글
갈수록 흉포해지는 '사이버 조폭' 해커들
“사이트 마비시키겠다”협박하고 돈 뜯어내고
“한국은 해킹 천국” 세계서 두 번째로 공격 많이 받아
‘정보도둑’ 넘어 조직화… 보안 뚫리면 피해도 ‘초고속’
사례 1 국가기관 최근 청와대 국가안전보장회의(NSC) 사무처의 전산장비에서 웜 바이러스 흔적이 발견됐다. 청와대는 “한 직원의 개인 PC에서 웜 바이러스를 통해 개인자료가 유출됐고, 지난 4월 19일에도 청와대 전산망을 해킹하려는 시도가 있었지만 방화벽에 막혀 실패했다”고 밝혔다. 그러나 한 달이 넘도록 자료 유출 사실조차 발견하지 못한 것은 청와대의 취약한 보안의식을 보여준다는 지적이 제기되고 있다. 모 포털 관계자는 “청와대 같은 국가기관에서 유출된 정보는 중국을 떠돌다 결국 북한으로 들어간다”고 말했다.
사례 2 통신회사 최근 서울경찰청 사이버수사대는 회원 수 800만명의 LG텔레콤 고객 개인정보를 실시간으로 조회할 수 있는 인터넷 사이트를 운영해 온 혐의로 강모(29)씨를 불구속 입건했다. 강씨는 지난 3월 21~25일 LG텔레콤의 고객정보 관리서버 접속을 위한 ID와 비밀번호, 서버 주소를 알아낸 뒤 가입자 정보를 조회할 수 있는 사이트를 만들어 고객정보를 유출한 혐의를 받고 있다. 강씨는 유명 포털 업체의 컴퓨터 전문가로 알려졌다. 모 보안업체 관계자는 “요즘 보이스 피싱 등 이상한 전화가 많이 오는 것도 다 이유가 있다”고 말했다.
사례 3 개인 미니홈피 싸이월드 방문자 추적용 프로그램을 팔아 4억여원을 챙긴 일당 11명이 불구속 입건됐다. 이들은 지난해 7월부터 최근까지 ‘싸이월드 방문자추적기’란 프로그램을 만들어 회원 40만명에게 월 5000원에서 1만5000원씩에 팔아 4억원을 챙긴 혐의를 받고 있다. 경찰청 관계자는 “방문자 추적기를 설치하려면 자신의 아이디와 비밀번호를 제공해야 하기 때문에 개인정보 관리에 각별한 주의가 요망된다”고 말했다.
피해 사례들
보안망 취약한 성인사이트가 주요 타깃
매달 ‘자릿세’ 명목으로 정기 상납까지
이상은 최근 발생한 해킹 사례다. 해킹이 나날이 지능화, 흉포화되고 있다. 요즘 해커들은 보안이 취약한 특정 사이트에 침입하여 금전적 이득을 꾀하는 것은 물론 청와대와 같은 국가 중추기관에 침입하여 국가기밀을 캐내가기도 한다. 외국에서 발행된 한 정보보안 보고서에 따르면 우리나라는 전 세계에서 미국에 이어 두 번째로 해커공격을 많이 당하는 나라로 꼽혔다. 네트워크 수준은 최고인 데 반해 정보보안 의식은 취약하다는 얘기다. 해커에게 통신망이 한번 뚫리게 되면 전국에 깔린 초고속 인터넷망을 타고 피해가 걷잡을 수 없이 퍼져나간다.
최근 해커들은 단순한 ‘정보 도둑’의 차원을 넘어서고 있다. 사이트 운영자에게 시스템을 망가뜨리겠다는 협박을 하며 돈을 뜯어가는 사례도 발생하고 있다. 실제 지난 3월 미래에셋그룹은 해커들로부터 ‘서비스를 중단시키겠다’는 협박을 당했다. 당시 미래에셋 홈페이지는 한때 먹통이 돼 고객들이 웹상에서 주식매매와 기준가격조회와 같은 서비스를 이용하는 데 지장을 받았다. 해커들은 미래에셋에 5000만원을 요구한 것으로 알려졌다.
