| [피플&피플] 해킹공격에 기업들 어떻게 대응해야 하나? | 2010.05.07 |
송재훈 SK커뮤니케이션즈 보안문화추진팀 차장
“보안, 아무리 잘해도 끝은 없고 책임은 무겁죠” 정석화 경찰청 사이버테러대응센터 수사팀 팀장 “기업보안, 솔루션 보다 보안 관리자가 중요하죠” 최근 연이어 발생한 고객 개인정보 유출사건으로 기업 보안담당자들은 불안하다. 정부가 정한 규제뿐만 아니라 필요한 보호조치와 보안을 강화했음에도 해킹으로 인해 빠져나가는 고객의 개인정보는 중국 사이트를 통해 다시 국내에 판매되고 있다. 이에 국내의 해킹과 같은 사이버 범죄 수사를 맡고 있는 정석화 경찰청 사이버테러대응센터 수사팀장과 기업의 보안을 담당하고 있는 송재훈 SK커뮤니케이션즈 보안문화추진팀 차장을 만나 해킹과 기업보안 위협 대응에 관해 논의했다. 송재훈 중국은 가장 많은 보안위협이 들어오는 나라 중에 하나로 해킹 기법이 가장 발달하고 여러 가지 공개 해킹 툴들이 많아 가장 주의해야 할 대상이다. 그런데 이러한 중국 해킹은 국내법이 적용되지 않아 기업에서 해킹 피해를 당했을 때 사법기관에 도움을 요청하는 데에는 많은 어려움이 있다. 분명히 불법행위가 이루어지는 것을 확인하고 수사기관 등에 도움을 요청하지만 진행이 잘 되지 않거나 시일이 오래 걸린다.
물론 여러 가지 이유가 있겠지만 기업 보안담당자로서는 이들을 잘 막고 있는 방법 외엔 다른 방도가 없어 많은 어려움을 느낀다. 물론 중국뿐만이 아니고 다른 국가에서의 공격도 마찬가지겠지만 해킹에 대해서는 민간 기업에서 대응할 수 있는 부분이 거의 없다. 무엇인가 적극적인 대응으로 위험 수위를 낮춰야 한다. 정석화 예전에는 국내에서도 해킹이 많이 이루어졌지만 최근 5년 전 부터는 중국 악성해커들의 해킹이 이슈가 되고 있다. 최근 발생한 유통업체 개인정보 유출 사건도 중국발 해킹으로 국내 약 2,000만명 규모의 개인정보가 유출된 것으로 파악하고 있다. 이는 중국의 전문 악성해커에 의해 유출된 개인정보가 유통체계를 통해서 다시 국내로 반입된 사건이다. 이러한 사건들이 발생할 때마다 수사기관에서도 중국과의 공조수사를 긴밀하고 원활하게 이뤄지도록 많은 노력을 하고 있다.
인터폴수사 뿐만 아니라 국제형사사법공조라는 국가간의 정식 조약을 체결해서 수사에 필요한 정보를 교류하고 있다. 경찰은 수사 단계에서는 인터폴 공조를 통해 범죄에 관한 일반적인 정보들을 상호 교환하는 한편, 재판이나 강제집행이 필요한 민감한 정보를 국가간에 주고받을 경우에는 국제형사사법공조법에 근거한 공식적인 채널을 통해 국가 상호간 수사 협력을 하고 있다. 지난 옥션 사건이나 7.7 DDoS 대란과 같이 국가, 사회적으로 중요한 사안의 경우가 국제형사사법공조법에 의해 한-중간 공조수사를 하고 있는 대표적인 예이다. 송재훈 우리가 고민하는 부분은 우리나라의 법률을 해외에서 적용할 수 있느냐는 것이다. 단순히 중국에서 해킹을 시도한 것을 한국 실정법에 위배된다고 해서 이들을 처벌할 수 있는지? 또 해킹 이외에 여러 가지 피싱 사이트들이 많이 있는데 이것을 우리가 그 사이트 담당자에게 폐쇄해 달라고 요구해야 하는지 아니면 경찰청에 신고해야 하는지 잘 모르겠다. 또한 경찰청에 도움을 요청해도 사안이 중요하지 않으면 시간이 오래 걸리거나 제대로 조치가 이루어지지 않기 때문에 이것도 쉽지 않다. 기업의 입장에서 이러한 사항들을 외부에 요청하는 것은 쉽지 않고 또 어느 기관에 도움을 요청해야 하는지도 잘 모른다. 정석화 물론 기업에서 보안사고나 침해사고가 발생했을 때 경찰청에 신고해야 하는지 아니면 한국인터넷진흥원(이하 KISA)에 신고해야 하는지, 그 경계가 불분명해서 잘 모르는 경우가 간혹 있다. 기업에서 침해사고 또는 어떤 보안상의 문제가 발생했을 때 수사기관보다는 KISA를 먼저 찾는 경우가 흔히 있다. 수사기관에 바로 수사 의뢰를 하는 경우 보다는 보통 민간 기관인 KISA에 먼저 도움을 요청하는 것이 일반적인 현상인 것 같다. 그래서 KISA 도움을 요청해서 1차적인 도움을 받고 그래도 해결이 되지 않거나 범죄가 명백한 경우 KISA는 피해업체로 하여금 수사기관에 사건을 의뢰하도록 안내를 해주고 있다.
