#1.대학생 A씨(25)는 최근 인터넷 메신저에서 황당한 사건을 겪었다. 친구가 급하게 130만원이 필요하다며 말을 걸어왔는데 알고 보니 친구의 아이디와 비밀번호를 알아내 메신저를 해킹한 사기꾼이었던 것.A씨는 "카드 결제일인데 당장 통장에 돈이 없다며 내일 바로 갚겠다는 말과 함께 계좌번호를 불러줬다"고 말했다.

#2.국내 간판 게임회사인 B사는 게임 개발 프로젝트를 진행하던 중 해외 경쟁사에서 거의 똑같은 제품을 내놓자 당황스러웠다. 뒤늦게 알아 보니 핵심 설계도가 경쟁사로 유출됐다는 사실이 드러났다. 전문 해커를 고용한 경쟁사가 B사의 인터넷 관리자 정보를 빼내 보안망을 뚫고 들어갔던 것이다.

개인정보와 산업 기밀을 빼내 '돈'을 챙기려는 해킹이 크게 증가하고 있다. 한국정보보호진흥원(KISA)이 지난 5월 한달간 발생한 해킹사건을 조사한 결과에 따르면 개인정보 탈취를 목적으로 서버에 침투하는 경우가 전체 해킹 사고의 60.8%나 됐다. 악성코드가 담긴 스팸메일을 보내 개인정보를 탈취하는 방식이다. 정보를 빼내기 위해 조작된 사이트로 유인하는 '인터넷 피싱(사기)' 관련 해킹도 4.7%를 차지해 전체 해킹 사고 10건 중 6~7건은 개인정보를 노리고 있는 것으로 나타났다.



◆무심코 흘린 개인정보가 해킹에 악용

실제 최근들어 대형 개인정보 유출 사고가 잇따르고 있다. 지난해 2월엔 인터넷쇼핑몰 옥션이 해킹당해 전체 회원의 60%에 달하는 1081만명의 개인정보가 새나가는 사건이 발생했고,지난 4월엔 보안이 취약한 100여개 사이트에 악성 바이러스를 유포하는 방법으로 230만명의 아이디와 비밀번호를 빼내간 일당이 검거되기도 했다. 이들은 해킹한 아이디 등을 이용해 네이버 '지식인'에 도박 사이트를 불법으로 광고하며 1억4000여만원을 챙긴 것으로 밝혀졌다.

전문가들은 "개인정보나 회사 기밀이 유출되는 사건의 상당수가 개인의 부주의 탓인 경우가 많다"고 지적한다. 신

용카드번호가 고스란히 담겨 있는 영수증을 함부로 버린다든지,주민등록번호나 휴대폰 번호와 같은 개인정보를 입력을 요구하는 각종 '공짜' 이벤트에 참여할 때 소중한 정보가 줄줄 새나갈 수 있다는 얘기다.

행정안전부 개인정보보호과 관계자는 "최근 피해가 급증하고 있는 '전화 피싱'도 개인 정보 유출에서 비롯된 것"이라며 "무턱대고 동의하지 말고 믿을 만한 업체인지,정보는 어디에 이용되는지 등을 잘 살펴봐야 한다"고 당부했다. 이명수 KISA 침해사고대응센터장도 "이번 디도스 공격에서도 해커에 의해 조종당한 '좀비 PC'에서 일부 데이터가 빠져나간 것으로 확인됐다"며 "개인과 기업들 스스로 보안 의식을 갖추고 철저한 정보 관리에 노력해야 한다"고 당부했다.

국내 인터넷 환경의 무분별한 개인정보 수집도 문제로 지적된다. 한국소비자원에 따르면 주요 223개 웹사이트의 91.9%가 주민번호를 의무적으로 받고 있는 것으로 나타났다. 캐나다 미국 등지에선 연금,보험 가입 등 제한적인 경우 외에는 사회보험번호(주민번호 격)를 수집할 수 없도록 강력히 보호하는 것과 대조적이다.

보안 전문가들은 "기업들이 고객 정보를 보관하는 과정에서 해커의 침입이나 시스템 오류,내부직원에 의한 유출 등과 같은 사건이 발생할 수 있다"며 "기업들은 개인들의 정보를 활용하는 것 이상으로 보안에도 많은 신경을 써야 할 것"이라고 강조했다.

기업들,"보안 투자는 관심 밖"

해킹으로 인한 산업 기밀 유출도 심각한 문제로 떠오르고 있다. 과거의 경우 내부자나 퇴직자들이 자료를 빼내 가는 경우가 대부분이었지만 컴퓨터 기술이 진화하면서 해킹을 통한 기술 유출이 점점 늘어나고 있다. 업계에선 지난해 해킹을 통한 국내산업 기밀의 유출 규모가 4조원에 이르는 것으로 추산하고 있다.

하지만 국내 공공기관과 기업들의 보안 투자는 뒷전으로 밀리고 있다. 국가정보원에 따르면 공공기관의 경우 전체 정보기술(IT) 예산 중 보안 관련 예산이 5% 미만인 곳은 47%에 달했다. 조사 대상 기관 중 4급 이하 CSO(최고보안책임자)를 두고 있는 곳은 60%로,10곳 중 4곳은 실질적인 보안 책임자가 없는 것으로 나타났다.

민간 기업의 경우엔 더욱 심각하다. 기업들의 IT 예산 중 보안 관련 예산이 5% 미만인 곳은 90%에 달하며,CSO를 임명한 곳도 12%에 불과했다. 김홍선 안철수연구소 대표는 "이번 '7 · 7 사이버 테러' 이후에 개인 사용자들의 유료 백신 구매는 다소 늘고 있으나 기업들의 구매 문의는 한 건도 없었다"고 말했다.

◆통합보안 체제 갖추고,의식 전환해야

전문가들은 기업들이 통합보안 시스템을 갖출 필요가 있다고 말한다. 침해 발생 시 악성코드를 찾아내(공격 분석),경로를 차단하고(침해 대응),취약점을 점검(보안 컨설팅),대응 방안 등을 모색(보안 운영)하는 시스템 간 원활한 의사소통이 이뤄져야 한다는 지적이다.

각종 위협에 효과적으로 대응하기 위해서는 경비 보안과 정보 보안을 한데 아우르는 컨버전스(융 · 복합) 보안 시스템을 마련해야 한다는 지적도 나온다. 보안관리 전문기업인 이글루시큐리티의 이득춘 사장은 "그동안 정부기관이나 회사들이 물리 보안과 정보 보안을 별도로 운영해 불완전하고 비효율적인 측면이 있었다"며 "회사 내 · 외부의 정보 유출을 방지하는 것은 물론이고 보안 장비 및 재난 상황 등에 대한 종합적인 관리가 필요하다"고 강조했다.

안정락 기자 jran@hankyung.com