[머니위크 커버]나는 해커다/해킹 피해 막는 기본 수칙
모순(矛盾). 무엇이든 뚫을 수 있는 창과 무엇이든 막을 수 있는 방패의 싸움. 하지만 분명 어느 한 쪽은 싸움에서 패하기 마련이다. 인터넷상에서 해커들과 이들을 막으려는 컴퓨터 사용자들의 경쟁도 이와 흡사해 보인다.
문제는 아무리 강한 보안 시스템을 마련해도 그것마저 뚫고 정보를 빼내가는 해커들이 있다는 점이다. 특히 올해 몇몇 대기업들이 해킹에 의해 전산시스템이 와르르 무너지거나 다량의 개인정보가 노출되면서 사회적으로 큰 파장을 일으켰다.
과연 기업과 개인들이 해킹의 위험으로부터 스스로를 보호하기 위해선 어떤 자세와 노력이 필요할까. 보안전문업체 안철수연구소, 좀비PC방어솔루션 개발업체 엔피코어, 한국해킹보안협회 등을 통해 보안 강화를 위한 기본 수칙들에 대해 알아봤다.
◆근본 문제는 보안 의식 부재
한국인터넷진흥원이 종사자 5인 이상 6529개 사업체를 대상으로 조사한 '2010년 기업 정보보호 실태'에 따르면 인터넷 침해사고 피해 경험 기업은 12.6%이다. 이는 전년 대비 3.2%포인트 증가한 수치다. 2009년 대비 침해사고 피해 건수 및 피해액 증가 기업도 각각 35%와 26.2%에 달하는 것으로 조사됐다.
그리고 올해도 여지없이 농협, 현대캐피탈, 한국전자금융, SK컴즈 등 내로라하는 기업들이 해킹으로 큰 피해를 입었다. 이 기업들 모두 나름대로 막는다고 막았을 테지만, 강한 방패도 뚫어내는 창이 있다는 사실을 증명한 셈이다.
하지만 근본적으로 기업의 안일한 보안의식에서 비롯됐다는 점도 간과해선 안 될 것이다. 임종인 고려대 정보보호대학원 원장은 해킹 사고와 관련한 기업의 문제점으로 ▲부족한 보안투자 ▲아웃소싱에 대한 과다한 의존 ▲내부통제 실패 ▲보안 설계 결함 ▲암호화 등 기술적 보호조치 미비 등을 꼽았다.
임 원장은 "은행권 보안예산 비율은 금감원 권고치 5%에 못 미치는 3.4%에 불과하고, 주요 금융기관의 보안투자는 최근 2년간 급감했다"며 "경영진의 보안무관심과 독립성을 갖춘 최고보안책임자(CSO)의 부재 등도 기업들이 해결해야 할 과제"라고 꼬집었다.
주덕규 한국해킹보안협회 사무국장은 보안이 특정한 사람의 책임이 아니라 기업의 모든 구성원이 관심을 가져야 할 사안이란 점을 강조했다. 주 사무국장은 "정부 차원에서 보안홍보가 활발히 펼쳐지고는 있지만 각 기업의 보안 담당자 등 특정인을 대상으로만 이뤄지는 한계가 있다"며 "기업의 전 임직원이 보안 의식을 강화할 수 있도록 교육이 이뤄지고 실천돼야 할 것"이라고 밝혔다.
독자들의 PICK!
◆기업 보안을 위한 몇 가지 수칙
송창민 안철수연구소 커뮤니케이션팀 과장은 최근 일어나고 있는 해킹이 단순한 시스템 침투가 아닌 APT(Advanced Persistent Threat 지능형 타깃 공격)란 점에서 각별히 주의를 기울여야 한다고 강조했다.
APT는 다양한 IT 기술과 방식을 이용해 조직적으로, 경제적이거나 정치적인 목적을 위해 이뤄진다. 또 다양한 보안 위협을 생산하고 특정 대상을 겨냥해 지속적으로 공격한다는 점이 특징이다.
