[기자수첩] 해커 안 무서워하면 또 뚫린다

.

LG유플러스 개인정보 유출 사고의 발단은 작년 12월이었다. 일부 가입자들이 자신의 요금제가 저절로 바뀌어 있는 것을 발견하고 깜짝 놀라 고객센터에 연락하면서 시작됐다. 이때까지만 해도 큰 일은 아닐 줄 알았다. 당시 LG유플러스는 “LG유플러스의 데이터베이스(DB)에 있는 가입자의 아이디와 패스워드가 탈취된 것은 아니다”라고 했다. 그런데 새해 벽두부터 해커가 LG유플러스 고객 정보 2000만건을 보유하고 있다고 주장하면서 사건이 일파만파 커졌다. 설상가상으로 LG유플러스는 지난달 말부터 해커들로부터 디도스 공격을 수차례 받았고, 황현식 사장이 직접 나서 고객들에게 사과했다.

이번 사건은 ‘터질게 터졌다’는 게 업계의 시각이다. LG유플러스는 통신 3사 중 정보보호 투자 액수가 가장 적었다. 과학기술정보통신부의 ‘2022년 정보보호 공시 현황 분석 보고서’에 따르면 LG유플러스의 정보보호 투자 액수는 매출액 대비 0.2% 수준에 그친다. 직원 1만명 중 정보보호 전담 인력은 91명에 불과하다.

문제는 해커의 공격이 이번이 끝이 아니라 다른 통신업체로 번질 수 있다는 점이다. 업계 한 관계자는 “알뜰폰 업체 중 고객 정보를 자체 관리하는 곳은 서너군데밖에 없어 보통 통신 3사에 고객 정보를 위탁한다”며 “그런데 일부 통신사들은 서버를 분리하지 않고 고객 정보를 한곳에 모아두기 때문에, 만약 하나가 털리면 고객 정보가 어마어마하게 유출될 수 있다”고 했다. LG유플러스뿐 아니라 SK텔레콤과 KT도 정보보호 투자 액수가 매출액 대비 0.5% 수준에 불과하다.

LG유플러스 사건과는 별개로 국내 기업, 기관들은 혐한(嫌恨) 해커로 알려진 샤오치잉의 서버 공격으로 몸살을 앓고 있다. 샤오치잉은 설 연휴에 우리말학회, 한국고고학회 등 학술기관 12곳을 해킹한데 이어 편의점 CU와 대학교, 해운사, 소프트웨어업체 등의 웹페이지에 대해 웹변조(디페이스) 공격을 했다. 샤오치잉은 자신들의 조직에 가입하는 조건으로 한국 정부·기관 5곳 이상에 침투해 핵심 자료나 인트라 권한을 빼낼 것을 요구했다. 문제는 샤오치잉의 웹변조 해킹 방식이 난이도가 낮다는 점이다. 초보 수준의 해킹에도 국내 업체들이 속수무책으로 당하고 있는 것이다. CU의 경우 해킹당한 날 오후 내내 홈페이지가 멈춰 있었다.

이 같은 사고가 발생할 때마다 대책 미비, 허술한 시스템 등이 문제점으로 지적된다. 하지만 좀처럼 개선이 되지 않고 있다. LG유플러스가 발표한 후속 대책들 역시 보안업 종사자라면 원래 이렇게 해야 한다는 것을 알고 있다고 말한다. 해킹 사건이 지속적으로 반복되는 것은 기술적으로 어려워서가 아니라 국내 업체들이 보안 투자를 ‘비용’으로만 생각하고 안일하게 대응하기 때문이다.

기업, 기관들은 우선 순위를 두고 취약점을 보완하는 것은 물론이고 최근 해커들의 공격 트렌드도 파악해 대비해야 한다. 예컨대 LG유플러스에 대한 디도스 공격의 경우 장비 간 연결 신호를 활용해 통신망 장비를 공격한 사례였는데, LG유플러스는 기존 대용량 트래픽을 활용한 공격 방식에만 대비하고 있었다. 클라우드를 활용해 디도스 공격에 대비하는 등의 조치가 필요했던 것이다. 국내 기업들이 LG유플러스 사고를 반면교사로 삼아 보안 투자를 더 적극적으로 하기를 기대해본다.

- Copyright ⓒ 조선비즈 & Chosun.com -