰이 과속 운전자를 잡아도 운전자 이력을 조회할 수 없었다. 포브스는 "미국에서 해커에게 지급한 최대 액수"라고 보도했다.

많은 사물이 인터넷에 연결될수록 해킹의 피해는 광범위해진다. 대표적인 분야가 공장이다. 단순한 컨베이어 벨트였던 공장이 속속 스마트 팩토리로 전환되면서 생산 효율은 좋아졌지만 해킹 위험성은 커진다. 스마트 팩토리는 실시간 주문량에 따라 딱 맞춘 부품과 재료를 들여와 완제품으로 출고하는 전(全) 과정을 소통하면서 제어하는 방식이다. 생산 라인의 모든 기기가 서로 연결돼, 이 중 한 대라도 해커에게 침투당하면 올스톱 될 위험성이 있다. 세계 사물인터넷(IoT·Internet of Things) 기기 대수는 작년 111억9700만대에서 2020년엔 204억1500만대로 급증할 전망이다.

일반 가정도 안전지대는 아니다. TV·세탁기·냉장고·공기청정기·로봇청소기와 같은 전자제품은 물론이고 일반 가구조차 인터넷에 연결되면서 해커의 침투 경로가 많아졌기 때문이다. 작년 11월 국내에서 반려동물용 카메라를 해킹해 여성의 나체 등을 녹화하는 사건이 발생하기도 했다. 피해자만 5000여 명에 달한다. 보안업계 관계자는 "이전 사이버 공격은 회사 내 기밀 자료를 빼내는 정도였지만, 이제는 공장 내 핵심 공정을 조작해 전체 시스템을 파괴하는 경우도 적지 않다"며 "자율주행차를 해커가 장악해 문을 잠근 채 유괴하는 영화 같은 일도 기술적으론 이미 가능한 단계"라고 말했다.

이렇다 보니 사이버 공격을 막는 사이버 보안 시장도 급성장하고 있다. 2017년 126조원 규모였던 세계 사이버 보안 시장은 2019년 154조원으로 성장하고 2023년엔 212조원 규모가 될 것으로 보인다.

◇최대 취약점은 이메일

변종 해킹 수법이 매일같이 등장하지만 여전히 최대 취약점은 이메일이다. 솔깃한 주제의 메일과 첨부파일을 보낸 뒤 사용자가 클릭하면 그 스마트폰이나 PC에 악성코드를 심는 식이다.

작년 10월 보안업체 파이어아이의 캐빈 맨디아 CEO는 "전 세계 해킹의 91%는 특정 표적을 정해놓고 공격하는 '스피어 피싱(spear phishing)' 방식으로 이뤄지는데 이때 해커들은 주로 이메일을 노린다"고 했다. 국내에서도 올해 농협 보안팀을 사칭해 '고객님 명의의 대포통장이 개설돼 불법 거래에 사용된 정황이 포착됐다'는 이메일을 보내는 해킹 시도가 있었다. 지난 5월에는 북한 연루 의심 해킹 조직인 '김수키(Kimsuky)'가 통일부 정세분석총괄과 명의로 악성코드가 심긴 이메일을 무차별 발송하기도 했다.

해커와 싸우는 기업 입장에선 이메일과 관련한 직원들의 보안 의식을 높일 필요가 있는 것이다. SK텔레콤을 비롯해 삼성전자, 현대차 등 국내 대기업 상당수는 직원들에게 '테스트 메일'을 보낸다. 현대차 관계자는 "첨부파일을 누르면, '당신은 피싱에 감염될 뻔했다'는 문구가 나온다"고 했다. 현대차는 화이트해커를 고용해 취약점을 진단하고, 매달 보안 사고 사례를 담은 뉴스레터를 전 직원에게 보낸다. LG전자는 사물인터넷을 적용한 기기들을 개발 단계부터 자체 모의 해킹 테스트를 한다. 네이버는 외부 정보 보호 전문가를 초청해 사내 강연을 연다. 직원들에게 보안 퀴즈를 내고, 맞힐 경우 경품도 제공한다. 임종인 고려대 정보보호대학원 교수는 "사이버 피해를 막기 위해서는 민방위훈련을 하듯 계속 보안 훈련을 하고, 보안을 하나의 문화로 여기는 분위기가 조성돼야 한다"고 말했다.

김성민 기자(dori2381@chosun.com)

<저작권자 ⓒ ChosunBiz.com, 무단전재 및 재배포 금지>