Home > 전체기사
[정보보호 20년史] 2014년: 카드사 사태와 한수원 해킹, 대형사고로 얼룩진 한해
  |  입력 : 2019-08-19 15:07
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
한국정보보호산업협회 20년사를 통해 본 한국 정보보호 20년 역사
2014년, 카드사 개인정보 유출사태로 시작해서 한수원 사이버테러로 끝나다
KISIA, 정보보호 산업의 해외진출 지원 확대 주력...심종헌 제12대 회장 선출


[보안뉴스 권 준 기자] 2014년은 카드사 고객정보 유출사태부터 한수원 해킹사태 등 대형 해킹사고로 얼룩진 한 해였다. 1월 8일에는 KB국민·롯데·NH농협 3사 카드사에서 무려 1억400만건 이상의 고객 개인정보가 유출됐다. 카드사 사태는 신용카드를 쓰는 대한민국 국민은 모두 포함됐다고 할 만큼 유출된 개인정보가 방대했고, 유출정보 역시 신상정보는 물론 결제계좌와 주민등록번호, 카드번호, 유효기간 등 개인 금융정보까지 망라된 것으로 드러나 그 어느 때보다 파장이 컸다. 당시 사건은 부정사용방지시스템(FDS)을 개발하던 용역업체 직원이 몰래 개인정보를 탈취해 일어났던 것으로, 당시 각종 카드사를 사칭한 스미싱이 기승을 부리는 등 2차 피해로 이어졌다.

[이미지=iclickart]


초대형 카드사 개인정보 유출사태로 시작한 2014년, 금융사고 잇따라
하지만 카드사 사태가 채 가시기도 전에 금융기관에서 또 다시 개인정보가 유출돼 비상이 걸렸다. 2014년 4월 11일 포스(POS) 단말기 관리업체 해킹사고로 신한·국민·농협·BC 등 카드사 10곳과 기업은행·씨티은행 등의 고객 개인정보 20만여 건이 유출된 것.

포스 단말기 해킹으로 유출된 금융사는 카드사 10곳에서만 약 20만 건이며, 그 가운데 신한카드 3만 5천건, 국민카드 3만 3천건, 농협카드 3만건으로 3개 카드사에서 유출된 개인정보만 무려 10만여 건에 달했다. 은행으로는 광주은행 1만 7천건을 비롯해서 기업은행, 씨티은행 등 수천명의 개인정보가 유출됐다. 유출된 개인정보는 이름, 전화번호, 카드번호, 유효기간, OK캐시백 포인트카드 비밀번호 등이다.

해당 사건으로 카드 위조와 현금 인출 등의 피해가 발생했고, 스미싱 등 2차 피해 우려도 높아졌다. 카드사 개인정보 유출사고의 여파가 가시기도 전에 발생한 POS 단말기 해킹 사고로 또 다시 개인정보가 유출돼 금융보안의 신뢰가 급락했으며, 금융권 VAN사 관리의 허술함도 여과 없이 드러났다.

정부, ‘금융분야 개인정보 유출 재발방지 종합대책’ 발표
이에 정부는 ‘금융분야 개인정보 유출 재발방지 종합대책’을 발표했다. 종합대책의 일환으로 대출모집인 모범규준 개정(2014년 2월), 신속 이용정지제도 도입(2014년 2월), 비대면 영업 가이드라인 마련·시행(2014년 4월), 금융전산 보안 표준지침안 마련(2014년 6월), 모바일앱 보안 가이드라인 마련·배포(2014년 6~7월), 정보유출사고 발생시 본인정보 조회중지 요청 서비스 개시(2014년 7월), 연락중지청구(Donot-call) 서비스 시범운영(2014년 9월) 등이 줄줄이 시행됐다.

이와 함께 현재 개인정보의 ‘수집-보유·활용-파기’ 등 단계별 금융소비자 권리 보호, 주민번호 노출 최소화, 금융권 사이버 안전대책 강화, 그리고 신용정보법 등 종합대책 관련 법령 개정이 이뤄졌다. 2014년 7월에는 정보주체의 권리를 강화하고, 불법적인 개인정보 유통에 대해서는 엄격하게 처벌하는 것을 주요 내용으로 한 ‘개인정보보호 정상화대책’을 발표했다.

