 |
잇따른 보안 사고들로 기업의 보안 대응 수준에도 의문이 제기하고 있는 가운데, 정보보호 공시제도에도 실효성이 지적된다. 정보보호에 대한 기업의 책임을 강화하기 위한 제도이지만, 단순 보고로 끝나고 대응으로 이어지고 있진 않아서다. 더욱이 올해 사고가 발생한 기업의 상당수가 공시 의무 대상이 아니었던 가운데, 기업이 고객 정보보호에 능동적으로 대응할 수 있도록 하는 제도의 보완이 필요하다고 이야기된다.
◆ 가장 파장 컸던 보안사고는 SKT…IMSI·유심키 암호화 안한 1위 사업자
올해 발생한 보안사고 중 가장 파장이 컸던 곳은 SK텔레콤이었다. 서버가 악성코드에 감염되어 9.7기가바이트(GB) 분량에 달하는 고객 데이터가 유출된 데 따른 것이다. 여기엔 고객의 유심(USIM) 관련 정보도 포함된 것으로 알려져 우려를 키웠다.
정확한 사고 원인은 아직 조사 중인 가운데, 정부 조사단에 따르면 지금까지 발견된 악성코드는 총 25종(BPFDoor계열 24종 + 웹셸 1종)이다. 보안업계는 웹셸이 해커의 통로가 된 것으로 추정하고 있다. 웹셸이 최초 설치되고 그 이후 BPF도어(BPFDoor) 악성코드가 설치된 순이었을 것이라는 가정이다. 웹셀은 임시서버의 취약성을 이용한 악성코드인 가운데, 임시서버라 보안 조치에 소홀한 부분을 해커가 노렸을 가능성이 크다는 게 보안업계의 중론이다.
무엇보다 이번 사고 건은 악성코드 최초 설치 시점이 2022년 6월로 알려져 충격을 줬다. 이 사고가 대중에 알려진 시점은 4월22일 한 언론매체를 통해서였는데, 이는 국내 1위 이동통신사인 SK텔레콤이 무려 3여년 동안 해킹 사실을 인지하지 못한 셈이기 때문이다.
조사 과정에서 가입자식별번호(IMSI)가 암호화되어 있지 않았던 부분도 대중에 실망을 안겼다. SK텔레콤은 “암호화가 안 돼 있도록 하는 것이 3GPP 표준”이라는 입장인 반면, 업계에선 1위 이동통신 사업자가 ‘최소한의 방어선’ 조차 구축해두지 않았다고 꼬집었다. IMSI 뿐 아니라, 인증키도 암호화되어 있지 않았었기 때문이다. 인증키만 암호화되어 있어도 유심 복제에 대한 고객 우려를 막을 수 있을 것이라는 지적이다.
◆ 해킹사실 9일 인지→11일 공지한 YES24, 늑장 대응 도마에
 |
더욱이, 예스24가 도서 구매는 물론, 공연 등 티켓 예매 서비스도 함께 제공하고 있어 파장은 더욱 컸다. 엔하이픈 미니 6집 발매 기념 예스24 오프라인 팬사인회 응모가 취소됐으며, 배우 박보검 역시 해당 사이트에서 진행 예정이던 2025 팬미팅 투어 서울 공연 선예매 일정을 연기했다.
사고의 원인은 랜섬웨어 공격이었다. 해커가 예스24의 내부 정보를 암호화한 뒤 이를 해독하는 대가로 금전을 요구한 것으로 알려졌다.
다만, 예스24의 경우, 사고 자체보다 이후 대응 과정에서 논란이 더욱 불거졌는데 해킹을 인지하고도 고객들에 해당 사실을 알리지 않으면서다.
예스24는 지난 9일 오후 한국인터넷진흥원(KISA)에 해킹 당한 사실을 신고했는데, 정작 이를 고객들에 안내한 시점은 11일이었다. 심지어, 예스24는 서비스 장애 발생 이후 이틀동안은 “더 나은 서비스 제공을 위해 시스템 점검 진행 중”이라고 고객들에 공지, 해킹 사실을 사실상 숨겨 물의를 빚었다.
