中 ‘예고 해킹’에도 국내 학술기관들 피해
정부, 관련법 따라 점검하지만 해커는 무시
적극 사전 점검하고, 예방 부서도 확대해야
최근 해킹 관련 기사가 부쩍 눈에 띈다. 정부 기관과 언론사 등 2000여 곳을 대상으로 사이버 공격을 예고했던 중국 해킹 그룹은 설 연휴 기간에 국내 학술기관 12곳을 해킹한 것으로 알려졌다. 또 이달 초 블록체인 분석업체 체인애널리시스는 지난해 북한이 2조1000억 원 가치의 암호화폐를 해킹했다고 밝혔다. 글로벌 해킹그룹 랩서스는 지난해 삼성, 마이크로소프트, 엔비디아 등 글로벌 대기업을 무차별로 해킹했고, 2021년 미국 송유관 운영 회사 콜로니얼 파이프라인은 랜섬웨어에 감염돼 해커들에게 약 55억 원을 송금하기도 했다.
해킹 그룹의 공격 대상은 다양하다. 그중 기반시설, 암호화폐 거래소, 글로벌 대기업에 대한 해킹은 파급력 측면에서 문제가 더 심각하다. 보안을 뚫는 것도 더 어렵다. 그럼에도 오랜 준비 끝에 여러 우회 경로를 뚫어 이런 해킹은 빈번히 이뤄지고 있다. 당연히 이번에 공격을 받은 작은 학회의 홈페이지 보안은 해킹에 더 취약할 것이다.
당장 파급력은 크지 않지만, 작은 홈페이지들의 보안도 중요하다. 해킹된 홈페이지들은 악성코드 유포지나 데이터 저장소 등에 활용될 수 있다. 또 일반 웹사이트를 해킹해 악성코드를 심어 놓은 뒤 접속자 PC에 악성코드를 심는 ‘워터링홀(watering hole)’ 공격에도 이용될 수 있다. 주요 분야 전문가들이 포진한 학회 홈페이지 같은 곳은 특히 워터링홀 공격에 활용될 여지가 크다.
작은 규모 단체나 학회 홈페이지들은 해킹에 왜 취약할까. 우선 개발자들이 보안을 잘 몰라 다양한 실수를 하는 탓이 가장 크다. 사실 기본적인 실수는 소프트웨어 취약점 점검을 통해 잡을 수 있다. 한데 홈페이지에 대한 안전 인식이 부족하다 보니 기본적인 점검조차 이뤄지지 않는 게 현실이다. 그래서 일각에서는 정부 주도로 취약점 점검을 해야 한다는 주장이 나온다.
문제는 정부가 점검을 하는 데에도 제약이 있다는 점이다. 정보통신망법 제47조 4는 정부가 취약점 점검을 할 수 있다고 되어 있다. 반면 48조는 누구나 정당한 접근권한 없이 정보통신망에 침입할 수 없다고 되어 있다. 동의 없는 취약점 점검은 법률 위반 소지가 있는 것이다. 이런 이유로 미리 허락을 받지 않은 경우 원격 취약점 점검은 하지 않는 것이 일반적이다.
민간 보안을 책임지는 한국인터넷진흥원(KISA) 보호나라 홈페이지의 ‘보안 점검’ 부분을 보면 신규 정보기술(IT) 서비스의 경우 사전 점검을 하도록 하고 있다. 그러나 IT 이외 분야의 민간 서비스가 대부분이고, 이 부분의 보안 점검조차 스스로 할 수 있다고 되어 있어 실제로 얼마나 실효성이 있는지 의문이다. ‘보안 점검’의 다른 내용들은 자체적으로 내려받아 수행하도록 되어 있다. 즉, 정부가 능동적으로 취약점 점검을 하는 경우는 거의 예를 찾기 힘들다.
반면 해커들은 당연하게도 정보통신망법은 애초에 가뿐히 무시한다. 홈페이지 등을 스캔하고, 취약점을 찾고, 악성코드를 심으며 종횡무진 활개를 친다. 2021년 12월 초 알려지기 시작한 인터넷 서버용 소프트웨어인 ‘로그4j(Log4j)’는 역사상 최악의 취약점으로 불린다.
이렇듯 취약점이 알려지고 이에 대한 공격 방식이 공개 되면, 이 공격은 인터넷에서 널리 이용되기 시작한다. 이어 취약점을 평가하는 용도로 만들어진 프로그램인 스캐너 또한 공개된다. 해커들은 이 스캐너를 이용해 취약한 홈페이지를 찾아 해킹을 시작한다. 이때 보안이 약한 홈페이지들은 무방비로 공격을 당하는 반면 사전에 철저히 준비한 홈페이지들은 공격을 방어할 수 있다.
물론 취약점 점검 프로그램이 완벽한 것은 아니다. 각각의 홈페이지가 모두 다르게 설계됐기 때문에 보안 취약점 또한 제각각이고, 그렇기 때문에 점검 프로그램이 모든 취약점을 찾아낼 수는 없다. 따라서 취약점 점검 프로그램은 기본적인 점검에 활용하고, 보안이 중요한 홈페이지의 경우 전문 보안컨설팅 회사의 취약점 점검을 재차 받아야 안전하다.
중국의 예고 해킹으로 알려진 최근의 사태는 정보통신망법 때문에 생긴 기울어진 운동장의 문제점을 더 부각하는 것 같다. 정부는 필요한 경우 적극적으로 취약점을 점검하고 해킹 예방 활동을 전개해야 한다. 아울러 과학기술정보통신부 내 현재 존재하는 ‘사이버침해대응과’에 더해 ‘사이버침해예방과’를 새로 만들어 예방 대책을 강화해야 할 것이다.
댓글 0