아시아나·KT·인터파크 해킹 피해 발생
 
‘안전불감증’이 원인…해킹 흑역사 이어져
 
[일요서울 | 오유진 기자] 전 세계를 공포로 몰아넣은 랜섬웨어로 개인뿐만 아니라 기업들의 ‘보안’에도 적신호가 켜졌다. 워너크라이 랜섬웨어의 피해 확산이 소강 상태지만, 피해 기업만 두 자릿수를 기록하며 재발 방지에 총력을 기울이고 있는 모양새다. 하지만 사이버 공격이 각종 신종과 변종 바이러스로 진화하고 있어 그 피해 양상은 누구도 예측할 수 없는 실정이다. ‘4차 산업혁명’ ‘워너크라이 랜섬웨어’ 등 ‘IT 보안’에 관심이 높아진 현재 기업들의 해킹 방지를 위한 변화는 어떤 모습일까. 일요서울은 과거 발생했던 기업들의 해킹 피해 사례 등을 통해 기업들의 보안 현주소를 살펴봤다.
 
미국 사이버보안업체 파이어아이가 지난달 18일 발표한 ‘2017 M-트렌드 보고서’에 따르면 사이버 침해 탐지 시간이 2015년 평균 146일에서 2016년 99일로 감소한 것으로 나타났다. 사이버 침해 탐지 시간이란 피해 사실이 발견되기 전까지 공격자들이 피해 기업의 네트워크에 머문 시간이다.
 
파이어아이가 처음 조사한 2012년 평균 416일에 비해 감소했지만 IT시장의 비약적인 발전과 IT보안의 중요성이 강조된 현재로써 99일 즉, 석 달 이상 걸리는 시간은 적은 시간은 아니라는 게 업계 전문가들의 공통된 의견이다. 다만 유럽·중동·아프리카(EMEA)와 아시아 태평양 지역에서 공격자들의 평균 네트워크 체류 시간이 줄었다. 이는 많은 조직들이 보안 태세를 이해하기 위해 대응 준비도 평가 같은 발전된 테스트 방식 도입 등이 상당한 영향을 미쳤다고 파이어아이는 분석했다.
 
파이어아이는 특히 금융기관을 목표로 한 공격이 증가하고 있다고 밝혔다. 공격 그룹이 지속적으로 사이버 공격 수준을 높여가고 있다는 것. 실제 지난해 전 세계 곳곳에서 다양한 종류의 악성코드를 이용해 현금입출금기(ATM) 와 ATM 네트워크가 공격당했다는 소식은 쉽게 찾아볼 수 있다.
 
또 파이어아이는 공격자가 피해자에게 직접 전화를 걸어 피싱 문서의 매크로 기능을 켜도록 유도하거나 기업 이메일 보안 기능을 우회하기 위해 개인 이메일 주소를 알아내는 것도 지난해 나타난 주목할 만한 흐름이라고 꼽았다. 피싱 이메일만으로 타깃 환경에 접근하기 어려운 경우 공격자가 직접 대화를 하는 방법까지 동원해 보안을 피할 방법까지 이용하는 것이다.
 
목적을 둔 해킹 활동
 
이처럼 사이버 보안업체들은 사이버 공격 대비 주의와 함께 방지책 마련에 힘쓰고 있다. 그러나 워너크라이 랜섬웨어뿐만 아니라 다양하게 발전·진화되는 사이버공격에 국내 기업들도 위험에 노출돼 있다. 실제 지난해와 올해 발생한 사이버공격에 피해를 입은 기업들은 속수무책으로 당했기 때문이다.
 
아시아나항공 사이트는 지난 2월 20일 새벽께 도메인네임시스템(DNS)공격을 받았다. 아시아나 항공 홈페이지 주소를 웹브라우저에 입력 또는 포털사이트를 통해 아시아나를 검색하면 ‘정의도 평화도 없다’ ‘아시아나항공에는 유감이지만, 알바니아가 세르비아인들에게 저지른 범죄를 세계에 알리기 위해서다’ 등의 메시지가 그래픽과 영문으로 표기된 핵티비즘(이념적 방향에 목적을 둔 해킹 활동) 페이지로 연결됐다.
 
다행히 아시아나항공 자체 서버가 아닌 DNS서버(인터넷 도메인주소를 IP로 변경해 주는 전화번호부 같은 서비스)를 관리하는 외주 호스팅 업체에 대한 공격으로 드러나 고객의 개인정보가 유출되는 등의 문제는 발생하지 않았다.
 
또 지난 3월 해킹당한 홈페이지만 수십 건이 발생했다. 이는 사드(THAAD·고고도 미사일 방어체계) 배치 반대에 대한 목적으로 해커 그룹이 한국 기관과 기업홈페이지를 대상으로 디페이스(자동화 툴로 취약점 잡아 웹페이지를 삽입시키거나 변경) 공격과 DDOS(과도한 트래픽을 유발하는 분산서비스거부) 공격을 감행했기 때문이다.
 
특히 국내 위·변조 홈페이지들을 해킹한 대부분의 해커들은 판다정보국(PIB), 중국독수리연합, 1937 CN, 77169 등 중국 해킹팀이라고 주장하는 단체들이다. 당시 홈페이지에서는 ‘사드를 반대한다’는 내용의 문구가 담겨 있어 중국팀의 소행으로 추정한 바 있다. 롯데면세점 홈페이지 역시 디도스 공격을 받아 서비스 이용이 중단됐다.
 
금전적 이득 노린 해킹
 
올해 기업을 대상으로 발생한 해킹들은 특별한 개인정보 유출 등 금전적 이득을 노린 목적보다는 핵티비즘 활동과 연관 지을 수 있다.
 
반면 지난해에 발생한 기업의 피해 사례는 실제 금전적 이득을 노린 해킹 사례다. KT 홈페이지가 지난해 해킹당해 가입고객 1600만 명 중 1200만 명의 고객정보가 유출됐다. 홈페이지 이용대금 조회란에 고유 숫자 9개를 무작위로 자동 입력시키는 프로그램으로 KT 가입고객의 9자리 고유번호를 맞춰 개인정보를 탈취했다. 이들은 지난해 2월부터 ‘파로스 프로그램’을 이용한 신종 해킹 프로그램을 개발해 KT 홈페이지에 로그인 후 개인정보를 빼냈다.
 
이들이 확보한 개인정보는 이름, 주민등록번호, 휴대전화번호, 집주소, 직업, 은행계좌 등이다. 이렇게 빼낸 고객정보를 휴대폰 개통·판매 영업에 활용, 1년간 115억 원의 부당이득을 챙긴 것으로 조사됐다. 현재 해킹 주체들은 구속됐다.
 
인터파크 전산망 역시 지난해 5월 해킹 공격을 당했다. 악성코드를 심은 뒤 1030만 명의 회원 이름과 아이디, e메일, 주소, 전화번호 등 개인정보가 유출된 것. 이후 이달 4일부터 인터파크 임원에게 34건의 e메일을 보내 “30억 원을 비트코인으로 송금하지 않으면 고객정보 유출 사실을 알리겠다”고 협박하는 등 수법을 이용했다.
 
국내 보안업계 관계자는 기업들의 해킹 피해에 대해 “국내 기업들은 디도스 공격에 취약하다”며 “기업들이 예비서버로 이를 대비하고 있는데 이것이 예방책이라기보단 유비무환에 가깝다”고 설명했다.