"해커들 수법 날로 진화되는데 보안투자는 지지부진" 기업CEO 책임론 대두
"옥션(2008년)→현대캐피탈(2011)→농협(2011년)→네이트·싸이월드(2011)"
자고나면 해킹사고다. 올들어 벌써 3번째 대형 해킹사고가 발생했다. 외부 공격으로 전산장애를 유발한 농협 사고를 제외하면 대부분 개인정보를 노린 해킹사건들이다.
2008년 국내 최대 온라인 경매사이트 옥션이 해킹돼 1081만명의 개인정보가 유출된데 이어 현대캐피탈도 43만명에 달하는 고객 정보가 빠져나갔다. 이번에는 3500만명의 회원을 갖춘 3대 주요 포털 사이트인 네이트와 최대 소셜네트워킹 서비스 싸이월드가 해킹돼 개인정보가 유출되는 사상 초유의 사태까지 터졌다.
보안 전문가들은 이미 예고돼 왔던 재앙이라고 입을 모은다. 국내 기업들의 개인정보 수집 시스템은 잘 갖춰진 반면, 이를 보호할 시스템은 허술하다. 한마디로 공격의 창은 계속 날카로워 지는데 방패는 무딘 그대로라는 것이다.
◇ "한국민 대부분 정보 해커 수중에?"
옥션, 현대캐피탈, 네이트 등 일련의 개인정보 유출사고의 공통점은 외부의 네트워크 해킹을 통해 개인정보를 빼갔다는 점이다.
이 중 옥션과 네이트·싸이월드는 중국발 해킹에 당했다. 공개되지 않은 해킹사고까지 감안하면 이미 국내 인터넷 사용자들의 개인정보는 대부분이 중국 해커들의 손아귀에 들어갔다고 해도 과언이 아니다.
그렇다고 중국 해커들만의 소행으로 단정짓기 어렵다. 최근 빈번하게 발생하는 보이스 피싱 및 개인정보 유출 사고들을 종합해보면 국내 사이버 범죄 세력들과 중국 해커들의 결탁 커넥션은 이미 공공연한 비밀이다.
올 초 중국, 필리핀 등에 거주하는 해커와 결탁해 개인정보를 사들인 일당이 경찰에 붙잡혔다. 이들 일당은 국내 포털 이용자들의 아이디를 1건 당 200~300원에 사들였으며, 검증된 아이디는 1500원을 받았다. 개인정보 자체가 '돈벌이'가 되는 현실이다. 중국 해커들이 국내 포털 및 주요 사이트를 대상으로 개인정보 탈취를 노린 해킹에 목을 매달고 있는 이유다.
안철수연구소 관계자는 "개인정보 자체가 돈벌이 수단으로 전락하면서 앞으로도 이를 노린 해킹수법은 갈수록 진화될 것"이라고 진단했다.
독자들의 PICK!
◇회원 모집에만 급급, 적극적 보안투자는 나 몰라?
굵직한 보안 사고들이 끊임없이 이어지고 있지만 기업들은 이렇다 할 뚜렷한 대책이 없다. 개인정보를 탈취하기 위한 해킹수법이 날로 진화하고 있는데도 방어책은 달라지지 않고 있다는 것이다.
이번 네이트 해킹에 사용된 악성코드도 전혀 새로운 방식의 공격 툴(프로그램)이 사용된 것으로 알려졌다. 하지만 국내 기업들의 보안시스템과 체계는 여전히 취약하다. SK커뮤니케이션즈의 경우에도 해킹 피해사실을 이틀이 지난 뒤에야 발견했다.
그나마 여타 산업에 비해 보안시스템이 잘 갖춰진 포털이 이 정도인데 다른 기업들의 경우는 거론할 필요도 없다. 영업 마케팅을 위한 회원 모집에는 적극적이만 보안 투자는 실종됐다.
국회 입법조사처에 따르면 국내 기업의 80%가 투자액 중 보안 관련 IT 투자 비중은 1%를 밑돈다. 국가 정보화 사업도 마찬가지다. 국가 전체의 정보화 예산(3조3023억원) 가운데 정보보호 예산이 차지하는 비중은 6.2%에 불과한 실정이다. 정보보호 선진국인 미국의 정보보호 예산비중(9.7%)과 현격한 차이가 있다.
3년간 국회에서 허송세월만 보내다 통과된 개인정보보호법이 9월부터 시행된다는 것이 그나마 위안이다.
임종인 고려대 정보보호학과 교수는 "개인정보 탈취를 노린 해킹사고가 계속 반복될 경우, 사이버 신뢰 기반 자체가 붕괴되고 말 것"이라며 "개인정보 유출사고 발생시 기업 혹은 기관의 최고경영책임자(CEO)에게 직접 책임을 묻고 매출액 대비 매출대비 몇% 비중의 과징금 처벌을 내리는 강력한 조치가 선행돼야 할 것"이라고 지적했다.
아울러 국내에서 제3의 인증기관에서 국내 기업들의 개인정보 보호 시스템을 평가해 마치 신용평가처럼 인증해주는 방안도 고려해야한다는 주장도 제기했다. 이미 '개인정보보호 인증마크'제도 운용되고 있지만 실질적인 효력이 없다는 지적이다.