"정부 규제보다 예방 중요, 보안 잘하는 기업에 혜택 줘야"
[서울=뉴스핌] 이성화 기자 = 올해 상반기 SK텔레콤에 이어 하반기 KT와 롯데카드 등 대규모 해킹 사고가 연이어 발생하면서 대한민국이 해커들의 타깃이 됐다는 지적이 나온다.
특히 KT는 불법 초소형 기지국을 통한 새로운 해킹 방식에 통신망 안전성 문제까지 위협받고 있다. 세계적으로 고도화되는 해킹 기술에 대응하기 위해서는 기업의 투자뿐만 아니라 정부의 실질적인 지원이 뒷받침돼야 한다는 분석이 나온다.
황석진 동국대 국제정보보호대학원 교수는 19일 뉴스핌과의 통화에서 "해킹 피해를 근본적으로 해결하기 위해서는 중장기적인 계획을 잡고 민관이 협력해야 한다"고 말했다.
황 교수는 최근 이동통신사에 이어 카드사까지 대규모 해킹 사고가 발생한 것에 대해 "우리나라에서만 해킹이 많이 발생한다고 단정할 수는 없다"고 했다.
그는 "KT처럼 무선 전파를 통한 해킹은 지난 4월 일본에서도 있었고 태국 등 동남아 국가에서도 발생하던 해킹 방식 중 하나"라며 "기존에는 SK텔레콤처럼 대상자가 있어서 메인서버를 공격한 데이터 탈취가 대부분이었다면 지금은 생각하지도 못한 방식으로 발생하고 있다"고 설명했다.
이어 "롯데카드처럼 직접적으로 서버에 악성코드를 설치하는 원시적인 방식은 예전에도 있었고 예스24, 서울보증보험 등에서 발생한 랜섬웨어 공격도 전 세계적으로 많이 발생한다"며 "우리나라만 그렇다기보다는 주로 해외 해커그룹에 의해 자행되다 보니 여러 경우의 해킹이 발생하고 있다"고 분석했다.
경찰 등에 따르면 'KT 무단 소액결제 사건' 피의자 중국인 2명은 지난달 27일부터 이달 초까지 불법 초소형 기지국(펨토셀) 장비를 차량에 싣고 수도권 일대를 돌며 KT 가입자의 휴대전화를 해킹해 교통카드 충전, 모바일 상품권 구입 등 소액결제를 반복한 것으로 드러났다.
일본에서는 지난 4월 도쿄와 오사카에서 차량에 가짜 기지국을 설치해 번화가에서 피싱 메시지를 살포한 사건이 발생해 일본 총무성에서 주의를 촉구한 바 있다. 또 필리핀 마닐라에서는 중국인이 차량에 '국제이동가입자식별번호(IMSI) 캐처'를 설치해 운용하다가 현지 경찰에 붙잡혔다. 지난달에는 태국 방콕에서 중국 사기 조직에 고용된 한국인이 차량에 가짜 기지국을 설치하고 스미싱 문자를 보내다 현지 경찰에 체포됐다.
해외에서도 비슷한 방식의 해킹이 일어났지만 우리나라처럼 대규모 피해로 확산하지는 않았다. 다만 황 교수는 "SK텔레콤과 KT는 국내 이동통신 3사 중 1,2위고 롯데카드도 주요 카드사 9곳 중 하나인 만큼 수만 명, 수십만 명의 정보가 한 곳에서 해킹 공격을 받으면 파장이 클 수밖에 없다"고 우려했다.
특히 KT와 롯데카드는 당초 발표한 것보다 개인정보 유출 규모가 큰 것으로 밝혀지면서 국민들의 불안감은 계속되고 있다.
KT는 지난 11일 1차 브리핑에서 소액결제 피해자 수는 278명, 피해금액은 1억7000만원이라고 발표했으나 지난 18일 2차 브리핑에서는 피해자 수 362명, 피해금액 2억4000만원으로 늘었고 기존 불법 초소형 기지국 아이디(ID) 2개 외 2개의 ID를 추가 확인했다고 밝혔다.