즉, KISA는 주 업무가 침해사고가 발생했을 때 사고대응을 함에 있어서 원인파악과 예방, 재발방지에 무게 중심을 두고 업무를 하는 기관이기 때문에 상황파악과 원인파악을 먼저 하고 조치사항을 권고해주고 사고가 심각한 상황이면 수사기관에 의뢰를 하는 것이 좋겠다는 안내를 해준다.
그리고 수사기관은 피해예방과 재발방지를 위한 역할도 수행하고는 있지만 그 보다는 경찰의 업무자체가 발생한 범죄의 해결과 피의자 검거이기 때문에 그 쪽에 무게중심을 더 두고 업무를 하는 기관이다. 그래서 침해사고에 대한 예방이나 재발방지에 대한 업무는 KISA의 고유 업무이므로 그쪽에 맡긴다. 물론 수사업무를 진행하는 과정에서 피해예방이나 재발방지에 대해서도 알려주지만 범인을 잡아서 또 다른 범죄의 발생을 막고 근원을 차단하기 위해서는 피의자 검거에 주력할 수 밖에 없다. 송재훈 기업 보안담당자들은 타사에서 발생한 보안사고 사례에 대해서 어떤 판결이 났고 피해 기업은 어떻게 됐는지 궁금한데 이러한 정보를 찾기가 어렵다. 언론을 통해서 피의자가 검거됐다는 것은 알 수 있는데 그 결과가 구체적으로 어떻게 됐는지는 알 수 없다. 그래서 나중에 자료를 구하기도 하고 수사기관 등에 자료를 요청해보지만 어렵운 실정이다. 기업의 보안담당자들이 이러한 타사의 보안사고 사례와 판례를 볼 수 있는 방법은 없을까? 정석화 사회적 이슈가 되는 중요한 사건 재판의 경우는 1심 재판부터, 2심, 3심 모두가 다 중요한 재판이 된다. 모 기업의 경우에도 1심이 진행됐고 이제 항소심이 진행되고 있는데 1심 판결이 큰 파장을 일으켰고 이슈가 됐다. 이처럼 어떤 사건에 대해서 형사재판이든 민사재판이든 사건 자체가 중요한 것은 언론 등을 통해서 공개가 된다. 또는 어떤 사실에 대하여 원고, 피고가 첨예하게 대립하는 사안으로 3심까지 가는 경우 대법원 판례가 중요한 의미를 갖고 있기 때문에 언론을 통해 보도되는 경우도 종종 볼 수 있다.
