| 중국발 해킹사태! 국내외 정부·기업의 대응노력은? | 2013.04.25 |
한·미 양국 사이버보안강화 법안 추진 등 정부·기업 보안강화 노력
대표적인 기업보안 강화사례...SK컴즈, 보안문화 정착에 주력 올해 초 미국과 중국의 사이버전 위기를 초래한 미국의 거대 IT 기업의 연쇄 해킹사건 등으로 촉발된 중국발 해킹위협에 전 세계가 골머리를 앓고 있습니다. 사실 중국발 해킹으로 인한 피해는 국내가 더욱 심각하고, 이로 인해 국내 기업은 여러 가지 어려움을 겪고 있는 상황입니다. 이에 본지는 3회에 걸쳐 중국발 해킹의 피해실태와 이에 대응하는 국내외 기업 및 정부의 노력, 그리고 향후 추진해야 할 범국가 차원의 대책에 대해 고민해보는 시간을 갖고자 합니다. [편집자주] [연재순서] 1. 중국발 해킹으로 신음하는 국내외 기업 실상 2. 중국발 해킹에 대응하기 위한 국내외 기업 및 정부의 노력 3. 중국발 해킹, 범국가 차원의 대책이 필요하다!
그럼 이에 대응하기 위해 국내외 기업 및 정부는 어떤 노력들을 하고 있을까? 우선 미국은 지난 1월 페이스북에 이어 애플사가 잇달아 중국발 해킹으로 피해를 입으면서 해킹 시도만 해도 처벌하는 법안을 추진하며 사이버보안 강화에 적극적으로 나섰다. 지난 3월 25일(현지시간) 美 하원 사법위원회는 인터넷 해킹을 국가 안보에 중대한 위협 요인으로 규정해 처벌규정을 강화하고 선제 대응방안을 제시한 ‘사이버 안보 법안(Cyber Security Bill)’을 내놓았다. 강화된 사이버 안보 법안 내용을 살펴보면 해킹 시도만으로도 범죄행위와 동일하 게 처벌할 수 있도록 규정하고, 기업 정보를 해킹할 경우 법정 최고형 한도를 기존 15년에서 20년으로 상향 조정하겠다는 내용을 담고 있다. 또한, 통신, 전력, 원자력 등과 같은 중요 사회 인프라 시설의 정보를 해킹하거나 전산망 마비를 시도할 경우 美 법원은 최고 30년을 선고할 수 있는 내용을 규정하고 있다. 우리나라의 경우도 3.20 사이버테러를 계기로 청와대 내에 사이버안보 컨트롤타워를 신설하기로 했으며, 국회에서는 사이버테러방지법이 발의된 상황이다. 또한, 정부에서는 화이트해커 3천명을 육성하겠다는 계획을 발표하는 등 사이버테러 예방을 위한 일련의 움직임을 보이고 있다. 그러나 추진과정에서 여러 가지 논란과 실효성 문제가 제기되고 있는 등 사이버테러의 진원지로 지목받고 있는 중국발 해킹에 대해 국내 기업을 보호하기 위한 조치로는 미흡하다는 지적도 적지 않다. 이에 실제 중국발 해킹 피해를 입은 기업을 중심으로 자체적인 보안강화 노력에 적극 나서고 있다. 그렇다면 중국발 해킹에 대비하고, 정보보호 강화를 위해 기업들은 어떤 노력을 하고 있을까? 본지는 그 대표적인 예로 SK커뮤니케이션즈(이하 SK컴즈)의 경우를 살펴봤다. SK컴즈는 보안문화실을 별도로 두고 구성원들의 보안의식을 기업의 문화로 정착시키기 위해 활발한 활동을 펼쳐나가고 있다. SK컴즈의 이경아 팀장은 본지와의 인터뷰를 통해 무엇보다 조직 내부 구성원의 보안의식이 중요하다고 강조했다. [인터뷰] 이 경 아 SK컴즈 보안문화실 보안문화팀장 “보안은 구성원의 보안의식 강화 통해 기업문화로 정착돼야”
