[연말기획] 2018년 최대 보안위협, 가상화폐와 IoT

[인터뷰] KISA 침해대응단 황보성 단장과 침해사고분석단 이동근 단장
2017년 보안이슈: 사드 논란에 따른 중국발 공격, 워너크라이, 인터넷나야나 사태
2018년 보안위협: IoT, 비트코인 노린 가상화폐 거래소 공격

[보안뉴스 김경애 기자] 올 한해는 전 세계를 강타한 워너크라이 랜섬웨어에서부터 사드배치에 따른 중국발 해킹 공격, 인터넷나야나 사태, 빗썸을 비롯한 가상화폐 거래소 해킹 등 굵직한 보안이슈가 연이어 발생했다. 이에 본지는 한국인터넷진흥원(KISA) 사이버침해대응본부 침해대응단 황보성 단장과 침해사고분석단 이동근 단장과의 인터뷰를 통해 올 한해 주요 보안이슈를 짚어보고, 2018년 보안위협에 대해 들어봤다. 다음은 두 단장과의 인터뷰 내용이다.

▲KISA 사이버침해대응단 황보성 단장(좌측)과 침해사고 분석단 이동근 단장(우측)[사진=보안뉴스]

Q. 침해사고 대응과 관련해 올해 주요 성과를 짚어본다면?
황보성 단장: 보안에서의 가장 큰 성과는 사고가 나지 않는 것이다. 그런 측면에서 올해는 워낙 사건사고가 많아 지난해에 이어 24시간 비상대응체계를 1년간 더 유지했다. 이렇듯 국내 사드 배치 이슈로 발생한 중국발 해킹 대응부터 곧 다가올 평창올림픽 대응체계 준비에 이르기까지 사이버위기 경보가 ‘관심’ 단계로 계속 유지될 전망이다.

이동근 단장: 전 세계를 강타한 워너크라이에 대한 효과적인 대응도 성과로 꼽을 수 있다. 국내에 IT 기업이 많아 워너크라이 피해가 클까봐 우려했다. 다행히 초동 대응을 잘해서 큰 피해가 없었다. 이는 긴장을 늦추지 않아 큰 사고를 막을 수 있었고, 민·관·포털 등 모두 협조가 잘 이루어진 덕분이다.

Q. 평창 동계올림픽 보안위협과 관련해 우려의 시각이 크다. 대응 준비는?
황보성: 평창 동계올림픽 사이버위협에 대한 우려의 시각이 높다는 건 잘 알고 있다. 대통령이 미국 언론에서 언급한 바와 같이 잘 준비하고 있다. 실무 파견 업무를 맡고 있는 보안팀장을 비롯해 평창 동계올림픽 CERT팀을 꾸려 관제, 모니터링 등 기본체계는 갖추고 있다. 또한, 올림픽이 아직 시작되지 않았기 때문에 올림픽이 끝날 때까지 긴장의 끈을 놓지 않고 경보단계는 관심 단계를 유지하며, 비상체계로 대응할 방침이다.

Q. 가상화폐 거래소 보안위협이 증가하고 있는데, 가장 큰 문제는 무엇인가?
이동근: 대부분의 가상화폐 거래소들이 급하게 보안 홀을 막으려고 한다. 기본 보안체계를 갖추지 않은 상태에서 기업이 급속도로 성장하다 보니 그 성장속도와 보안수준사이에 갭이 있다. 그 차이를 줄여야 하며, 수익이 발생하면 보안에도 투자해야 한다.

황보성: 가상화폐 거래소는 기존의 온라인(online)과 오프라인(offline)을 결합한 O2O서비스를 제공하는 숙박앱 ‘여기어때’의 개인정보 유출 사건과 같은 상황이다. 가상화폐거래소 대다수가 스타트업으로 사업을 시작할 때 보안을 고려하지 않은 상태에서 덩치만 커졌다. 보안은 사업 초반부터 체계를 잡고 가야 하는데, 대다수 스타트업들이 이 부분을 간과하고 있다. 특히, 가상화폐 거래소의 경우 금전적인 피해가 직접적으로 발생하기 때문에 더욱 보안을 신경써야 한다. 내년부터 시행되는 정부대책이 나온 것도 이런 이유다. 우선 기본적인 보안체계를 갖추는 게 시급하다. 보안수준을 금융권에 준하는 수준으로 맞추고, 자체적으로 ISMS 인증 수준으로 올라올 수 있도록 해야한다.