한국인터넷데이터센터(KIDC)의 한 관계자는 “월 평균 130건 정도 보안 관련 이슈가 제기되는데 게임사이트나 화상채팅 혹은 성인사이트처럼 보안이 취약한 특정 기업에 전화를 걸어 ‘몇 월 몇 일 사이트를 마비시킬 테니 돈을 준비하라’는 식으로 협박을 가하는 사례가 늘고 있다”고 말했다. 특히 최근에는 일회성이 아니라 매월 일정 비용을 요구하는 등 협박의 정도도 심해지고 있다고 한다. 한 채팅사이트는 해커의 위협에 500만원 가량을 지불하고 무마시킨 것으로 알려졌다. 해커가 정기적으로 자릿세를 상납 받는 식으로 조폭화되고 있는 셈이다.
전문가들에 따르면 이런 해커들의 협박이 외부에 노출되지 않는 것도 문제라고 한다. 사이트 운영자들이 협박을 당해도 쉬쉬하고 숨기는 경우가 대부분이라는 것이다.
업계 한 전문가는 “외부에 공개되는 해킹 피해사례가 실제건수의 5%에 불과할 것”이라고 추정하고 있다. 협박을 당하는 업체들 대부분이 성인동영상사이트나 화상채팅, 성인용 도박 등 불법 음성사이트를 운영하고 있기 때문이다. 해킹 신고를 받는 한국정보보호진흥원의 한 관계자는 “음성 사이트 운영 업체들은 사고가 터져도 신고를 꺼리는 경우가 대부분”이라며 “협박에 응해 금품을 주거나 방치하는 경우가 많다”고 말했다. 최근에는 일반 업체까지 협박을 받는 사례도 발생하고 있다. 지난해 여름에는 모 펜션 예약 사이트가 해커들로부터 두 달간 협박을 받은 사례도 있다. 당시 해커들은 전화와 메신저를 통해 ‘사이트를 다운시키겠다’는 협박을 가했다고 한다.
해커들의 공격 방법은 의외로 단순하다. ‘분산 서비스 거부 공격(DDoS·Distributed Denial of Service)’이라고 불리는 방법을 사용한다. 특정 웹 서버의 시스템과 네트워크 장비에 일순간 많은 양의 트래픽(traffic)을 집중시킴으로써 해당 기업이 제공하는 서비스를 지연 혹은 마비시키는 공격 형태다. 다시 말하면 특정 사이트에 과부하를 거는 방법이다. 하루 평균 1000대의 차량이 지나갈 수 있는 도로에 10만대의 차량을 특정 시간 동안 집중시켜 도로의 기능을 상실케 하는 것과 마찬가지다. 일단 과부하가 걸리면 동영상이 중간에 끊기거나 컴퓨터 모니터에 ‘서비스가 불가능하다’는 하얀 바탕화면이 떠오른다.
해킹 컴퓨터 통신망을 이용하여 사용이 허락되지 않은 다른 컴퓨터에 불법으로 접근하여 저장되어 있는 자료를 삭제하거나, 변경하고 컴퓨터 운영체제를 손상시키는 행위.
웜 바이러스 컴퓨터 바이러스의 일종으로 ‘컴퓨터에 근거지를 둔 지렁이와 같은 기생충’이라는 뜻의 프로그램이다. 보통 ‘웜(worm)’이라고 한다. 컴퓨터 바이러스와는 달리 다른 프로그램을 감염시키지 않고 자기 자신을 복제하면서 통신망 등을 통해 널리 퍼진다.