그렇지만 일반적인 사건의 경우에는 대법원까지 가는 경우가 많지 않다. 1심이나 2심 재판에서 끝나는 경우가 대부분이고 사건 수사과정에서 언론에 보도가 이루어진 경우 외에 특별한 변화가 없는 이상 재판 결과만을 다시 언론에 거론하는 것을 거의 보지 못한 것 같다. 또 수사관들도 많은 사건을 수사하다 보니 담당수사관이 검찰에 수사결과를 송치하면 그 피의자가 어떤 판결이 났는지 궁금하기도 하지만 일일이 기소 과정과 재판 과정을 다 챙기지 못하는 경우가 있다. 불구속 송치 사건은 판결까지 보통 수개월이 소요되는 경우가 허다하기 때문에 송치 이후의 모든 과정을 실시간으로 파악하는 것은 어려운 일이다. 그래서 수사관들은 보통 몇 개월이 지난 후에 담당했던 사건의 판결 결과에 대하여 알아보는 것이 일반적이다. 금전적 목적의 해킹과 정보유출 늘고 있어 송재훈 해킹의 목적을 보면 예전에는 자신의 실력 과시용으로 해킹을 했는데 최근엔 대부분이 금전적인 목적을 갖고 해킹해 정보를 빼내간다. 이러한 사건을 볼 때 보안담당자의 시각에서는 기술적인 부분만 보이는데 수사관들이 보면 조직이나 사건의 유형, 형태를 볼 수 있을 것 같다. 만약 어떤 보안사고 사례를 묶어서 사건의 유형과 형태를 분석한 내용들을 기업 보안담당자들에게 알려준다면 많은 도움이 될 것 같다. 사실 악성해커들이 기업 정보를 빼내서 어떻게 거래를 하고 유통시키는지 또 기업은 어떤 피해를 입고 그 파장이 얼마나 커지는지 등을 기업 보안담당자들이 알면 보안사고에 대처하는데 많은 도움이 될 것인데 이러한 부분이 미흡하다. 정석화 사건의 큰 줄기에서 중요한 부분은 언론에 공개가 되는데 모든 것이 다 언론에 공개되지는 않는다. 예를 들어 해킹하는 과정과 수법, 취약점에 대하여 상세하게 공개할 수는 없는 것은 너무도 당연하다. 너무 상세하게 알려지게 되면 모방 범죄가 발생할 수도 있기 때문에 경찰의 입장에서는 사건을 언론에 공개할 때 여러 요소들을 종합적으로 판단하고 다른 부작용이 있을지 없을지를 심사숙고한 후에 공개한다. 이러한 이유로 사건의 세세한 모든 사항을 공개할 수 없다는 점을 알아줬으면 좋겠다. 송재훈 수사관들이 다양한 사건을 접하다 보면 하나의 트렌드가 보일 것 같다. 하지만 개별적으로 공격을 당하는 기업 입장에서 보면 최신 공격이나 보안위협의 트렌드를 알 수가 없다. 그래서 기업 보안담당자들에게 오프라인이나 협회 등을 통해서 최근의 보안사건 트렌드나 해킹 공격의 유형 등을 공개하면 보안위협에 대응하는데 많은 도움이 될 것 같다. 정석화 사건의 유형이나 트렌드 같은 것들은 각 기관에서 개최하는 컨퍼런스나 세미나 등의 강연 요청을 받으면 이 같은 내용들을 발표하고 있다. 특히 기업에서 가장 중요하게 생각하는 것이 개인정보, 고객정보이기 때문에 개인정보유출에 관한 주요 사건에 대한 수사 경험들을 많이 공개하고 있다.
기업의 정보유출 사건은 해킹으로 빠져나가는 경우와 내부적으로 빠져나가는 경우 두 가지가 있다. 내부유출의 경우 회사 직원이 다른 마음을 먹고 고객정보를 빼내가는 경우와 회사차원에서의 영업 마케팅을 목적으로 별도로 회사의 고객정보를 가지고 있는 경우도 있다. 의외로 해킹 사건으로 인한 개인정보 유출 이외에 내부소행에 의한 개인정보 유출 사고가 적지 않다.
내부의 접근 권한자가 정보를 빼내는 것은 외부 해커가 정보를 빼내가는 것을 파악하기 보다 훨씬 더 어렵다. 또 모 대기업 고객정보유출 사건의 경우 접근권한이 있는 자회사 직원이 내부 접근 권한을 가지고 정보를 빼낸 사건이었다. 이 외에도 잘 알려지지 않은 사건들이 많이 있는데 특히 다니던 회사를 퇴사하면서 정보를 유출하는 경우가 있다. 예를 들면 모 회사에서 개인정보 DB관리를 다른 회사에 위탁하였는데 위탁받은 업체의 직원이 퇴사할 때 개인정보를 유출하여 FTP 서비스로 전송한 사건이 발생한 적이 있다.
