‘언택트’와 ‘초연결’ 시대, 편리함에 비례해 보안 리스크도 커지고 있다. 미국 영상회의 플랫폼 ‘줌(ZOOM)’이 코로나19 국면에서 폭발적으로 성장했지만 이내 ‘정보보안’ 우려에 휘말린 것은 상징적인 사례다. 올 2분기 기준 줌의 월평균 사용자수는 1억4840만 명에 달한다. 프라이버시 침해와 정보유출 우려로 줌을 금지하는 회사들이 늘어나고 창업자가 중국계라는 이유로 미중 갈등 영향을 받았음에도 불구하고, 줌은 전통의 IT 기업 IBM 시총을 넘어서며 승승장구하고 있다.

언택트와 초연결은 이미 거스를 수 없는 흐름이 됐다. 정부는 ‘디지털 뉴딜’ 정책을 발표하며 ICT 인프라를 확충하고 있고, 코로나19로 국민들의 생활은 ‘온라인 퍼스트’로 급격히 변화하고 있다. 카스퍼스키는 대표적인 해킹수법인 디도스(DDoS) 공격 동향을 분석하면서 코로나19로 온라인 영역에 대한 보안 위협이 증대할 것이며, 올해 안에 끝나지 않을 것으로 전망하고 있다. 문제는 보안에 대한 투자나 경각심이 이 속도를 따라가지 못한다는 점이다. 5G(5세대) 네트워크로 통신 속도가 빨라지면서 집과 사무실은 물론 생산현장의 각종 설비와 IT 기기들이 속속 연결되는 중이다. 이른바 ‘스마트+X(홈, 카, 팩토리, 시티)’ 시대다. 끊임없이 생성되는 데이터는 기존 PC 서버를 벗어나 5G망을 타고 클라우드에 저장되고, 우리는 언제 어디서나 클라우드에 접속해 데이터를 올리고 내려받을 수 있는 세상에 살고 있다.

여기에 코로나19로 원격근무가 확산되면서 수천~수만 명의 직원들이 외부에서 회사망에 접속하는 환경이 만들어졌다. 이는 정보탈취를 노리는 해커들 입장에서는 수천~수만 개의 ‘문(門)’이 새로 생긴 것이나 마찬가지다. 가장 보안이 취약한 한 곳만 뚫으면 연결망을 타고 모든 것을 관장하는 중앙 서버까지 침투할 수 있으므로, 중요정보에 접근하는 것이 훨씬 더 쉬워진 셈이기도 하다. ‘언택트 시대의 그늘’ 국가와 기업, 개인의 보안 리스크를 점검해본다.

▶최첨단 스마트팩토리도… 한 곳 뚫리면 전체 셧다운 지난달 3~4일 개최된 글로벌 해킹방어대회 ‘코드게이트 2020’에서는 비대면 업무환경에서 벌어질 수 있는 다양한 해킹 피해 사례가 문제로 출제됐다. 대회에 참가한 화이트해커들은 기존과는 다른 새로운 유형의 문제들이 많았다는 반응이었다. 전문가들도 생소할 만큼 기존에 없던 보안 리스크들이 많이 생겼다는 뜻이다.

때문에 기업들은 예상치 못한 해킹 공격을 당하고 쉬쉬하거나, 아예 해킹을 당한 사실조차 모르는 경우도 많을 것으로 업계는 보고 있다.

해커들은 돈이나 데이터를 노린다. 최근에는 ‘산업제어시스템(ICS)’을 공격하는 사례가 잇따르고 있다. 산업제어시스템이란 발전소, 통신, 교통 등 국가주요 기반시설과 반도체, 제철소, 정유·화학 등 주요 산업현장에서 설비를 제어하는 시스템을 말한다. 물이나 전력, 가스처럼 24시간 공급해야 하는 사회 중요 인프라를 제어하기 때문에 자칫 해킹피해를 입을 경우 수십만~수백만 명이 피해를 입을 수 있다.

국가 기간망이나 첨단 산업의 중요설비가 해킹됐을 때 얼마나 피해가 클지 짐작하기는 어렵지 않다. 작년 3월 베네수엘라 전력의 70% 이상을 공급하는 수력발전소 설비가 사이버 공격을 받으면서 전국 23개 중 19개 주의 전력공급이 차단됐다. 정전이 일주일간 지속되자 병원 전력이 끊겨 응급환자가 생사기로에 놓였고, 상점과 가정에서는 냉동·냉장식품이 대거 폐기됐다. 베네수엘라 제2의 도시 마라카이보에서는 정전기간 동안 상점 500곳이 약탈을 당했고, 급기야 일주일에 18시간씩 단전하는 ‘전력배급제’까지 시행했지만 민간 피해금액만 4억달러에 달했다. 비슷한 시기 노르웨이에서는 세계 4위 알루미늄 제조회사 노르스크 하이드로(Norsk Hydro)가 랜섬웨어 공격을 당해 알루미늄 생산 공정이 마비되면서 글로벌 알루미늄 가격이 1.2%나 상승하기도 했다.

