| 성남이혼변호사 “온나라시스템 침입 흔적···정부 정보 아무나 봐도 되나” 전직 화이트 해커의 경고 | |||||
|---|---|---|---|---|---|
| 작성자 | (125.♡.231.80) | 작성일 | 25-10-01 05:52 | ||
|
성남이혼변호사 “대한민국 온나라시스템(범정부 업무 시스템)을 아무나 들여다봐도 괜찮습니까. 정부 해킹, 심각하게 여겨야 합니다.”
‘해킹과의 전쟁’이 곳곳에서 벌어지고 있다. 올 상반기 SK텔레콤이 2700만 명의 개인정보를 탈취당한 데 이어 하반기엔 KT·롯데카드 등에서도 해킹 사건이 잇따랐다. 기업만이 아니다. 행정안전부·통일부·해양수산부 등 정부 부처에서도 해킹 시도 흔적이 발견됐다. 해킹 전문 매체 프랙(Phrack)이 지난달 공개한 보고서 ‘지속형 지능 공격 무력화’(APT Down)를 통해서다. 과거 10여 년간 ‘화이트 해커’로 일하다 보안기업 최고기술책임자(CTO)를 지냈던 신동휘 서강대 겸임교수(45)는 26일 기자와의 전화 인터뷰에서 “프랙 보고서에 나온 정부기관 해킹 시도 내용 중엔 심각하지 않은 게 없었다”며 “국가 위기사태라는 몇몇 전문가들의 지적에 동의한다”고 말했다. ‘프랙 보고서’는 국제 해커그룹 일원의 PC를 다시 해킹해 나온 자료들을 토대로 작성됐다. 고려대 정보보호대학원 해킹대응기술연구실 등이 해당 보고서를 분석한 결과에 따르면, 해커들은 통일부·해수부를 통해 온나라시스템 로그인에 성공했다. 온나라시스템은 전 부처의 문서 작성과 결재 등이 이뤄지는 범정부 업무 시스템이다. 해커들은 온나라시스템의 각종 공문서를 이미 획득했을 가능성이 제기된다. 이외에도 공무원 본인인증 체계인 행정전자서명(GPKI) 로그 검증 기록 2800건, 관련 보안프로그램 소스코드, 외교부 메일 서버 소스코드 등도 갖고 있었다. 신 교수는 “정부 부처도 해킹을 당했다고 봐야 하느냐”는 질문에 “(해커 PC에서) GPKI 인증서가 나왔다는 것 자체가 말이 안 된다. 우리의 것을 그들이 갖고 있다면 해킹당한 게 맞다”고 말했다. 이어 “얼마나 많은 정보가 빠져나갔는지 파악하기 힘든 상황이라는 점이 가장 심각하다”며 “한 마디로 눈 감고 운전해 온 것”이라고 말했다. 그의 지적은 최근 해킹 사태와 관련해 기업뿐 아니라 정부 사례도 주목해야 한다는 전문가 조언과 일치한다. 보안 전문가인 김승주 고려대 정보보호대학원 교수는 “우리 정부가 심각한 해킹을 당했을 가능성이 있다”면서 “이 상황을 ‘국가 위기’로 인식하고 정부 전산시스템을 시급히 전수조사해야 한다”고 지적해 왔다. 다만 “(프랙 보고서는) ‘침해 정황’일 뿐 완전한 침해·대규모 유출의 증명은 아니다”(이원태 국민대 겸임교수)라는 신중론도 있다. 이 교수는 “안전조치는 즉시 하되, 출처·연결고리 검증과 독립 포렌식이 필요하다. 과소평가도 과장도 금물”이라고 말했다. 정부도 당했다고 해서 기업의 과실이 덜어지는 것은 아니다. 해커였던 신 교수가 보기에 KT·롯데카드 해킹 사례는 “막을 수 있었던 사고”였다. 그는 특히 KT 승인을 받지 않은 초소형 기지국(펨토셀)이 KT 통신망에 접속해 본인인증 등이 작동했던 것은 “변명이 안 되는 잘못”이라고 했다. 경찰 발표에 따르면 무단 소액결제 사태의 범행도구는 ‘KT 펨토셀’도 아닌 출처 불명의 네트워크 부품 조합이었다. 심지어 해당 기기 ID조차 “KT로부터 허가되지 않은 것”(KT 관계자)이었다. “만약 KT 펨토셀이 범행 수단이었다면 퇴사한 직원의 계정을 삭제하지 않았다가 사고가 터진 것에 비유할 수 있지만, 이제는 문제가 달라졌습니다. 아예 인증 절차가 부실했던 것 같습니다. 