가짜앱 내세워 고객 개인정보 유출...사회공학적 기법 이용해 앱 설치 유도
LH아파트 CCTV 7만 2,000여 대 중 62%가 41만 화소 제품

[보안뉴스 원병철 기자] 국정감사가 진행되면서 보안과 관련된 다양한 소식들이 전해지고 있다. 해킹 등 사이버보안 사건은 물론 CCTV 등 물리적 보안 이슈 역시 국민안전에 직간접적으로 영향을 미칠 수밖에 없다. 문제는 매년 국정감사를 통해 이러한 지적들이 계속 나오고 있지만, 그 이후 어떻게 바뀌었는지 아무도 신경 쓰지 않는다는 점이다. 이번 국정감사에서는 지적된 문제들이 어떻게 해결되거나 보완되는지에 대한 사후감사도 반드시 진행되어야 할 것으로 보인다. 본지에서도 제기된 보안이슈들에 대한 지속적인 점검에 나설 예정이다.


국가종합조달시스템 ‘나라장터’ 해킹시도 심각...중국 경유한 공격 많아
한해 78조원이 넘는 계약규모를 자랑하는 국가 종합전자조달시스템인 나라장터에 대한 해킹시도가 지속적으로 증가하고 있으며, 특히 중국을 경유하는 시도가 많은 것으로 드러났다. 나라장터는 5만 2,000여 수요기관과 35만여 조달업체가 이용, 한해 78조원 상당(전체 공공조달 계약규모 116.9조원의 66.8%)의 계약규모를 자랑하는 초대형 공공 온라인 마켓이다.


이러한 나라장터에 2012년 이후 최근까지 총 5,148건의 해킹시도가 있었던 것으로 확인됐다. 해킹시도 유형별로 보면 웹 해킹 1,756건, 악성 봇 및 권한획득 1,456건으로 주를 이루고 있다. 해킹시도 발신 국가별로 보면 국내가 3,849건으로 가장 많았고, 중국 688건, 미국 205건이 뒤를 이었다.

그런데 이처럼 규모가 크고 해킹시도가 빈번한 나라장터 시스템을 보호하는 인력과 예산이 충분하지 못한 것으로 알려졌다. 조달청에 따르면 나라장터의 운영 및 유지보수는 외부에 위탁하고 있으며, 정보유출 등 보안 우려가 있는 입찰과 적격심사업무는 조달청에서 직접 관리하고 있다.

조달청의 정보보호 전담인력은 정보보안 2명, 개인정보보호 1명 등 총 3명인데다가 사이버보안 관련 예산은 2016년 31억 원에서 2017년 24억 원으로 되려 줄었다. 현재 조달청 사이버안전센터에는 시스템 운영인력 1명(위탁직원)이 81대의 장비와 41종의 소프트웨어를 운영하고 있다.

더불어민주당 김정우 의원은 “국가 종합전자조달 시스템의 계약 관련 각종 정보가 내외부 해킹 시도에 노출된다면 시스템 자체의 붕괴를 의미한다”면서, “과거 수요기관의 재무관 PC에 악성프로그램을 설치되어 입찰 예가가 노출되었던 사례를 거울삼아 시스템 보안에 각별히 신경을 써야 하며, 이를 위해 부족한 인원과 예산을 조속히 확보해야 할 것”이라고 지적했다.

스마트폰 노린 악성앱 극성...크롬에서 민원24까지 사칭해 개인정보 빼내
스마트폰에 일반적으로 많이 설치된 크롬, 플레이스토어, 민원24 등 유명 모바일 정상앱을 사칭해 개인 신상정보 등을 유출토록 하는 악성앱 분석건수가 크게 늘고 있는 것으로 드러났다. 16일 국회 과학기술정보방송통신위원회 소속 국민의당 신용현 의원이 한국인터넷진흥원(이하 KISA)로부터 제출받은 자료에 따르면 2015년 1,665건에서 2016년 1,635건, 올해는 7월 기준 1,887건으로 이미 지난해 수준을 넘어선 것으로 나타났다. 이 추세대로라면 올해에는 지난해보다 두 배 이상의 악성앱이 적발될 것으로 보인다.


신 의원은 악성앱의 경우 정상앱(크롬, 구글 플레이스토어, 민원24시, 은행뱅킹 앱) 등을 사칭하고 있어 이용자들이 악성앱 여부를 인지하기 어려운 상황이라고 지적했다. 특히, 신 의원은 “악성앱의 경우 설치 시 이용자의 전화번호, 문자메시지 관리, 저장소 조회, 위치정보 동의 권한을 요구하고 있으며, 정상앱으로 위장한 상태이기 때문에 이용자들이 쉽게 동의하는 경향이 있고, 이로 인해 비밀번호, 공인인증서, 등이 손쉽게 해커 등에게 유출되고 있다”고 설명했다.

또 해커들의 악성앱 유포 시 이용자 관심을 유도하도 하기 위해 ‘택배사칭’, ‘지인사칭’, ‘공공기관사칭’, ‘사회적 이슈’ 등 다양한 형태의 문자메시지를 이용하는 것으로 드러났다. 이에 신용현 의원은 “이용자들의 각별한 주의가 필요하다”고 당부했다.

이에 신용현 의원은 “과학기술정보통신부와 한국인터넷진흥원 등의 정부당국은 사진, 비번, 공인인증서 등과 같은 민감한 개인정보 보호를 위해 악성앱 단속을 강화하고 과도한 기기권한 요구를 막을 수 있는 방법을 강구해야 한다”고 강조했다.

LH아파트 CCTV의 62%, 차량번호 식별도 안 되는 41만 화소
국토교통위원회 주승용 의원(국민의당)은 우리나라 공공주택의 대부분을 차지하는 LH 아파트의 CCTV는 절반 이상이 있으나마나 한 저화소 CCTV라고 지적했다. 보안업계에서는 일반적으로 사람의 얼굴과 자동차 번호판을 식별할 수 있는 방범용으로 제 역할을 할 수 있는 CCTV는 일반적으로 100만 화소 이상은 되어야 한다고 말한다. 100만 화소 미만의 저화질 장비로는 특히 야간에 식별이 거의 불가능하다.


그런데 전국의 LH 아파트 926개 단지에 현재 71,955대의 CCTV가 설치돼 있는데, 이 중 61.8%인 4만 4,466대가 차량번호도 식별 안 되는 41만 화소의 저화소 CCTV다. 또 130만 화소는 1.8%인 1,305대가 설치돼 있고, 200만 화소의 CCTV는 36.4%인 2만 6,184대 설치돼 있다.

이에 대해 주 의원은 주민 편의와 안전을 위한 시설은 매우 시급하게 대처해야 하는데, LH는 2016년 당기순이익이 발생하자 배당금으로 4,500억 원을 배당했으나, 주민들의 안전과 편의를 위한 CCTV 설치에는 2016년에 264억 원밖에 집행하지 않았다고 지적했다.

주 의원은 “경비를 줄이고 이익을 늘려서 정부나 금융기관에 배당금을 많이 줄 것이 아니라 주민들을 위한 시설 설치에 더 많이 투자하는 것이 맞다”고 지적하면서 “어느 단지 주민들은 이미 고화질 CCTV로 방범 관리가 되는데, 어느 단지 주민들은 저화질 CCTV로 범죄와 안전에 취약한 상황에서 생활하는 차별을 받고 있다. 최대한 빨리 모든 CCTV를 200만 화소이상 고화질로 교체해야 한다”고 지적했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>