농협ᆞ네이트 사태, 근본적인 개혁이 필요하다.

인터넷을 사용하면서 언제 어디서 어떻게 터질지 모르는 시한폭탄과 같은 존재가 있다. 바로 해커집단이다. 인터넷에서의 지식의 자유를 추구하고자 하는 그들이 자발성을 갖게 되면 너무나도 위험하다. 근래에 Anonymous와 Lulzsec (Anonymous + Lulzsec = AntiSec)이 대표적인 집단일 것이다. 소니의 네트워크망 뿐만 아니라 FBI까지 해킹당할 정도로 해커집단의 자발적인 행동은 국가나 기업에 큰 타격을 주기도 한다.

올해에만 우리나라에서는 PSN 사태에 버금가는 대형 해킹사건이 여러 번 발생하였다. 현대캐피탈 해킹 사건을 포함하여 상반기와 하반기를 대표하듯이 각각 농협 해킹사건, 네이트 사태가 발발하였다. 믿고 개인정보를 맡긴 기업의 신뢰가 떨어지고 있다. 여론에서는 네이트 사태를 무마하려는 세력도 있고 이에 반발하여 네이트 해킹 보상(배상)카페가 생겨 배상운동을 진행하고 있다. 네이트 해킹과 관련되어 이스트소프트와 관련된 최신 기사를 보도록 하자. (출처 : 바로가기)

“
해킹으로 유출된 싸이월드와 네이트 회원 3500만여명의 정보가 중국 아이피(IP)를 쓰는 해커에게 넘어간 것으로 드러났다. 또 이번 해킹에 활용된 악성코드는 국내 유명 파일압축 프로그램인 ‘알집’의 업데이트 파일에 숨겨져 있었던 것으로 나타났다.

경찰청 사이버테러대응센터는 11일 이런 내용의 ‘에스케이(SK)커뮤니케이션즈 해킹 사건’ 중간 수사결과를 발표했다. 경찰은 “지난달 18~19일 해커가 이스트소프트사의 ‘공개용 알집’ 업데이트 서버를 해킹해 감염시킬 대상을 지정한 뒤, 정상 업데이트 파일을 악성코드 파일로 바꿔치기 하는 수법으로 에스케이컴즈 사내망 피시 63대를 업데이트 과정에서 감염시켰다”고 밝혔다.


해커는 18~25일 사이 감염된 피시들로부터 데이터베이스 관리자의 아이디와 비밀번호 내부 접속 정보를 추가 수집한 뒤, 26일과 27일 이틀 동안 회원정보 해킹을 실행했다고 경찰은 설명했다. 해킹 사실을 확인한 사쪽이 경찰에 신고한 건 28일 새벽이었다. 수많은 알집 이용자들 중 해커는 에스케이컴즈 사내 피시만 특정해서 노린 것으로 경찰은 보고 있다.


사실 해커가 마음만 먹었다면 최악의 상황까지 연출할 수도 있었다. 3500만 컴퓨터를 좀비PC로 만들어 대규모 디도스 공격을 감행할 수도 있었다. 디도스 대란으로 혼란에 빠질 뻔한 우리나라는 농협사태와 네이트사태를 거울삼아 최소한의 근본적인 대책을 내세워야 한다. 먼저, 농협사태와 네이트사태의 공통점을 알아볼 필요가 있다.

ⅰ. 농협과 SK컴즈는 해킹의 가능성을 두고 이에 대해 묵과하였다. 지난날 옥션, 현대캐피탈 해킹사건이 있었으나 또 다시 해킹사건이 발생하여 크나큰 충격을 주고 있다. 단순한 전산망 에러인줄 알았으나 해커에 의해 전산망이 붕괴되고 네이트를 이용하고 있는 사람 모두가 해커에 의해 손쉽게 우리나라 국민 대다수의 개인정보를 유출하였다. 이는 과거의 해킹사건을 묵과하였고 해킹에 대한 아무런 대비 없이 있다 봉변을 당한 모습과 마찬가지다. 이를 보아 IT 기술은 급속도로 빨라지고 있으나 보안에 대해서는 그 가속도가 IT 기술보다 더딤을 확인할 수 있다.