패킷 네트워크를 통해 전송하기 쉽도록 자른 데이터의 전송 단위. 본래는 소포를 뜻하는 용어로, 소화물을 뜻하는 패키지(package)와 덩어리를 뜻하는 버킷(bucket)의 합성어이다. 우체국에서는 화물을 적당한 덩어리로 나눠 행선지를 표시하는 꼬리표를 붙이는데, 이러한 방식을 데이터통신에 접목한 것이다.
어떻게 공격하나
네트워크에 과부하 걸리게 만들어 서비스 마비
감염된 수천대 PC가 동시 공격… 대응 힘들어
해커들의 공격방법은 단순하지만 방어는 쉽지 않다. 그래서 “예방 외에는 달리 뾰족한 대책이 없다”는 말도 나온다. 모 보안업체 관계자는 “일반적으로 악성코드에 감염된 1500대 이상의 PC들이 동시다발적으로 공격하기 때문에 대응이 어렵다”고 털어놓았다. 더군다나 DDoS 공격에 이용되는 패킷은 웜이나 바이러스처럼 일정한 패턴을 지닌 악성코드가 아니기 때문에 정보보호 솔루션을 활용해 사전예방체계를 구축하는 것도 어렵다.
일부 대기업을 제외한 대부분의 웹 서비스 업체들의 경우 DDoS 공격에 대응하기 위해 무작정 보안 서비스 유지 비용을 늘려나갈 수 없는 것도 현실이다. 기존 처리용량의 2배 혹은 3배 이상의 보안 시스템을 구축한다고 해도 공격 트래픽은 보안 시스템의 용량을 가볍게 뛰어넘을 수 있어 근본적인 해결책이라고 볼 수 없다. 정보보호 관계자들은 “일반 기업에서는 서버를 관리해 주는 인터넷데이터센터(IDC)나 인터넷 서비스제공자(ISP)의 대응 능력에 전적으로 기댈 수밖에 없다”고 말했다.
해커들의 공격이 빈발하자 일반인들도 불안감을 느끼고 있다. 자기도 모르는 사이에 자기의 컴퓨터가 해커들의 공격에 동원될 수 있기 때문이다. 보안전문가들은 국내 PC 중 35만대 정도가 해커들의 공격에 동원될 수 있도록 감염된 것으로 추정하고 있다. 취약한 보안의식 때문에 해커들 사이에서는 “다른 나라 PC 10대를 감염시키는 것보다 한국 PC 1대를 감염시키는 것이 낫다”는 말도 공공연히 떠돈다고 한다. 그 결과 한 온라인 업체가 20~30대 성인남녀 880명을 대상으로 한 설문조사에서는 응답자의 91.4%가 “최근 개인 정보 보안에 불안감을 느낀다”고 답하기도 했다.
개인 PC도 위험
나도 모르는 새 바이러스 감염, 해킹에 동원
개인정보 유출도 잇따라 ID 등 범죄에 노출
전문가들은 요즘 빈번하게 발생하는 해킹사건과 개인정보 유출과의 연관성을 지적하기도 한다. 기업용 정보보호 솔루션을 제공하는 한 업체 관계자는 “유출된 개인정보가 ID 오남용 등으로 해킹에 재이용될 수 있다”고 말했다. 개인정보 유출과 해킹이 악순환의 고리로 연결되어 있는 것이다.
실제로 회원수 1080만명을 자랑하는 국내 대표적 인터넷 상거래 업체인 옥션에서 유출된 개인 ID와 비밀번호 같은 정보들이 중국에서 버젓이 거래된 적이 있다. 지난해 9월에는 회원수 3800만명을 자랑하는 포털에서도 개인정보가 유출되었다.
최근에는 국내 2위의 기간통신사인 하나로텔레콤이 2년간 조직적으로 600만명에 달하는 자사 고객정보를 1000여개 텔레마케팅 업체에 돈을 받고 넘긴 일도 발생했다. 요즘 들어 스팸메일, 혹은 국세청이나 국가기관을 사칭한 보이스 피싱 전화가 유난히 자주 걸려오는 것도 이런 정보 유출 사고와 무관하지 않다.