다소 거칠게 말하자면 문이 열려있었던 것과 유사합니다.” 해커로서 보기에 롯데카드 공격 유형 역시 난도가 낮다. 롯데카드는 2017년 알려진 오라클 웹로직 서버 취약점을 방치하다 정보 유출을 당했기 때문이다. 보안패치 역시 일찌감치 공개돼 있었다. 신 교수는 “문제가 된 취약점은 굉장히 유명해 공격을 위한 코드조차 다 알려져 있을 정도였다”면서 “8년이 되도록 방치했다는 것이 이해되지 않는다. 강도 높은 비판을 받을 수 있는 사항”이라고 말했다. 일각에선 스마트폰과 인터넷 보급률이 100%에 가까우면서도 보안이 취약한 한국이 해커들의 ‘테스트베드’가 됐다는 자조가 나온다. 신 교수는 “한국의 보안 수준이 그 정도로 허약하지는 않고, 과도한 불안을 조장할 필요도 없다”면서도 “한국은 많은 서비스가 IT 환경과 결합해 공격자(해커)들에게 매력적인 것은 사실”이라고 했다. 또한 “통신·금융기업이 앞다퉈 도입한 개별 본인인증 체계에 허점이 있었다는 것”도 해커들의 관심을 끌었을 가능성이 있다. 신 교수는 “KT 사태의 경우 문제 초점을 피해액보다는 본인인증이 뚫렸다는 것에 맞춰야 한다”면서 “본인인증 중심에 있는 통신사들의 대규모 침해가 반복되는 것은 2차 피해 가능성 면에서 우려스럽다”고 말했다. 다만 복제폰 생성 우려에 대해서는 “현시점에서는 가입자식별번호(IMSI) 단말기식별번호(IMEI), 유심 인증키 등을 통한 복제폰 시도가 이뤄지면 통신사에서 즉각 조치에 나설 것이기 때문에 가능성이 크진 않다”고 말했다. 신 교수는 “해킹이 터졌다고 해서 보안 담당자들만 탓하기도 어렵다”고도 말했다. “근본 원인은 ‘돈 안 되는’ 보안 투자에 인색한 기업에 있다”는 것이다. 이를테면 국내에서 손꼽히는 보안 인증인 ‘ISMS-P’의 경우 대체로 형식적 통과에만 매달리게 된다고 한다. “시간과 비용을 아끼면 인증을 위해 ‘문서를 위한 문서’를 만드는 것에만 집중할 수밖에 없습니다. 전체 서버의 취약점을 하나하나 손보기가 어렵죠.” SK텔레콤, KT, 롯데카드 모두 ISMS- P 인증을 취득했지만 해킹을 피하지 못했다. 보안 기업을 경영하던 시절 그는 수많은 해킹 컨설팅을 해왔다. 결론은 ‘보안투자 미흡’으로 귀결되는 경우가 많았지만 큰 변화는 없었다. 대개의 기업은 “반짝 관심을 두고 투자하다가 원래 상태로 돌아가기를 반복”했다. “우리는 왜 해킹을 당하고 또 당하기를 반복할까요. 사태가 터지면 잠시 관심을 가지고 투자하지만 꾸준히 하지 않는 게 문제입니다. 최근 사고들도 결국 잊히고 보안 수준은 ‘원점’으로 돌아갈까 걱정입니다. 이번만은 다르기를 바랍니다.” 배달음식 포장용기와 같은 일회용품을 줄이기 위해 지자체들이 여러 정책을 도입하고 있다. 제주도가 시행하는 ‘다회용기 배달’ 사업의 경우 높은 호응 속에 목표치를 상향 조정했다. 충북 청주시는 30일 전국에서 처음으로 개인용기로 음식을 포장하면 보상금을 지급하는 ‘개인용기 포장주문 보상제’를 시행한다고 밝혔다. 시는 우선 관내 업소인 ‘왕천파닭’ 28곳을 대상으로 사업을 실시한다. 시민이 직접 왕천파닭 매장에 전화해 ‘개인용기 가져갈게요’라고 말하며 포장주문을 하면 보상금을 주는 방식이다. 보상금 지급은 치킨류 포장주문에만 해당된다. 주문 후 약 5ℓ 크기의 개인용기를 가져가 음식을 받으면 된다. 이후 영수증에 ‘개인용기’ 문구가 인쇄되며, 이 영수증을 청주시 자원순환 공공앱인 ‘새로고침’에서 인증하면 청주페이 3000원이 지급된다. 단, 배달앱을 통한 주문은 보상에서 제외된다. 시는 이번 사업으로 시민과 업주 모두 혜택을 받을 수 있을 것으로 기대하고 있다. 