 |
미국의 사이버보안 전문가 브루스 슈나이어는 “컴퓨터 세계에서 해킹에 맞선 핵심 방어는 ‘패치’”라고 설명한다. 패치는 간단한 기술이다. 컴퓨터 코드를 업데이트해 취약점을 제거하는 것이다. 기업의 시스템에 취약점이 없다면 해커들이 공격할 여지를 남기지 않는다. 전 세계적으로 유명한 해킹 사고 중 상당수는 시스템이 제때 패치되지 않은 탓에 벌어졌다.
모든 시스템은 해킹될 수 있다. 지금도 많은 시스템이 누군가에 의해 공격받고 있으며, 인공지능(AI)이라는 무기를 등에 업고 해킹 수법이 점점 교묘해지고 있다. 하지만 지난 4월 전 국민에게 알려진 SK텔레콤 해킹 사고는 아쉬움이 많이 남는다. 해커가 수년간 작정하고 단계적으로 침투했지만, 초기에 사이버보안 당국에 알렸다면 2696만건(가입자 식별번호 기준)이라는 피해를 막을 수 있었기 때문이다.
민관합동조사단 조사결과에 따르면 SK텔레콤은 지난 2022년 2월 특정 서버에서 비정상 재부팅이 발생했고, 점검 과정에서 악성코드에 감염된 서버를 발견·조치했다. 그러나 정보통신망법에 따른 신고 의무를 이행하지 않았다. SK텔레콤이 3년 넘게 해커에 뚫린 사실을 쉬쉬하는 동안, 해커는 추가 공격 거점을 확보하고 전선을 확대했다. 그 결과 9.82기가바이트(GB)에 달하는 유심 정보가 유출됐다.
국내 대표 사이버보안 회사 안랩 최고경영자(CEO) 출신인 김홍선 박사는 2023년 자신의 저서 ‘보이지 않는 위협’에서 한국 기업들의 관행을 꼬집었다. 그의 설명에 따르면 한 기업에서 해킹을 당해 포렌식 전문가를 출동시켰는데, 고객 게시판 관련 로그(컴퓨터 시스템 내부 기록)를 조사하게 해달라고 요청했지만 거절당했다는 것이다. 원인을 밝히기보다 책임질 부서와 담당자가 정해졌으니 얼른 조사를 끝내고 쉬쉬하고자 했던 것이다.
때로는 해킹 사고를 당한 기업이 직접 로그를 삭제하기도 한다. 포렌식 결과 자신들의 치부가 드러나기 전에 사건을 신속히 은폐하고자 하는 시도다. 이런 배경에는 사이버 위협 리스크를 단지 운이 없어 당했을 뿐이라며 인정하지 않는 우리나라 기업들의 고질적인 인식이 담겨 있다.
미국 시스코 ‘2025 사이버보안 준비 지수’ 조사 결과에 따르면 국내 기업 83%가 지난 1년간 보안 사고를 경험했다고 고백했다. 하지만 이 중 세상에 알려진 것은 극히 일부다. 이런 피해는 언젠가 SK텔레콤처럼 전 국민들이 깜짝 놀랄 대형 사고로 번질 수 있다는 사실을 잊어서는 안 된다.
새로운 사이버 위협은 세상 밖에 모습을 드러내야 제2, 제3의 피해자를 막을 수 있다. 어떻게 공격하는 지를 분석해야 어떻게 방어할 지 방법을 찾을 수 있기 때문이다. 우리는 AI라는 새로운 세상에 살고 있다. 지금까지 해킹은 인간만이 벌이는 행위였지만, 이제는 인간 해커가 꿈꾸지 못한 속도와 기술을 갖춘 AI라는 존재가 인간들을 공격할 수 있다. 다행히 희망이 있는 것은 AI가 해킹 공격도 잘하지만 방어도 잘한다는 점이다.
지난 6월 미국 UC버클리 AI 연구팀은 188개 대형 오픈소스 코드를 대상으로 한 테스트에서 AI 에이전트가 제로데이(패치가 존재하지 않아 공격에 매우 취약한 보안 결함) 취약점 15개를 발견했다고 밝혔다. 하지만 취약점을 가진 기업들이 이를 분석해 사이버보안 역량 강화에 활용하는 것이 아니라 지금까지 그래왔던 것처럼 숨기기에 급급한다면 어떤 결과로 이어질까. 사이버보안업계에 ‘사고당한 경험도 실력이다’라는 말이 있다. 우리 회사에 도둑이 들었는데 외부에 알리지 않는다면 그 기업은 물론이고 훗날 다른 기업에도 같은 도둑이나 더 무서운 도둑이 들 수 있다.
설성인 IT부장(seol@chosunbiz.com)
<저작권자 ⓒ ChosunBiz.com, 무단전재 및 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.