아직 외국에 국한된 얘기지만 기업들이 경쟁 기업을 혼내주기 위해 조직적으로 해커를 고용하거나 양성하는 사례도 있다. 얼마 전 미국의 미디어 재벌 루퍼트 머독이 소유한 ‘뉴스코프(News Corp.)’의 계열사인 디지털콘텐츠 제작업체 NDS는 해커를 고용해 경쟁사의 소프트웨어를 연구하고 불법 복제품을 만든 것으로 확인됐다. 이 불법 복제품은 어떤 소비자든 무료로 경쟁사의 위성 방송을 볼 수 있도록 해준다. 당시 증언에 나선 NDS의 한 해커는 “뉴스코프 측이 나를 10년 전부터 고용해 왔다”고 말했다. 경쟁사의 영업을 방해하기 위해서 조직적으로 해커를 고용해온 것이다.
대처 방법은 없나
서버 관리업체나 ‘118’에 즉각 신고를
해외 공격 땐 서비스업체 통해 회선 차단
금품 요구를 동반한 웹 서비스 중단과 같은 신종 해킹 협박을 받게 되면 서버를 관리하는 업체나 해킹 신고센터(118)에 즉각 신고해야 한다. 이들 기관은 해킹 사고나 협박에 관련한 신고를 받으면 즉각 내부 탐지시스템을 가동해 모니터링을 한다. 공격하는 서버가 해외에 있을 경우 메가패스나 하나포스 같은 인터넷 서비스 제공업체(ISP)에게 회선을 차단하게끔 한다. 경찰청 사이버수사대에서는 협박자의 전화번호나 계좌번호 등을 근거로 범인 검거에 나서기도 하는데, 검거된 자는 정보통신망법이나 전자금융거래법 등 관련 법률에 따라 5년 이하의 징역 또는 5000만원 이하의 벌금에 처해진다.
계속되는 해킹사고에 국민들이 불안해하자 국가기관에서도 대책 마련에 착수했다. 현재 방송통신위원회 산하 한국정보보호진흥원을 비롯해 국가보안기술연구소(NSRI), 한국전자통신연구소(ETRI) 등에서는 사이버 안전 기술 확보를 위한 연구개발에 주력하고 있다.
하지만 역시 돈이 문제다. 2008년 국가정보보호백서에 따르면 전체 정부 IT 예산에서 차지하는 정보보호에 대한 투자는 2~3%에 불과하다. 지방자치단체를 포함한 정부 부서에서 전담 부서를 설치하고 있는 비중도 11.8%에 불과한 실정이다. 미국 연방정부의 정보보호 관련 예산이 전체 IT 예산의 9.2%를 차지하는 것과 비교되는 수치다.
그러자 민간 보안업체에서는 개인정보보호 수칙 10계명을 발표하는 등 자발적으로 사이버 보안 캠페인에 나서고 있다.
개인정보 보호 10대 수칙
1. 가입 사이트의 비밀번호를 주기적으로 변경할 것.
2. 신용정보 사이트에서 제공하는 명의도용 차단 서비스를 활용할 것.
3. 오랜 기간 이용하지 않는 사이트에서는 탈퇴할 것.
4. 돈이나 개인정보를 요구하는 전화(보이스피싱)에 응하지 말 것.
5. 해킹피해자 모임을 사칭해 개인정보를 달라는 사기 전화·이메일 역시 주의할 것.
6. 윈도 운영체제를 업데이트할 것.
7. 공공장소 PC 이용을 자제할 것.
8. 유·무료 보안서비스를 활용할 것.
9. 인터넷 사용 중 보안경고(액티브X)창이 뜰 경우 잘 모르는 사이트라면 그냥 닫을 것.