그럼에도 개인정보 유출사고는 ‘줄줄’
그럼에도 불구하고 2014년은 개인정보 유출사고가 전 분야에서 끊임없이 발생했다. 2월 26일 의사협회 8만명, 치과의사협회 5만 6천명, 한의사협회 2만명 등 총 15만 6천명의 개인정보가 유출됐다. 또한, 2월에는 고용노동부에서 내부직원에 의해 12만 8천명의 개인정보가 유출됐고, 하비퍼스트 홈페이지가 해킹돼 5만 3천명의 개인정보가 유출되기도 했다.

이 뿐만 아니다. 3월 6일에는 통신사 KT 홈페이지 해킹사태가 터졌고, 3월 7일 보도된 소셜커머스 업체 티켓몬스터의 경우 악성코드의 일종인 ‘웹셸’을 심어 113만 명의 개인정보가 유출됐다. 3월 11일에는 LG유플러스·SKT·KT 고객의 개인정보 420만 건, 금융기관 11곳 등에서 유출된 것으로 추정되는 100만 건, 여행사와 인터넷쇼핑몰에서 유출된 187만 건 등 총 1,230만 건의 가공된 개인정보가 대거 유출됐다. 3월 16일 재향군인회에서는 SQL인젝션 취약점을 이용한 홈페이지 해킹으로 1만 3,900여명의 개인정보가 유출되는 등 국방관련 사이트의 개인정보 관리에도 ‘경고등’이 들어왔다. 3월 17일 개인정보가 유출됐다고 보도된 CJ대한통운의 경우 2013년 9월부터 2014년 2월까지 심부름센터 업주와 택배기사가 총 382차례 개인정보를 유출한 것으로 드러났다. 이 외에도 2014년은 1년 내내 수많은 개인정보 유출사고가 발생해 ‘개인정보는 이제 공공정보’라는 우스갯소리까지 나올 정도였다.

개인정보 유출, 협박·불법거래 등 2차 피해로 이어져
해킹에 의해 유출된 개인정보는 유출로 끝나지 않았다. 개인정보 유출 이후 금전 갈취를 위한 협박, 명의도용, 개인정보 불법거래 등 개인정보 유출문제는 갈수록 심각해지는 양상을 보였다.

일례로 여행·호텔 예약 사이트 ‘에바종’을 해킹한 해커들은 이름, 이메일, 전화번호 등의 개인정보를 탈취했다며, 유출된 일부 고객정보를 중국과 베트남에 팔아넘기겠다는 협박 문자메시지까지 보낸 것으로 알려졌다. 9월 26일에는 가평경찰서 강력팀장을 사칭해 개인정보를 유출한 사례도 발생했다. 경찰을 사칭한 범죄자는 지구대와 파출소에서 사전 승인이나 절차 없이 온라인 조회시스템으로만 개인정보 열람이 가능한 점을 노리고 경기도 가평·남양주·여주·안성 지역 등 관내 일부 파출소에 전화해 주민번호와 주소, 수배여부, 전화번호 등의 개인정보를 알아내 유출했다.

2014년 6월에는 신한카드, 삼성카드 등 6개 카드사의 모바일용 ‘앱 카드’ 명의 도용 사고도 발생했다. 또한, SK텔레콤의 전·현직 직원이 15만명의 고객 개인정보를 사전 동의 없이 사용한 혐의도 드러났다. 이 외에도 SK네트웍스 직원이 외국인 개인정보를 도용해 선불폰 10만대를 불법 개통한 사실도 밝혀졌다. 이렇듯 개인정보 불법거래도 2014년 당시 기승을 부린 것으로 확인됐다. 2014년 10월에는 홈플러스와 이마트에 이어 롯데마트까지 고객 개인정보를 가지고 보험사와 거래해온 사실이 드러나 충격을 주기도 했다.

