지난달 스웨덴 역사상 최악의 은행강도 사건이 일어났다.
스웨덴 최대 은행 노르디아의 고객 250명은 거금 800만 크로나(약 10억6600만 원)를 강탈당했다.
그런데 범인은 총도, 칼도 없었고 심지어 은행에 들어오지도 않았다. 계좌 정보를 빼낸 해커들이 인터넷 뱅킹으로 돈을 이체해 유유히 달아났다. 스웨덴 경찰은 범행이 시작된 지 15개월이 지나서야 이 사실을 깨달았다.
금전적 이익을 노리는 해킹이 늘어나고 있다.
최근에는 국제 금융사기단이 파밍(pharming)이라는 최첨단 해킹 기법을 이용해 영국 바클레이스 은행, 미국 아메리칸익스프레스 카드, 세계 최대의 인터넷 경매업체 이베이 등의 고객 PC를 공격해 개인정보를 빼내가는 사고도 발생했다.
피해자가 인식할 수도 없는 사이에 막대한 재산 손실을 볼 수 있는 것이다.
총 안든 강도로 변한 해커들
기존의 해커들은 자신의 기술을 과시하기 위해 주요 기관이나 기업 사이트를 뚫고 들어가는 데 만족했다. 하지만 최근에는 조직적이고 치밀하게 금전적 이익을 취하는 사례가 늘어나고 있다.
인터넷 은행 강도는 먼 나라의 이야기만이 아니다.
이달 중순 국내에서도 한국씨티은행의 온라인 신용카드 결제대행시스템이 해킹돼 고객 20명의 계좌에서 5000여만 원이 무단 결제됐다.
지난달에는 국민은행과 농협의 인터넷뱅킹 고객 5000명의 공인인증서가 해커들에게 넘어갔다. 해커들은 고객의 PC가 가짜 사이트로 연결되게 했다. 고객 중 30여 명은 가짜사이트에 속아 보안카드 비밀번호를 해커들에게 넘겨주기도 했다.
한국마이크로소프트 최고보안책임자(CSA)인 조원영 이사는 최근에는 러시아 마피아 같이 자금과 조직력이 막강한 조직이 해커들을 고용해 금융회사를 타깃으로 정하고 조직적으로 공격하는 사례가 늘고 있다고 말했다.
당신 회사 시스템 다운, 돈 보내라.
아예 대놓고 돈을 요구하거나 첨단 기술을 빼가는 사례도 있다. 이런 공격은 주로 정보보안 시스템이 취약한 중소기업들을 노린다.
지난해 말 국내의 인터넷 업체 및 중소기업 수십 곳은 마비된 당신 회사의 시스템을 정상화해주겠다. 일까지 계좌로 억 원을 입금하라는 협박성 e메일을 받았다.
이미 각 회사의 전산시스템은 해커들의 공격으로 마비된 상태였다.
이들은 분산서비스거부(DDoS)라는 방법으로 시스템을 공격했다. 이는 2001년 2월 79일 미국의 증권거래소, 야후, 이베이, CNN 등을 공격한 악명 높은 해킹 수법으로 데이터를 대량 전송해 서버를 마비시키는 것이다.
인터넷보안업체 한국기술비젼의 김현승 대표는 해커들의 타깃이 대기업과 정부기관 등에서 중소기업으로 바뀌고 있다며 최근에는 액정표시장치(LCD)와 휴대전화 부품 관련 중소기업들이 중국으로부터의 해킹을 막아 달라고 요청하는 사례가 부쩍 늘었다고 말했다.
개인 이용자들 무방비
PC보안에 대한 인식과 대응책이 부족한 개인 이용자는 당연히 해커들의 공격에 속수무책일 수밖에 없다.
정보통신부 자료에 따르면 백신프로그램을 설치하지 않고, 보안패치 업그레이드를 하지 않은 개인 PC가 악성코드나 바이러스에 감염되는 데 걸리는 시간은 인터넷 접속 후 평균 15분에 불과하다.
최근에는 e메일이나 블로그의 ID와 비밀번호를 도용해 범죄에 이용하는 사례도 늘고 있다. 공동 구매를 한다며 다른 사람의 e메일 계정으로 물품 신청을 받아 돈만 챙겨 잠적하는 것은 물론 지난해 11월에는 유명 포털 사이트의 블로그 수백 개가 하루아침에 불법 도박사이트 홍보물로 변신한 사례도 있다.
강은성 안철수연구소 상무는 금전적 이익을 얻기 위한 해킹은 앞으로 더욱 조직화되고 첨단화될 것이라며 앞으로 e메일이나 메신저, 웹사이트 해킹 등을 통해 개인정보를 가로채는 지능적인 방법이 계속 등장할 것으로 전망된다고 말했다.
전문가들은 세계 정상급의 인터넷 및 인터넷뱅킹 보급률을 보이고 있는 한국의 인터넷 보안의식은 형편없는 수준이라고 입을 모은다.
한국 MS의 조원영 이사는 여전히 국내 개인 사용자의 절반 이상이 보안패치를 설치하지 않은 상태라며 기업들의 보안의식 부족도 심각하다고 말했다.
정재윤 문권모 jaeyuna@donga.com mikemoon@donga.com