중국발 청부해킹에 무방비… 산업기밀 유출 피해 年80조
중국을 상대로 무역업을 하는 A중소기업의 B 사장은 얼마 전 황당한 일을 당했다. 회사의 거래와 회계를 관리하는 내부 망에 접속하려는데 ‘사업을 접어라’는 등의 협박성 중국어 메시지가 화면에 뜨며 동작을 멈춘 것이다. A사가 한국인터넷진흥원(KISA) 전문가의 도움을 받아 악성코드를 제거하는 동안에도 공격자는 ‘제거 작업을 중단하라’는 메시지를 계속 보냈다. 실시간 감시를 하고 있었던 것이다.
결국 이틀 동안 망에 접속할 수 없었던 A사는 거래처와의 약속에 차질을 빚어 큰 손해를 봤다. B 사장은 “금품을 요구하지도 않고 사업을 중단하라고 하는 걸로 봐서 경쟁 회사와 관련돼 있는 것 같다”고 말했다.
청부 해킹은 하루 매출이 수십억 원에 이르는 불법 온라인 도박 사이트에서 특히 잦다. 한 보안업계 관계자는 “폭력조직들이 돈으로 해커를 고용하는 일이 많다”며 “최근 중국 해커들은 30만 원 정도면 하루 종일 디도스(DDoS·분산서비스 거부) 공격을 해 줄 정도”라고 귀띔했다.
○ 청부 해킹부터 폐쇄망 해킹까지
기업을 타깃으로 한 사이버 공격 중에는 주요 정보를 노리는 것이 많다. 정부 집계에 따르면 이처럼 산업 기밀 유출로 발생하는 피해는 연간 80조 원에 이른다. 보안업계 관계자는 “중소, 영세기업일수록 보안의식이 낮고 인프라 환경도 열악하다”며 “작은 기업들은 그냥 해커에게 문을 열어 놓고 있다고 보면 된다”고 말했다.
사이버 공격을 받고도 모르는 기업도 적지 않다. 민간 기업들의 보안 사고를 접수해 복구해 주는 KISA 측은 “밖으로 드러나는 기업들의 보안 사고는 실제의 1%도 안 될 것”이라고 추산했다.
○ ‘보안 위기감’ 실종이 대형 피해로
국내 기업들의 보안이 허술한 원인은 많다. 하지만 그중 보안 투자 부족, 보안 업무 하도급 관행이 가장 큰 문제다. 대표적인 예가 올해 ‘3·20 사이버테러’ 때 피해를 본 D사다.
D사는 대기업 수준의 규모에도 불구하고 서버 보안 담당 인력이 1명뿐이었다. 홀로 100여 대의 서버를 관리하다 보니 각 서버의 도메인과 계정, 패스워드를 엑셀 파일에 적어 뒀는데 이 파일이 해킹되면서 전체 서버의 권한이 몽땅 해커의 손에 넘어갔다.
보안 관리를 싼값에 외주업체에 맡기는 것도 문제다. 외주 관리 업체들은 내부뿐 아니라 외부에서 원격으로 접속해 보안 서비스를 지원하곤 하는데 이 과정에서 보안 취약점이 더 커진다는 것이다. 보안업체 안랩 관계자는 “외주 업체가 외부에서 접근할 통로를 아예 없애는 것이 낫다”며 “외주 업체가 사용하는 장비도 모두 내부에 두고 외부로 반출할 수 없게 해야 USB 메모리 등을 통한 악성코드 감염을 막을 수 있다”고 말했다.
○ 값싼 외주 관행 없애야
이런 관행 때문에 잘 알려진 기업들도 보안에 허술한 사례가 많다. 유명 커피 전문 체인인 E사는 얼마 전 홈페이지 곳곳이 악성코드에 감염됐다. 홈페이지를 제작할 때 게시판에 첨부된 악성파일 등은 실행되지 않게 했어야 하는데, 기본을 지키지 않아 벌어진 사고였다. KISA 관계자는 “중소기업, 소상공인 홈페이지 중에는 이런 사례가 수없이 많다”며 “대부분 10년 전 해킹 툴로도 쉽게 뚫리는 수준”이라고 말했다.
○ 기업 사이트 악용 막으려면
제대로 관리되지 않는 기업 홈페이지는 악성코드를 전파하는 경로로 쓰이기도 한다. KISA의 분석에 따르면 상반기(1∼6월)에 발견된 국내 악성코드 은닉 사이트는 1만1493개에 이른다. 이는 지난해 한 해 동안 발견된 것(1만3018개)과 비슷하다.
이렇게 악성코드가 자리 잡은 사이트는 방문자들의 PC를 감염시키고, 이런 PC는 곧 좀비 PC가 돼 해커의 조종에 따라 디도스 공격에 쓰일 수 있다. 기업의 안일함과 개인의 무지로 인해 내 스마트 기기가 개인과 기업, 국가를 위협하는 무기로 돌변하는 것이다.
KISA는 “기업들은 내부 시설의 체계적 종합적 보안을 위한 관리 체계를 만들어야 한다”며 “별도 인원과 예산을 배정해 보안성을 높이고 새 프로그램이나 시스템을 도입할 때는 반드시 사전 진단을 하라”고 조언했다.
김호경·임우선 기자 whalefisher@donga.com