by이유미 기자
2012.07.29 20:07:00
보안시스템만으론 한계..기업·관리자 보안의식 강화해야
[이데일리 이유미 기자]개인정보 유출사고가 끊이지 않고 있다. 기업들이 보안시스템 구축에 막대한 비용을 쏟아붓고 있지만 ‘나는 해커’ 앞에 속절없이 무너졌다. 금융, 게임, 인터넷서비스에 이어 통신사까지 대상도 무차별이다. 해커의 공격 대상이 되는 순간 KT의 고객정보 유출사고는 언제든 재발할 수 있다는 게 보안 전문가들의 지적이다.
◇“뚫리지 않는 방패는 없다”
대부분의 개인정보 유출사고는 전문적인 해커의 소행이다. 지난해 발생한 SK컴즈와 넥슨의 사고가 대표적이다. 보안업계 전문가들은 ‘지능형지속위협(APT)’ 공격에 보안시스템이 뚫린 것으로 보고 있다.
APT의 공격수법은 외부에서 기업 내부의 데이터베이스(DB) 서버로 바로 침입하지 않고 해킹 대상 기업의 내부자 PC를 경유해 악성코드를 침투시키는 방식이다. 해커가 DB에 접근할 수 있는 권한을 가진 특정 직원의 PC에 침투한 후 고객 DB 서버에 접근해 정보를 유출한다.
내부 직원의 관리 소홀로 고객 정보가 유출되는 사례도 잦다. 최근 발생한 SK텔레콤(017670)과 KT(030200)의 고객 정보 유출은 협력업체에 의한 저질러졌다. 이들은 자신들에게 부여된 권한을 이용해 비교적 수월하게 고객 DB에 접근할 수 있었다. 2008년 하나로텔레콤, GS(078930)칼텍스에서 일어났던 사건들도 내부 직원이나 협력업체의 소행이었다.
지속적으로 일어나는 개인정보유출사고를 완벽하게 차단할 수 있는 방법은 없다. 해킹을 방어하는 기술이 발전하는 만큼 해킹기술 또한 진화하기 때문이다. 최근 발생하는 APT 공격은 해커들이 해킹 대상을 사전에 정하고 대상의 취약점을 분석한 뒤 해킹프로그램을 개발하는 방식이다. 이에 따라 APT 공격의 형태를 미리 예상하고 대비하지 않는 이상 공격을 막기는 힘들다. 과거의 불특정다수를 대상으로 악성코드를 심고 정보를 빼내는 기술보다 고차원적인 방법이다.
◇기업·관리자 보안의식 강화해야
특히 해커들이 서버나 시스템에 접근권한을 갖고 있는 내부 직원이나 협력업체의 PC를 이용할 경우 해킹 당하는 업체들은 해킹 사실을 감지하기조차 어렵다. 이번 KT의 해킹사건처럼 장기적으로 조금씩 정보가 유출되는 경우도 마찬가지다.
보안업계 관계자는 “아무리 보안을 위한 투자를 많이 하고 기술을 발전시켜도 절대 뚫리지 않는 전산시스템은 없다”며 “요즘같이 수만 대의 PC를 사용하고 모바일기기로 시스템에 언제 어디서든 접근할 수 있는 환경에서는 한 곳만 뚫려도 전사적 피해가 확산되기 때문에 보안시스템을 완벽하게 구축한다는 것은 사실상 불가능하다”고 설명했다.
전문가들은 보안시스템 뿐 아니라 개인정보를 다루는 업체와 관리자의 보안의식도 중요하다고 지적했다. 아무리 시스템적으로 철저하게 보안을 유지하더라도 결국 관리는 사람이 하기 때문이다.
한 보안업계 전문가는 “개인정보 관리에 민감한 금융사나 통신사의 경우 보안부분은 관리가 잘 돼 있어 해킹만으로는 보안시스템이 완벽히 뚫기는 쉽지 않다”며 “기업과 개인의 보안의식 부재로 인한 사고가 잦은 만큼 전사 차원에서 보안의식을 강화해야 유출사고를 최소화할 수 있을 것”이라고 말했다.