포털사이트이다 보니 보안의 중요성은 해킹사고 이전부터 인식하고 있었어요. 특히, 사용자의 인터넷 PC를 경유해서 서버에 접근하는 방식 등 날로 해킹수법이 지능화되고 고도화됨에 따라 저희는 기술적인 측면을 더욱 보완하기 위해 노력해 왔죠. 해킹사고 직후인 2011년 8월에 저희는 회원DB에 저장된 주민번호를 모두 파기하고, 회원가입 시 입력하던 주민번호 수집을 중지했어요. 이점은 업계 최초로 시도한 부분이라 이후 동종업계에서도 영향을 받아 시행한 것으로 알고 있습니다. 고객 관점에서 볼 때 개인정보 수집을 최소화 하는 게 낫겠다고 판단해 회사는 회원가입에 따른 개인정보 수집 최소화에 주력했던 겁니다. 암호화 관점에서도 법에서 정한 개인정보 항목 외에 저희는 내부적으로 그 기준을 확대해 휴대번호, 이메일, 집주소 등 개인정보 피해를 유발할 수 있는 모든 정보는 암호화하도록 조치를 취했습니다. 또한, 2012년 3월에는 SOC(Security Operation Center) 센터를 구축해 회원DB에 접근을 제한하도록 물리적 분리조치를 완료했고, 포털사이트 특성상 고객에게 서비스하는 사항 중 회원정보를 추출해야 하는 경우에는 보안조직이 해당 자료를 추출해서 전달하는 등 자료 입·출력을 엄격히 제한하는 조치를 취하고 있습니다. 기업 입장에서 본다면 법적 기준에만 맞춰도 될 수 있었을텐데 확대 적용한 이유는 무엇인가요? 사실 저희도 내부적으로 정책을 시행할 때 기술적인 측면에서 ‘꼭 그렇게까지 해야 하나’라는 일부의 의견도 있었어요. 그러나 전체적인 정보보호 수준 강화와 향후 보안위협에 대비하기 위해서는 정보보호가 최우선이라는 회사 내부적인 판단 하에 진행하게 되었죠. 현재 SK컴즈의 보안조직은 어떻게 구성되어 있나요? 보안은 회사의 특성에 맞게 종합적이고, 전문적인 조직으로 정비돼야 하기 때문에 현재는 보안문화실이 운영되고 있어요. CFO(Chief Finance Officer) 조직 산하의 보안문화실은 정보보호 및 개인정보 정책을 종합적으로 수립하는 보안문화팀과 기술적인 보안 분석, 대책 적용에 힘쓰는 보안기술팀으로 나뉩니다. 그 밖에 세부적으로는 회원 인증·빌링 서비스를 관리하는 회원빌링기획부서, 회원 인증/빌링 서비스를 개발하는 회원빌링개발부서, 사용자들의 불편과 문의를 접수 및 대응하는 고객관리부서로 구성돼 있어요. 이러한 조직 구성은 기업보안에 대해 전반적으로 점검하고, 논의하며 유기적으로 결합시키는 데 큰 시너지 효과를 내고 있습니다. 그밖에 SK컴즈의 보안 개선사항을 듣고 최신 해킹 트랜드 등에 대한 정보 교류를 위해 보안강화 특별자문위원회를 구성, 운영중에 있습니다. 염흥열 한국정보보호 학회 前 회장을 위원장으로 학계·산업·법조계 등이 망라된 전문가들이 자문위원으로 참여중이며, 형식적인 자문이 아닌 SK컴즈의 보안활동 전반에 대해 상시적인 조언을 실시하고 있습니다. 뿐만 아니라 고객정보 보호 및 2차 피해 예방을 위한 대책, 2012년 주요 보안 위협 및 대응, 개인정보보호 관리 체계 등의 주제로 매 분기마다 자문위원회를 개최하고 있죠. 최근 이슈가 된 3.20사이버테러와 관련해 이상 징후가 감지된 적은 없었는지요? 피해 금융기관 외에 일부 금융기관은 사건 발생 하루전날 이상징후가 감지된 것으로 알고 있습니다만 SK컴즈는 어땠나요?