◆ 전방위 해킹 공격에 업계 비상…정보보호공시제 강화 등 대응 강구돼야
보안사고는 특정 사업군에 국한되어 발생하지 않았다. 올초에는 취업포털인 인크루트에서 해킹에 따른 외부 공격으로 이름·생년월일·휴대전화번호 등 이용자 개인정보가 유출됐는데, 취업을 위해 상대적으로 구체적인 정보를 입력해야 하는 취업포털의 특성상 유출 시 큰 2차 피해가 발생할 수 있어 우려를 키웠다.
올해는 유통업계에서도 해킹에 따른 개인정보 유출 사고가 잇달아 발생했다.
먼저, 지난 1월 GS리테일에서 편의점 GS25 회원 약 9만명의 개인정보가 유출된 정황이 포착됐다. 이후 추가 조사 과정에서 지난해 6월 21일부터 지난 2월13일까지 홈쇼핑 업체 GS샵에서도 약 158만건의 고객 개인정보가 유출된 점이 확인됐다. 지난 3월엔 아웃도어브랜드인 블랙야크의 홈페이지가 해커의 공격을 받아 약 34만명의 개인정보가 유출된 일도 있었다.
 |
이처럼 해킹 공격이 산업군을 가리지 않고 이뤄지는 가운데, 개인정보 유출 사고 건수도 빠르게 늘어나는 추세다.
개인정보보호위원회에서 발표한 ‘개인정보 유출 사고 현황’ 자료에 따르면 올해의 경우 1~4월까지 불과 4개월 간 총 113건이 신고됐다. 2022~2024년 유출 신고 건수는 매년 약 300건 수준을 유지해 온 것과 비교하면 급격한 증가세다.
염흥열 순천향대 정보보호학과 교수는 “우리나라는 모든 산업 부문에서 디지털 전환이 활발히 발생하고 있고, 대부분의 산업 부문의 서비스가 인터넷 기반으로 제공되고 있다”라며 “따라서 공격자 입장에서는 서비스를 운영하는 정보시스템에 대한 공격 표면이 넓어지게 됐다”라고 말했다.
이어 “특히 공격자의 공격 목적이 금전과 사회 혼란, 국가 안보의 침해 등 다양해지고 있다”라며 “이러한 상황이 속에 올해 국내에서 해킹사고가 많이 발생하고 있다”라고 덧붙였다.
다만, 반복되는 사고에도 불구하고 국내 기업들의 대응은 여전히 미흡하다는 이야기가 나온다. 보안 전담 인력은 물론, 정보보호 투자액은 턱없이 부족하다는 지적이다.
이에 학계에선 정보보호공시 대상을 확대하는 등 정보보호공시제도를 강화해 정보보호에 대한 기업의 책임감을 강화할 수 있는 방안이 마련돼야 한다는 목소리가 나온다.
정보보호 공시제도는 매출·사업 분야·이용자 수 등 조건에 해당하는 기업들이 보안 투자와 인력 현황을 공시하는 제도로 최근 고객에 많은 피해를 끼친 예스24는 물론, 디올·티파니앤코 등 글로벌 명품 브랜드와 인크루트, 블랙야크, 파파존스, 머스트잇 등도 정보보호 공시 의무가 없어 실효성이 지적된다.
염 교수는 “우리나라 기업들은 지능화되고 조직화된 사이버 공격자의 능력에 대응하는 대응 능력을 확보하기 위한 보안 투자와 전문인력이 부족한 경향이 있다”라며 “이 제도(정보보호 공시제도)가 부분적으로 해결은 가능하나, 자발적인 제도가 잘 작동하려면 세제 혜택 등의 인센티브를 제공하는 방향의 법제도 개선이 요구된다”라고 제언했다.
한편 <디지털데일리>는 [보안공시 해부] 기획기사를 통해 주요 기업들의 2025년도 공시 결과를 분석하고, 산업별 문제점과 국내 보안 생태계 개선을 위한 제언사항을 살펴본다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.