Q. 보안사고가 반복되고 있는데, 기업에선 어떻게 조치해야 하나?
이동근: 사고가 발생한 기업을 대상으로 현장에 나가 취약점 점검을 하고 안내 조치를 하는데, 이후 개선 이행 여부를 살펴보면 여전히 개선되지 않고 미흡한 경우가 대다수다. 무엇보다 임시방편으로 처리하는 경우가 상당수에 이른다. 사고가 나면 제로베이스로 돌아가 처음부터 다시 검토하고, ISMS 인증 체계를 기초로 보안 틀을 구축해 나가야 한다.

황보성: ‘여기어때’의 경우 처음에는 많은 사람들의 주목을 받으며, 펀딩이나 투자도 많이 받았지만 정작 보안에는 신경을 쓰지 않았다. 하지만 개인정보 유출사고 이후 기업의 분위기가 많이 달라졌다. CISO를 채용하고 보안팀을 별도로 만들었으며, 직원 증가에 따라 보안담당자도 비례해서 충원하는 등 보안에 신경을 많이 쓰고 있다. 조직 분위기도 이전과는 많이 달라져 보안팀 검토를 매우 중시하는 상황이다. 하지만 반복적으로 사고가 나는 기업의 경우 이에 대한 근본적인 보안조치가 제대로 이뤄지지 않고 있다. 가상화폐 거래소 유빗의 경우도 마찬가지다. 지난 4월 사고 이후 취약점 점검 및 조치 안내를 권고했지만 크게 개선되지 않았다.

▲황보성 단장[사진=보안뉴스]

Q. 올해 가장 기억에 남는 사건사고와 그 이유는?
황보성: 국내 사드 배치 이슈로 중국에서 한국을 타깃으로 사이버공격을 하겠다고 협박한 사건이 가장 기억에 남는다. 정치적 이슈와 맞물린 사건이라 엄청난 공격이 예상되기도 했고, 중국 특정단체에서 한국을 공격하자고 선동하는 등 공개적인 공격 선포가 있었다. 더군다나 국내 일각에서는 “왜 우리만 당하냐, 우리도 공격하자”는 목소리도 나오는 등 자칫하면 대형 사고로 번질 정도로 긴장감이 고조된 상태라 기억에 많이 남는다. 당시 국내 피해는 웹페이지 30~40개가 위변조되고, 롯데 면세점이 디도스 공격을 당했지만 다행히 큰 대형사고로 이어지진 않았다. 만약 중국 전문 해커조직까지 들고 일어났다면 피해규모는 훨씬 컸을 수 있다.

이동근: 워너크라이 이슈도 꼽을 수 있다. 이 사건이 충격적이었던 건 랜섬웨어가 네트워크로 대량 전파됐기 때문이다. 기존에 이메일 첨부파일을 통해 유포된 랜섬웨어에서 벗어나 감염범위가 대량으로 확산돼 기억에 많이 남는다.

황보성: 워너크라이는 전세계적으로 30만대를 감염시키며 빠르게 전파됐는데, 마치 큰 파도가 밀려오는 것 같았다. 세계 곳곳에서 피해가 발생하는데 곧 우리한테도 밀려오겠다는 직감이 들었고, 긴급히 대국민 행동요령을 발표하며 초동 대응이 잘 이뤄졌다. 다른 국가에서는 우리나라가 큰 피해가 없는 데 대해 문의와 자문도 이어졌다.

