경찰청 사이버수사국 이지용 경감 “알라딘 전자책 탈취한 16세 해커가 노렸던 건...”

알라딘 전자책 해킹 탈취사건 수사한 경찰청 국수본 사이버수사국 이지용 경감 인터뷰
“16세 주범 등 3명이 밝힌 해킹 이유는, 해킹 실력 과시하고 싶어서라고 했지만...결국은 돈”

[보안뉴스 김영명 기자] 지난 5월 인터넷서점 알라딘(Aladin)의 전자책 해킹 유출사건은 올해를 장식할 주요 사이버 보안사건으로도 기록될 것으로 보인다. <보안뉴스>의 단독 보도로 처음 알려진 이번 사건을 저지른 사이버 범죄자들은 4개월여 만에 결국 꼬리를 잡혔다. 16세 청소년이 주범이었으며, 자금세탁을 도운 29세와 현금수거를 맡은 25세가 공범으로 지목됐다. 이번 수사의 실무를 맡았던 경찰청 국가수사본부 사이버수사국 이지용 경감을 인터뷰했다.

▲경찰청 국가수사본부 사이버수사국 이지용 경감[사진=보안뉴스]

“이번 사건의 핵심은 암호화된 문서의 복호화 키 유출입니다. 전자문서를 암호화하더라도 복호화 키를 저장하는 서버가 외부에 노출돼 발생한 취약점입니다. 이번 사건을 계기로 전자책 업계에서는 보관 중인 전자문서에 접근하는 인증절차, 외부 접근절차를 더욱 강화할 필요가 있다고 봅니다.”

이지용 경감이 인증절차 강화를 강조하는 이유는, 전자책 서비스 기업 대부분이 우선순위를 ‘보안’보다는 전자책을 보다 읽기 쉽게 하기 위한 ‘가용성’에 초점을 맞춰 왔기에 발생한 사고였다고 판단했기 때문이다. 동영상 스트리밍이나 전자책 서비스는 CDN이라는 캐시 서버에 암호화된 전자책을 보관한다. 그런데 해당 캐시 서버는 원활한 서비스를 이유로 인증 절차나 정책이 매우 미흡하다는 지적이다.

이지용 경감은 “기존에 없던 ‘전자책 해킹’이라는 이번 사건은 전자책 업계의 근간을 흔들 가능성이 크다고 보고, 단기간에 사건을 처리해야 한다는 판단이 들어 집중적인 수사에 착수했다”며 “텔레그램에도 접속해 유용한 단서를 찾아 활용하며 수사를 이어갔다”고 밝혔다. 현재 붙잡힌 3명은 본인들의 해킹 실력을 과시하고 싶었다는 게 범죄의 주된 이유였다고 밝혔다고 한다. 그러나 이들의 실제 목적은 결국 돈이었다는 추정이 가능하다.

이들은 알라딘 서버와 입시 사이트 2곳을 공격했다. 이번 사건은 CDN 서버를 사용하는 전자책 및 스트리밍 서비스 업계의 문제점을 고스란히 드러내고 있다. 이 경감은 “CDN 서버는 특정 서비스를 인터넷에서 끊김없이 보여주는 것이 중요하기 때문에 이번에 문제가 된 취약점은 업계에서 암묵적으로 방치한 취약점”이라고 되짚었다. 관련 업계에서 해당 서비스에 대해 보안을 강화하면 서비스가 무거워져 소비자의 불만이 늘어날 수 있기 때문이다. 이와 관련 이 경감은 “전자책 업계도 보안 강화 정책을 마련 중”이라며, “소비자들의 불편을 최소화하기 위해 사전 테스트와 함께 순차적으로 적용하고 있다”고 말했다.

전자책 사용에 있어 ‘인증’은 필수 과정이며, 그 첫 번째는 ‘디바이스 인증’이다. 전자책 단말기 솔루션에서는 아이디, 로그인 외 생채인증 등의 2차 인증 절차가 마련되지 않았다. 두 번째는 2차 인증이 있더라도 전자책을 구매하거나 책을 로딩할 때는 별도의 인증 과정이 없었다. ‘로그인했으니까 이 사람이 맞겠지’라는 안일한 인식도 문제로 지적된다. 이 분야에서도 제로트러스트 개념이 도입돼야 하는 이유이다. 이 경감은 “이번 사고가 인증절차 부재라는 것이 밝혀진 뒤, 문체부와 한국인터넷진흥원(KISA)에 곧바로 통보했다”고 밝혔다.

이러한 사고를 막기 위해서는 우선 모듈을 통한 인증이 필요하다는 의견이 제기된다. 모듈을 통한 인증은 별도의 사용자 인증이 필요없이 전자책(E북) 뷰어를 설치하고 1차 로그인할 때 ‘E북 사용 시 각 단계에서 필요한 인증이 실행된다’는 동의 절차를 넣으면 된다는 것. 두 번째는 인증 시 디바이스의 아이디값과 접속시간 등을 맵핑한 2차 인증이 있다. 세 번째는 워터마크 후 프린팅 시스템의 도입이다.

전자책 서비스 기업들은 보유 중인 전자책과 판매된 전자책의 암호화와 보안 강화에는 상당한 비용과 노력이 소요되기 때문에 단계별로 보안을 적용한다는 방침이다. 하지만, 국내 전자책 솔루션 기업들이 저마다 고유한 프로그램으로 솔루션을 제공하고 있어 모듈을 통한 인증 절차 수립과 보안강화 대책 마련은 전차책 서비스 기업들의 숙제로 남은 상황이다.

경찰청 사이버수사국 이지용 경감은 “공통적으로 적용할 수 있는 보안 플랫폼은 보안의 안정성을 유지해주기 때문에 문체부와 KISA, 전자책 업계에서도 도입을 적극 검토했지만, 각사의 사정 등 복합적인 문제로 무산됐다”며 “전자책 업체들은 2~3차 인증을 강화하고, CDN 서버의 앞단에 최소한의 보안 모듈이라도 갖춰야 할 것”이라고 강조했다. 이어 “신속한 수사와 사이버 범죄자 검거를 위해 기업은 최소 6개월 이상의 로그를 별도로 보관해야 한다”고 덧붙였다.
[김영명 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)