[디지털프리즘] 삼성·LG가 초보 해커들에 뚫려서야

해킹

# 그들은 비밀번호를 잊어버린 내부직원 행세를 했다. 직접 고객센터에 문의해 임시 비밀번호를 발급받았다. 별다른 의심은 받지 않았다. 비밀번호 힌트 질문은 '당신이 살았던 첫 동네' '어머니의 고향' 등 지극히 평범했다. 특이한 답변도 있었지만 사전에 개인정보를 폭넓게 수집한 그들에게는 '식은 죽 먹기'였다. 물론 내부 직원이나 협력사 직원의 시스템 접근 권한을 가로채는 고도의 기법을 쓰기도 했다. 하지만 가짜 이메일로 웹사이트 접속을 유도해 아이디와 비밀번호를 빼내는 '고전적' 방식이 대부분이었다. 심지어 직접 직원들과 접촉해 돈으로 내부접근 코드를 '구입'하기도 했다.


최근 알려진 해킹집단 랩서스의 수법은, 기업들의 보안시스템이 얼마나 허술한지를 여실히 보여준다. 이들의 허무할 정도로 평범한 수법에 세계 최고의 보안 역량을 자랑해온 마이크로소프트와 엔비디아, 삼성전자와 LG전자 등 국내외 기업들이 속수무책 당했다. 삼성전자의 경우 스마트폰의 소스코드까지 유출됐다. 자칫 세계 1위 삼성스마트폰의 보안시스템이 무력화될 수 있는 아찔한 상황이 연출된 것이다. 게다가 대다수 기업들은 랩서스의 고지 뒤에야 내부 정보가 털린 사실을 알아챘다. 영국 수사당국에 체포된 랩서스 가담자들은 불과 16, 17세의 소년들이었다. 10대 초보 해커들에게 굴지의 기업들이 농락당한 셈이다.

# 사이버상의 보안위협과 해킹은 이제 일상화 됐다. 코로나 19 팬데믹 여파로 사회 전분야의 디지털 전환 속도가 빨라진 탓이다. 네트워크에 연결된 시스템들이 폭증하면서 그에 비례해 각종 데이터 자산과 보안 취약점도 늘어나는 상황이다. 소프트웨어나 운영체제(OS) 특성에 따라 어느정도 알려진 취약점이 있는 반면, 기존에는 예상못한 보안 취약점들도 곳곳에서 노출되고 있다. 최근 사이버 공격은 이러한 약한고리를 타깃으로 삼는다. 게다가 해킹 자체도 산업화되고 있다. 해킹기술 습득은 물론 해킹 도구도 온라인상에서 얼마든지 구할 수 있다. 누구나 해킹을 시도할 수 있는 여건이 조성된 것이다. 여기에 암호화폐의 급성장은 해커들에게 날개를 달아줬다. 사이버범죄 수입을 손쉽게 벌어들이고 당국의 추적도 피할 수 있게 됐다.

최근엔 내부의 직원에 의한 보안사고도 무시못할 상황이다. 퇴사를 앞둔 삼성전자 직원이 재택근무중 보안서버에 저장된 반도체 대외비 자료를 스마트폰으로 촬영해 반출하려다 적발되기도 했다. 단순 도덕적 해이만으로 치부하기 어렵다. 비대면 업무 증가로 효율성을 우선시한 나머지 기본적 보안수칙 준수와 직원 권한관리에 소홀한 탓이다. 국내 최대 기업 삼성이 이럴 정도니 다른 기업 상황은 안봐도 뻔하다.

# 보안은 결국 창과 방패의 싸움이다. 폭증하는 사이버 위협, 사고에 대응하려면 방패를 더 키워야한다. 정부 차원의 강력한 사이버 안전망 구축과 기업의 대응수준을 높여야한다. 특히 보안산업은 이제 국가 안보관점에서 육성해야한다. 그러나 한국은 IT강국이라는 명성에 걸맞지 않게 보안 산업이 초라한 수준이다. 내수에만 의존하니 대다수 보안기업들이 영세하다. 유일한 유니콘(기업가치 1조원이상)이 안랩인데, 작년 매출이 2000억원에 불과하다. 기업 전반의 보안 인식수준도 여전히 미흡하다. 사고가 발생한 뒤에야 수습하기 바쁘다. 아예 사고발생 자체를 쉬쉬하는 경향도 있다.


윤석열 당선인은 ICT 핵심공약으로 국가 사이버 안전망 구축을 제시했다. 보안 전문가인 안철수 대통령직 인수위원장까지 가세했다. 새 정부가 공언한 디지털플랫폼 정부를 뒷받침하기 위해서라도 민간과 공공을 아우르는 통합적인 보안 체계를 정립해야한다. 최근 과기정통부가 검토하고 나선 '제로 트러스트'(ZERO-TRUST) 보안 정책은 그래서 의미가 크다. 한국의 대표기업 삼성, LG의 뒷문이 10대 해커들에게 속수무책으로 뚫리는 일이 되풀이되서는 곤란하다.

조성훈 정보미디어과학부장