[2014 ICT과학 키워드-⑥] 사이버 스파이와 개인정보보호
by김현아 기자
2014.12.23 00:16:00
[이데일리 김현아 기자]2014년에도 해킹 공포는 계속됐다. KT 980만 고객의 개인정보 유출사건 발표(3월)△애플의 클라우드 서비스인 ‘아이클라우드(iCloud)’ 해킹에 의한 여배우 누드사진 유출(9월)△JP모건체이스 8300만 건 정보 유출과 판도라TV 11만 명 회원정보 유출 확인(10월)△소니 영화사와 한국수력원자력 데이터센터 해킹(12월)과자신을 국제 해커집단 ‘어나니머스’라고 속여 한국정부에 대한 해킹 공격을 예고한 중고생이 경찰에 입건되는 일(4월)마저 있었다.
| 국제적인 핵티비즘 단체인 어나니머스 메시지. 핵티비즘은 해킹(hacking)과 행동주의(activisom)의 합성어로 정치·사회적 목적을 위해 해킹을 하는 것을 뜻한다. 지난해에는 ‘우리민족끼리’ 등 북한 사이트에 해킹 공격을 가한 바 있다 |
|
전문가들은 사람뿐 아니라 사물까지 인터넷이라는 통신망으로 연결되는 사물인터넷(IoT)시대에는 더 은밀하고 정교한 정보수집, 국가 간 이념의 차이에서 오는 사이버 테러와 범죄, 추적 방해, 금전탈취, 개인정보 데이터베이스(DB) 탈취 같은 ‘사이버 스파이형’ 공격 빈도가 증가할 것으로 보고 있다. 권석철 큐브피아 대표는 “IoT가 오면서 전력도 지하철도 댐도 모두 통신망으로 연결되는 세상”이라면서 “사이버 세상의 장악력을 갖는 곳이 세상을 지배하게 됐음을 의미한다”고 말했다.
북한은 부정하지만, 미국과 우리 정부는 북한이 김정은 국방위원회 제1위원장 암살을 소재로 한 영화 ‘인터뷰’에 대한 불만을 소니 픽처스 엔터테인먼트 해킹으로 보복했다고 보고 있다. 지난해 3월 20일 한국에서 발생한 사이버테러 때와 같은 악성코드를 썼으며, 인터넷주소(IP)도 비슷했다는 것이다.
| 지난해 ‘3.20 사이버 테러’때 북한 소행으로 판단한 민관합동 수사팀이 제시한 근거 중 일부. 단방향 공격이어서 IP 위조가 쉽지 않은 가운데, 발견된 13개 북한 IP는 2009년 북한에 할당된 대역이었고, ‘우리민족끼리’ 사이트의 IP 대역과 동일했다. |
|
지난 15일부터 21일까지 네 차례나 한수원 직원의 인적사항, 경북 경주 월성 1·2호기 제어프로그램 해설서, 고리1호기 원전 냉각시스템 도면 등을 블로그와 트위터, 페이스트빈(해외 서버 온라인 문서편집프로그램) 등에 올린 해커 역시 ‘사이버 스파이형’에 속한다. 스스로 ‘원전반대그룹’, 내지는 ‘Who I am’이라 밝혔는데, 검찰은 해커가 네이버 ID를 도용하고 인터넷주소(IP주소)를 우회한 사실을 확인하면서 북한과의 관련성을 배제하지 않고 있다.
사이버 스파이형 공격은 특정 타깃을 겨냥해 지속적으로 이뤄지기 때문에 망(網)이 외부와 분리돼 있더라도 무용지물이라는 게 전문가들 지적이다. 그래서 일부러 가짜 정보를 주고 실시간으로 해커가 어디서 무슨 일을 하는지 감시하는 제품까지 개발됐다. 글로벌 보안 업체 맥아피는 “2014년 3분기 발견된 악성코드의 2%(약 82만 건)만 기존에 알려진 취약점을 노린 공격이며, 나머지는 알려지지 않았거나, 대책이 마련되지 않은 취약점을 이용한 공격”이라며 “이런 현상은 2015년에도 계속될 것”이라고 예상했다.
해킹에 따른 고객 정보 유출 가능성이 커지면서 사고 기업에 대한 처벌 수위 역시 높아지고 있다. 올해 시행된 ‘정보통신망이용촉진및정보보호등에관한법률’에 따르면 과거에는 접근통제장치의 설치·운영 같은 기술적 보호조치를 준수했다면 해킹 사고 시 면책받는 부분이 있었지만, 앞으로는 털린 사건과 보호 대책 간의 인과관계를 기업이 밝혀내야 한다. 개인정보 누출 기업에 대한 과징금 부과 기준도 위반행위 관련 매출액 1%에서 3%로 상향됐다.
또한 정부는 해킹 등으로 개인정보가 누출됐을 때 피해 당사자는 개인정보 누출 등의 통지를 받은 날부터 3년 또는 개인정보가 누출된 날부터 10년 이내까지 법정 손해배상을청구할수 있도록 하위 법령을 개정하기로 했다.