개인정보 보호에 대한 관심 높아져, 국내 산업은 진흥법으로 내년 기대감
올해도 개인정보에 대한 위협은 계속됐다. 특히 공공아이핀(I-PIN·인터넷 개인식별번호) 해킹 사고와 국가정보원이 타인의 모바일, PC 등을 원격조정하는 해외 솔루션 구입 등은 국민들의 정부, 공공기관에 대한 불신을 가중시키는 사건으로 남았다.
사이버 공격 기법 측면에서는 국내에도 '랜섬웨어'가 화두로 떠올랐다. 'IoT(사물인터넷)' 공격의 통로가 되는 공유기 보안 개선 작업과 올해 제정된 '정보보호산업진흥에 관한 법률' 등도 굵직한 사건이었다. 정보보호산업진흥법은 이를 발판으로 도약을 꿈꾸는 국내 보안산업계의 기대를 받고 있다.
◇초급 공격에 무너진 공공아이핀 발급 시스템
지난 3월 온라인상 주민번호 대체 수단인 공공아이핀 발급시스템이 기초적인 공격 방식에 뚫린 것이 드러났다. 아이핀 75만건이 부정 발급된 것. 이는 정상 발급된 공공 아이핀(426만건)의 17%에 달하는 규모다. 큰 피해가 없다는 정부 발표에도 무너진 신뢰를 회복하기 어려웠다. 이후 5월 공공아이핀을 재발급 받도록하고, 민간 아이핀도 기존 비밀번호를 입력한 후 한번 더 본인 인증 절차를 밟도록 하는 등 시스템을 강화하기 시작했다.
당시 정부가 후속 조치를 수립하고 시행하면서 보여준 우왕좌왕하는 모습에 국민들의 신뢰감은 다시 한 번 무너졌다. 반대로 개인정보에 대한 우려는 한 단계 더 올라갔다. 지난해 카드 3사 정보유출 이후 강화된 개인정보 유출기업에 대한 처벌은 강화됐지만, 공공기관과 정부 부처의 인식, 시스템 개선의 필요성을 보여준 사건이었다.
◇몰래 보던 국정원, 해킹으로 밝혀진 역설
지난 여름, 국내외를 뜨겁게 달군 이탈리아 SW(소프트웨어) 업체 '해킹팀'의 해킹으로 인한 정보 유출 사건. 국내에도 파장은 컸다. 타인의 PC와 스마트폰을 엿보는 SW 'RCS(원격조정시스템)'를 구입한 각국 정부기관의 명단이 유출되면서, 국가정보원이 고객이었던 사실이 밝혀졌다. 민간인 사찰 의혹까지 불거졌다. 당시 관련 업무를 담당한 것으로 알려진 국정원 직원 임모씨(45)가 숨진 채 발견돼 의혹이 배가되기도 했다. 국정원은 민간인 사찰은 없었고 대북 정보 수집을 위해 사용됐다는 입장이지만 의혹은 사라지지 않고 있다.
해킹팀 해킹 사건은 사이버 공격 흐름에도 영향을 끼쳤다. 해킹팀이 RCS 설치를 위해 수집했던 각종 취약점들이 공개되면서 다른 국내외 해커들이 이를 악용해 시도한 공격이 대거 나타났다.
독자들의 PICK!
◇ 내 파일 암호화하고 돈 달라는 '랜섬웨어' 모바일까지
사이버 공격 분야에서는 랜섬웨어가 화제였다. 지난해 말부터 유행한 랜섬웨어는 올해 국내에도 피해 사례가 대거 발견됐고, PC가 아닌 모바일 공격까지 나타났다. 해커들에게 새로운 돈벌이 수단을 랜섬웨어가 뜨면서 내년에도 극성을 부릴 것으로 전망된다.
랜섬웨어는 PC, 모바일 등에 저장된 파일을 암호화하고 이를 풀어주는 대가로 사용자에게 돈을 요구하는 수법을 말한다. 보안업계에 따르면 돈을 주더라도 복호화가 된다는 보장도 없고, 진화하는 기술로 인해 복구가 쉽지 않다.
◇공유기 보안 취약…IoT 기기 공격 우려
통신이 가능한 IoT 기기가 보급되면서, 자연스럽게 사이버 공격 대상으로 떠오르고 있다. 올해는 특히 IoT 기기 공격의 기반이 되는 공유기에 대한 공격이 화두였다. 집안이나 카페 등에서 흔히 사용하는 무선공유기는 모든 기기 통신을 연결하는 역할을 하기 때문에 자칫 악성코드를 유포하는데 악용될 수 있다.
지난 6월 정부는 보안, 통신업계 등과 함께 공유기 보안 강화를 위한 각종 개선책을 시행했다. 실시간 이상 징후 파악 체계를 마련하고, 공유기 제조단계부터 보안을 강화토록 제도를 변경했다. 또 공유기 펌웨어를 수시로 업그레이드하는 등 이용자의 기본 보안 수칙을 배포하기도 했다.