10. 메신저 사용 시 채팅창을 통해 사이트 주소나 파일이 전해져 올 경우 함부로 클릭하지 말 것.
 |
“사이트 마비시키겠다”협박하고 돈 뜯어내고
“한국은 해킹 천국” 세계서 두 번째로 공격 많이 받아
‘정보도둑’ 넘어 조직화… 보안 뚫리면 피해도 ‘초고속’
사례 1 국가기관 최근 청와대 국가안전보장회의(NSC) 사무처의 전산장비에서 웜 바이러스 흔적이 발견됐다. 청와대는 “한 직원의 개인 PC에서 웜 바이러스를 통해 개인자료가 유출됐고, 지난 4월 19일에도 청와대 전산망을 해킹하려는 시도가 있었지만 방화벽에 막혀 실패했다”고 밝혔다. 그러나 한 달이 넘도록 자료 유출 사실조차 발견하지 못한 것은 청와대의 취약한 보안의식을 보여준다는 지적이 제기되고 있다. 모 포털 관계자는 “청와대 같은 국가기관에서 유출된 정보는 중국을 떠돌다 결국 북한으로 들어간다”고 말했다.
사례 2 통신회사 최근 서울경찰청 사이버수사대는 회원 수 800만명의 LG텔레콤 고객 개인정보를 실시간으로 조회할 수 있는 인터넷 사이트를 운영해 온 혐의로 강모(29)씨를 불구속 입건했다. 강씨는 지난 3월 21~25일 LG텔레콤의 고객정보 관리서버 접속을 위한 ID와 비밀번호, 서버 주소를 알아낸 뒤 가입자 정보를 조회할 수 있는 사이트를 만들어 고객정보를 유출한 혐의를 받고 있다. 강씨는 유명 포털 업체의 컴퓨터 전문가로 알려졌다. 모 보안업체 관계자는 “요즘 보이스 피싱 등 이상한 전화가 많이 오는 것도 다 이유가 있다”고 말했다.
사례 3 개인 미니홈피 싸이월드 방문자 추적용 프로그램을 팔아 4억여원을 챙긴 일당 11명이 불구속 입건됐다. 이들은 지난해 7월부터 최근까지 ‘싸이월드 방문자추적기’란 프로그램을 만들어 회원 40만명에게 월 5000원에서 1만5000원씩에 팔아 4억원을 챙긴 혐의를 받고 있다. 경찰청 관계자는 “방문자 추적기를 설치하려면 자신의 아이디와 비밀번호를 제공해야 하기 때문에 개인정보 관리에 각별한 주의가 요망된다”고 말했다.
피해 사례들
보안망 취약한 성인사이트가 주요 타깃
매달 ‘자릿세’ 명목으로 정기 상납까지
이상은 최근 발생한 해킹 사례다. 해킹이 나날이 지능화, 흉포화되고 있다. 요즘 해커들은 보안이 취약한 특정 사이트에 침입하여 금전적 이득을 꾀하는 것은 물론 청와대와 같은 국가 중추기관에 침입하여 국가기밀을 캐내가기도 한다. 외국에서 발행된 한 정보보안 보고서에 따르면 우리나라는 전 세계에서 미국에 이어 두 번째로 해커공격을 많이 당하는 나라로 꼽혔다. 네트워크 수준은 최고인 데 반해 정보보안 의식은 취약하다는 얘기다. 해커에게 통신망이 한번 뚫리게 되면 전국에 깔린 초고속 인터넷망을 타고 피해가 걷잡을 수 없이 퍼져나간다.
최근 해커들은 단순한 ‘정보 도둑’의 차원을 넘어서고 있다. 사이트 운영자에게 시스템을 망가뜨리겠다는 협박을 하며 돈을 뜯어가는 사례도 발생하고 있다. 실제 지난 3월 미래에셋그룹은 해커들로부터 ‘서비스를 중단시키겠다’는 협박을 당했다. 당시 미래에셋 홈페이지는 한때 먹통이 돼 고객들이 웹상에서 주식매매와 기준가격조회와 같은 서비스를 이용하는 데 지장을 받았다. 해커들은 미래에셋에 5000만원을 요구한 것으로 알려졌다.