이동근: 이어 인터넷나야나 사건의 경우도 기억에 많이 남는다. 기존에 개인이나 기업을 타깃으로 한 공격에서 해커는 여러 기업을 한 번에 피해를 입힐 수 있는 방법으로 호스팅업체를 공격했다. 이 사건은 보안위협에 큰 변화를 일으켰다. 인터넷나야나 사건이 랜섬웨어 공격에 있어 큰 획을 그었다고 볼 수 있다. 공격자에겐 굳이 일일이 뚫어서 개인정보를 가져오는 과정을 거칠 필요 없이 랜섬웨어 감염을 통해 돈을 요구하는 방향으로 바뀌었다. 뿐만 아니라 공격이 APT와 랜섬웨어가 결합해 진화했다. 진화된 공격 흐름은 새로운 서비스가 생기는 기업들로 타깃이 변경됐다.

황보성: 해커 입장에서는 랜섬웨어가 신세계인 셈이다. 기존에 해커는 청부받아 디도스 공격을 하거나 개인정보를 탈취해 중국 암거래 시장에 팔아넘기는 게 대다수였다. 그런데 랜섬웨어라는 신규 수입모델이 생겼다. 그것도 비트코인과 만나면서 추적도 피할 수 있게 됐다. 게다가 이용자에겐 복구될 수 있다는 희망을 줄 수 있어 협박용으로 이용하기엔 제격이다. 반대로 공격을 당한 입장에선 안타까운 유형이다. 인터넷나야나 사건의 경우 13억이라는 초유의 금액을 어쩔 수 없이 지불한 사건이다. 대표 입장에서는 하루 매출 수십억에 달하는 여러 기업의 피해와 집단소송도 일어날 수 있는 상황에서의 어쩔 수 없는 선택이라 더욱 안타까웠다. 더군다나 법이나 규정상 막을 수도 없어 아쉬움이 많았던 사건이다.

Q. 최근 SNS를 활용한 공격도 기승을 부리고 있는데, 대응책을 제시한다면?
황보성: SNS를 활용한 공격 대다수는 사회공학적 기법을 이용한다. 피싱 사이트로 연결되는 링크를 보내거나 악성앱 설치를 유도한다. 홈페이지는 누구나 접속가능하나 SNS는 지인과 연계된 개인 영역이라 악성코드 탐지가 쉽지 않다. 이에 공격 탐지를 극대화하기 위한 방안으로, 이메일 보안업체와 협약해 악성코드 정보를 공유하고, 정부부처나 공개된 홍보용 SNS의 경우 악성링크가 걸리는지 확인하는 시스템을 구축하는 것을 내년 말까지 준비 중에 있다.

개인의 경우 스마트 보안과 SNS 계정 보호에 신경쓰는 것이 중요하다. 안드로이드 기반 스마트폰의 경우 앱을 설치하는데 있어 동의를 받도록 하고 있기 때문에 출처가 불분명한 앱과 공식 채널이 아닌 곳에서 앱이 설치되려고 하면 의심해 봐야 한다. 또한, SNS의 경우 지인을 사칭해 접근하는 경우가 많아 이 경우 링크 클릭에 주의하고, 사전에 확인하는 습관이 중요하다.

Q. KISA에서 침해대응 및 분석업무를 수행하는데 가장 큰 애로사항은?
황보성: 취약점 점검을 위한 기술지원은 기업에서 사전에 동의가 있어야만 가능하다. 아무리 보안사고가 발생했다 하더라도, 법적 효력이 없기 때문에 강제적으로 제재할 순 없다. 시정명령이 나갈 수 있는 건 개인정보보호 부문이며, 침해대응 부문에서는 정통망법에서 의무사항이 아닌 시정권고에 불과하다. 이 때문에 보안사고가 발생했을 때 초동 대응이나 조사가 쉽지 않은 게 사실이다. 이는 조사권이 없기 때문이며, 가장 큰 애로사항이다.

물론 민간 합동 조사단을 꾸려 조사할 순 있지만 대형 사고인 경우만 해당돼 수시로 발생하는 사건에 대한 실질적인 조사는 쉽지 않다. 더군다나 기업에서 동의하지 않으면 조사할 수 없다. 따라서 침해대응 부문에서도 개인정보보호 부문의 구조처럼 기술적·관리적·물리적 보안조치 미흡에 따른 시정명령 체계가 가능해야 한다고 본다.