당시 안전행정부(현 행정안전부)의 국회 제출 자료에 따르면 2012년부터 2014년 8월까지 공공·민간기관 1,056곳을 점검한 결과, 930개 기관이 1,560건의 행정처분을 받았다. 개인정보를 다량 보유했거나 민감 정보를 관리하는 등 법령·규정 위반사항이 적발된 공공기관은 85%, 민간기관은 89%였다. 가장 많은 위반사항은 CCTV 관리 위반으로 33%에 달했다. 이어 안전조치 미흡 23%, 동의·고지 방법 위반 12%, 미동의·과도 수집 12% 등 순으로 조사됐다. 과태료 처분은 148개 기관에서 209건이었으며, 경찰이 115건, 검찰청 54건, 건강보험공단 등 복지부 산하기관 44건, 교육부 38건 순으로 나타났다. 지방자치단체는 서울시가 31건으로 가장 많이 적발됐고 경기도 20건, 경북 16건, 강원 11건 등으로 나타났다.

▲한수원 해킹사태 당시 외부로 유출됐던 내부 중요문서들[사진=보안뉴스]


대형 사이버테러 ‘한수원 사태’가 터진 2014년 12월
국가기반시설인 한국수력원자력(이하 한수원)의 원자력 발전소 자료와 개인정보가 유출되는 대형 사이버테러 사건도 발생했다. 2014년 12월 9일에 한수원 임직원 10,799명의 개인정보가 외부로 유출됐다는 사실이 <보안뉴스>에 의해 단독 보도됐다. 한수원 사태의 서막이었다. 유출된 개인정보는 이름, 사번, 소속, 직급, 입직날짜, 퇴직날짜, 이메일 주소, 휴대폰 번호 등 총 8가지 항목이었다. 유출된 개인정보는 암호화 처리도 되어 있지 않은 채 문서 파일 그대로 노출됐다.

한수원에서 유출된 자료는 개인정보파일 뿐만이 아니었다. CANDU 제어 프로그램 자료, 원전 설계도, 내부 직원의 원자력발전소 주민 방사선량 평가 프로그램 파일 등 중요 파일이 다수 유출됐다. 12월 13일에는 ‘원전반대그룹’ 트위터에 22건의 추가 원전 관련 자료가 공개됐다.

개인정보범죄 정부합동수사단(이하 합수단)은 2014년 12월 15일부터 2015년 3월 12일까지 총 6회에 걸쳐 한수원 관련 자료를 공개하며 원전중단을 협박한 사건에 대한 수사결과를 공식 발표했다. 합수단에 따르면 해커 조직은 트위터 등 SNS와 블로그를 통한 협박 직전인 2014년 12월 9일부터 12일까지 한수원 직원 3,571명에게 5,986통의 파괴형 악성코드 이메일을 발송해 PC 디스크 등을 파괴하려고 시도했으며, 이 가운데 PC 8대가 감염되고 그중 5대의 하드디스크가 초기화된 것으로 조사됐다.

범인은 피싱(phishing) 메일을 보내 한수원 관계자들의 이메일 비밀번호를 수집한 후, 해당 이메일 계정에서 자료들을 수집하는 등 범행을 사전에 준비했다. 2014년 12월 9일부터 12일까지 한수원에 대한 이메일 공격이 사실상 실패로 돌아가자, 한수원 관계자 등의 이메일 계정에서 취득한 자료 등을 공개하며 협박에 이르렀다는 게 합수단 측의 설명이다.

‘원전반대그룹’이라고 밝힌 해커조직은 거의 대부분 중국 선양 IP를 통해 국내 VPN 업체 IP로 접속한 사실이 합수단 수사결과 드러났다. 합수단에서 이번 범행에 사용된 악성코드와 인터넷 접속 IP 등을 분석한 결과, 이메일 공격에 사용된 악성코드는 북한 해커조직이 사용하는 것으로 알려진 ‘kimsuky(김수키)’ 계열 악성코드와 그 구성 및 동작방식이 거의 같고, 악성코드 유포에 이용된 ‘한글 프로그램’ 취약점이 ‘kimsuky' 계열 악성코드에 이용된 취약점과 동일하다는 결론을 내렸다. 또한, ‘kimsuky’ 계열 악성코드들의 IP 일부가 협박글 게시에 사용된 중국 선양 IP 대역들과 12자리 중 9자리까지 일치하고, 범인이 자료탈취, 이메일 공격, 협박글 게시 루트로 도용한 국내 VPN 업체가 관리하는 다른 접속 IP 중에서 2014년 12월 말 북한 IP 주소 25개, 북한 체신성 산하 통신회사 KPTC에 할당된 IP 주소 5개가 접속한 흔적이 발견됐다고 합수단 측은 설명했다.

