[단독] 순식간에 개인정보 100만 건..뻥뻥 뚫린 기업들

엄민재 기자 입력 2022. 9. 21. 20:42 수정 2022. 9. 22. 00:09
음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

화이트 해커, 지난해 5월 '보안 침투 훈련'

<앵커>

병원이나 은행처럼 사람들이 많이 이용하는 곳은 해킹 공격을 받을 수도 있기 때문에 정부가 해마다 보안 시스템을 점검합니다. 이른바 화이트 해커로 불리는 전문가들이 정말 해킹이 가능한지 시험해보는 건데, 지난 3년 동안의 점검 결과를 저희가 입수했습니다.

엄민재 기자가 단독 취재했습니다.

<기자>

서울의 한 대형병원입니다.

화이트 해커가 지난해 5월, 2주간 머무르며 주요 보안 시설에 직접 침투해봤습니다.

그 결과 진료를 접수하는 무인 단말기 키오스크를 통해, 환자의 주민번호와 주소, 휴대전화 번호 같은 개인정보를 얻을 수 있었습니다.

화이트 해커가 확보한 개인정보 양만 99만 7천여 건에 달합니다.

보안 설정이 미흡한 병원 공유 폴더를 통해서는 환자의 의료 사진까지 볼 수 있었습니다.

[병원 관계자 : (해킹 결과 나온) 그다음 날 시정 조치는 끝냈는데, (과기부에서) 다시 한번 현장 와서 최종적으로 보시고 한 게 2차 완료, 그렇게 된 거라서….]

경기도의 한 철도 회사에서는 철도 관제망의 '관리자 권한' 탈취가 가능했고, 이를 이용해 관제망 서버를 강제 종료시킬 수 있는 게 확인됐습니다.

[화이트 해커 : 접근할 수 있는 것들, 자료 유출이나…. 기술이 어느 정도 있는 (해커) 친구들 같은 경우는 충분히 유사하게 할 수 있는 부분도 있고요.]

과학기술정보통신부가 의료와 금융, 교통, 통신 분야 주요 기업들을 대상으로 매년 이렇게 해킹 테스트를 실시한 결과, 지난 3년 동안 21개 기업에서 123개에 이르는 보안 취약점이 드러났습니다.

신원확인기관에서는 회의실에 있는 PC를 통해, 주요 증권회사와 인터넷 계정 정보를 다루는 데이터 센터에서도, 내부망에 침투해 대외비 정보에 접근하거나 관리자 권한을 얻을 수 있었습니다.

문제는 이런 치명적인 취약점을 확인하고도 과기부가 즉각 보완 조치를 요구하지 못한다는 겁니다.

민간 기업들에 후속 조치를 강제할 수 있는 법적 규정이 없기 때문입니다.

[박성중/국민의힘 의원 : (보안이) 취약하다는 것을 경고하고 고칠 수 있도록 조치하고 또 법적으로도 근거를 마련해서 보안에 대해서 좀 더 강하게 조치하는….]

(영상취재 : 전경배·양두원·이상학, 영상편집 : 하성원, CG : 이현정)

---

<앵커>

이 내용 취재한 엄민재 기자 나와 있습니다.

Q. 해킹 테스트 어떻게 진행됐나?

[엄민재 기자 : 제가 가져온 이 문서들이 과기부 결과 보고서입니다. 지난 3년 동안 매년 7개 기업씩이고 모두 800페이지가 넘습니다. 해당 기업들은 보완 취약점이 노출된 만큼 실제 해킹 피해를 우려해 기업 이름은 가려서 보도하게 됐습니다.]

Q. 실제 해킹이 일어난다면?

[엄민재 기자 : 이들 민간 기업은 의료와 금융, 교통, 통신같이 국가 주요 기능을 담당하는 곳입니다. 문제는 실제 해킹을 당하면 그 피해가 개인정보 탈취를 넘어설 수 있다는 건데요. 이번 자료에서 볼 수 있듯이 철도 회사에서는 내부 관제망에 진입해 서버를 멈추는 것도 가능했는데, 영화 같은 대혼란이 벌어질 수도 있는 겁니다. 금융회사 내부망이 해킹되면 잘못된 주문 등으로 시장이 교란될 수 있고 통신 회사 해킹은 개인 도청은 물론, 통신 마비까지 가능하다는 게 전문가들 의견입니다.]

Q. 후속 보완조치 왜 어렵나?

[엄민재 기자 : 정부와 공공기관은 국정원과 산업부에서 사이버 보안을 책임집니다. 해킹 테스트 뒤에 후속 보완 조치를 강제할 권한이 이들 부처에 있고 통상 한 달 이내에 마무리됩니다. 하지만 민간 주요 기관의 보안은 과기부가 관리합니다. 그런데 과기부에는 직접 보완 조치를 명령할 권한이 없어서 1년 뒤 후속 조치를 했는지 여부를 서면으로 점검하는 게 다였습니다. 앞에서 보도한 병원 등 일부 기업만 보완이 이뤄지고 있는 실정인데 해킹 피해는 공개이나 민간을 따지지 않는 만큼 보완 조치를 강제할 필요성이 있습니다. 과기부도 이런 취지로 정보통신기반 보호법 개정에 나서겠다고 밝혔습니다.]

엄민재 기자happymj@sbs.co.kr

Copyright © Copyright ⓒ SBS. All rights reserved. 무단 전재, 재배포 및 AI학습 이용 금지

이 기사에 대해 어떻게 생각하시나요?