LG전자의 호주 웹사이트가 작년 10월 해킹을 당했다. 국내 한 유명 언론사는 지난 6월 비슷한 사건을 겪었다. 둘 다 홈페이지 첫 화면이 ‘××(해커명)가 해킹했다’는 메시지가 뜨도록 변경됐다.

“데이터베이스(DB) 보안이 생명인 대기업이나 언론사조차 해킹을 당하는 경우가 발생하고 있습니다. 여러분이 일하고 있는 회사도 아마 한두 번은 해킹에 노출된 적이 있을 것으로 예상됩니다. 더 큰 문제는 해킹이 단순히 홈페이지가 엉뚱한 모습으로 바뀌는 데서 끝나지 않는다는 것입니다. 회사 DB가 외부에 활짝 공개돼버릴 수도 있고, 내용이 뒤죽박죽이 될 수도 있습니다. 그런 상황에서 회사는 무엇이 어떻게 피해를 입었는지 파악하는 것조차 쉽지 않습니다.”

KAIST 경영대학 최고경영자과정(AIM) 가을학기 열 번째 시간. 김병천 KAIST 경영대학원 금융통계분석·정보보안 교수는 사이버 보안의 중요성과 개인·기업 수준의 대비법에 대해 강의를 진행했다. 김 교수는 올해부터 신설된 KAIST 금융대학원 원장을 겸하고 있다.

○비밀번호만 수시로 바꿔도 위험↓

최근 국정감사에선 국회 국방위원회와 외교통상위원회 소속 38명 의원들의 사무실 컴퓨터가 해킹돼 지난 5년간 1000여건의 정보가 유출된 것으로 밝혀지기도 했다. 대부분 이메일 비밀번호가 해킹됐던 것으로 전해졌다.

“인터넷을 쓰다 보면 비밀번호를 바꾸라는 메시지가 끊임없이 뜨죠. 하지만 저부터도 귀찮아서 바꾸지 않을 때가 많습니다. 해커들뿐 아니라 일반인들도 생년월일, 전화번호 등을 통해 패스워드를 유추하기가 어렵지 않습니다. KAIST 학생들은 교수들이 쓰는 비밀번호도 공개된 정보들을 조합해 구해내더군요. 가장 안전한 길은 PC를 안 쓸 때 전원 코드와 인터넷 연결 선을 뽑아버리는 겁니다. 그러면 비밀번호를 안다고 해도 외부에서 내 PC를 조작할 수가 없게 되니까요.”

하지만 요즘은 아이패드 등 태블릿PC를 갖고 다니면서 외부에서 사무실 PC와 연동시켜 작업을 하는 경우가 많기 때문에 사무실 PC를 일상적으로 켜놓는 경우가 많다. 결국 비밀번호를 자주 바꾸는 것이 해킹의 위험을 줄이는 길이라는 것이 김 교수의 설명이다. 보안 업데이트 역시 필수다.

○공짜’를 타고 퍼지는 악성코드

“가수 싸이의 강남스타일이 인기를 끌면서 이 노래 뮤직비디오에 악성코드를 담아서 공짜로 배포하는 사례가 급증하고 있습니다. 주로 중국에서 운영되는 사이트들이죠. 일단 악성코드가 설치되면 PC의 속도가 느려지기 시작합니다. 그리고 내 PC의 정보들을 하나하나 해커들에게 전달합니다. 더구나 분산서비스거부(DDoS) 공격 같은 상황이 발생할 때 내 PC가 동원되는 경우까지 당하게 됩니다.”

스마트폰 사용자가 늘어나면서 휴대폰을 통해 악성코드를 전염시키는 사례도 늘어나고 있다. 휴대폰이 악성코드에 감염되면 전화번호를 포함한 개인정보가 노출되기 때문에, 보이스피싱 범죄 피해를 입기 쉽다. 자식이 해외 출장이나 군 입대 등으로 연락이 어려운 상황을 이용해 부모에게 사기를 치는 것이다.

