2016년 상반기를 관통한 보안 키워드 세 가지

‘랜섬웨어, 개인정보보호, 북한 사이버위협’ 등 상반기 주요 보안이슈

[보안뉴스 김태형] 2016년 올 한해도 벌써 절반이 지나갔다. 지난 상반기 동안 가장 큰 보안 이슈는 누가 뭐라고 해도 ‘랜섬웨어’라고 할 수 있다. 이 외에도 개인정보보호와 북한의 사이버 위협도 올 상반기 최대 보안이슈로 꼽을 수 있다.

랜섬웨어 폭풍! 감염 및 피해 확산
올해 상반기에는 록키(Locky), 테슬라크립트 4.0, 키레인저(KeRanger) 등의 신종 랜섬웨어가 출현하면서 피해가 확산되는 등 기승을 부렸다. 지난해에는 ‘테슬라크립트(TeslaCrypt), 크립토월(CryptoWall), 크립토락커(Crypt0Locker)’ 등이 창궐한 바 있다.

특히, 록키 랜섬웨어는 올해 1월 처음 발견되어 감염이 크게 확산됐으며, 변종도 출현했다. 발견 초기에는 매크로가 포함된 문서파일을 이메일에 첨부해 매크로를 실행하면 랜섬웨어를 다운로드하는 방식으로 유포됐으나 최근에는 악성 자바스크립트 파일을 메일에 첨부해 랜섬웨어를 다운로드하는 유포 형태로 변경됐다.

이 외에도 음성을 통해 감염 사실을 알리는 Cerber 랜섬웨어도 등장했다. 암호화된 파일의 확장자를 모두 .cerber로 변경하는 Cerber 랜섬웨어는 감염 시 생성한 vbs 파일을 통해 ‘Attention! Attention! Attention!’, ‘Your documents, photos, databases and other important files have been encrypted!’라는 음성을 내보낸다.

최근에는 JSE 스크립트 파일을 이용한 Cerber 랜섬웨어 변종이 이메일을 통해 국내에 전파되고 있으며, 록키(Locky) 랜섬웨어의 변종인 젭토(Zepto)가 스팸 캠페인을 타고 계속해서 번지고 있는 상황이다.

랜섬웨어와 관련해서 이스트소프트는 ‘2016년 상반기 랜섬웨어 동향’을 통해 올해 1월부터 현재까지 알약 PC버전의 행위기반 탐지 기능을 통해 차단된 랜섬웨어 공격은 총 2,470,094건으로 집계됐다고 밝혔다. 이는 일 평균 약 13,723건, 매월 약 411,682건 이상의 랜섬웨어 공격을 차단한 수치로, 알약을 사용하지 않는 PC에 대한 공격 시도까지 감안할 경우 올해 상반기 랜섬웨어의 공격 확산이 매우 심각한 수준이었음을 짐작할 수 있다.

또한, 올해 상반기에는 Lechiffre, Locky, PETYA, CryptXXX 등 매월 새로운 형태의 신종 및 변종 랜섬웨어가 꾸준히 출현했으며 △웹사이트 배너 광고, △이메일 첨부파일, △불법 TV다시보기 무료 사이트 등이 주요 유포 경로로 활용된 것으로 나타났다. 특히 록키, Cerber 랜섬웨어의 경우는 2016년 2, 3월에 새롭게 등장해 대량으로 유포되다 5월 중순 이후 유포가 줄어들었으나, 6월 말에 들어서 JS파일 또는 SW 제로데이 취약점을 활용한 변종이 또다시 유포되고 있는 정황이 포착됐다.

아울러 새롭게 출현한 랜섬웨어는 해골 화면을 띄우며 정상적인 운영체제(OS) 사용을 어렵게 하거나 사용자가 암호 해독(복호화) 댓가를 지불하지 않으면 매시간 일부 파일을 삭제하는 등 더욱 지능적으로 변해 사용자에게 큰 심리적 위협을 가함으로써 금품 갈취를 유도하는 것으로 분석됐다.

개인정보보호 컴플라이언스 강화
또 하나의 올 상반기 보안이슈는 기업의 개인정보보호 책임을 강화한 개인정보보호법과 정통망법의 개정 및 시행이라고 할 수 있다. 우선 최근 개정된 개인정보보호법이 지난해 7월 공포 이후 올 1월 1일부터 시행되고 있으며 또 다른 개정안은 7월 24, 25일부터 순차적으로 시행된다.