이렇듯 한수원 사태는 국민안전과 직결되는 국가인프라 시설인 원자력 발전소를 두고 전 국민을 대상으로 지속적이고 공개적으로 협박을 함으로써 사회불안을 야기하고 국민들의 불안 심리를 자극한 전형적인 사이버테러의 성격을 띠었다고 볼 수 있다.

북한 추정 사이버테러, 한수원 이어 소니픽처스까지
한수원 해킹사건이 발생한 12월 미국의 유명 영화사 소니픽처스에서도 해킹사건이 발생했다. 당시 미국 美 연방수사국(FBI)은 북한지도자 김정은 암살사건을 다룬 블랙코미디 ‘더 인터뷰’ 제작사 소니픽처스 해킹의 배후로 북한을 지목했다.

이에 대한 근거로 FBI는 “이번 해킹에서 영화사 내부 자료삭제에 쓰인 하드파괴 악성코드와 이전에 북한에서 개발한 악성코드가 매우 유사했다”고 발표했다. 두 번째 근거는 소니픽처스 해킹에 쓰인 악성코드에 남아 있던 IP 주소 및 악성코드와 북한 관련 IP가 교신하면서 명령을 수행했다는 점이다.

특히, 소니픽처스 해킹과 한수원 해킹 수법의 공통점을 살펴보면 하드파괴 수법을 사용했다는 점이다. 하드파괴 방식은 2013년 발생한 3.20 및 6.25사이버테러와 유사한 공격 패턴이었으며, 특히 6.25 사이버테러 때 발견된 악성코드와 소니픽처스 해킹 당시 사용된 악성코드가 거의 일치하는 것으로 드러났다.

[이미지=icilckart]


IoT와 결합되는 정보보호, 대기업 ‘눈독’
굵직한 해킹사고가 많았던 만큼 2014년 전체 정보보호산업 매출액은 총 7조 6,022억 1,900만원으로 2013년 대비 7.1% 증가한 것으로 KISIA 조사결과 나타났다. 이 가운데 정보보안 매출액은 2013년 1조 6,311억 1,300만원에서 2014년 1조 6,957억 5,500만원으로 4.0% 증가했으며, 물리보안 매출액은 2013년 5조 4,690억 9,200만원에서 2014년 5조 9,064억 6,400만원으로 8.0% 늘었다.

분류별 매출 비중을 살펴보면, 정보보안 제품은 네트워크 보안, 콘텐츠/정보유출방지 보안, 시스템 보안 분야의 비중이 높았으며, 정보보안 서비스는 보안관제, 유지관리, 보안컨설팅 분야의 매출 비중이 높은 것으로 조사됐다. 전체 보안 분야 수출은 2013년 1조 4,944억 5,600만원에서 2014년에는 1.7% 증가한 1조 5,202억 4,500만원으로 조사됐다. 이 가운데 정보보안 분야 수출은 2013년 704억 2,200만원에서 2014년 765억 7,400만원으로 8.7% 증가했다. 권역별 수출은 약 52%가 일본으로 정보보안 매출 비중이 가장 높은 국가로 조사됐다.

2014년 정보보호 산업과 관련해서 주목할 만한 사항은 국내 주요 이동통신사가 보안시장에 관심을 보이기 시작했고, 삼성전자가 IoT 시장 진출에 적극 나섰다는 점이다. SK텔레콤은 2013년 초에 국내 출동경비 분야 4위 업체인 네오에스네트웍스(NSOK)를 인수했고, KT는 국내 물리보안 시장 3위 업체 KT텔레캅을 자회사로 두고 있는 상황에서 통신-보안 분야 협력을 바탕으로 정보보호 서비스 사업모델 개발에 집중한 것으로 조사됐다. 또한, LG유플러스는 ADT캡스와 제휴를 맺고 ‘M2M(사물지능통신) 플랫폼’이 적용된 LTE 기반 보안관제 서비스를 선보이기도 했다.