한국인터넷데이터센터(KIDC)의 한 관계자는 “월 평균 130건 정도 보안 관련 이슈가 제기되는데 게임사이트나 화상채팅 혹은 성인사이트처럼 보안이 취약한 특정 기업에 전화를 걸어 ‘몇 월 몇 일 사이트를 마비시킬 테니 돈을 준비하라’는 식으로 협박을 가하는 사례가 늘고 있다”고 말했다. 특히 최근에는 일회성이 아니라 매월 일정 비용을 요구하는 등 협박의 정도도 심해지고 있다고 한다. 한 채팅사이트는 해커의 위협에 500만원 가량을 지불하고 무마시킨 것으로 알려졌다. 해커가 정기적으로 자릿세를 상납 받는 식으로 조폭화되고 있는 셈이다.
전문가들에 따르면 이런 해커들의 협박이 외부에 노출되지 않는 것도 문제라고 한다. 사이트 운영자들이 협박을 당해도 쉬쉬하고 숨기는 경우가 대부분이라는 것이다.
업계 한 전문가는 “외부에 공개되는 해킹 피해사례가 실제건수의 5%에 불과할 것”이라고 추정하고 있다. 협박을 당하는 업체들 대부분이 성인동영상사이트나 화상채팅, 성인용 도박 등 불법 음성사이트를 운영하고 있기 때문이다. 해킹 신고를 받는 한국정보보호진흥원의 한 관계자는 “음성 사이트 운영 업체들은 사고가 터져도 신고를 꺼리는 경우가 대부분”이라며 “협박에 응해 금품을 주거나 방치하는 경우가 많다”고 말했다. 최근에는 일반 업체까지 협박을 받는 사례도 발생하고 있다. 지난해 여름에는 모 펜션 예약 사이트가 해커들로부터 두 달간 협박을 받은 사례도 있다. 당시 해커들은 전화와 메신저를 통해 ‘사이트를 다운시키겠다’는 협박을 가했다고 한다.
해커들의 공격 방법은 의외로 단순하다. ‘분산 서비스 거부 공격(DDoS·Distributed Denial of Service)’이라고 불리는 방법을 사용한다. 특정 웹 서버의 시스템과 네트워크 장비에 일순간 많은 양의 트래픽(traffic)을 집중시킴으로써 해당 기업이 제공하는 서비스를 지연 혹은 마비시키는 공격 형태다. 다시 말하면 특정 사이트에 과부하를 거는 방법이다. 하루 평균 1000대의 차량이 지나갈 수 있는 도로에 10만대의 차량을 특정 시간 동안 집중시켜 도로의 기능을 상실케 하는 것과 마찬가지다. 일단 과부하가 걸리면 동영상이 중간에 끊기거나 컴퓨터 모니터에 ‘서비스가 불가능하다’는 하얀 바탕화면이 떠오른다.
해킹 컴퓨터 통신망을 이용하여 사용이 허락되지 않은 다른 컴퓨터에 불법으로 접근하여 저장되어 있는 자료를 삭제하거나, 변경하고 컴퓨터 운영체제를 손상시키는 행위.
웜 바이러스 컴퓨터 바이러스의 일종으로 ‘컴퓨터에 근거지를 둔 지렁이와 같은 기생충’이라는 뜻의 프로그램이다. 보통 ‘웜(worm)’이라고 한다. 컴퓨터 바이러스와는 달리 다른 프로그램을 감염시키지 않고 자기 자신을 복제하면서 통신망 등을 통해 널리 퍼진다.
패킷 네트워크를 통해 전송하기 쉽도록 자른 데이터의 전송 단위. 본래는 소포를 뜻하는 용어로, 소화물을 뜻하는 패키지(package)와 덩어리를 뜻하는 버킷(bucket)의 합성어이다. 우체국에서는 화물을 적당한 덩어리로 나눠 행선지를 표시하는 꼬리표를 붙이는데, 이러한 방식을 데이터통신에 접목한 것이다.