저희는 아무 이상 징후도 발견되지 않았습니다. 특히, 3.20 사이버테러와 관련해 유사한 공격 및 이상징후가 포착됐는지 확인하기 위해 공격패턴 등을 분석했지만 아무런 문제가 없었습니다. 그리고 이미 지난 1월 물리적인 망분리 조치를 완료했기 때문에 설사 공격이 감행됐더라도 PMS와 같은 중앙관리시스템의 피해를 예방할 수 있었으리라 봅니다. 기술적 보안조치 외에 특별히 보안사고 예방과 정보보호 수준 향상을 위해 노력하고 있는 점은 무엇인가요? 기술적으로 악성코드 등을 탐지해 내는 것도 중요하지만 무엇보다 회사 조직구성원들의 보안인식이 가장 중요합니다. 이를테면 안전하지 않은 특정 웹사이트를 방문하지 않거나, 허가되지 않은 프로그램을 설치하지 않는 등 스스로의 보안인식이 무엇보다 중요한거죠. 따라서 저희는 사내교육의 일환으로 피싱테스트를 매년 2회 정도 진행하고 있습니다. 악성코드에 감염될 수 있는 메일 발송, 제로데이 형식의 공격 테스트 등을 실시하는 것이죠. 물론 직원들의 관심을 유도하기 위해 포상제도를 두고 진행하고 있습니다. 뿐만 아니라 의심스러운 메일을 받았을 때는 즉각적으로 보안문화실에 신고하도록 하는 교육도 빼놓지 않고 있죠. 임직원 교육을 통해 실질적인 사전예방 효과를 거둔 적이 있었나요? 정기적인 교육으로 직원들의 사전예방 인식이 높아졌을 뿐 아니라 실제 악성코드 이메일을 받은 한 직원이 즉각 보안문화실에 정상메일이 맞는지 요청한 적이 있습니다. 분석결과 악성코드가 발견돼 사내예방 교육이 얼마나 중요한지 뼈저리게 느낄 수 있었죠. 그만큼 직원들의 보안의식이 중요하다는 의미입니다. 그렇다면 사용자 관점에서 보안강화에 초점을 맞추는 부분은 무엇인가요? 우선 사용자에게 특정사항에 대해 정확하게 알리는 것이 가장 중요합니다. 위험이 노출되면 웹페이지에 게재하고, 피해 예방을 강화하기 위해 네이트 보안센터를 오픈해 지원하고 있으며, 개인정보보호 관리페이지 운영을 통해 개인정보에 대한 자기결정권을 높이고 자신의 보안상태를 손쉽게 점검하도록 하고 있습니다. 또한 사용자에게 보안과 관련한 다양한 정보를 제공하기 위해 뉴스레터를 주기적으로 발송하고 있죠. 인터넷 메신저인 네이트온에서의 금전사기도 중국발이 많기 때문에 대화상대자가 중국 IP로 확인되면 경고 문구를 네이트온 창에 띄워요. 이는 국가별 IP 식별이 가능한데 따른 것으로, 이를 통해 사용자에게 주의를 당부하며 경각심을 갖도록 하는 것이죠. 이점은 기업의 대표적인 보안조치로 인정받아 경찰청에서 감사패를 받기도 했습니다. 싸이월드의 경우, 도토리와 같은 전자결제가 이용되기 때문에 금전적 피해를 예방하기 위해 명의도용 징후 또는 이상 패턴이 감지되면 바로 본인확인절차를 거친 후 로그인이 가능하도록 제한을 두고 있어요. 포털사이트 사용자 입장에서 주의해야 할 점은 무엇인가요? 인터넷을 사용하다 보면 사용자는 여러 사이트에 접속하게 되는데, 접속한 사이트 중에는 안전성에 취약한 사이트들이 많습니다. 특히, 중국발 해킹의 경우 이미 탈취한 개인정보의 아이디나 패스워드를 대입하거나 조합하는 형식이 많기 때문에 각별히 주의해야 하죠. 따라서 여러 사이트에서 각각 다른 아이디와 패스워드를 사용하고, 자주 바꿔줘야 사전예방에 도움이 될 수 있습니다. 향후 SK컴즈가 추구해 나갈 보안정책의 방향은 무엇인가요? 각종 보안정책을 수립하고 추진하는 데 있어 정책전문 인력과 기술전문 인력을 50:50 비율로 참여시키고 있습니다. 그래야 실질적인 보안이 구현되도록 효과적인 정책을 세울 수 있기 때문이죠. 다만, 보안조직이 전반적인 보안정책을 수립·관리하며 지원할 수는 있어도 모든 보안을 책임질 순 없습니다. 무엇보다 각 구성원별로 현업에서 주어진 보안의 역할을 충실히 수행해야 하는 것이죠. 특히, 직원들의 보안의식 제고를 위해서는 책임이 뒤따르기 때문에 보안수칙 이행과 관련해서는 인사고가에 반영하는 등 보안의식이 향상될 수 있도록 지속적으로 노력하고 보완할 방침입니다. [김경애 기자(boan3@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
[보안뉴스 김경애] 중국발 해킹으로 미국과 우리나라 정부 및 기업의 피해가 갈수록 늘어나고 있다. 이에 본지는 특별기획의 첫 번째 순서로 중국발 해킹으로 신음하는 국내외 기업의 피해실태를 진단한 바 있다. 