O2O 스타트업 등 보안 사각지대 없애야
김태훈 IT과학부 차장 taehun@hankyung.com
랜섬웨어 공포가 다시 밀려오고 있다. 27일(현지시간) 유럽과 미국에서 랜섬웨어 ‘페티야’의 공격으로 공공기관, 대기업 시스템이 마비되는 피해가 속출했다. 우크라이나 정부 전산망과 체르노빌 방사능 감지 시스템, 덴마크의 세계 최대 해운사 머스크가 공격받았다.
랜섬웨어는 중요 파일에 암호를 건 뒤 풀어주는 대가로 금품을 요구하는 악성코드다. 해킹이 정치적·종교적 목적의 사이버 테러뿐만 아니라 돈벌이 수단으로도 활용되면서 랜섬웨어 공격이 극성을 부리고 있다. 랜섬웨어 ‘워너크라이’는 지난달 세계 150여 개국에서 수십만 대의 컴퓨터를 감염시켰다. 미국 보안업체 시만텍은 워너크라이의 배후로 북한을 지목하기도 했다. 북한이 국제금융거래망 해킹을 통해 2015~2016년 최소 9400만달러(약 1050억원)를 탈취했다는 분석도 내놨다.
인공지능(AI), 사물인터넷(IoT) 등의 정보기술(IT)이 모든 산업에 접목되는 4차 산업혁명이 가속화되면서 해킹은 이제 예외적인 일이 아니라 일상의 위협이 되고 있다. 과학기술 발전이 물질적 풍요를 가져다줬지만 동시에 새로운 위험을 몰고 왔다는 독일의 사회학자 울리히 벡의 ‘위험사회론’을 절감할 수 있는 분야가 해킹이다.
해커들은 PC뿐만 아니라 인터넷에 연결된 홈 카메라나 전등, 스피커, 도어록 같은 IoT 기기까지 좀비로 만들어 공격에 활용하고 있다. 지난해 미국 인터넷의 절반을 마비시킨 ‘미라이봇넷’ 디도스 공격이 이 같은 사례다.
한국은 해커 집단에 거액의 돈을 건넨 나쁜 선례까지 남겼다. 웹호스팅업체 인터넷나야나는 지난 10일 랜섬웨어에 감염된 뒤 데이터를 복구하기 위해 13억원 상당의 대가를 치렀다. 해당 서비스를 이용하던 기업, 대학, 단체의 웹사이트 5000여 개를 되살리려는 고육책이었지만 사이버 범죄자들에게는 ‘한국은 돈벌이가 되는 곳’이란 인식을 심어줄 수 있는 해결 방식이었다. 오비이락(烏飛梨落)일까. 국제 해킹그룹 아르마다 콜렉티브는 지난 20일 국내 금융기관에 비트코인을 보내지 않으면 공격하겠다고 협박한 데 이어 26일에는 실제 공격까지 감행했다.
전쟁터를 방불케 하는 곳에서 살고 있지만 기업과 정부의 방어 태세는 허술하기 짝이 없다. 지난해 기준 국내 기업 가운데 정보보호 예산을 편성한 곳은 10곳 중 3곳(32.5%)뿐이었다. 정부 예산도 쌈짓돈이긴 마찬가지다. 올해 정보보안 예산은 3508억원으로 국가 예산의 0.088%에 불과하다.
상당수 스타트업(신생 벤처기업)이 숙박 교통 이사 등 온·오프라인 연계(O2O) 서비스에 뛰어들고 있지만 민감한 사생활 정보를 다루는 이들 대다수가 보안 사각지대로 방치되고 있는 것도 문제다. 지난 3월 발생한 모바일 숙박 예약 서비스인 여기어때 해킹은 그 위험성을 잘 보여준다. 해커들은 회원의 숙박 기록을 이용해 4817건의 협박성 음란문자를 발송했다.
해킹이 야기하는 사회적 파장은 갈수록 커지고 있다. 개인들은 치명적인 사생활 노출의 피해를 볼 수 있고 기업은 공들여 키워온 회사의 문을 일순간 닫아야 하는 위기에 내몰릴 수 있다. 보안을 부가적인 비용쯤으로 여기는 생각부터 버려야 한다. 회사의 핵심 자산을 지키는 것은 물론 서비스를 완성하는 필수 투자가 보안이다. 우리는 언제든 해커의 먹잇감이 될 수 있는 위험사회에 살고 있다.
김태훈 IT과학부 차장 taehun@hankyung.com
관련뉴스