송 과장은 "APT의 주된 대상은 정부기관과 사회 기간산업 시설, 정보통신 기업, 제조 기업, 금융기관 등이란 점에서 피해규모가 클 수밖에 없다"며 "이런 공격에 대응하려면 발생 전 단계와 발생 후 단계에 걸쳐 종합적인 대책이 필요하다"고 밝혔다.
그는 "발생 전에는 정기적인 보안 관제로 기업 내부 네트워크에 침해 사고로 간주할 수 있는 이상 징후가 있는지 주의 깊이 모니터링 해야 한다"며 "또 사용하는 보안 정책의 실효성을 재검토하고, 각 시스템에 보관된 데이터의 중요성과 기밀성에 따른 위험성을 분석해 보안 사고가 발생하더라도 그 피해를 최소화해야 한다"고 말했다.
또 송 과장은 만약 공격이 발생했을 때는 세 가지 측면으로 나눠 대응할 것을 주문했다. 우선 기업 내부 시스템에 악성코드가 감염되는 것을 막는 일이다. 이를 위해 기업 내부에서 검토 및 인증한 애플리케이션을 대상으로 화이트리스트(White List)를 작성하고, 임의로 다른 애플리케이션이 설치되지 않도록 차단해야 한다.
송 과장은 "APT 공격의 목적이 데이터의 파괴나 탈취인만큼 접근 통제와 데이터 암호화 조치를 취해야 한다"며 "정보 유출을 차단하고 기밀 데이터가 유출됐더라도 그것을 악용할 수 없도록 하기 위한 것"이라고 말했다. 이어 "끝으로 어떤 경로로 기업 내부 네트워크로 침입했고 어떤 시스템과 데이터에 접근을 시도했는지 파악하는 작업이 필요하다"고 덧붙였다.
◆개인PC 보안을 위한 습관들
컴퓨터 사용자들이 개인정보를 보호하기 위해 일상에서 반드시 지켜야 할 사항들도 있다. 어쩌면 누구나 알고 있는 것들이고 실천하기도 어렵지 않지만, 실제로는 대수롭지 않게 생각하며 넘어가는 경우가 대부분이다.
한승철 엔피코어 대표는 "컴퓨터에 담긴 개인정보와 관련된 파일들을 삭제하고 동일한 비밀번호를 사용하지 않도록 해야 한다"며 "주기적으로 Active X 프로그램을 삭제하고, 백신 등 보안프로그램도 반드시 사용해야 한다"고 밝혔다.
이밖에도 ▲불필요한 사이트에 가입하지 않기 ▲불법 다운로드 하지 않기 ▲개인정보를 메모할 경우 자기만 알 수 있는 방식으로 변형하여 저장하기 등을 주요 실천 사항으로 꼽았다.
한 대표는 "국내 모든 사이트들은 가입 시 필수적으로 개인정보를 요구하는 경향이 있다"며 "이런 인터넷 환경도 문제"라고 지적했다. 그는 "기업이 수많은 개인정보를 단지 기업의 이익과 관련된 수단으로만 생각하고, 정보를 다룸에 있어 소홀한 것은 범죄 행위와 다를 바 없다"고 우려를 나타냈다.
SNS 사용 시에도 주의가 요구된다. 송창민 과장은 "페이스북, 트위터 등 SNS를 이용할 때 잘 모르는 사람이 보낸 쪽지나 메시지, SNS 페이지에 있는 단축 URL 등을 함부로 클릭해선 안 된다"고 말했다. 이어 "SNS나 온라인게임, e메일의 비밀번호를 한 달에 한 번 정도 변경하고 영문, 숫자, 특수문자 등을 조합해 8자리 이상으로 설정하는 것도 중요하다"고 덧붙였다.
아울러 송 과장은 "웹 서핑 시 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 '예, 아니오' 중 어느 것도 선택하지 말고 창을 닫아야 한"며 "P2P 프로그램 사용 시 파일을 다운로드할 때 반드시 보안 제품으로 검사한 후 사용해야 한다"고 강조했다.