ⅱ. 이번 농협사태와 네이트사태 모두 직원용 PC가 해킹의 도구로 사용해졌다. 또한 직원용 PC에 악성코드가 손쉽게 깔렸다는 공통점도 있다. 농협사태도 직원 노트북에 악성코드가 깔렸으며 이번 네이트사태 또한 직원 PC에 알집 서버를 통해 악성코드가 깔렸다. 내부자의 소행이라는 가장을 한 채 해커가 손쉽게 관리자의 권한을 얻을 수 있었다. 임직원용 PC를 개인용처럼 써서 해킹에 일조하였다고 볼 수도 있지만, 관리자의 권한으로 이어질 수 있는 임직원 PC에 별다른 보안장치가 없다는 점을 알 수 있다. 이번 해킹의 특성이 우회를 이용했다는 점을 감안하여 다방면에서 보안에 대한 의식이 부족함을 알 수 있다.

ⅲ. 농협과 같은 금융권에 속해있는 관련 업계에서는 해킹에 대해 언제나 ‘안전’하다고 호언장담을 한다. 그런데 네이트 해킹 후에 관련 업게에 종사한 타 포탈에서 해킹에 대한 위험성은 운운하지 않으며 당장 발등에 떨어진 불부터 없애자는 듯이 네이트의 개인정보만 수정하라고 광고할 뿐이다. 과거의 디도스 대한, 옥션 해킹 사건과 농협ᆞ네이트 사태는 다를 점이 없으며, 해킹에 대해 언제나 안심만 하라고 하는 악순환의 고리가 계속 이어지고 있다.

옥션, 현대캐피탈 개인정보 유출에 이어 네이트 개인정보 유출사태까지 발생하였다. 이곳저곳에서 해킹사건이 발생하여 대다수의 국민의 개인정보가 유출되었다 해도 과언이 아니다. 다수의 개인정보가 유출 된 이 시점 인터넷 실명제 폐지가 전면 시행될 가능성이 높아지고 있다. 그러나 문제는 소 잃고 외양간 고치기 식이라는 안일한 태도이다. 인터넷 실명제 폐지는 옥션 해킹사건 이후 바로 시행되어야 할 제도였으며 늦어도 현대캐피탈 사건이 발생한 후에 추진되었어야 할 중요한 제도 이었다. 즉, 지금은 인터넷 실명제 폐지보다 실질적으로 효과가 있을 만한 개혁을 해야 할 때이다.

자칫하면 개인정보가 휴지가 될 수 있는 시점에서 아이핀 도입에 대해서는 찬성한다. 물론 컴퓨터로 암호화 하였다면 컴퓨터로 해킹할 수 있는 창과 방패의 관계가 이루어지겠지만, 개인정보의 유출로 2차 피해를 막을 수 있는 효과적인 대안이기 때문이다. 그러나 아이핀 제도 또한 어디까지나 해킹으로 인해 개인정보 유출의 2차 피해를 막는 예방일 뿐이다. 해킹에 대한 근본적인 개혁이 필요하다.

해킹을 두고 국가나 기업이 IT기술에 비해 보안기술이 뒤 떨어지고 있다. 그러나 언제까지 지켜보고 있을 수는 없을 일이다. 실패는 성공의 어머니라는 말이 있듯이 해킹에 있어 보안정책과 관련된 대책을 세워 지난 일을 거울삼아야 한다. 소위 IT 강국이라 불리는 우리나라도 보안 수준은 IT 강국의 기술에 따라가지 못하고 있는 모습이다. 언제까지나 해킹을 당한 후 피해를 막을 방법뿐만 아니라 근본적인 개혁을 해야 함이 더욱 옳다. 특히 농협ᆞ네이트 사태의 공통점이 직원용 PC를 경유했다는 점을 들어 우리나라의 보안수준이 낮음을 인지하고 보안에 대한 의식을 새롭게 해야 할 것이다.