조명희 의원, 사이버 범죄 정보 유관기관 사이에 자동 공유하는 시스템 필요
전혜숙 의원, 기업의 고객정보 유출 예방 위해 기관에서 무료 백신 적극 알려야
김석환 KISA 원장, 모든 기기가 인터넷에 연결되는 만큼 새로운 취약점 대비 필요

[보안뉴스 이상우 기자] 과학기술정보통신위원회 2020년도 국정감사에서 사이버 범죄 증가와 대응 미흡에 관한 지적이 나왔다. 국민의힘 조명희 의원은 스미싱 범죄와 악성 앱이 빠르게 늘고 있는 가운데 피해액 누적도 1조 7,000억 원에 이르며, 특히 이러한 정보가 유관기관 사이에 제대로 공유되지 않고 있다고 말했다.


조 의원에 따르면 최근 활개치고 있는 전화 가로채기 같은 수법은 한국인터넷진흥원(이하 KISA)이 2016년에 파악해 보고서를 냈지만 KISA가 이를 금융위원회에 공유하지 않고 4년간 방치했으며, 올해 7월 감사에서 정보공유 미흡으로 지적받아 관련 자료를 수동으로 전달한 것으로 알려졌다. 이에 조 의원은 이러한 정보가 유관기관 사이에 자동으로 공유될 수 있는 시스템 구축을 당부했다.

전화 가로채기 수법은 범죄조직이 스미싱 등의 방식으로 피해자 스마트폰에 악성 앱을 설치하고, 스마트폰을 감시해 금융사나 경찰 등에 전화를 걸 때 이를 가로채 범죄조직에게 연결하는 방식이다. 일반적인 보이스피싱과 비교해 사용자가 직접 해당 기관으로 전화를 걸었기 때문에 피해자가 속기 쉬우며, 피해액 역시 일반 보이스피싱보다 10배 가량 크다.

KISA 김석환 원장은 “기술적으로 URL이 포함된 문자 메시지와 스미싱을 체크하고 있지만, 정보 공유가 미흡했던 부분은 사실이다. 시스템 자동화를 통해 정보가 실시간으로 공유되도록 하고, 관련기관 사이에 원활하게 협조할 수 있도록 하겠다”고 말했다.

더불어민주당 전혜숙 의원은 기업의 개인정보 유출에 관해 질의했다. 기업 해킹을 통해 유출된 개인정보는 다크웹 등을 통해 거래되고 있으며, 이러한 정보를 기반으로 보이스피싱 등의 범죄가 성행하고 있다는 설명이다. 특히, 국내 중소기업이 무료로 사용할 수 있는 방화벽과 백신이 있음에도 불구하고 홍보가 미비해 이를 활용하지 못한다고 지적했다.

과학술정보통신부 장석영 제2차관은 “다크웹을 일반적으로 모니터링 하는 것은 기술적으로 한계가 있는 만큼, 수사기관과의 정보공유를 통해 대응하고, 연구개발을 통해 추적할 수 있는 방안을 마련하겠다. 또한, 중소기업 개인정보보호 대책 역시 실효성을 가질 수 있는 방향으로 이어갈 것”이라고 말했다.

더불어민주당 정필모 의원은 자가격리 앱의 보안 문제 발견과 이에 대한 대응 미비에 대해 지적했다. 자가격리 앱은 사용자 개인정보 및 위치정보 등을 이용하는 만큼 정보유출에 관한 우려도 존재한다. 특히, 해당 앱 사용자가 불완전한 암호화로 데이터 탈취 가능성을 우려해 KISA로 제보했으나, KISA에서는 이를 미처 확인하지 못했던 것으로 드러났다.

이러한 지적에 대해 김석환 원장은 “공공앱 보안성 검증은 이미 시스템으로 갖춰져 있으나 이번 앱의 경우 급하게 진행하며 건너뛴 부분이 있다. 또한, 제보 시스템의 경우 공식 채널이 아니었던 만큼 이를 놓친 것이 사실이다. 향후 제보 시스템을 보완해 사고사례 관련 제보가 원활하게 진행될 수 있도록 하겠다”고 답했다.


더불어민주당 조정식 의원은 복합기를 공격하는 신종 해킹 수법을 공유하고 이에 대한 대응에 관해 질의했다. 최근 한 자영업자가 인터넷에 연결된 복합기를 사용하던 중 복합기 자체가 해킹돼 기기를 통해 국제전화에 연결된 사례다.

김석환 원장은 “모든 기기가 인터넷에 연결되면서 새로운 보안 취약점이 발생하고 해킹 위협이 높아지고 있다. 이번 사례의 경우 보안 업데이트를 진행했으며, 전국 정보보호지원센터를 통해 공유한 바 있다. 특히, 앞으로는 인터넷전화, IPTV 등 모든 기기에 대한 주의가 필요할 것으로 보인다”고 말했다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>