방치할 수 없는 ‘해킹 불감증’…시스템 투자 늘리고 보안 의식 강화해야

세계 경제 위협하는 ‘사이버 공격’
작년 말 전 세계를 발칵 뒤집은 해킹 사건이 일어났다. 북한 최고 지도자 김정은의 암살을 다룬 영화 ‘인터뷰’를 제작한 소니픽처스의 최신 개봉 영화와 미개봉 영화가 무더기로 유출된 것이다. 전문가들은 시스템 복구와 매출 손실 및 기업 이미지 하락으로 소니픽처스가 수억 달러 이상의 피해를 본 것으로 추산했다. 2011년에 온라인 게임 서비스인 플레이스테이션 네트워크(PlayStation Network)의 정보 유출로 심각한 타격을 입었던 소니는 다시 한 번 대규모 해킹 공격의 희생양이 됐다.

파장은 여기에 그치지 않았다. 미국 연방수사국(FBI)은 이번 해킹 사건이 ‘인터뷰’의 내용에 불만을 품은 북한에 의해 이뤄다고 결론 내렸다. 그러자 주요 극장들은 북한의 테러 가능성을 우려해 ‘인터뷰’의 상영을 불허했다. 테러 위협에 굴복해서는 안 된다는 여론에 힘입어 우여곡절 끝에 ‘인터뷰’가 개봉되기는 했지만 이번 사건으로 미국 전역이 불안에 휩싸였고 마침내 버락 오바마 대통령은 북한을 제재하는 행정명령을 발표했다.


한국도 해킹 공포 예외 없다
한국도 예외는 아니었다. 비슷한 시기에 한국수력원자원의 원자력발전소가 해킹 공격을 당해 내부의 기밀 자료가 외부로 유출된 것이다. 원자력발전소는 국가의 기간 시설이므로 중요 정보의 유출 시 상상을 초월하는 피해가 발생할 수 있다는 점에서 그 충격이 매우 컸다. 특히 이번 사고 역시 막강한 역량을 가진 북한 사이버 부대의 소행이라는 주장이 제기되면서 해킹 공격으로 국가 중요 시설이 한순간에 마비될 수 있다는 우려가 급증했다.

2014년은 전 세계적으로 해킹 공격 피해가 최고조에 달한 한 해였다. 많은 기업과 국가들이 보안 시스템 강화에 해마다 막대하게 투자하고 있지만 해킹 피해는 꾸준히 늘고 있다. 작년 한 해에도 한국을 비롯한 전 세계 기업들은 연이은 해킹 공격으로 골머리를 앓았다. 1억4500만 명의 회원을 보유하고 있는 이베이는 고객의 비밀 번호와 아이디, 생년월일 등이 해킹 공격으로 유출됐다고 밝혔다. 또한 도미노 피자의 프랑스와 벨기에 본부는 렉스 문디(Rex Mundi)라는 전문 해킹 단체로부터 사이버 공격을 받아 무려 60만 명의 고객 정보를 유출하기도 했다. 더군다나 전 세계 인터넷 주소 체계를 관리하고 있는 국제인터넷주소관리기구(ICANN)까지 해킹 공격을 받음으로써 자칫 네트워크 인프라의 근간마저 흔들릴 수 있다는 공포가 확산됐다.

첨단 정보기술(IT) 기업이라고 할지라도 해킹 공격의 위협에서 안심할 수 없었다. 애플은 자체 클라우드 서비스 시스템인 아이클라우드가 어떤 공격에도 안전하다고 주장해 왔다. 그러나 애플은 아이폰 6 출시를 앞두고 아이클라우드의 해킹으로 수십 명이 넘는 연예인들의 사생활 사진이 누출되면서 큰 홍역을 치렀다. 애플은 기술적 문제가 아니라고 발표했지만 이로 인해 애플의 보안 역량에 대한 불신이 더욱 커지게 됐다. 구글 역시 2009년 해킹 공격을 받아 중국계 반체제 인사들의 e메일 계정이 유출되는 등 지속적인 해킹 위협에 시달리고 있는 상황이다.

해킹 공격의 위험은 인터넷 확산에 따라 빠른 속도로 증가하고 있다. 인터넷이 막 등장할 무렵에는 해킹의 위협이 그리 크지 않았지만 인터넷이 정치·경제·사회 등 대부분의 활동에 필수적으로 적용되면서 정보의 누출과 악용이 큰 논란으로 부각되고 있다. 특히 정보를 교묘히 빼내는 것에서 나아가 시스템 내 문서를 암호화한 후 거액을 요구하는 랜섬 웨어(Ransom ware)나 악성 코드를 유포해 시스템 전체를 마비시키는 공격까지 그 유형도 다양해지고 있다.

인터넷 초기의 해킹은 비교적 단순한 기술이 적용됐기 때문에 방어가 그리 어렵지 않았다. 그러나 컴퓨팅 능력이 발전하고 유·무선 네트워크 인프라가 촘촘하게 연결되면서 더욱 강력하게 시스템을 공격할 수 있는 해킹 기술이 등장하고 있다. 특히 불특정 다수를 노렸던 과거와 달리 최근에는 특정 대상에게 집중적으로 위협을 가하는 지능형 지속 위협 공격(Advanced Persistent Threat)도 두드러지게 증가하고 있다.

