# “러시아와 미국은 2013년 11월 이후 스팸 총량이 급격히 줄었다. 반면에 한국은 스팸 총량 상위 10개국 가운데 심각할 만큼 스팸이 늘었다.”
세계적 네트워크 장비업체 시스코가 이처럼 ‘2014 중기 보안 보고서’에서 한국의 보안 실태를 경고하고 나섰다. 시스코가 집계하는 스팸은 단순 광고성 스팸메일뿐 아니라 말웨어(악성코드)나 스파이웨어를 비롯한 공격용 스팸도 포함한 것이어서 한국의 정보보안이 얼마나 취약한 상태에 있는지를 말해주고 있다. 한국은 이미 2013년에도 데이터 트래픽에서 스팸이 차지하는 비중이 가장 높은 나라로 꼽혔다. 특히 지난해 11월엔 5%까지 떨어졌던 한국의 스팸 비율은 올해 4월 말 집계에선 14%로 뛰었다.
# LG전자는 로봇청소기 기술 유출로 7500억원 상당의 손실을 볼 것으로 추정됐다. 경남경찰청 국제범죄수사대는 지난 4월 9일 로봇청소기 핵심기술을 중국 가전회사에 넘긴 혐의로 LG전자 전 개발연구원 2명을 구속했다. LG전자에서 로봇청소기를 연구하던 이들은 2010년 중국 가전업체가 고액 연봉과 주택, 승용차 등을 주겠다고 하자 로봇청소기 핵심 기술을 빼간 것으로 알려졌다. LG전자는 보안시설은 갖추고 있었지만 자사 연구원들이 회사 컴퓨터에 들어 있던 핵심기술 정보를 노트북에 담아 나가는 것을 막지 못했다. 경찰은 이들이 지난해 10월 퇴사한 뒤 중국 가전회사 연구원으로 이직했으며 중국 측은 내년 말께 로봇청소기를 출시할 것으로 보인다고 밝혔다.
# KT는 최근 자사의 ‘olleh’ 브랜드를 사칭한 스미싱 유포자를 검찰에 고소했다. 혐의자는 스미싱 문자에 KT 홈페이지 주소를 넣는 수법으로 소비자들을 속여 돈을 빼간 것으로 알려졌다. 이 같은 스미싱 수법으로 지난해 범죄조직이 소비자들로부터 빼간 돈은 57억원이 넘는 것으로 나타났다. 김현 의원이 경찰청에서 받은 국정감사 자료에 따르면 스마트폰을 대상으로 한 피싱(스미싱) 피해액은 2012년 5억6900만원에서 지난해엔 57억7000만원으로 10배 이상 증가했다. 같은 기간 건수는 2182건에서 2만9761건으로 13배가량 늘었다. 최근엔 스마트폰 사용자의 특성을 반영한 맞춤형 스미싱이나 파밍이 활개를 쳐 피해가 급증하고 있다. 금융기관이나 단체의 개인정보가 대거 유출되면서 스마트폰이 돈 빼내가는 창구가 된 것이다.
한국의 보안이 총체적 위기에 봉착했다. 시스템이나 네트워크엔 악성코드가 넘쳐나고 방화벽 등 보안시스템을 구축했다는 회사들조차 보안기준을 지키지 않아 번번이 뚫리고 있다. 시스템이나 네트워크 보안에 완벽을 기했다고 하면 이번엔 내부 관계자가 슬그머니 조직의 기밀을 빼간다. 끊임없이 이어지는 해킹이나 정보유출 사고에도 사람들이 보안의 심각성을 인식하지 못할 뿐 아니라 제대로 보안수칙을 지키지 않기 때문이다. 국정원에 따르면 국내 산업기밀 유출은 IT, 전자 등 첨단산업은 물론이고 국가 안위와 직결된 방위산업에서까지 벌어지고 있다.