또 1차 브리핑 당시 2개의 기지국 ID를 통해 1만9000여명이 신호를 수신했고 그 가운데 5561명의 가입자식별번호(IMSI)가 유출된 것으로 파악했으나 2차 브리핑 때는 2만30명의 IMSI, 국제단말기식별번호(IMEI), 휴대전화 번호 유출 정황을 알렸다.
롯데카드도 당초 1.7기가바이트(GB) 규모의 정보 유출을 신고했으나 조사 결과 200GB 분량의 데이터가 반출되면서 297만명의 고객 정보가 유출된 것으로 나타났다.
황 교수는 "SK텔레콤은 1347억원이라는 역대 최대 과징금이 나왔고 KT와 롯데카드도 개인정보 유출 규모를 보면 엄청난 과징금이 부과될 것으로 예상한다"면서도 "현재 정부는 사후적 규제에 포커싱을 맞추고 있는데 사전적으로 예방하는 시스템을 갖춰야 한다"고 주장했다.
이어 "정기적으로 정보보안 시스템을 검사해 규제를 잘 준수하고 사고가 발생하지 않는 기업에는 세제 혜택이나 금리 감면 등 조치를 해야 한다"며 "보안 체계가 잘 된 기업은 긍정적으로 평가하는 시스템도 필요하다"고 했다.
과학기술정보통신부는 이날 브리핑에서 해킹 사고를 예방·대응하기 위해 인공지능(AI) 기술을 적극 활용하겠다고 밝혔다. AI 기술이 급격히 발전하면서 AI 기술을 이용한 해킹 사례도 늘고 있는데 이를 또 다른 AI 기술로 방어하겠다는 것이다.
그러나 내년 정부 예산안을 보면 AI 분야는 10조1000억원, 정보보호 분야는 30분의 1 수준인 3300억원에 그친다. 정보보호 예산은 올해에 비해 8.1% 증가했으나 다른 분야에 비해 절대적으로 부족하다는 지적이 나온다.
황 교수는 "정보보호 예산을 늘려야 한다"며 "지금은 보안을 기업에만 맡겨놓고 얼마를 투자했는지, 인력을 어떻게 관리하고 있는지 따지는데 정부 차원에서도 적극적으로 정보보안 인력을 육성하고 지원해야 한다"고 강조했다.
그는 기업과 정부도 보안에 신경을 써야 하지만 이용자 개개인도 개인정보 관리에 경각심을 가져야 한다고 조언했다. 그러면서 "휴대전화 소액결제를 차단하거나 정기적으로 비밀번호를 바꾸는 프로세스를 가져가는 게 좋다"며 "능동적으로 개인정보를 잘 지키고 잠가두는 것도 필요하다"고 말했다.
*용어 설명
펨토셀(Femtocell, 불법 초소형 기지국) :일반 기지국보다 훨씬 작은 이동통신 중계 장치. 원래는 건물 내부 등 전파가 약한 지역에서 통신 품질을 개선하기 위해 사용되지만, 범죄에 악용될 경우 가짜 기지국처럼 동작해 이용자의 통신 신호(통화·문자·데이터)를 가로채거나 스미싱 메시지를 살포할 수 있음.
IMSI (International Mobile Subscriber Identity, 국제이동가입자식별번호) :휴대폰에 들어 있는 USIM 카드에 저장된 고유한 가입자 번호. 통신망에서 특정 가입자를 식별하는 용도로 사용됨. 유출될 경우 도청, 위치 추적 등 2차 피해 위험이 존재.
IMEI (International Mobile Equipment Identity, 국제단말기식별번호) :휴대폰 기기 자체의 고유 일련번호.
분실·도난폰 등록, 네트워크 차단 등에 활용. 유출되면 단말기 보안에 악용될 가능성이 있음.
랜섬웨어(Ransomware) :시스템이나 데이터를 암호화해 사용할 수 없게 만든 뒤, 이를 풀어주는 대가로 금전을 요구하는 악성코드. 최근 전 세계적으로 기업, 기관, 개인까지 광범위하게 피해를 입히고 있음.
스미싱(Smishing) :문자(SMS)와 피싱(Phishing)의 합성어. 악성 링크가 포함된 문자를 보내 사용자가 클릭하면 악성 앱 설치, 금융 정보 탈취 등 피해로 이어짐.
shl22@newspim.com