클라우드 컴퓨팅의 활용이 증가하면서 우후죽순으로 증가하고 있는 클라우드 데이터센터 역시 해커들의 집중 공격 대상이 되고 있다. 클라우드 데이터센터는 수많은 개인과 기업의 데이터가 집약적으로 저장돼 있는 공간이다. 따라서 일단 보안이 뚫리게 되면 엄청난 정보의 단시간 유출이 불가피하기 때문에 그 피해가 크게 확산될 수 있다. 특히 클라우드 컴퓨팅 고객들은 데이터센터의 보안 수준을 직접 확인하기 어렵기 때문에 해킹 피해에 대한 불안감이 더욱 커지고 있는 상황이다.

모바일 결제와 송금 등 새로운 정보기술 산업의 기대주로 각광받고 있는 핀테크(FinTech) 역시 해킹 공격의 위협에 안전하지 않다. 새로운 보안 기술이 등장할 때마다 이를 무력화하기 위한 해킹 기술은 더욱 빠르게 발전해 왔기 때문에 최신 핀테크라고 하더라도 완전한 안전을 보장할 수 없다. 더군다나 핀테크를 중심으로 개인 정보의 유통과 축적이 활발하게 이뤄지면서 특정 기업의 해킹 피해가 연쇄적으로 다른 기업과 소비자들에게도 확산될 것이라는 우려도 제기되고 있다.


사물인터넷 확산의 걸림돌 ‘해킹’
시스코(Cisco)는 2010년 기준으로 125억 대의 사물이 인터넷에 연결돼 있고 2020년에는 그 수가 500억 개까지 증가할 것이라고 전망했다. 이처럼 사물인터넷 기기들이 기하급수적으로 증가함에 따라 이들을 악의적으로 조종하고 정보를 탈취하려는 시도 역시 더욱 늘어날 가능성이 높다. 더욱이 스마트 홈과 웨어러블 기기 등 사물인터넷이 사람들의 일상에 밀접하게 활용됨에 따라 해킹 공격의 피해는 경제적 손실을 넘어 사회 전반적으로 많은 혼란을 불러올 것으로 보인다.

해킹 공격에 따른 직접적인 피해도 만만치 않지만 이를 우려한 고객들의 서비스 거부와 이탈, 이미지 추락 등 추가적인 피해도 크다는 점에서 보안 역량은 기업 경영 성과와 직결되는 이슈다. 2013년 미국 유통 기업 타깃(Target)은 해킹 공격으로 신용카드 정보 4000만 건과 7000만 명 이상의 고객 정보를 유출했는데, 36억 달러 이상의 손해배상금 지불은 물론이고 엄청난 기업 신용도와 이미지 하락의 책임을 지고 최고경영자(CEO)가 사임했다.

따라서 많은 기업들은 사물인터넷의 보안 강화를 위한 기술 연구와 투자에 경쟁적으로 매진하고 있다. 특히 AT&T·시스코·GE·IBM 등이 작년 3월 설립된 산업 인터넷 컨소시엄(Industrial Internet Consortium)에서 사물인터넷 기기의 해킹 이슈가 포함되는 등 여러 표준화 단체에서도 사이버 공격의 위험과 대응 방안이 집중적으로 논의될 것으로 보인다.

그러나 시스템에 대한 투자와 연구 못지않게 중요한 것은 바로 해킹 공격에 대한 경각심과 보안 의식 강화다. 실제로 많은 사고는 보안 시스템의 기술적 문제보다 이를 사용하는 사람들의 부주의에서 비롯됐다. 일상적으로 사용하는 e메일과 소셜 미디어 등을 통한 해킹 공격이 여전히 대다수를 차지하고 있다는 점에서 사고 책임의 상당 부분은 해킹 공격에 대한 불감증 때문이라는 지적도 많다.

투자은행 JP모건체이스는 매년 자사의 보안 시스템 강화에 2억5000만 달러가 넘는 천문학적인 돈을 투자하고 있음에도 불구하고 작년에 해킹 공격으로 8300만 건의 개인과 기업 정보를 누출하고 말았다. 사건을 둘러싼 조사 끝에 이는 직원들의 단순한 실수에서 비롯된 인재로 밝혀졌다. 시스템 관리자들이 일부 서버에 이중 보안 체계를 적용하지 않았기 때문에 위협에 그칠 수 있었던 해킹 공격의 피해를 엄청나게 키운 것이다.

올해에도 해킹 공격은 쉽게 수그러들지 않을 전망이다. 특히 해킹 공격은 특정 개인과 기업의 문제를 넘어 국가 간 긴장과 갈등까지 고조시키는 등 그 파장이 더욱 심각해지고 있다. 일단 속수무책으로 해킹 공격을 당하면 그 피해는 미처 손쓸 새 없이 확산될 가능성이 높다. 따라서 해킹 공격에 효과적으로 대처하기 위한 시스템 투자와 함께 기업과 사회 전반적인 보안 의식 강화 및 주기적인 대응 태세 점검에 더욱 만전을 기해야 할 것이다.


전승우 LG경제연구원 선임연구원