이제 막 도입되기 시작한 스마트팩토리는 특히 ‘보안’이 생명이다. 하지만 삼성전자와 SK하이닉스, 포스코 등 일부 대기업을 제외하고는 스마트팩토리 보안 관련 투자는 전무하다. 지금까지는 외부와 단절된 폐쇄망으로 운영되어 왔고 내부 설비도 라인별로 분리되어 있어 타격이 적었지만, 스마트팩토리는 단 한 번의 공격으로도 공장 전체가 ‘셧다운’ 될 수 있다. 산업설비의 핵심 서버와 수십만~수백만 개의 사물인터넷(IoT) 센서를 하나로 연결하고 이렇게 수집된 데이터들을 인공지능(AI)으로 분석해 자동으로 제어하는 구조이기 때문이다.

글로벌 보안장비업체 시스코와 협력해 스마트팩토리 보안솔루션을 개발하고 사업을 추진하고 있는 안승희 포스코ICT ICS보안사업그룹장은 “국가기반시설을 대상으로 하는 ICS해킹에 의한 침해가 발생할 경우 시설파괴, 생산중단 등 매우 큰 문제가 발생할 수 있기 때문에 정부와 기업들이 경각심을 가지고 대비해야 한다. 또한 정부 주도로 중소기업을 대상으로 한 스마트팩토리 구축이 활발히 이루어질 텐데, 대기업과는 달리 대비할 여력이 없는 이들을 위한 맞춤 솔루션도 고민해야 할 것”이라고 말했다.

▶의료·금융 민감정보 다 털릴라… 보안 피로도 심각 보안에 민감한 일부 기업들은 화이트해커들에게 의뢰해 보안 취약점을 컨설팅받기도 한다. 이때 보안업체는 CEO나 임원의 이메일을 들여다보고, 회사 핵심서버까지 접근해 ‘관리자 권한’을 획득하는 모의해킹을 해준다. 해커가 마음만 먹으면 연봉테이블, 하반기 출시할 신제품 조감도, 내년 사업계획서 같은 극비정보들을 빼낼 수 있다는 것을 보여주고 어떻게 방어할지 알려주는 것이다. 화이트해커들이 설립한 정보보안회사 엔키(ENKI) 박세한 대표는 “짧게는 2~3일, 길게는 2~3주면 국내 모든 기업과 기관이 뚫린다고 보면 된다”고 말했다. 실제로 이 회사 직원들이 고객사 핵심서버에 접근하면 은행 인터넷뱅킹 잔고를 수십억원으로 늘리거나 줄일 수 있고, 병원 관리자로 접속해 의무기록을 조작하거나 모든 진료비를 ‘0원’으로 만드는 것도 가능하다. 이를 지켜본 고객사 관계자들은 하얗게 질릴 수밖에 없다.

어느 곳도 ‘100% 방어’는 불가능하다. 기술적으로 완벽하게 방어한다고 해도 사람이 실수하는 ‘휴먼 리스크’가 가장 큰 위협이기 때문이다. 직원 한 명이 해커가 보낸 이메일 첨부파일을 링크할 수도 있고, 근무시간에 정체불명의 사이트에 접속할 수도 있다. 무심코 꽂은 USB 하나가 바이러스를 퍼트릴 수도 있다. 지난 2018년 8월 생산라인이 멈추면서 3000억원의 피해를 낸 세계최대 반도체 생산기업 TSMC 사건도 직원이 바이러스 검사를 하지 않은 USB를 꽂은 것이 원인이었다.

특히 우리나라는 글로벌 해커들의 주요 표적이다. 세계최고의 IT 인프라를 가지고 있고 전 국민이 스마트폰 사용에 익숙한 데다, 기업들의 경우 해킹을 당해도 신고하는 경우가 많지 않기 때문이다. 게다가 세계적인 해킹실력을 가진 북한 해커들이 다양한 이유로 한국 네트워크를 노리고 있는 것도 문제다. 우리 기업들이 보안을 소홀히 하는 것은 아니다. 다양한 보안프로그램을 사용해 방어에 나서고 있지만 국내 기업들의 보안 피로도는 글로벌 평균보다 훨씬 심각한 수준이었다. 시스코 보고서에 따르면, 작년 한 해 사이버피로를 겪은 국내 응답자는 60%로 2018년 39%에서 대폭 상승했고, 글로벌 평균인 30%보다 2배 더 높았다.