그리고 어떤 기업의 소프트웨어 개발자가 업무상 개발한 프로그램은 그 저작권을 회사가 가지고 있음에도 퇴사 및 다른 회사로 이직하면서 프로그램 소스를 복사하여 가져가는 경우도 흔히 발생하고 있어 이전 회사에 심각한 피해를 주는 경우도 있다. 송재훈 수사업무를 하는 입장에서 이와 같은 사고 사례를 많이 알고 있으면 기업의 보안담당자들에게 많은 도움을 줄 수 있을 것이다. 그동안의 경험을 토대로 기업 보안담당자들에게 도움이 될 수 있는 이야기를 해주면 좋겠다.
해킹은 사실 기업이나 개인, 누구나 당할 수 있다. 아무리 보안 관리를 잘해도 알려지지 않은 신종 취약점을 공격해 해킹을 한다는 조건에서는 100% 막을 수 없는 것이다. 특히 웹서버는 공개되어 있기 때문에 이에 대한 공격이 가장 일반적이다. 요즘 기업을 대상으로 한 해킹사건의 90% 이상은 웹서버를 통해서 이루어진다. 웹 서버를 통해야만 뒤에 있는 DB서버까지 공격이 가능하기 때문이다.
그리고 해킹을 당한 다음에 기업은 정보가 빠져나가는 것에 대해서 막을 수 있는 준비가 되어 있어야 하는데 그렇지 않은 경우를 많이 보곤 한다. 왜냐하면 대부분이 외부에서 내부로 들어오는 트래픽만 방어하는 것에 치중한 나머지 해킹이 이루어진 후 내부에서 외부로 빠져 나가는 유출행위에 대한 대책은 마련하지 않았기 때문이다. 이러한 시도는 충분히 감지가 가능하기 때문에 유의해야 한다. 해킹의 목적은 해킹 그 자체가 아니라 개인정보 유출이라는 또 다른 목적이 있다는 것을 명심해야 한다.
이러한 웹서버를 통한 해킹, 예를 들어 역접속, 이를 리버스 커넥션이라고 하는데 해킹을 당한 이후에 해킹 당한 시스템을 통해서 어떤 정보가 외부로 나가려는 것을 막을 수 있는 보안정책을 마련해야 하는데 예전의 해킹 사례를 보면 이와 같은 정책이 되어 있지 않았던 것 같다. 또한 서버는 사람이 사용하는 PC가 아니고 다수에게 서비스를 제공하기 위해서 운영하는 것인데 이 서버가 평상시에는 인터넷 방향으로 먼저 세션 요청을 하는 경우가 거의 없다.
다시 말해서 윈도우 업데이트와 같은 특별한 경우를 제외하고는 이러한 경우는 거의 없다. 그래서 방화벽 같은 보안 시스템에서 정책을 세울 때 서버에서 외부로 나가는 세션(아웃바운드)을 모두 차단해야 한다. 웹 서버나 DB 서버들은 모두 이러한 공통점을 갖고 있다는 것을 알아둬야 한다.
그리고 악성해커들은 보통 공격 대상이 된 웹서버를 해킹할 때 임의의 시스템 명령을 수행할 수 있도록 하기 위해서 웹셀(Web Shell)이란 것을 설치하려고 노력하는 공통점이 있다. 따라서 웹페이지가 있는 경로에 웹셀과 같은 비정상 파일이 설치되었는지에 대하여 모니터링 할 수 있어야 한다.