검찰은 올해 초 중소기업 사장이 낀 방산기술 불법 유출단 일당을 구속 또는 불구속 기소했다. 중소무역회사를 운영하는 Y씨는 미얀마 방산업체 등과 짜고 750억원 상당의 포탄기술을 팔아넘겼다. 이들은 105밀리 곡사포 포탄을 비롯한 여섯 종의 포탄 생산설비를 미얀마에 넘겨 시제품까지 생산한 것으로 알려졌다. Y씨는 전직 방산업체 직원 2명을 스카우트해 이 같은 일을 벌였다. 검찰은 이 기술을 넘겨받은 미얀마 방산업체는 북한과 무기를 거래하다 서방의 제재를 받은 바 있다고 밝혀 관련 기술이 북한으로 유출됐을 가능성까지 제기되고 있다.
국정원은 지난 2012년 LG전자의 첨단 에어컨 신기술을 중국으로 유출하려 했던 일당을 적발했다. LG전자와 정부가 함께 국책과제로 개발해 세계 최대 용량의 빌딩용 시스템 에어컨을 만드는 이 기술은 향후 3년간 1조6000억원 상당을 벌 수 있는 것으로 평가됐던 것이다.
이 회사 간부인 A씨 등은 주말에 회사에 들어가 PC에 저장했던 핵심기술을 외장하드에 복사한 뒤 마카오로 건너가 중국 경쟁사에 넘기려다 검거됐다.
국정원 산업기밀보호센터에 따르면 2003년 이후 이처럼 해외로 기술을 빼돌리다 적발된 사건은 375건에 달하는 것으로 나타났다. 2010년 41건이었던 적발 건수가 2011년 46건, 2012년 30건, 2013년 49건 등으로 수그러들지 않는 것으로 드러났다. 대기업들은 그나마 보안에 대한 투자를 늘리고 내부통제를 강화해 산업기밀 유출이 줄어드는 추세지만 중소기업을 통한 유출은 지속적으로 증가하고 있다.
지난해 4월엔 중국인 S씨가 국내 OLED(유기발광다이오드) 핵심공정 기술을 빼돌리려다 적발돼 기소됐다. S씨는 처음부터 기술을 빼돌리기로 작정하고 핵심기술을 보유한 B사에 입사해 퇴사 직전 국책과제로 개발한 기술을 이메일과 인터넷 메신저, USB 등을 이용해 유출했다.
2010년엔 정부와 삼성전자까지 투자한 미래전략산업인 첨단 암 치료 바이오 기술이 해외로 유출됐다. 당시 P제약 신약개발실장이던 B씨는 설비담당 직원들과 공모해 공정시설 설계도 등 핵심기술을 빼돌려 새 회사를 차려놓고 중국 등에 기술을 넘기려다 적발됐다. 이 기술은 암치료 효능이 있는 바이오 물질을 암세포까지 전달해 치료효과를 극대화하는 기법으로 50여 명의 석박사급 인력이 4년여에 걸쳐 연구해 34개국에 특허까지 출원해 놓은 상태였다. 조금만 늦었으면 수백억 원의 비용과 수많은 전문가들의 노력이 수포가 될 뻔했다.
이처럼 산업기밀 유출은 매년 끊이지 않고 발생하고 있다. 산업스파이가 21세기에 가장 큰 사업 중 하나가 될 것이라던 앨빈 토플러의 예언이 적중한 것이다.
산업기밀의 국내 유출도 적지 않다. 삼성전자와 LG전자가 OLED 기술유출을 놓고 분쟁을 벌인 것은 이미 잘 알려진 사실. 대검찰청에 따르면 기술유출 범죄 처리건수는 1999년 39건에서 2012년엔 448건으로 급증했다. 특허청은 산업 비밀 유출 사건당 피해액이 평균 13억2000만원이나 된다고 밝혔다. 장기적으로 기술유출에 의한 피해는 훨씬 클 것으로 보인다. 미국에선 산업기밀 침해로 인한 경제적 손실이 GDP의 1~3%에 달한다는 추정까지 나왔다.
‘DarkSeoul’ 사이버테러 대명사 돼
인터넷과 모바일 통신이 보편화된 요즘 보안 이슈는 인력을 매개로 한 전통적 산업비밀이나 기술 유출을 넘어 지금은 사이버 세상으로 확산되고 있다. 2013년 3월 20일 오후 2시 10분께 국내 주요 방송사와 일부 대형 금융기관이 사이버 공격을 받아 전산망이 마비되는 비상사태가 벌어졌다. 당시 KBS와 MBC, YTN, 농협, 신한은행 등이 대혼란에 빠졌다.