“여러분, 보안을 위해 공인인증서를 많이 쓰죠? 우선 알아두셔야 할 것은 국내에 단 5개 기관만 공인인증서를 발행할 수 있다는 것입니다. 금융결제원, 한국정보인증, 코스콤, 한국전자인증, 한국무역정보통신입니다. 또 중요한 것은 공인인증서에 개인정보가 들어 있다는 것입니다. 많은 사람들이 인증서를 하드디스크에 보관하는데, 나중에 PC를 바꿀 때 일반 포맷하는 것으로는 부족합니다. 반드시 하드디스크 자체를 파기하거나 로포맷(완전 초기화)을 해야 합니다. 만약 USB 같은 휴대저장장치에 인증서를 넣고 다니다가 잃어버리면 118로 전화해서 분실신고를 해야 하죠.”

○핵 개발을 위해 개발된 인터넷

“인터넷이 지금은 ‘모든 것이 인터넷에 있다’는 말이 나올 정도로 발달했습니다. 발달한 만큼 위험성도 커졌죠. 고객 정보 유출, 회사 DB 파괴, 서비스 중단 등 기업가는 갖가지 문제에 대비해야 합니다. 우선 인터넷의 기원부터 살펴보죠.”

인터넷은 1969년 미국 국방부의 고등연구계획국(ARPA)이 주도해 만든 ARPA넷을 시초로 본다. 캘리포니아대 로스앤젤레스와 샌타바버라 캠퍼스(UCLA, UCSB), 스탠퍼드대, 유타대 등 네 개 대학이 ARPA넷 구축에 참여했다.

“ARPA넷을 구축한 진짜 이유는 핵 개발이었습니다. 몇 대 없는 수퍼컴퓨터를 미국 전역에서 활용하기 위해 각 지역의 컴퓨터를 연결하는 망(網)이 필요했던 것이죠. 때문에 1980년대 초반까지 인터넷 기지가 이웃인 일본 도쿄대에도 구축되는 등 전 세계 50여곳으로 늘어날 때까지 한국은 인터넷에서 소외됐습니다. 그러다가 미국과학재단이 인터넷의 통신 기능을 분리해 발전시키기 시작하면서 한국도 1986년 인터넷에 접속하게 됩니다.”

한국에서 인터넷 기지가 구축된 곳은 KAIST, 포항공대, 전자통신연구원, 한국통신 등 네 곳이다. 이 기지들이 미국 하와이대를 통해 미국 인터넷망에 접속하는 방식으로 인터넷이 들어섰다. 서울대는 같은 해 IBM이 개발한 상업용 전산망인 BIT넷을 활용해 인터넷에 접속하기 시작했다.

“KAIST와 포항공대 학생들은 그야말로 신이 났습니다. 인터넷을 통해 세계를 본 것이죠. 세계 곳곳 인터넷 기지 서버를 해킹하며 실력 자랑에 나섰습니다. 한 번은 KAIST 학생들이 호주 국립대를 해킹했다가 NASA에 꼬리를 밟히기도 했습니다. NASA에서 KAIST 교수들에게 경고 메시지를 날리기도 했죠. 이렇게 지역의 서버와 서버를 연결해 가상 공간을 만든 것이 인터넷입니다. 전 세계 전산망이 얽혀 있기 때문에 보안의 중요성이 더욱 커지고 있습니다.”

○회사 백업 서버 수시로 점검해야

작년 4월 금융회사인 현대캐피탈과 NH농협은행이 연달아 해킹당하는 사건이 일어났다. 현대캐피탈은 175만 고객 정보가 유출되는 대형 사고였지만, 해커가 붙잡혔고 피해 규모도 파악돼 그나마 다행이었다는 것이 김 교수의 분석이다.

