주간동아 247

2000.08.17

뻥 뚫린 보안… 사이버 테러 날뛴다

국내 정보 시스템 외국 해커 공격에 속수무책…‘보안 후진국’ 국가신인도 하락 우려

  • 입력2005-09-14 10:52:00

  • 글자크기 설정 닫기
    뻥 뚫린 보안… 사이버 테러 날뛴다
    ‘사이버 범죄’ 방지에 비상이 걸렸다. 국내 정보시스템이 국외 해커들의 손쉬운 해킹 경유지로 이용당하고 있거나 국외 해커들에게 좋은 ‘사냥감’이 되고 있기 때문이다.

    최근 한국정보보호센터(KISA)의 정현철 연구원이 ‘국내 침해 사고 동향 및 현황’이란 제목의 논문에서 해킹 피해경로를 분석한 결과에 따르면, 국내에서 국외로의 해킹 시도 및 공격은 24건(4.0%)인 데 반해 국외에서 국내 시스템에 대한 해킹 시도 및 공격은 그보다 11배가 넘는 274건(45.3%)에 달하고 있다. 한편 피해경로를 분석할 수 없는 사례는 250건(41.9%)인데 이는 공격자가 추적을 피하기 위해 로그를 삭제하거나 피해기관에서 자체적으로 분석한 것이어서 이들 가운데도 많은 부분이 국외에서 국내로 침입한 것으로 추정된다.

    특히 주목할 만한 대목은 ‘표1’에서 알 수 있듯이 국외에서 국내로 침입해 국내 정보시스템을 직접 침해하는 사례(15.3%)보다는 국내 정보시스템을 해킹 경유지로 이용하는 사례(30.7%)가 곱절이나 된다는 사실이다. 이는 한국이 국외 해커들의 ‘놀이터’로 널리 이용되고 있음을 뜻한다. 그러다 보니 국내 정보시스템 관리자들은 자신의 시스템이 해커들에 의해 공격을 받아 시스템 관리자 권한을 도용당했음에도 그런 사실조차 인지하지 못하는 경우가 많다. 국외 해커들이 자신의 안방에서 놀다가 나가도 관리자들은 그런 사실조차 알지 못하는 것이다(‘표1’ 참조).

    지난 7월31일 강릉의 한 PC방을 ‘중간거점’으로 국내의 기업 대학 공공기관 250곳이 무더기로 해킹당한 사건은 그 대표적 사례다. 경찰청에 따르면 범인들은 국내 유명 기업은 물론 일명 ‘서버호텔’로 불리는 인터넷데이터센터(IDC)와 대학 공공기관 등 전국의 서버를 제집 드나들 듯 침투해 해킹 프로그램을 잠복시켰으며 범행대상을 물색해온 것으로 밝혀졌다.

    이 사건은 국내 보안업체인 시큐아이닷컴(www.SECUi.com)이 고객사에 대한 보안점검 도중 ‘분산 서비스 거부 공격’(DDos)에 사용되는 해킹 프로그램이 이식된 사실을 발견해 이를 7월28일 경찰청과 한국정보보호센터에 신고함으로써 드러났다. 경찰청 사이버 테러 대응센터는 신고를 받은 즉시 역추적을 벌여 해킹의 중계지로 밝혀진 강릉의 한 PC방에 수사대를 급파해 해킹 경로를 차단했다.



    경찰은 이번 범행이 다수의 외국 해커들에 의해 조직적으로 준비되었을 가능성이 크다고 밝혔다. 해커들이 전화모뎀을 통해 미국 버지니아주에 위치한 인터넷 서비스업체에 접속한 뒤 강릉에 있는 PC방에 잠입해 ‘중간거점’으로 삼았기 때문이다. 범인을 추적 중인 경찰은 이들이 ‘실력 과시형’이라기보다는 ‘목적 달성형’의 악성 해커들일 가능성이 큰 것으로 보고 있다.

    더욱이 이번에 해킹당한 서버에는 ‘분산 서비스 거부 공격’을 할 수 있는 도구인 Trinoo(트리누)가 설치돼 있어 해커들이 이를 중간기지로 활용해 또 다른 공격 대상을 찾겠다는 의도를 엿볼 수 있다. 트리누는 핵분열을 일으키듯 해킹당한 컴퓨터가 또다시 제3의 전산망을 공격하도록 한 프로그램이다. 해커들이 이 250개 서버에서 트리누를 이용해 최종 목적지로 일제히 데이터를 보내는 명령을 내릴 경우 한 사이트에 최대 기가바이트(Gb) 규모의 엄청난 데이터가 집중돼 서버를 다운시키거나 파괴할 수 있다.

    따라서 이번에 해킹당한 사이트들이 최종 목적지가 아니고 단순히 중간 경로라고 해도 결국 어느 곳에서든지 최종 피해가 발생할 경우 한국이 ‘정보보안 후진국’이라는 오명을 뒤집어쓸 수밖에 없는 상황이다. 이는 곧 한국이 마약 같은 국제 조직범죄의 중개지로뿐만 아니라 온라인상의 사이버 범죄 중개지라는 새로운 오명을 뒤집어쓸 가능성이 크다는 것을 의미한다.

