보안 취약점 방치…해커에겐 ‘교과서’ 같은 공격이었을 뿐 : zum 뉴스

연이은 해킹 사태, 근본 원인은

서버 접근 쉬워…“기본기 미흡”
IT 투자액 대비 정보보호엔 ‘6%’
글로벌 주요 기업 평균은 11%

SK텔레콤, 예스24, SGI서울보증, KT, GS25, 알바몬, 티머니… 올해 대규모 해킹을 당해 고객 개인정보를 탈취당한 기업들이다. 이미 알려진 보안 취약점과 시스템 결함을 방치했다가 교과서적인 공격에 당한 경우가 대부분이다.

올해 연쇄 해킹 사태는 SK텔레콤부터 시작됐다. 정부 조사 결과에 따르면 해커들의 SK텔레콤 침투는 4년 전부터 진행됐다. 2021년 8월 내부 관리망에 악성 프로그램을 설치한 해커들은 이듬해 고객 관리망(통합고객인증시스템·ICAS)에 악성 프로그램을 추가 설치했다. 이어 올해 4월 홈가입자서버(HSS) 데이터베이스에 저장된 개인정보 9.82GB(기가바이트)를 외부로 유출했다.

SK텔레콤이 인터넷망, 내부망, 핵심망(HSS)을 같은 네트워크로 운영하면서 내부망으로의 접근을 제한 없이 허용한 것이 화를 불렀다. SK텔레콤은 또 가입자 인증에 필수적인 유심 인증키를 다른 통신사들과 달리 암호화하지 않은 채 저장했다. 올해 여러 기업이 서버 침해를 입었지만 SK텔레콤 사태를 가장 심각한 사건 중 하나로 보는 전문가가 적지 않다. “해커가 내부망에 자리 잡고 HSS까지 접근한 데다 주요 정보 평문(비암호화) 저장 등 구조적 허점이 드러났기 때문”(이원태 국민대 겸임교수)이다.

예스24와 SGI서울보증은 각각 6월, 7월 랜섬웨어 공격을 당했다. 랜섬웨어는 해커가 서버에 침투해 주요 파일을 암호화한 뒤 해제 대가로 거액의 금전을 요구하는 유형의 공격이다.

GS25, 알바몬, 티머니는 올해 초 ‘크리덴셜 스터핑’ 공격을 당해 고객 개인정보를 탈취당했다. 크리덴셜 스터핑은 다른 경로로 유출된 아이디와 비밀번호 목록을 무작위로 입력해 로그인에 성공한 뒤 개인정보를 훔쳐가는 방식이다. 난도가 낮은 ‘대량 시도형’ 공격에 해당한다.

연쇄 해킹 사태의 정점을 찍은 것은 KT·롯데카드다. KT의 경우 용의자들은 불법 초소형 기지국(펨토셀)을 차에 싣고 다니면서 인근 시민들의 통신을 가로채 ‘소액결제’에 성공했다. 펨토셀만으로는 ‘본인인증’을 통과하기 어려우므로 별도의 서버 해킹으로 개인정보가 빠져나갔을 가능성이 있다. 실제 KT는 지난 18일 “서버 침해 흔적이 발견됐다”며 한국인터넷진흥원(KISA)에 신고했다.

롯데카드는 널리 알려져 있던 서버 취약점(오러클 웹로직 서버)을 방치했다가 공격을 당했다. 두 기업의 해킹 사례에 대해선 “고도화된 수법에 당했다기보다는 기본기가 미흡했다”(이원태 교수)는 평가가 나온다.

올해 유독 대형 해킹 사고가 잦았던 이유는 뭘까. “그간 계속돼온 침투 시도가 결과물을 내는 것”(곽진 아주대 사이버보안학과 교수)이란 진단이 나온다. 물론 해커들에게 틈을 허락한 것은 한국 기업들이다. 한국은 인터넷·스마트폰 보급률이 100%에 가까운 ‘IT 강국’이지만 보안은 그에 걸맞게 발전하지 못했다. 이를 보여주는 상징적인 지표가 보안 투자액이다.

KISA 정보보호 공시 종합 포털에 따르면, 지난해 국내 773개 기업의 ‘IT 투자액’ 대비 ‘정보보호 투자액’ 비율은 6.29%다. 반면 글로벌 주요 기업 평균은 11%(지난해 기준·사이버 위협 보험사인 영국 ‘히스콕스’의 연례 보고서)다. 최대선 숭실대 소프트웨어학부 교수는 “보안 수준은 결국 돈 문제로 연결된다”며 “‘보안은 비용’이란 인식을 극복하려면 국가 차원에서 보안산업을 키울 필요도 있다”고 말했다.

이 기사의 카테고리는 언론사의 분류를 따릅니다.