하루 평균 10만 건 이상의 보안 경고를 받는다는 한국 기업은 35%에 달했다. 2018년 11%에서 3배 이상 상승한 것이다. 글로벌 평균이 14%라는 점을 감안하면 국내 기업들이 두 배가 넘는 ‘보안 스트레스’에 시달리고 있다는 이야기다.

시스코 관계자는 “하루에도 수만 건의 보안 경고를 받다보니 기업들이 피곤하고 무감각해지는 경향을 보였다”면서 “10개 이상의 보안 벤더를 활용하는 기업이 아태 41%, 글로벌 39%인 데 반해 한국은 2018년 34%에서 2019년 56%로 증가한 것으로 나타났다”고 설명했다.

▶당하면 속수무책인 랜섬웨어… 기업 타깃으로 진화 컴퓨터 시스템을 잠그거나 데이터를 암호화한 뒤, 이를 인질로 삼아 ‘몸값’을 요구하는 랜섬웨어(Ransomware)도 요주의 대상이다. 랜섬웨어는 일단 걸리면 풀 방법이 없다. 따로 오프라인에 저장해둔 데이터를 복원하는 것이 최선의 방책이다. 사실상 복구할 방법이 없다보니 소중한 데이터를 되찾기 위해서는 쉬쉬하면서 해커들의 요구에 응하는 경우가 많았다. 이 같은 관행 때문에 국내 랜섬웨어 피해규모조차 파악되지 않고 있다.

한국인터넷진흥원(KISA)이 운영하는 인터넷보호나라 상담전화(118)에 따르면, 랜섬웨어 상담접수 건수는 2018년과 2019년 모두 약 2400여 건 수준이었다. 올 상반기는 약 500여 건으로 한해 2000건 내외의 상담이 접수된다고 KISA 측은 밝혔다.

‘스마트 연결’이 확산되면서 랜섬웨어 수법도 교묘해지고 있다. 과거에는 일단 악성코드를 무차별 유포한 뒤 ‘아무나 걸려라’라는 식이었는데, 최근에는 이른바 ‘더 비싼 정보’를 타깃으로 특정 기업에 맞춤형 공격을 하는 사례가 늘었다. 기업들이 금전 요구에 응하지 않고 자체적으로 백업해서 해결하는 경우도 많은데, 과거에는 해킹이 실패했다고 보고 포기하는 경우가 대부분이었다. 그러나 최근 들어 암호화한 자료 일부를 빼내 외부에 공개하면서 해킹 사실을 널리 알리는 조직들도 나타났다. 글로벌 해커집단 ‘메이즈(MAZE)’는 지난 5~8월 LG전자와 SK하이닉스의 데이터를 입수했다고 주장하면서 본인들의 홈페이지 ‘메이즈 뉴스’에 일부 데이터를 공개했다. SK하이닉스와 LG전자 모두 “해킹시도는 있었지만 잘 막았고, 입수했다고 주장하는 데이터들도 중요한 정보가 아니다”라는 입장이지만, 해커들은 ‘돈 될 만한 정보’를 찾아 끊임없이 대기업을 공격하고 있는 것으로 나타났다.

얼마 전까지만 해도 랜섬웨어 조직들은 악성코드를 무차별 유포한 뒤 대상이 누구냐에 따라 몸값을 달리 부르는 수법을 써왔다. 예컨대 집 PC에 저장된 자녀의 성장기 사진을 되찾고 싶은 부모라면 수십만원이 넘어가면 데이터를 포기할 가능성이 높지만, 기업에 꼭 필요한 비즈니스 정보라면 더 많은 돈을 지불할 가능성이 높아진다. 랜섬웨어가 돈을 노리는 범죄이니만큼 기업 타깃형 수법이 점점 더 늘어날 것으로 전문가들은 보고 있다.

주된 감염경로인 이메일 제목에 ‘송장’ ‘입사지원서’ 등의 문구가 늘어난 것이 증거다. 한 예로 비너스락커라는 조직은 입사지원서를 사칭한 악성 메일을 유포해 사용자가 첨부파일을 열면 랜섬웨어를 감염시키는 방법을 쓴다. 예전에는 구글 지메일이나 실제 호스팅을 구축해서 메일을 보냈는데, 최근에는 한국 IP에서 발송하고 있다.