한편, 국내 최대 기업 삼성전자는 미국의 사물인터넷(IoT) 개방형 플랫폼 개발 회사인 ‘스마트싱스(SmartThings)’를 인수하는 등 IoT 분야 사업 확대에 적극 나섰다. 스마트싱스는 삼성전자가 실리콘밸리에 설립한 소프트웨어·서비스 분야 혁신조직인 ‘오픈 이노베이션 센터(OIC: Open Innovation Center)’를 중심으로 활동을 시작했다.

▲KISIA가 공동관을 구성해 참여했던 해외 보안전시회 모습[사진=KISIA]


KISIA, 정보보호 산업을 국가방위산업에 버금가는 위상으로 키워나간다
협회(KISIA)는 2014년 2월 정기총회를 개최하고, 신임 회장으로 심종헌 유넷시스템 대표를 선임했다. 심종헌 신임 회장은 “하루가 다르게 진화하고 있는 각종 사이버범죄에 효과적으로 대응하고 기업, 기관 등의 소중한 자산을 얼마나 잘 지키느냐가 기업경영의 바로미터가 됐다. 회장 재임기간 정보보호 산업을 국가방위산업에 버금가는 위상으로 자리매김할 수 있도록 최선을 다할 것”이라고 취임 소감을 밝혔다.

2014년 협회는 ‘정보보호 산업의 해외진출 지원 확대’를 최우선적으로 추진했다. 당시 국내 정보보호기업들의 수출을 일본 위주에서 미국, 이스라엘 등의 유럽, 동남아시장으로 다변화시키기 위해 노력했다. 이를 위해 미국의 최대 물리보안 전문전시회인 ISC West에 한국공동관을 구성하고 이스라엘에 시장개척단을 파견해 유럽시장 진출을 위한 교두보를 확보했다.

아울러 협회는 2013년 시범 운영해 청년 취업 확대에 기여한 것으로 평가 받은 ‘정보보호 스펙초월 멘토스쿨 채용연계’ 사업 등 교육 사업을 확대했으며, 정보보호학과가 개설된 대학들과 MOU를 맺고 ’산학협력프로그램‘ 공동 운영함으로써 실무중심의 현장인력 공급을 확대해 나가는데 기여했다.
*해당 기사의 저작권은 한국정보보호산업협회(KISIA)에 있습니다.

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

이노뎁
VMS

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

쿠도커뮤니케이션
스마트 관제 솔루션

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

한국씨텍
PTZ CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

링크플로우
이동형 CCTV 솔루션

엔토스정보통신
DVR / NVR / CCTV

트루엔
IP 카메라

다민정보산업
기업형 스토리지

비전정보통신
IP카메라 / VMS / 폴

씨오피코리아
CCTV 영상 전송장비

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

디비시스
CCTV토탈솔루션

테크어헤드
얼굴인식 소프트웨어

에스카
CCTV / 영상개선

옵티언스
IR 투광기

옵텍스코리아
실내 실외 센서

구네보코리아
보안게이트

엑사비스
사이보 보안 CCTV

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

수퍼락
출입통제 시스템

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

파이브지티
얼굴인식 시스템

새눈
CCTV 상태관리 솔루션

파이브지티
얼굴인식 시스템

케이티앤씨
CCTV / 모듈 / 도어락

다원테크
CCTV / POLE / 브라켓

티에스아이솔루션
출입 통제 솔루션

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

금성보안
CCTV / 출입통제 / NVR

지와이네트웍스
CCTV 영상분석

이후커뮤니케이션
CCTV / DVR

지에스티엔지니어링
게이트 / 스피드게이트

넷플로우
IP인터폰 / 방송시스템

아이유플러스
레이더 / 카메라

DK솔루션
메트릭스 / 망전송시스템

두레옵트로닉스
카메라 렌즈

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

KPN
안티버그 카메라

싸이닉스
스피드 돔 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

창우
폴대

유진시스템코리아
팬틸트 / 하우징

브이유텍
플랫폼 기반 통합 NVR

글로넥스
카드리더 / 데드볼트

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향