왕천파닭의 배달앱 주문 기준 치킨 1마리 가격은 2만5000원이지만, 포장주문 시 배달료 3000원이 들지 않고 개인용기 보상 3000원이 더해져 총 6000원의 혜택을 볼 수 있다. 가맹점주에게도 이익이다. 청주시에 따르면 점주들은 주문 건당 1000원에서 1200원 상당의 포장재 비용을 절감할 수 있다. 제주도는 일회용품 사용을 줄이기 위해 시행 중인 ‘다회용기 배달 서비스’가 당초 기대보다 높은 주문 실적을 보여 목표치를 상향했다. 이 서비스는 ‘배달의민족’ 또는 ‘먹깨비’ 앱으로 음식을 주문할 때 가게 요청사항란에서 ‘다회용기 주문’을 선택하면 일회용기 대신 스테인리스 다회용기로 음식을 배달하는 사업이다. 제주시 연동과 노형동 등 2개 동에서 시범 실시 중이다. 해당 지역에서 신청받은 참여 매장은 당초 목표 50곳보다 많은 94곳이다. 도는 다회용기 배달 사업이 예상보다 호응을 얻자 연내 주문 건수 목표를 5000건에서 7000건으로 상향 조정했다. 도는 다회용기 주문 2000건 돌파를 기념해 오는 7일부터 16일까지 7000원, 17일부터 31일까지 1만원을 할인하는 이벤트를 한다. 배달의민족에서는 할인쿠폰으로, 먹깨비에서는 같은 금액의 페이백 적립 혜택을 제공한다. 기존 인센티브인 주문 1건당 2000원 상당의 지역화폐 ‘탐나는전’ 지급도 계속된다. 민생회복 소비쿠폰 지급에도 8월 소매판매가 4개월 만에 ‘마이너스’로 돌아섰다. 투자 지표도 뒷걸음질 치고, 생산도 보합세를 보이면서 경기 회복세가 주춤한 모양새다. 통계청이 30일 발표한 8월 산업활동 동향을 보면, 소매판매는 전월 대비 2.4% 줄었다. 소매판매가 전월보다 줄어든 것은 지난 4월(-1.0%) 이후 4개월 만이다. 하락 폭은 지난해 2월(-3.5%) 이후 18개월 만에 가장 컸다. 지난 7월21일부터 지급된 소비쿠폰 영향으로 7월 소매판매(2.7%)는 큰 폭으로 증가했으나 한 달 만에 다시 뒷걸음질 쳤다. 통계청은 7월 말 소비쿠폰 사용이 집중되면서 8월에는 그 효과가 반감됐다고 설명했다. 항목별로 보면 음식료품 등 비내구재가 전월 대비 3.9% 줄었다. 이상 기후로 음식료 물가가 많이 오른 데 따른 것이다. 내구재도 1.6% 줄었다. 가전제품(-13.8%)과 통신기기 및 컴퓨터(-13.6%)의 감소 폭이 컸다. 지난 7월 정부의 으뜸효율 가전제품 환급사업, 스마트폰 신제품 출시로 소비가 증가했던 데 따른 기저효과로 풀이된다. 의복 등 준내구재는 1.0% 증가했다. 이두원 통계청 경제동향통계심의관은 “서비스업 부문 소비는 7월 소비쿠폰 선결제 영향이 있는 것으로 보인다”며 “9월 2차 소비쿠폰 지급, 10월 추석 관련 소비를 고려하면 9월에는 증가하지 않을까 예상한다”고 말했다. 8월 전산업 생산은 전월 대비 변동이 없었다. 자동차·반도체 등 광공업 생산은 2.4% 늘었다. 특히 자동차(21.2%)는 62개월 만에 증가 폭이 가장 컸다. 설비 투자는 1.1% 줄었다. 특히 건설기성(건설투자)이 6.1% 줄었다. 건설기성은 전년 동월 대비 16개월 연속 감소세다. 다만 현재 경기 상황을 보여주는 ‘동행종합지수 순환변동치’는 전월 대비 0.2포인트 상승했다. 향후 경기 전망을 나타내는 ‘선행종합지수 순환변동치’도 0.5포인트 올랐다. 기획재정부는 내수 지표 개선세가 주춤한 것에 대해 “7~8월을 묶어서 보면 2분기에 비해 전산업 생산, 소매판매, 설비투자 등 주요 지표 증가세가 지속되고 있다”며 “선행지표를 고려하면 9월에는 산업활동 주요 지표 개선이 재개될 것”이라고 밝혔다. 의정부성범죄변호사 |
|||||
|
|||||
댓글목록
등록된 댓글이 없습니다.