어떻게 공격하나
네트워크에 과부하 걸리게 만들어 서비스 마비
감염된 수천대 PC가 동시 공격… 대응 힘들어
해커들의 공격방법은 단순하지만 방어는 쉽지 않다. 그래서 “예방 외에는 달리 뾰족한 대책이 없다”는 말도 나온다. 모 보안업체 관계자는 “일반적으로 악성코드에 감염된 1500대 이상의 PC들이 동시다발적으로 공격하기 때문에 대응이 어렵다”고 털어놓았다. 더군다나 DDoS 공격에 이용되는 패킷은 웜이나 바이러스처럼 일정한 패턴을 지닌 악성코드가 아니기 때문에 정보보호 솔루션을 활용해 사전예방체계를 구축하는 것도 어렵다.
일부 대기업을 제외한 대부분의 웹 서비스 업체들의 경우 DDoS 공격에 대응하기 위해 무작정 보안 서비스 유지 비용을 늘려나갈 수 없는 것도 현실이다. 기존 처리용량의 2배 혹은 3배 이상의 보안 시스템을 구축한다고 해도 공격 트래픽은 보안 시스템의 용량을 가볍게 뛰어넘을 수 있어 근본적인 해결책이라고 볼 수 없다. 정보보호 관계자들은 “일반 기업에서는 서버를 관리해 주는 인터넷데이터센터(IDC)나 인터넷 서비스제공자(ISP)의 대응 능력에 전적으로 기댈 수밖에 없다”고 말했다.
해커들의 공격이 빈발하자 일반인들도 불안감을 느끼고 있다. 자기도 모르는 사이에 자기의 컴퓨터가 해커들의 공격에 동원될 수 있기 때문이다. 보안전문가들은 국내 PC 중 35만대 정도가 해커들의 공격에 동원될 수 있도록 감염된 것으로 추정하고 있다. 취약한 보안의식 때문에 해커들 사이에서는 “다른 나라 PC 10대를 감염시키는 것보다 한국 PC 1대를 감염시키는 것이 낫다”는 말도 공공연히 떠돈다고 한다. 그 결과 한 온라인 업체가 20~30대 성인남녀 880명을 대상으로 한 설문조사에서는 응답자의 91.4%가 “최근 개인 정보 보안에 불안감을 느낀다”고 답하기도 했다.
개인 PC도 위험
 |
| 국가사이버안전센터 직원들이 해킹정보를 모니터링 하고 있다. / photo 조선일보 DB |
나도 모르는 새 바이러스 감염, 해킹에 동원
개인정보 유출도 잇따라 ID 등 범죄에 노출
전문가들은 요즘 빈번하게 발생하는 해킹사건과 개인정보 유출과의 연관성을 지적하기도 한다. 기업용 정보보호 솔루션을 제공하는 한 업체 관계자는 “유출된 개인정보가 ID 오남용 등으로 해킹에 재이용될 수 있다”고 말했다. 개인정보 유출과 해킹이 악순환의 고리로 연결되어 있는 것이다.
실제로 회원수 1080만명을 자랑하는 국내 대표적 인터넷 상거래 업체인 옥션에서 유출된 개인 ID와 비밀번호 같은 정보들이 중국에서 버젓이 거래된 적이 있다. 지난해 9월에는 회원수 3800만명을 자랑하는 포털에서도 개인정보가 유출되었다.
최근에는 국내 2위의 기간통신사인 하나로텔레콤이 2년간 조직적으로 600만명에 달하는 자사 고객정보를 1000여개 텔레마케팅 업체에 돈을 받고 넘긴 일도 발생했다. 요즘 들어 스팸메일, 혹은 국세청이나 국가기관을 사칭한 보이스 피싱 전화가 유난히 자주 걸려오는 것도 이런 정보 유출 사고와 무관하지 않다.