이날 사이버 테러는 농협 내부 컴퓨터로부터 시작된 것으로 알려졌다. 정부 합동대응팀은 공격자가 농협 내부직원이 사용하던 사설IP를 경유해 백신 소프트웨어 배포 관리 서버에 접속해 악성코드를 유포시켰을 가능성이 큰 것으로 추정했다.
이 사건은 전파를 타고 세계에 알려졌고 공격을 주도한 것으로 드러난 다크서울(DarkSeoul)은 사이버테러의 유명인사가 됐다. 시만텍은 DarkSeoul이라고 불리는 사이버 범죄 갱단이 그 공격을 포함해 지난 4년여 동안 한국에 대해 정교한 사이버공격을 감행한 것으로 추정된다고 밝혔다. 시만텍은 이들이 한국 정부뿐만 아니라 미국 정부에도 적대행위를 벌인 것으로 여겨진다고 밝혔다.
시스코는 이와 관련해 ‘2014 연례 보안 보고서’를 통해 “2013년 3월 발생한 DarkSeoul은 수만 개의 PC와 서버의 하드 드라이브에 있는 데이터를 파괴하도록 설계된 말웨어인 ‘와이퍼(Wiper)’를 사용했다”며 “이 말웨어가 작동됨과 동시에 한국 네트워크 공급업체 LG U+의 웹사이트가 손상되었으며 공격 대상이 된 다른 조직의 네트워크가 마비되었다”고 덧붙였다.
그해 6월엔 청와대를 포함해 정부기관 홈페이지가 무차별적으로 디도스 공격을 받았고 정부의 보안을 책임지는 국정원 홈페이지까지 접속이 안 되는 사태가 벌어졌다. 정부 사이트 등을 공격했다고 주장한 트위터 이용자 ‘@hacktivist_kor’은 이날 “국방부 http://www.mnd.go.kr, 합참 http://www.jcs.mil.kr, 국정원 http://www.nis.go.kr 등 정부사이트들을 탱고다운 했다”고 조롱했다. 한국에선 지난 2009년에도 청와대와 네이버 등 주요 사이트가 디도스 공격을 받아 일시적으로 시스템 장애에 빠진 적이 있다.
사이버 공격은 올해도 이어지고 있다. 최근엔 KT의 한 서버가 디도스 공격을 받은 것으로 알려졌다. 게임업계에 따르면 지난 7월 KT 분당 인터넷데이터센터(IDC) 내 ‘콘텐츠 딜리버리 네트워크’(CDN)용 서버가 디도스 공격을 받아 40분간 장애가 발생했다는 것. 당시 이 때문에 넥슨 계열의 축구 게임인 피파온라인3의 접속이 일시적으로 차단됐다.
지난 6월엔 클라우드 메모 서비스 에버노트(Evernote)가 디도스 공격을 당해 1억명이 넘는 사용자의 이용이 제한되는 사태를 빚었다. 같은 달 19일엔 세계 최대 소셜네트워크서비스인 페이스북이 디도스 공격을 받아 30분가량 접속이 안 되는 사태가 벌어지기도 했다.
돈 빼가는 해킹 급증
사이버 공격은 기관 자체를 공격하는 게 대부분이지만 최근엔 아예 개인이나 기관의 돈을 직접 빼가거나 팔아먹기 위해 개인정보를 빼내는 해킹이 급증하고 있다. 미국에선 지난 2011년 해커들이 중소기업의 은행 계좌를 해킹해 1100만달러를 중국으로 송금한 사건이 발생했다. 당시 범인들은 약 20건을 해킹해 계좌당 최고 5만달러에서 최대 98만5000달러까지 빼돌린 것으로 알려졌다. 국내에선 지난 4월 상점에서 카드로 결제할 때 사용하는 POS 단말기를 해킹해 1억2000여만원을 빼돌린 사건이 발생했다. 8월 초엔 인터넷과 모바일뱅킹 정보를 빼내는 중국 범죄조직과 연계해 남의 돈을 인출하던 인출책 두 명이 목포경찰서에 체포되기도 했다.