아울러 일정 용량 이상의 데이터가 짧은 시간 동안에 외부로 전송되는 것을 감지하고 차단할 수 있도록 정책을 세우는 것도 좋다. 과도한 아웃바운드 패킷이 비정상적으로 발생할 경우에는 관리자에게 경고를 해서 즉시 원인 파악을 하는 것이 중요하다. 또 업무적으로 개인정보 접근권한을 갖고 있는 부서에 대해서는 이 부서를 관리·감독하는 감사부서를 두어 이원화 시켜야 하고 감사를 위한 로깅을 하고 로깅정보는 감사부서만 볼 수 있도록 해야 한다. 이렇게 하지 않으면 내부 보안사고가 일어날 가능성은 항상 잠재되어 있다. 각 사이트별 동일한 ID와 PW 사용이 문제 송재훈 예를 들어 영세한 업체나 보안 전문가가 없어서 제대로 보호조치를 하지 못하는 업체가 해킹을 당해서 악성해커가 협박을 하거나 이를 판매한다는 연락을 받고 있다고 가정한다면 이 기업의 보안담당자는 이를 어떻게 해야 하는가?
정석화 법이 바뀌기 전에는 개인정보를 유출해 제3자에게 넘겼다면 개인정보를 제공한 사람은 당연히 처벌되지만 이 개인정보를 받은 사람은 처벌할 수 없었다. 하지만 현재 시행중인 ‘정보통신망이용촉진및정보보호등에관한법률’에서는 개인정보를 제공한 사람과 제공받은 사람이 모두 처벌을 받게 된다. 따라서 개인정보 거래시 유통 과정에 있는 모든 대상자들이 처벌될 수 있다. 이러한 기업의 고객정보를 빼내서 사고 팔거나 기업을 협박하는 행위는 사회적으로도 매우 심각한 범죄이다. 개인정보 유통을 근절하는 가장 좋은 방법은 시간이 좀 걸리더라도 수사기관에 신고해서 개인정보 추가 확산을 방지하는 것이 가장 좋은 해결책이다.
정석화 디지털 정보는 그 자체가 원본인지 사본인지 구별하기가 어렵다. 수사과정에서는 파일이 저장된 상황이나 정황을 면밀히 살펴보고 증거가 되는 파일들의 속성 정보 등을 고려해 원본이나 사본 등을 구별한다. 디지털 매체에 저장된 파일은 최초 생성시간, 수정·변경시간, 액세스 시간 등의 정보를 가지고 있다. 이와 같은 정보와 사고발생 시간 등을 상호 비교하여 분석하고 기타 다른 정보들을 종합적으로 분석해 검토하게 되는데 그렇다고 하더라도 사실 정확한 판단은 굉장히 어려운 작업이다. 송재훈 중국 사이트에서 국내 유명 사이트 등의 개인정보가 많이 거래된다고 하는데 이 거래되는 정보가 우리나라의 특정 사이트의 개인정보가 아닐 수도 있다는 생각이 든다. 여러 곳의 개인정보를 짜집기해서 유명 국내 사이트의 개인정보라고 판매할 수도 있을 것이다. 정석화 우리나라 사람들 대부분은 각 사이트 마다 동일한 ID와 PW를 사용하고 있다. 이는 자기가 이용하는 여러 개의 사이트별로 각각 다른 ID와 PW를 사용한다면 관리하기도 어렵고 잊어버리기도 쉽기 때문이다.
이 때문에 중국의 악성해커들이 판매하는 우리나라 유명 사이트의 계정정보나 개인정보는 대부분 유명 포털사이트를 해킹해서 빼낸 정보가 아니라고 볼 수 있다. 이러한 정보들은 대부분 국내 사이트 중에서 소규모이고 취약한 사이트를 해킹해서 빼낸 정보들을 모아 놓은 것이다. 전문적인 해킹지식이 없어도 공개되어 있는 간단하고 다양한 해킹 툴을 이용해 취약한 사이트의 정보를 빼내는 것은 어려운 일이 아니다. 이렇게 빼낸 정보를 가지고 국내 유명사이트에 일일이 ID와 PW를 넣어보면 대부분 일치하기 때문에 이를 국내 유명 사이트의 고객정보라고 속여 판매하는 경우가 종종 있다. 이는 정확히 말하면 계정을 도용하는 것이지 실제로 그 유명 사이트를 해킹해서 빼낸 정보가 아니다.