아직 외국에 국한된 얘기지만 기업들이 경쟁 기업을 혼내주기 위해 조직적으로 해커를 고용하거나 양성하는 사례도 있다. 얼마 전 미국의 미디어 재벌 루퍼트 머독이 소유한 ‘뉴스코프(News Corp.)’의 계열사인 디지털콘텐츠 제작업체 NDS는 해커를 고용해 경쟁사의 소프트웨어를 연구하고 불법 복제품을 만든 것으로 확인됐다. 이 불법 복제품은 어떤 소비자든 무료로 경쟁사의 위성 방송을 볼 수 있도록 해준다. 당시 증언에 나선 NDS의 한 해커는 “뉴스코프 측이 나를 10년 전부터 고용해 왔다”고 말했다. 경쟁사의 영업을 방해하기 위해서 조직적으로 해커를 고용해온 것이다.
대처 방법은 없나
서버 관리업체나 ‘118’에 즉각 신고를
해외 공격 땐 서비스업체 통해 회선 차단
금품 요구를 동반한 웹 서비스 중단과 같은 신종 해킹 협박을 받게 되면 서버를 관리하는 업체나 해킹 신고센터(118)에 즉각 신고해야 한다. 이들 기관은 해킹 사고나 협박에 관련한 신고를 받으면 즉각 내부 탐지시스템을 가동해 모니터링을 한다. 공격하는 서버가 해외에 있을 경우 메가패스나 하나포스 같은 인터넷 서비스 제공업체(ISP)에게 회선을 차단하게끔 한다. 경찰청 사이버수사대에서는 협박자의 전화번호나 계좌번호 등을 근거로 범인 검거에 나서기도 하는데, 검거된 자는 정보통신망법이나 전자금융거래법 등 관련 법률에 따라 5년 이하의 징역 또는 5000만원 이하의 벌금에 처해진다.
계속되는 해킹사고에 국민들이 불안해하자 국가기관에서도 대책 마련에 착수했다. 현재 방송통신위원회 산하 한국정보보호진흥원을 비롯해 국가보안기술연구소(NSRI), 한국전자통신연구소(ETRI) 등에서는 사이버 안전 기술 확보를 위한 연구개발에 주력하고 있다.
하지만 역시 돈이 문제다. 2008년 국가정보보호백서에 따르면 전체 정부 IT 예산에서 차지하는 정보보호에 대한 투자는 2~3%에 불과하다. 지방자치단체를 포함한 정부 부서에서 전담 부서를 설치하고 있는 비중도 11.8%에 불과한 실정이다. 미국 연방정부의 정보보호 관련 예산이 전체 IT 예산의 9.2%를 차지하는 것과 비교되는 수치다.
그러자 민간 보안업체에서는 개인정보보호 수칙 10계명을 발표하는 등 자발적으로 사이버 보안 캠페인에 나서고 있다.
개인정보 보호 10대 수칙
1. 가입 사이트의 비밀번호를 주기적으로 변경할 것.
2. 신용정보 사이트에서 제공하는 명의도용 차단 서비스를 활용할 것.
3. 오랜 기간 이용하지 않는 사이트에서는 탈퇴할 것.
4. 돈이나 개인정보를 요구하는 전화(보이스피싱)에 응하지 말 것.
5. 해킹피해자 모임을 사칭해 개인정보를 달라는 사기 전화·이메일 역시 주의할 것.
6. 윈도 운영체제를 업데이트할 것.
7. 공공장소 PC 이용을 자제할 것.
8. 유·무료 보안서비스를 활용할 것.
9. 인터넷 사용 중 보안경고(액티브X)창이 뜰 경우 잘 모르는 사이트라면 그냥 닫을 것.
10. 메신저 사용 시 채팅창을 통해 사이트 주소나 파일이 전해져 올 경우 함부로 클릭하지 말 것.
RECENT COMMENT