이런 범죄에 사용하거나 스팸메일을 발송하려고 개인정보를 빼내는 사례는 헤아리기조차 어려울 정도다. 올해는 국민, 롯데, 농협 등 신용카드 3사에서만 1억400만 건의 개인정보가 빠져나갔다. 이들 3사는 시스템을 갖춰놓고도 외부 인사가 마음대로 접근할 수 있게 방치하다 험한 꼴을 겪었다.
이 사건 직후 KT가 해킹을 당해 982만 건이 빠져나갔고 다른 통신사에서도 1230만 건이 유출됐다. 이들 정보는 마케팅업체나 범죄조직으로 넘어간다는 게 전문가들의 견해다. 전문가들은 이미 한국에서 유출된 개인정보의 상당수가 중국에서 거래되는 것으로 보고 있다.
미국의 국제전략문제연구소(CSIS)는 지난 6월 발표한 사이버 범죄에 대한 2014 맥아피 보고서를 통해 전 세계적으로 인터넷 금융범죄로 인한 손실이 연간 4000억달러에 달하며, 사이버 범죄로 인한 전 세계 기업들의 손실은 연간 5750억달러에 이른다고 경고했다. 또 이 때문에 미국에서만 매년 20만 개, EU 지역에서 15만 개의 일자리가 날아간다고 덧붙였다.
CSIS는 또 미국 인구의 15%에 해당하는 4000만명이 개인정보를 도난당했으며 터키에선 5400만명, 한국과 중국은 각각 2000만명, 독일은 1600만명이 개인정보를 유출당한 것으로 추정했다.
한편 PwC는 국내 카드사들이 당했던 것처럼 금융기관들이 사이버 범죄에 취약하다고 지적했다. PwC는 79개국 1330개 금융기관을 대상으로 조사한 ‘2014 글로벌 금융사고 보고서’에서 지난해 전 세계 금융기관의 39%가 사이버 범죄 사고를 당했으며 45%가 해킹 등 각종 금융사고에 노출됐다고 지적했다.
글로벌 스팸 급증, 1위는 한국
이런 해킹이나 디도스 공격의 대부분이 스팸 등을 통해 이뤄지고 있다. 그런 스팸이 거의 매일 세계 인구와 맞먹을 정도로 쏟아져 나오고 있다. 시스코는 세계 스팸이 지난 2013년 6월부터 올해 1월까지 매달 500억에서 1000억 건이 나왔으나 3월엔 2000억 건이 넘었다고 밝혔다. 게다가 스팸에 섞여 들어오는 말웨어의 강도는 갈수록 세지고 있다.
시만텍은 최근 유럽과 미국 에너지 기업들을 대상으로 하는 일련의 사이버 스파이 활동을 포착해낸 바 있다. ‘드래곤플라이(Dragonfly)’라는 이름이 붙은 이 공격자들은 목표로 잡은 나라의 에너지 시스템을 일시에 뒤흔들 수도 있는 것으로 분석됐다. 이들은 산업제어시스템(ICS) 장비 공급업자의 시스템에 침투해 소프트웨어를 원격에서 접속할 수 있는 웜을 심는 것으로 전해졌다.
최근엔 세계적 검색엔진인 구글봇을 모방한 가짜 구글봇이 등장해 디도스 공격에 이용되고 있다는 지적도 나왔다. 구글봇은 동시에 수백만 개의 사이트를 방문하여 데이터베이스를 업데이트하고 검색 결과를 최신 상태로 유지하는 역할을 하는데 가짜들이 구글봇으로 위장해 사이트들을 찾아다니며 디도스 공격에 악용되고 있다는 것이다.
심각한 사고에도 대응은 지지부진
사이버 침해가 급속히 확산되고 있지만 대응은 여전히 부진한 상태다. 금융당국은 지난해 3월 일어난 디도스 공격의 후속 대책으로 9월에 ‘금융전산 보안강화 종합대책’을 통해 금융기관들에게 내부 시스템과 인터넷을 완전 분리하도록 지시했다. 이에 따라 은행들은 올해 연말까지 전산센터의 내부 업무망과 외부 인터넷망을 원천적으로 차단하고 제2금융권은 2016년 말까지 물리적 망분리를 마쳐야 한다. 본점이나 영업점에 대해선 단계적, 선택적으로 추진토록 했다. 그렇지만 대부분 금융기관들이 아직까지 망분리 사업 발주를 미루고 있다. 금융기관들이 구체적으로 어떤 방식으로 망분리를 해야 할지를 몰라 관망하고 있는 것으로 전해졌다.