개정된 개인정보보호법의 주요 내용을 살펴보면, 먼저 개인정보 유출 피해자가 피해액을 직접 인증하지 않아도 배상 판결을 받을 수 있도록 하는 ‘법정손해배상제’를 마련했다. 이에 기존에는 피해자가 개인정보를 유출시킨 카드사나 유통, 포털업체에게 해킹으로 인한 손해규모를 직접 입증해야 했지만, 앞으로는 해킹 피해를 입은 일반 이용자가 피해를 입증하지 않아도 적절한 수준의 배상을 받을 수 있게 됐다.

또한, 고의로 개인정보를 유출할 경우, 실제 손해액의 최대 3배까지 배상하도록 하는 ‘징벌적손해배상제’를 통해 기업의 개인정보보호 노력을 더욱 요구했다. 이와 함께 7월부터 개인정보보호위원회의 기능과 역할도 확대 시행됐다. 이전에 행정자치부가 수행하던 개인정보 분쟁조정, 기본계획 수립 등 일부 기능이 개인정보보호위원회로 이관된다.

아울러 최근 개정된 개인정보보호법에 따르면, 주민번호 암호화를 의무화했을 뿐만 아니라, 앞으로는 정보 당사자가 아닌 제3자로부터 개인정보를 제공받은 경우 당사자에게 개인정보 수집출처와 처리목적 등을 반드시 고지해야만 한다.

또한, 정통망법 개정안에서 개인정보보호와 관련된 부분은, 이통사·은행·카드사 등의 개인정보 대량 유출사고가 지속적으로 발생함에 따라 기업의 책임성을 강화했다. 특히, 국민의 개인정보가 인터넷에 노출되고 불법으로 유통되는 문제를 해소하기 위해 삭제 등의 의무가 부여됐으며, 유사용어 조정, 개인정보 국외이전 규제 합리화, 개인정보 처리위탁 관리 강화 등을 통해 개인정보 체계를 개선했다.

북한 사이버위협의 고도화
랜섬웨어와 개인정보보호 외에 올해 상반기에는 북한의 사이버 보안위협도 주요 이슈 중 하나로 꼽힌다. 최근 북한은 국내 대기업 전산망의 취약점을 뚫고 들어가 10만대가 넘는 PC의 통제권을 탈취, 사상 최대 규모의 사이버 공격을 준비했던 사실이 수사 당국에 의해 밝혀졌다. 북한이 4차 핵실험 직후, 올 2월 북한에서 제작한 것으로 추정되는 악성코드를 이용해 국내 대기업과 공공기관, 정부부처 등 160여 곳에서 사용하는 PC 통합관리망을 공격한 것이다.

이처럼 북한은 올해 4차 핵실험과 지난 2월 7일 북한의 지구관측 위성인 ‘광명성 4호’ 발사 이후 국제사회의 대북제재 공조에 따른 강한 위기감의 표출로, 사이버공격을 점차 다양화 및 고도화하고 있다. 앞서 지난 2월엔 청와대 국가안보실 등의 정부기관을 사칭한 이메일을 발송했고, 지난 3월에는 북한이 최근 정부 주요 인사 수십명의 스마트폰을 공격해 해킹된 스마트폰에서 문자메시지·음성통화 내용까지 탈취해간 것으로 확인됐다.

또한, 북한은 지난 1~2월 사이에 2개 지방의 철도운영기관 직원들을 대상으로 피싱 이메일을 유포해 직원들의 메일 계정과 패스워드 탈취를 시도한 것으로 드러나기도 했다. 이 뿐만 아니다. 최근엔 북한이 보낸 것으로 추정되는 GPS 방해 전파가 탐지돼 우리 정부는 GPS 전파 혼신 위기 대응 경보를 발령하기도 했다.

이 외에도 올해에는 피싱 또는 계정정보 탈취를 목적으로 한 악성코드, OS나 특정 소프트웨어 취약점을 악용한 제로데이 공격, IoT 보안, 클라우드 보안 등, 다양한 보안위협이 지속적으로 나타났다. 이러한 이슈들은 올해 하반기에도 지속될 것으로 전망된다.
[김태형 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)