CEO 직속으로 보안조직두어, 시스템운영과 보안과의 끊임없는 상충관계를 직접 조율해야
해킹사고, 특히 개인정보 유출사고는 발생 후 범죄를 저지른 가해자보다 당한 피해자의 책임을 묻는데 관심이 집중된다. 물론 고객의 귀중한 개인정보를 관리하고 있는 기업은 당연히 사과와 함께 책임감 있는 재발방지책을 마련해야 한다. 그러나 우리는 이에 매몰되어 금번 해킹사건이 내포하고 있는 가해자 측면의 중대한 시사점을 간과해서는 안 될 것이다.
이번 사건 시사점을 한문장으로 요약하면 ‘세계최고 수준의 국가단위 해킹그룹이 우리 나라 인프라를 공격해오고 있으며이에 대비해야 한다.’는 것이다.
이번 사건을 수행한 해킹그룹이 누구인지는 조사결과가 아직 나오지 않았다. 그러나 28년간 보안사업을 해본 필자의 촉으로는 국가단위 해킹그룹으로 단언하고자 한다. 국가단위 해킹그룹으로 결론 내린 이유는 해킹 목적을 살펴보면 보면알 수 있다.
‘공명심에 사로 잡힌 젊은 친구들이 자신의 실력을 과시하는 해킹’을 제외하면 해킹목적은 크게 두가지로 나뉘어진다. 첫번째는 해킹을 통해 돈을 버는 것이며, 두번째는 국가 단위 정보수집과 인프라에 대한 공격목적이다. 행위자 기준으로 볼때, 첫번째는 민간 해킹그룹이고, 두번째는 국가단위 해킹그룹이다.
민간 해킹그룹은 수익창출에 초점을 맞춘다. 가난한 나라는 국가단위 해킹그룹도 외화벌이가 주목적이 되기도 한다. 해킹으로 손쉽게 돈을 벌 수 있는 방법은 생각보다 많다. 대표적인 것이 랜섬웨어 유포이며, 또 하나는 가상화폐 거래소나개인의 가상화폐 지갑을 해킹하는 것이다.
해킹 후 개인정보를 탈취하고, 데이터를 암호화하고, 서비스를 마비시킨 후 돈을 요구하는 것이 랜섬웨어다. 대기업을 대상으로는 수 억에서 수십억 원까지 몸값을 요구한다. 랜섬웨어에 감염된 기업은 대부분 신고하지 못하고 몸값 협상 후 비용을 지불한다. 신고하여 외부에 해당 사실이 알려지면, 회사 브랜드에 손상을 입기 때문이다. 어떤 랜섬웨어 그룹이 1조원을 벌었다는 소문이 있는 것을 보면 최소한 수백억, 수천억 수익을 챙긴 곳이 있다는 것은 확실하다.
가상화폐 거래사이트는 해킹하기 어렵지만 수익창출 측면에서는 최상이다. 해킹 후에 얻는 금전적 이익이 수천억 원대에달하기도 한다. 최상의 해킹기술이 있다면, 장기간 노력하더라도 큰 돈을 많이 벌 수 있는 위와 같은 곳을 해킹하는 것이합리적이다.
통신사 최상위 보호서버인 유심관리서버(HSS서버)는 해킹 수익성 측면에서 가성비가 떨어지는 시스템이다. 최상위 서버인만큼 다단계로 구축된 보안절차를 장기간 회피하면서, 여러 단계를 통과해야만 도달할 수 있는 시스템이다. 최종단계에 이르기까지 수개월이상 혹은 수년간 준비가 필요할 수도 있다.
게다가 유심관리 서버의 정보만으로는 수익성을 창출하기 어렵다는 것이 일반적인 판단이다. 해당정보와 다른 방법을 통해서 취득한 정보들이 복합적으로 결합되어야만 돈을 벌 수 있는 시나리오를 만들 수 있다. 따라서 이런 가성비 떨어지는행위를 집요하게 수행하는 동기를 가진 조직은 국가단위 해킹그룹 밖에 없다.
특히 작년 말, 미국의 최소 9개 이상 통신사가 중국으로 추정되는 국가단위 해킹그룹에 의해 해킹 당했다는 미국 국회보고서가 올해 초 공개되었다. 통신사는 어느 나라나 서버 간의 시스템 구조가 비슷하기에 한번 통신사를 해킹한 그룹은 다른 통신사를 공략하기가 상대적으로 용이하다. 그때 발견된 악성코드와 이번 우리나라 통신사 해킹에서 발견된 악성코드가 같은 계열이기도 하다. 이런 국제적인 해킹동향도, 금번 우리나라 통신사 해킹도 국가단위 해킹그룹이 진행되었다고생각하게 되는 또 하나의 요인이다.