첨부파일을 압축 해제하면 PDF파일로 위장한 exe파일이 실행되는 방식이다. 재택근무가 증가하면서 기업 내부망에 비해 보안이 취약한 PC를 공격해 사용자 계정을 탈취하거나 랜섬웨어 파일을 심어 기업 주요 시스템 침투를 노리는 경우도 늘고 있다. 보안업계 관계자는 “가상사설망(VPN)을 통한 접속이 암호화되어 있지 않거나 항상 접근이 가능할 경우, 랜섬웨어에 감염된 사용자 PC에 연결되어 있는 기업 내 중요 시스템 폴더들도 감염될 가능성이 있다”며 주의를 당부했다.

특히 상반기에는 코로나19 확산에 따른 사회적 관심과 불안감을 악용한 랜섬웨어 유포가 급증했다. 보건 당국이나 의료기관을 사칭한 메일을 발송하여 사용자가 메일을 확인하거나 첨부파일을 실행할 시, 랜섬웨어를 감염시키는 수법이다. 마이크로소프트에 따르면 매일 전 세계에서 나타나는 수백만 개의 피싱 메시지 중 약 6만 개에서 코로나19 관련 악성 첨부파일 및 링크가 포함되어 있으며, 공격자들은 주로 세계보건기구(WHO), 질병통제예방센터 (CDC), 보건복지부와 같은 단체를 사칭한 것으로 나타났다. 스마트폰을 노리고 마스크 무료 배포, 감염자 동선 확인 등 가짜 문자메시지를 악용한 스미싱 공격도 지속적으로 발생하고 있다.

▶안락한 스마트홈의 해킹악몽… 중학생도 뚫을 수 있어 미래형 주거 트렌드로 각광받는 스마트홈 시스템도 해커의 공격에 취약하다. 현재 전국 거의 모든 아파트는 전체 세대가 단지망 하나의 네트워크를 공유한다.

한 세대가 해킹될 경우 전체 세대가 해킹 위험에 노출되는 구조다. 수십억원짜리 아파트도 가구당 몇 만원이면 되는 ‘세대 간 망 분리’가 되어 있지 않아 해킹 위험에 노출되어 있는 것이다.

비유하자면 현관에 열심히 ‘디지털 걸쇄’를 걸어 잠가도 옆집과 윗집, 아랫집 사이가 벽 없이 트여 있어서 ‘사이버 도둑’이 마음껏 드나들 수 있는 것과 같다. 예를 들어 해커가 A아파트 101동 503호의 AI 스피커를 해킹할 경우 101동은 물론 단지 전체 시스템을 좌지우지할 수 있다. 스마트홈을 해킹하면 현관 전자 도어록을 열 수 있고 전등과 보일러, 냉장고를 마음대로 조종하며 컴퓨터 카메라나 CCTV를 통해 집안 상황을 고스란히 들여다볼 수도 있다.

익명을 요구한 화이트해커는 “스마트홈은 코딩에 관심 많은 중학생 실력이면 뚫을 수 있을 정도로 보안 시스템이 허술하다”며 “소위 ‘돈이 되지 않기 때문에’ 해커들이 관심이 없는 것일 뿐 마음만 먹으면 관리자 서버에 접속해 아파트 전 세대 스마트홈 시스템을 좌지우지할 수 있을 것”이라고 말했다. 최근 일부 건설사는 이 같은 리스크를 막기 위해 아파트를 지을 때부터 세대 간 ‘사이버 경계벽’을 구축하고 있다.

일반인들이 랜섬웨어나 해킹 피해를 예방할 방법은 없을까. 일단 중요한 자료들은 주기적으로 외장하드나 USB 등 ‘오프라인 저장매체’에 따로 저장해둬야 한다. USB에 저장했다 하더라도 컴퓨터에 꽂아두면 함께 감염될 수 있으므로 네트워크에서 분리해 보관한다. 모든 소프트웨어(SW)는 보안패치가 업데이트된 최신버전을 사용하고, 백신SW도 주기적으로 업데이트해주는 게 좋다. 특히 출처가 불명확한 이메일이나 URL을 클릭하지 말고 파일공유 사이트 등을 통한 ‘불법 다운로드’를 삼가야 한다. KISA는 정보보호나라 홈페이지를 통해 대국민 랜섬웨어 피해예방 5계명과 기업들을 위한 상세 대응 가이드라인을 제공하고 있다.

[신찬옥 매일경제 모바일부 기자]

[본 기사는 매경LUXMEN 제121호 (2020년 10월) 기사입니다]
[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]