“NH농협은행의 경우는 전산 장애로 전체 금융업무가 마비되는 심각한 사태였습니다. 누구의 소행인지도 명확히 밝혀지지 않았죠. 결국 북한의 소행이라는 당국의 발표로 마무리되긴 했지만, 관련 업계에선 완전히 믿지는 못하겠다는 반응이었습니다. 더 큰 문제는 어떤 정보가 파괴됐다거나 유출됐는지에 대해 아무도 모른다는 겁니다. NH농협은행이 명확하게 발표하지도 않았지만, 해킹의 특성상 피해자가 피해 규모를 제대로 파악하기가 어렵기 때문입니다.”

김 교수는 NH농협은행 사건에서 전산망이 정지될 때 백업 서버가 왜 가동하지 않았는지에 대해서도 의문을 제기했다. “악성코드에 감염된 서버들에 공격 명령이 떨어진 것이 작년 4월12일입니다. 전체 마비가 됐다가 창구 거래, 자동화 기기 순으로 복구됐죠. 하지만 신용카드 등 전체 서비스가 완전히 재개된 것은 같은 달 30일입니다. 백업이 제대로 돼 있었다면 잠깐 전산망이 중단됐다가 복구됐을 텐데 말이죠. 많은 전산망 구축업체들이 백업 시스템이 확실하다는 걸 영업 전략으로 내세우지만, 실제로 백업 서비스가 되고 있는지는 한 번씩 점검해 봐야 하겠습니다.”


○진화하는 사이버보안 위협

“정보 보안의 위협 형태도 계속 바뀌고 있습니다. 예전에는 전화를 도청하는 것처럼 네트워크에 침입해서 정보를 빼내는 형태가 많았죠. 요즘은 유명한 기업 등을 사칭해서 개인 정보를 빼내는 피싱 수법이나 DDoS 같은 공격이 나타나고 있습니다.”

DDoS는 여러 대의 PC에 악성코드를 심은 뒤 그 좀비PC들이 공격 대상 서버에 서비스 요청을 하고, 작업을 멈춰 서버를 대기 상태로 만드는 단순한 공격 방법이다.

“좀비PC가 해당 서버에 접속하려고 하면 그 서버는 비밀번호를 대라고 하죠. 좀비PC가 이 단계에서 멈추면 서버도 대답이 올 때까지 기다립니다. 수백 수천대의 PC가 서버를 똑같은 방식으로 공격하면 서버가 멈출 수밖에 없는 겁니다.”

개인정보 유출 역시 새로운 사이버 보안 위협 형태다. 국가인권위원회에 따르면 전국에 설치된 CCTV는 300만여개에 이르며, 1인당 하루평균 노출횟수는 100회를 넘는다. 여기에 휴대폰, 은행 자동입출금기, 신용 및 교통카드 사용 등으로 개인 사생활의 모든 것이 온라인 네트워크에 기록, 추적되고 있다.

○“경영자부터 보안에 나서라”

김 교수는 기업들이 사이버 보안에 취약한 이유로 △정책 집행 실패 △새로 발견된 취약성 무시 △지나친 기술 의존 등을 꼽았다.

“많은 기업들이 컴퓨터를 이용하는 사람들에게 교육을 제대로 하지 않습니다. 보안 규칙을 어겨도 상응하는 조치가 내려지는 경우도 별로 없고요. 하버드대 의대는 단 한 번이라도 보안 수칙을 위반하면 바로 해고한다고 합니다. 이 정도까진 아니더라도, 경영자부터 보안 규칙을 지키는 자세를 보여줘야 합니다. 또 경영자들부터 새로운 보안 위협에 적극적으로 대처하는 자세가 필요합니다. 마지막으로 명심해야 할 것은 기술이 모든 것을 해줄 수 없다는 것입니다. 아무리 좋은 보안 소프트웨어를 깔았다고 해도, 사용하는 사람이 제대로 활용하지 않으면 무용지물이나 다름없죠. 보안 패치 업데이트나 비밀번호 변경 등 사소한 것부터 경영자가 나서면 기업 보안이 한 층 업그레이드될 수 있습니다.”

강현우 기자 hkang@hankyung.com

강의 = 김병천 <KAIST 경영대학원 금융통계분석·정보보안 교수>