현재 국내의 법은 주민등록번호나 계좌번호, PW와 같은 민감한 정보는 모두 암호화해서 저장하도록 의무화하고 있기 때문에 이를 이행하지 않고 침해사고가 발생하면 앞서도 언급한 것처럼 형사 입건될 수 있다. 즉 고객정보 유출로 인한 해킹 피해자이면서 동시에 피의자가 될 수 있다. 때문에 국내 대부분의 기업에서는 이를 잘 준수하고 있는 것으로 알고 있다. 송재훈 이에 대해 기업의 담당자들도 개인정보보호를 굉장히 민감하게 생각하고 있다. 개인정보보호와 관련해서 법도 강화됐고 처벌도 강화됐기 때문에 이에 대한 보안을 강화하는 방향으로 담당업무를 진행하고 있다. 이렇게 기업의 입장에서는 많은 노력을 하고 있지만 100% 완벽한 보안을 위해 노력해야 한다는 것에 많은 스트레스를 받고 있는 것도 사실이다. 이렇게 해도 보안사고가 발생한다면 기업 보안담당자들에게는 무한한 책임이 따르게 마련이다. 보안담당자가 99%를 노력해도 1% 때문에 보안사고가 발생했다고 해서 책임을 무겁게 진다면 부담이 된다. 최근 모 기업의 판결은 그래도 보안에 대한 노력을 한 것을 인정해줘서 다행이라는 생각이다. 보안사고는 적절한 사전 대응이 최선 정석화 개정된 정통망법에는 기업이 개인정보보호조치를 위해 취해야 할 의무사항이 규정되어 있다. 최근 1심 판결이 난 모 기업의 경우처럼 고객정보가 유출되기는 했지만 개인정보보호를 위한 기술적 관리적 조치를 충분히 취했다는 점이 인정되어 배상책임이 없다는 판결에 이르게 된 점을 볼 때, 물론 아직 최종 판결은 나지 않았지만 이러한 판결 내용은 개인정보를 보유한 기업에게 잣대와 같은 역할을 하게 될 것으로 보인다.
하지만 기업은 이렇게 규제에 의한 조치 말고도 실질적인 보안조치도 필요하다. 법에 규정된 것만 이행한다면 민·형사처벌은 벗어날 수 있을지 모르지만 실질적인 보안은 오히려 허술해질 수 있다. 정통망법에도 “그 밖에 개인정보의 안정성을 확보하기 위해 필요한 보호조치를 취해야 한다”고 포괄적으로 규정하고 있다. 따라서 기업은 법에 규정된 형식적인 보호조치 이외에 실질적인 개인정보보호조치를 취해야 하고 많은 관심과 노력을 기울여야 한다. 송재훈 기업에서 보안사건을 수사 의뢰했을 때 언론의 기사가 원래 의도와 다르게 날 수 있다. 사건은 해결이 되는 것 같지만 고객들에게 엄청난 항의와 비난을 받기도 한다. 모 기업도 스스로 해킹피해 사실을 공개했었다. 당시에 고객들에게 엄청난 항의와 비난을 받았지만 한편으로는 잘했다는 목소리도 있었다. 하지만 이 기업이 보안을 위해 얼마나 많은 투자와 노력을 했고 어쩔수 없는 상황에서 해킹을 당해서 정보가 유출됐다는 사실이 정확하게 전달된다면 피해 기업도 비난받지 않고 범죄자들도 많이 줄어들 수 있을 것이라고 생각한다. 즉 기업에서 해킹으로 인해 정보유출의 피해를 입었을 때 득보다 실이 많으면 그 사실을 공개하고 수사를 의뢰하는 것은 어렵다. 정석화 사실 해킹은 사고 후의 대응이 더 어렵다. 무엇보다 사고 전에 예방하는 것이 더 중요하다. 앞으로 경찰은 사이버범죄를 추적하고 수사하는 능력과 기법을 지속적으로 개발하고 해외로부터 발생하는 범죄에 대해서 공조수사를 보다 활성화하고 효과적으로 추진하기 위한 노력을 아끼지 않을 것이다. 특히 중국과의 공조수사가 앞으로의 범죄 해결에 열쇠가 될 것으로 전망되는 만큼 활발한 교류협력을 다져나갈 계획이다. <진행 : 길민권 기자(editor@boannews.com) / 정리/사진 : 김태형 기자(is21@boannews.com)> [월간 정보보호21c 통권 제116호(info@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|
 |
정석화
송재훈