이동근: 대부분의 사람들이 공격 배후가 누구냐, 범인이 누구냐는 질문을 많이 한다. KISA의 경우 피해확산 방지가 고유 역할이기 때문에 협력차원에서 조사는 할 수 있지만 실질적인 수사영역에는 벗어나 있다. 범죄 수사기관처럼 발표할 수 있는 독립기관이 아니다보니 입장 표명하기가 쉽지 않다.

Q. 3.20사이버테러 때는 직접 발표하지 않았나, 3.20 이후에는 발표하지 않는 것인가?
이동근: 맞다. 당시에는 대형 사이버테러로 민관합동 조사단이 꾸려져 KISA가 대외적인 공식채널이었고, 이에 따라 발표할 수 있었던 거다. 하지만 현재는 공식 채널이 아니므로 수사기관이 발표하고 있다.

▲이동근 단장[사진=보안뉴스]

Q. 2018년 주요 보안위협을 예측해 본다면?
이동근: 보안수준이 강화되기 전까지는 가상화폐 거래소를 노린 공격과 공급망 공격이 기승을 부릴 것으로 예상된다. 보안이 잘 돼 있는 곳은 공격자가 우회 방법을 찾아 유지보수 업체나 납품 업체 등 서브파티 쪽 공격 루트 개발에 주력할 것이다.

IoT 보안이슈도 크다. 특히, 인텔 취약점이 보고되면서 칩셋 보안 위협이 우려되고 있다. PC는 업데이트 체계가 갖춰져 있지만 칩은 이미 제품에 깔리면 반품 밖에 방법이 없어 잘 통제 되질 않는다. 한 번 납품되면 회수 조치가 어려워 피해가 클 수 있다. IoT 보안 이슈는 과학기술정보통신부만이 해결할 수 있는 문제는 아니기 때문에 범 부처 차원에서 준비 중인 것으로 알고 있다. 현재 IoT 보안 가이드라인, IoT 보안인증센터 등 IoT 제품을 만들 때 보안을 고려한 디자인이 되도록 권고하기 위해 제도적으로 준비 중이다.

황보성: 보안이 취약한 IoT 기기가 너무 많다. 기본적인 보안조치가 미비하기 때문이다. 현재까지는 디도스 공격 전파가 핵심이지만 향후에는 스마트홈, 도어락, 스마트카, 가스벨브, 스마트 의료기기 등 다양한 분야에서의 해킹 이슈가 확대될 위험이 높고, 신체적·물리적 위협이 가해질 수 있어 매우 위험하다. 이에 보안은 매우 중요하고, 패스워드 관리는 필수다. 보안인증제도도 강화돼야 하며, IoT 기기 설계 역시 보안을 고려해야 한다.

Q. 연말연시 기업에서 특별히 주의할 점과 소속 팀원들에게 한마디 한다면?
이동근: 연말연시 꺼진 불도 다시 보자는 마음으로 방심하지 않도록 주의해야 한다. 기업의 보안담당자들은 연말연시 보안 점검을 철저히 해야 한다. 내년에도 국민 피해 최소화를 위해 다함께 노력했으면 좋겠다.

황보성: 작년 1월부터 경보단계가 거의 2년 정도 지속돼 직원들이 많이 힘들 것이다. 지금까지 위기경보 단계가 격상돼 유지된 최장 기간은 3.20사이버테러때 3개월이다. 이에 비하면 상당히 긴 기간으로 위기경보가 관심 단계로 유지되고 있다. 현재 종합상황실 전담요원 15명이 비상근무인데, 분석팀이 추가로 투입되고 있다. 침해대응 담당 직원들이 본 업무와 지원 업무까지 맡고 있어 많이 힘들고 지쳐 있을 것이다. 이에 조금만 힘을 내주었으면 하는 응원의 메시지를 전하고 싶다.
[김경애 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)