[서울이코노미뉴스 박희만 기자] 올해는 사이버 보안사고가 연중 끊이지 않으며 국내 보안체계 전반의 취약성을 여실히 드러낸 해로 기록됐다.
정부는 올해 10여년 만에 망분리 규제완화를 공식화하고 ‘제로 트러스트(Zero Trust)’와 ‘국가망보안체계(N2SF)’ 도입을 추진하는 등 보안정책의 대전환을 예고했다.
그러나, 통신·금융·유통·공공 부문을 가리지 않고 대형 보안침해 사건이 잇따라 발생하며 기존 보안 패러다임의 한계를 적나라하게 보여줬다.
올해 보안 위기의 출발점은 국가 기간망인 통신사였다.
지난 4월 말 SK텔레콤의 홈가입자서버(HSS)에서 발견된 ‘BPF도어(BPF Door)’ 악성코드는 국내 대형기업의 기본적인 보안관리 부재를 상징적으로 드러낸 사건으로 평가된다.
버클리 패킷 필터(BPF) 기술을 악용해 방화벽을 우회하는 이 악성코드는 기술적으로 충분히 차단 가능한 유형이었지만, 조사결과 해당 서버에는 가장 기본적인 보안수단인 백신조차 설치돼 있지 않았던 것으로 드러났다.
엔드포인트 보안이 사실상 전무한 상태에서 공격자는 서버에 자유롭게 접근할 수 있었고, 이로 인해 휴대전화 번호와 가입자 식별번호(IMSI), 유심(USIM) 인증키 등 민감한 정보가 유출됐다.
이후 KT와 LG유플러스에서도 유사한 보안 취약점이 확인되고, 은폐 논란까지 불거지며 통신 3사의 안일한 보안인식이 도마 위에 올랐다.
침해 사고는 이후에도 연쇄적으로 발생했다. 6월에는 예스24와 SGI서울보증이 랜섬웨어 공격을 받아 주요서비스가 마비되며 대규모 이용자 불편이 초래됐다.
이는 단순한 개인정보 유출을 넘어, 랜섬웨어가 기업의 비즈니스 연속성(BCP)을 직접적으로 위협할 수 있음을 보여준 사례로 평가된다.
8월에는 국내 보안업계를 충격에 빠뜨린 사건이 발생했다.
북한 또는 중국을 배후로 둔 것으로 추정되는 해커들이 우리 정부기관과 통신사를 광범위하게 해킹했다는 내용이 해외 보안전문 매거진 ‘프랙(Phrack)’을 통해 공개된 것이다.
특히 행정안전부의 ‘온나라’ 시스템과 행정전자서명(GPKI)이 침해됐다는 주장은 큰 파장을 일으켰다. 해당 사실을 제보받은 이후 정부의 대응이 미흡했다는 지적이 나오며 과학기술정보통신부, 한국인터넷진흥원(KISA), 국가정보원에 대한 비판이 이어졌다.
다만 국정원이 10월 중순 프랙의 공개 한 달 전부터 유관기관과 합동대응을 진행해 왔다고 해명하면서 논란은 다소 진정됐다.
8월 말에는 롯데카드가 해킹 피해를 입었다.
해커는 오라클 웹로직 서버의 원격 코드실행 취약점을 악용해 약 200GB 규모의 데이터를 탈취했으며, 이 안에는 고객 22만명의 암호화된 카드번호와 결제정보가 포함된 것으로 알려졌다.
해당 취약점이 이미 2017년에 패치가 공개된 것이었다는 점에서, 다시 한 번 기본 보안관리의 부실이 도마에 올랐다.
하반기에도 공격은 멈추지 않았다. 9월 초에는 KT 이용자를 대상으로 초소형 기지국(펨토셀)의 취약점을 악용한 소액결제 해킹사건이 발생했다. 물리적 접근과 사이버 공격이 결합된 신종수법으로, 368명이 총 2억4300여만원의 피해를 입었다.
이어 9월 말에는 IT 외주 관리업체 지제이텍 서버가 랜섬웨어에 감염되면서 국내 자산운용사 19곳 이상이 동시에 피해를 입는 공급망 보안사고도 발생했다.
10월 중순에는 보안 전문기업 SK쉴더스가 해커 유인을 위해 구축한 ‘허니팟(Honeypot)’ 환경에서 고객사 정보가 유출되는 사고가 발생했다. 기술영업 직원의 관리 부주의가 원인으로 지목됐다.
11월 말에는 네트워크 보안기업 윈스테크넷 역시 특정 그룹웨어 취약점을 통해 전·현직 직원 정보 1000여건이 유출된 사실이 확인됐다.
이어 넷마블도 PC 게임사이트 고객 정보와 전·현직 임직원 정보, 지난 2015년 이전 가맹 PC방 사업주 정보 등이 외부로 유출됐다고 밝혔다.
올해 보안사고의 마지막은 쿠팡사태가 장식할 가능성이 크다.
약 3370만건에 달하는 계정 정보가 유출된 이번 사건은 외부 해킹이 아닌 퇴사한 중국 국적의 고위개발자에 의한 내부자 위협으로 드러났다. 지난 6월 말 시작돼 11월 말에야 전모가 밝혀진 이 사고는 사용자 로그인에 사용되는 비공개 서명키 관리체계의 허점을 여실히 보여줬다.
특히 클라우드 네이티브 개발 환경에서 오픈소스 인증 키와 API 기반 데이터 호출 구조가 얼마나 큰 보안위험으로 이어질 수 있는지를 각인시켰다는 평가다.
연중 이어진 대형 해킹사고와 쿠팡사태를 두고 보안 전문가들은 “기본의 부재가 피해 규모를 키웠다”고 입을 모은다.
이에 따라 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증제도 개편, 정부의 직권조사 권한강화, 징벌적 과징금 도입 등 규제강화 논의도 속도를 내고 있다.
앞으로 기업들이 보안투자를 실질적으로 확대하고, 반복되는 개인정보 유출로 훼손된 국민 신뢰를 회복할 수 있을지 주목된다.