    사정이 이렇다 보니 국외의 스캔 공격으로 국내 모 대학 서버가 해킹당한 사건을 계기로 국외의 유명한 보안 전문 인터넷 사이트에서는 한국의 인터넷 보안상태가 엉망이라는 질책이 쏟아져 나오기도 했다. 정현철 연구원에 따르면, 최근 국외의 유명한 보안포럼(Incident@securityfocus.com)에서 한국의 인터넷 보안상태에 대해 1개월여 동안 토론이 벌어졌는데 외국인들의 반응은 다음과 같이 ‘썰렁’하다 못해 싸늘한 것이었다.

    ㆍ한국에 있는 시스템들이 손쉬운 타깃이 되는 것은 확실히 문제다.

    ㆍ누구 한국으로부터 ‘Abuse Report’에 대해 답변받은 사람 있나요?

    ㆍ한국인들은 영어도 읽을 줄 모르거나 아니면 보안에 전혀 신경쓰지 않거나 둘 중 하나다.

    ㆍ한국인들이 답장을 하지 않을지 모르지만 그들의 네트워크에 관한 문제의 심각성을 알릴 필요가 있다.

    ㆍ한국, 특히 교육기관이 전세계의 크래커들에게 사실상 열려 있다.

    특히 한국의 대학이 외국 해커들의 ‘놀이터’라는 지적은 국내의 정보보안 관련 기관에서 파악하고 있는 기관별 침해 사례와도 일치한다. 한국정보보호센터에 접수된 지난 한해 동안의 기관별 해킹 피해 건수는 △대학 262건(45.8%) △일반기업 248건(43.4%) △지역 등 기타 29건(5.1%) △비영리기관 22건(3.8%) △연구소 11건(1.9%) 등이다. 또 지난해 8월부터 국가-공공기관 사이버 테러 사고 대응팀인 ‘정보보안 119’를 운영해온 국가정보원이 파악한 ‘국가-공공기관 침해사고 현황’(1998. 8~2000. 6)을 보면, 51개 중앙행정기관 중에서 교육부가 압도적 1위(25%)를 차지하고 있고, 그 다음이 시-군 지방자치단체임을 알 수 있다. 그런데 교육부 사고의 경우 대부분이 국-공립대학교에서 발생했다(‘표2’참조).

    보안등급 ‘가’급 연구소인 쭛쭛연구소의 침해 사건도 국정원이 사고 처리에 홍역을 치른 대표적인 침해 사례 중 하나다. 이 연구소는 평가-인증된 침입차단 시스템을 설치했음에도 운영부실로 인해 내부 연구원의 리눅스 서버가 해킹을 당해 패스워드 스니퍼링을 통해 전산망에 연결된 상당량의 정보가 외부에 유출되었다. 그런데 해커는 이 서버를 경유지로 이용해 미 정부기관 등 5000여개의 B클래스 전산망에 서비스 방해 공격을 시도해 각국의 피해기관으로부터 항의 메일이 수십 건 접수되었다.

    이에 대해 국내 정보시스템을 직접 침해한 것도 아닌데 뭐가 문제냐는 시각도 있을 수 있다. 그러나 이는 지극히 위험한 시각이다. 전문가들은 한국이 인구 100명당 인터넷 이용자 수로 아시아에서 1위인 정보기술(IT) 강국임에도 전자상거래가 활발하지 않는 데는 ‘정보보안의 신뢰’가 확보되지 않은 탓이 크다고 지적한다.

    이를테면 인터넷 이용자라면 누구나 한번쯤은 겪어보았겠지만, 인터넷 쇼핑에서 마음에 드는 상품을 ‘장바구니’에 담거나 유료 콘텐츠 서비스 이용을 신청하려다가도 마지막 신용카드 번호 기재단계에서 빠져나오는 경우가 종종 있다. 신용거래에 대한 불안감 때문이다.

    개인들이 이럴진대 기업-국가간의 거래는 두말할 나위가 없다. 문제는 국외 해커들에게 일단 ‘물’로 보이면 전세계 해커들이 ‘벌떼처럼 달려들’ 가능성이 크다는 점이다. 국정원 강영석 과장(암호학 박사)은 “한국이 국제 해킹의 단골 루트(경유지)가 되는 것은 국가 신인도와 직결된다”고 우려했다. 국제 사회에서 ‘정보보안 후진국’으로 낙인찍히면 신용을 생명으로 하는 전자상거래 등이 크게 위축되어 결국 국제경쟁에서 낙오될 수밖에 없기 때문이다.

    ‘구슬이 서 말이라도 꿰어야 보배’라는 옛말은 정보화 시대에도 어울리는 격언이다. 그러나 정보화 시대의 지식강국을 꿈꾸는 한국에 더 절실한 것은 “정보는 공유되어야 한다. 그러나 보호되어야 한다”는 금언이 아닐까.







    댓글 0
    닫기