전문가들은 당국이 일일이 가이드라인을 제시하다보니 공인인증서를 강제했을 때처럼 구체적 가이드라인을 주지 않아 실행에 옮기기를 주저하는 것으로 보고 있다. 지난 1월에만 1억 건이 넘는 엄청난 개인정보가 유출됐는데도 금융기관들은 서버에 보관중인 정보의 암호화를 차일피일 미루고 있다.
국회 안전행정위원회는 이 때문에 오는 2016년까지 개인정보를 다루는 모든 곳이 암호화해야 한다는 내용의 개인정보보호법 개정안을 즉각 통과시킨 바 있다. 그렇지만 개별 금융기관들은 정보 이용 차질을 우려해 암호화 작업을 미루고 있다.
기본이어야 할 물리적 보안도 구멍 뻥뻥
기업들이 보안 투자를 늦추는 것은 보안의 중요성을 인식하는 임원들이 적을 뿐 아니라 대부분 회사가 보안을 시스템의 기본요소로 여기지 않고 부수적 비용으로 생각하기 때문이다. 특히 물리적인 보안조차 형식적으로 접근하고 있어 실효를 거두기 어렵다는 것이다.
외국의 경우 9·11 테러로 붕괴된 뉴욕 월드트레이드센터만 해도 이미 2000년대 초에 외부인이 출입하려면 매번 카메라 앞에서 사진을 찍고 사진이 인쇄된 일일 출입증을 발급받아야 게이트를 통과하게 했다. 9·11 테러 직후 미국 정부기관은 신분증 확인은 물론이고 카메라 앞에서 눈의 홍체 사진까지 찍은 뒤에 출입을 허용하기도 했다.
전문가들은 이처럼 원칙을 지키는 게 보안 관리의 출발점이라고 강조한다. 특히 보안은 울타리와 같아서 어느 한 부분이라도 허술해선 안 되고 출입문 통제부터 컴퓨터 접속, 네트워크 관리 등 모든 부분이 완벽해야 성과를 거둘 수 있다는 게 전문가들의 조언이다.
삼성전자가 10 나노급 시스템 반도체를 새로 개발했다고 하자. 경쟁자들이 이 신기술을 빼가는 방법은 무엇이 있을까.
옛날 같으면 몰래 담을 넘어와 문을 따고 꺼내갔을 것이다. 철문을 굳게 닫아걸면 이번엔 내부직원이나 거래업체를 가장해 들어올 수 있다. 신분증 위조 같은 수법이 여기에 해당한다. 출입통제로 그것을 막으면 내부직원을 매수해 가져가려고 할 것이다. 그것마저 차단하면 삼성전자의 서버를 해킹해 가져가거나 아예 삼성전자조차 그 기술을 사용하지 못하게 파괴하려 할 수도 있다. 이 모든 침해를 막는 게 보안이다.
여기서 보안은 크게 물리보안과 정보보안으로 나뉜다. 물리 보안이란 인가자만 들어갈 수 있게 관리하고, 천재지변 등의 위협으로부터 막는 것을 말한다. 에스원이나 캡스 같은 업체들이 하는 일이다.
정보보안은 정보자산을 공개나 노출, 변조, 파괴, 재난 등의 위협으로부터 막고 정보의 3대 요소라고 할 수 있는 기밀성과 무결성, 가용성을 확보하는 것을 말한다. 기밀성이란 해커와 같은 무인가자의 접근을 차단하는 것. 무결성은 인가되지 않은 사용자가 정보를 위조 변조 또는 훼손하지 못하게 막는 것이며, 가용성이란 인가된 사람들이 언제든 정보와 서비스를 이용할 수 있도록 해야 한다는 것이다.
처음 정보보안의 영역은 내부 전산시스템을 안전하게 관리하는 것을 의미했으나 이제는 시스템과 시스템을 연결하는 네트워크는 물론이고 그 시스템을 이용하는 서비스까지 안전하다고 믿도록 해야 하는 수준까지 진화했다.
