[머니위크 커버]나는 해커다/‘속수무책’ 해킹, 기업이 당한다
한국인터넷진흥원에 따르면 올해 국내기업들의 해킹피해는 지난 1월 392건, 2월 358건, 3월 356건 등 매월 지속적으로 신고되고 있다. 지난해까지만 해도 전체해킹 피해대상 중 20%선이 기업이었던데 반해 최근에는 30%대까지 증가했다.
특히 해커들 사이에서 “개인정보가 돈 된다”는 인식이 퍼지면서부터는 안전지대로 여겨지던 금융업체나 포털업체까지 해킹피해의 대상이 됐다.
해킹의 사각지대에서 자유롭지 못한 대한민국 기업들, 그동안 어떻게 해커들의 침입을 받아왔을까. 그 피해 유형을 살펴봤다.
◆'좀비' PC 하나 때문에…관리자 PC 침투
최근 우리 사회에 가장 큰 충격을 준 해킹사례는 단연 네이트·싸이월드의 3500만명 회원 정보 유출 건이다. 공교롭게도 이 해킹의 시작은 '좀비'로 둔갑한 SK커뮤니케이션즈(SK컴즈)의 개발자 PC에서 비롯된 것으로 파악된다.
SK컴즈와 관계 수사당국의 분석자료를 토대로 해킹경로를 유추해보면 지난 7월26일 네이트와 싸이월드의 3500만 회원 정보는 신규 악성코드에 감염된 회사 개발자의 컴퓨터를 통해 중국 서버로 전송됐다.
해커는 이 개발자의 컴퓨터를 이용해 시스템 접근권한을 획득, 데이터베이스(DB) 서버에 접근해 회원 정보를 빼냈고 이 과정에서 기존 백신 프로그램으로는 탐지가 어려운 신규 악성코드를 개발자의 컴퓨터에 뿌렸다. 악성코드를 통해 자기 컴퓨터처럼 맘대로 원격 조정할 수 있는 점을 노린 것.
그런데 특이한 점은 개발자 컴퓨터 외에도 신규 악성코드가 사내 여러 PC에서 발견됐다는 사실이다. 이메일을 통해 누군가 신규 악성코드에 감염됐고 이를 기점으로 사내 다수의 PC가 감염돼 결국에는 시스템 접근권한을 갖고 있는 개발자 컴퓨터까지 감염된 셈이다.
보안 시스템이 상대적으로 잘 갖춰져 있다고 자부하던 SK컴즈였지만 사고 발생 이틀이 지나서야 해킹 사실여부를 확인했을 만큼 이번 고객 정보유출의 충격은 상당히 컸다.
독자들의 PICK!
보안업체 관계자는 "해커들이 악성코드를 통해 개인의 기기를 좀비PC로 만들고 이 기기와 연결된 데이터베이스에 손쉽게 침투하는 것이 최근 해킹의 형태"라고 설명했다.
◆ID와 비밀번호? “이쯤이야”…금융정보 눈 깜짝할 사이에
네이트 사건 보다 앞선 지난 4월8일 발생한 현대캐피탈의 고객정보 유출 역시 올 한해를 떠들썩하게 한 대형 해킹사건으로 꼽힌다. 당시 현대캐피탈은 고객 150만명의 개인정보를 유출당했는데, 전체 고객 수가 180만여 명임을 감안하면 상당수 고객의 정보를 도난당한 격이다.
대형 해킹 사건이지만 현대캐피탈의 경우, 단순히 로그인시 사용되는 ID와 비밀번호의 허술한 관리가 큰 화로 이어진 케이스다.
해커가 업무관리자 ID와 비밀번호를 습득해 보조서버인 광고메일 발송서버와 정비내용 조회서버에 침입한 것이 주요 요인인데, 현대캐피탈로선 외부에서 접속 가능한 ID와 비밀번호를 업무 성격상 필요하지 않았는데도 부여했고, 담당직원이 퇴직한 후에도 ID와 비밀번호를 삭제하지 않았던 점이 뼈아팠다.
여기에 퇴직한 직원이 재직 시 사용하던 ID로 정비내용 조회서버에 7차례나 무단 접속했는데 파악을 못했고, 지난 2월 1차 해킹시도 징후가 있었고 3월6일 이후에는 실제 실행된 흔적이 있었는데 이를 발견하지 못했던 점도 타격이 컸다.
◆아이템은 해커 것?…온라인 게임업체들, 수난 또 수난
사실 해킹 피해를 가장 두려워하는 기업은 온라인 플랫폼을 수익기반으로 하는 기업, 즉 온라인 기업들이라 할 수 있다. 해커의 주 무대가 온라인이기 때문인데, 이들 기업 중 최근 들어 해킹에 대한 볼멘소리를 가장 크게 내는 쪽은 아무래도 온라인 게임업체들이다.
보안 전문가들은 온라인 게임 업체들의 경우 일반 기업들에 비해 훨씬 더 다양한 형태로 해커들의 공격을 받는다고 진단한다.
우선 해커들은 보안이 취약한 국내 온라인 게임업체들을 해킹, 악성 코드를 심어 보안 패치가 되지 않은 방문자들의 PC를 감염시킨 후 게임 아이템을 탈취하는 사례가 가장 많다고 한다.
이와 함께 사람 대신 게임을 자동적으로 수행하는 게임Bot(게임 RoBot의 약자)을 이용해 게임아이템을 쉽게 획득하는 등 정상적인 게임 서비스를 방해하는 해킹도 허다하다. 이 경우 피해를 입은 게임업체는 방어를 위해 프로그램을 수정하거나 서버를 증설하는 등에 적지 않은 인력과 예산을 소모해야 한다.
마지막으로 게임업체의 게임서버를 해킹, 게임프로그램을 탈취한 후 유저들에게 저렴하게 서비스함으로써 게임업체에 피해를 유발시키는 경우도 있다.
◆이메일 하나로 대출까지?…중소기업 상대 ‘대담한 해킹’
대기업들이 비교적 외부의 해커에 의해 치밀한 계획으로 피해를 입는다면 중소기업들은 사내 정보를 노리는 해커들의 대담한 행동으로 간혹 피해를 입는다.
지난해 A 중소기업이, 이메일을 통해 사내직원들이 해커에게 자신의 이름으로 대출금을 ‘송금(?)’ 해준 어이없는 일을 겪은 게 대표적이다.
당시 해커는 A사의 직원들에게 자신이 만든 해킹 프로그램을 발송, 대출신청에 필요한 접속 아이디와 비밀번호, 인증서 등을 알아낸 뒤 자신이 A사 관리부서 직원인 것처럼 가장해 직원들의 명의로 수억원을 대출받았다. 다행히 경찰의 조사로 해당 해커는 구속돼 사건이 일단락됐지만 직원들의 피해보상은 여전히 이뤄지지 않고 있다는 게 A사 관계자들의 설명이다.
한편 기업들의 잦은 해킹으로 소비자들의 피해가 잇따르자 최근 정부는 앞으로 민간기업 해킹사고 발생시 경영자의 책임을 묻거나, 용역업체에 의한 사고시에도 민·형사상 책임을 묻겠다는 입장을 밝힌 바 있다.