물론 최종적 결론은 알기 어렵다. 원래 사이버 해킹은 ‘스모킹건’이 부족하기 때문에 결정적으로 몰아갈 증거는 상대적으로 부족하다. 게다가 국가단위 해킹그룹은 은밀하게 움직이기에 최대한 흔적을 남기지 않는 것이 특징이다. 훔쳐간 정보를 다크웹에 올리지도 않기에 얼마나 가지고 나갔는지도 파악하기 쉽지 않다. 이번 통신사 사고도 어떤 정보가 얼마나 나갔는지 특정하기가 매우 어려울 것이다. 언제부터 들어왔는지 거슬러 올라가다 보면 수개월, 또는 수년전으로 돌아갈 수도 있다.
여기까지 생각이 미치면 자연스럽게 의문이 들 것이다. ‘이번 통신사 이외에 다른 통신사에는 공격이 없었을까?’, ‘통신사말고 금융, 도로, 항공, 전력 등 주요 인프라에는 위와 같은 공격이 없었을까?’ 아무도 모르는 일이지만, 개연성은 충분이높다고 판단된다. 다행히 지금까지 공격의 대상이 되지 않았더라도 언제든지 대상이 될 수 있다.
결국 보안전문가들이 오랫동안 두려워해 온 ‘국가단위 해킹그룹의 우리나라 인프라 공격’이 이제 현존하는 위협이 되었다. ‘S통신사가 충분한 보호조치를 했다’라고 할 수도 없지만, 보호조치를 고의로 태만히 한 통신사도 아닐 것이다. 결국작정하고 들어오는 국가 해킹그룹을 방어할 역량을 갖고 있는 기관은 거의 없다는 사실과 함께 우리의 민낯을 보여준 것이 금번 통신사 해킹사건이다.
외부환경은 급변하고 있으나, 우리의 보안의식은 아직 십년 전 수준에 머무르고 있다. ‘보안 에이전트를 서버에 설치하면서버장애가 발생할 수 있기 때문’에 서버 보안에이전트 설치가 불가능하다는 반발을 넘어서기 어려운 것이 현재 보안담당자의 고민이다.
서버 취약점 점검 테스트조차 운영담당자 입장에서는 장애발생 우려 때문에 난색을 표한다. 보안강화는 운영편리성과 상충되는 경우가 많기 때문에 여전히 우선순위에 밀려왔다. 해킹사고는 발생하지 않으면 CEO의 관심사에서 자연스럽게멀어지며, CEO가 직접 보고를 받지 않게 된다.
이번 기회에 최소한 국가 주요 인프라에 대해서는 전면적으로 ‘제로 트러스트’ 관점에서 보안 설계를 재구축해야 할 것이다. 결국 모든 일의 최종핵심은 ‘CEO의 의지, 그리고 예산과 인력’이다.
금융기관의 2014년 카드사 1억건 개인정보 유출사고 이후, 제대로 된 정보보호임원(CISO)을 임명하고, IT예산 7%를보안예산으로 투자하고, IT인력 5%를 정보보호 인력으로 운영하여 금융보안 수준을 개선한 것을 참고할 필요가 있다.
또한 CEO 직속으로 보안조직을 두어, 시스템운영과 보안과의 끊임없는 상충관계를 직접 조율해야 한다. 정부는 민간의자율성을 해칠 수 있는 규제를 대거 밀어 넣는 것이 아니라 실질적으로 보안 수준제고에 도움이 되는 가이드를 제시할 것으로 기대한다.
우리나라는 사이버 해킹 최전선에 처해있다. 사이버 해킹 측면에서 한국은 전세계 테스트 베드이다. 2010년대 초반, 우리나라에서 전세계적으로 유례가 없는 천만 건 이상 개인정보 유출사고가 다량 발생했다. 그리고 5년 후, 미국 야후 십억건 개인정보 유출사고를 비롯하여 선진국에서도 대규모 개인정보 유출사고가 발생했다. 선진국은 처음에 한국을 비웃다가 자신들도 같은 사고를 당한 한국 사례를 참조하기 시작했다. 한국이 매를 먼저 맞은 것이다.
이제 ‘국가단위 해킹공격’도 사이버 해킹 최전선인 우리나라에 먼저 도달하고 있다고 생각한다. 이러한 공격을 효과적으로 방어하게 되면, 우리나라는 미국과 이스라엘과 어깨를 겨루는 사이버보안 최고국가로 도약할 것으로 기대한다.
[글. 소만사 김대환 대표이사]
![[보안기고] 모바일 보안의 본질을 다시 묻는다…유심 해킹사고 핵심포인트](https://www.dailysecu.com/news/photo/202505/165830_194322_416.jpg)
![[금주의 키워드] 유심](https://pds.joongang.co.kr/news/component/joongang_sunday/202505/03/95497b24-2aa2-48a7-828e-c9ecd26137c4.jpg)
!['점심 뭐먹지' AI에 자꾸 물었더니… 섬뜩한 경고[글로벌 왓]](https://newsimg.sedaily.com/2025/05/01/2GSMNIEYQI_5.jpg)