특히 온라인뱅킹이나 홈트레이딩 홈쇼핑 같은 전자상거래가 보편화되면서 여기에 인증성과 부인방지 책임 추적 가능성 등도 추가로 요구하고 있다. ID나 패스워드를 넘어 공인인증서가 보편화된 것도 이 때문이다. 이처럼 보호해야 할 대상이 많다는 것은 역으로 뚫릴 구멍이 그만큼 많다는 것을 의미한다.
보안은 물리보안과 정보보안이 함께 갖춰져야 유지된다. 해킹을 방지하는 정보보안 투자를 엄청 하더라도 내부 직원 등이 USB 등에 담아 유출한 사건은 수없이 많다. 정보보안을 위해 물리보안 수단들이 이용되기도 한다. ID카드로 내부 접근이나 컴퓨터 접속을 원천적으로 차단하는 게 대표적이다.
그런데 둘 모두 무용지물일 때도 있다. 정부 고위관리나 기업의 CEO 같은 고위 인사가 외부인을 허가 없이 끌어들이거나 직접 정보를 유출시키는 경우 등이다. 이 때문에 전문가들은 완벽한 보안은 기술이 아니라 관리라고 강조한다. 사람의 관심이 가장 중요하다는 것이다.
세계의 해킹부대
지난 5월 미국 연방대배심은 중국 인민해방군 61398 부대 소속 장교 5명을 산업스파이와 기업비밀절취 등 6개 혐의로 정식 기소했다. 미국 측은 중국 인민해방군 61398부대가 중국 상하이를 기반으로 미국 등 전 세계에서 해킹을 주도했다고 비난했다. 이들은 웨스팅하우스와 US스틸 등 5개 기업과 미 철강 노조(USW)의 컴퓨터를 해킹해 기밀 정보를 빼낸 것으로 전해졌다.
중국 측은 강력 반발하며 이번 기소가 양국 간 협력관계와 신뢰를 손상시킬 것이라고 비난했다. 이후 애플의 위치정보 시스템이 중국의 국가안보를 위협한다거나 시스코가 중국에 수출하는 제품들이 미국 정부의 도·감청을 돕는다고 주장했다.
장산정 타이완 과기부 장관은 최근 중국 해킹부대가 타이완 주요 정부기관에 대해 매주 2000여 차례 해킹을 시도하고 있다고 밝혔다.
전문가들은 중국이 3개 사이버부대를 비밀리에 운용하고 있으며 이들이 해킹기술을 연구하고 정부기관의 정보를 탈취하는 임무를 맡고 있다고 전한다.
미국은 국방부 산하 사이버사령부에 1만명 정도를 두고 있는데 최근 이 규모를 5배 정도로 확대하는 전략을 마련한 것으로 알려졌다. 이를 통해 수비 위주에서 공격적으로 사이버 작전을 펼친다는 것이다.
이스라엘은 수천 명의 해커가 활약 중인 8200부대를 두고 있다. 이 부대는 동구권 출신 유대인 8명과 이라크 출신 유대인 200명으로 부대를 구성하면서 이 같은 이름을 갖게 됐다고 한다. 이스라엘 해커부대는 하루 100만 건 이상의 해킹 공격을 막아내고 있는 것으로 전해졌다.
북한은 3만여 명의 사이버 전쟁 전문가를 보유하고 있으며 이들의 능력은 미국 CIA에 필적한다고 외신은 전했다. 지난해 ‘3·20 해킹 사건’이 발생했을 때 최종 IP가 류경호텔 등이 있는 평양 류경동으로 나타나 북한 정찰총국 산하 사이버 부대가 이곳에 있을 것이라고 추정됐다.
북한은 정찰총국 휘하에 병력 3000명 규모의 121국이란 사이버전지도국을 두고 있으며, 사이버공격과 심리전을 펼치는 다양한 부대들을 가지고 있다. 또 총참모부 휘하에도 사이버 공격이나 해킹 프로그램 전담부대와 군 전담 심리전 부대 등을 갖추고 있는 것으로 알려졌다.
한편 한국은 500여 명의 소규모 사이버사령부로 수비를 해왔으나 지난해 대선개입 의혹이 불거지면서 전 사령관 2명이 입건되는 등 심각한 타격을 받고 있다.