기획
[IT산업 결산과 전망/보안] 정부·금융·포털·게임 강타한 보안위협…흔들린 국가 사이버안보
디지털데일리
발행일 2011-12-28 14:58:24
- DDoS·APT 위협 대형사고 유발, 금융IT보안·개인정보보호법 시행 등 보안 대책 강화
[디지털데일리 이유지기자] DDoS(분산서비스거부) 공격, APT(지능형지속위협)를 비롯한 지능형 표적공격, 대규모 개인정보 유출. 2011년 한 해를 뜨겁게 달궜던 보안위협이다.
올해는 금융·포털·게임 등 상대적으로 IT보안 대비에 충실했다고 여겼던 기업들이 지능적인 공격에 속수무책으로 당해 사회에 충격을 안겨줬다.
특히 상반기과 하반기에 각각 발생한 농협과 SK커뮤니케이션즈 사고는 유례없던 금융전산망을 멈추게 만들었고 단일 사건으로 유출된 개인정보 규모 기록을 갈아치웠다. 그로 인해 사이버보안위협의 심각성과 불안감은 한층 증대됐다.
피해를 막지 못한 기업과 사이버범죄 수사기관, 그리고 정부와 보안업계는 대책 마련에 분주한 한 해를 보냈다.
◆끊임없는 보안사고…3·4 DDoS에서 선관위 DDoS, 넥슨 해킹까지=청와대 등 정부기관과 포털·금융 등 주요 사이트를 대상으로 한 3.4 DDoS 공격을 필두로, 지난 4월 현대캐피탈 고객정보 유출 사고를 비롯해 금융권에서 보안사고가 잇달아 발생했다. 그중에서도 가장 파장이 컸던 사건은 곧바로 일어난 농협 전산망 장애 사태다.
협력업체 직원의 PC가 악성코드에 감염돼 내부시스템이 해킹을 당해 금융전산망이 멈춰서는 사상초유의 사태가 빚어졌던 탓이다.
지난 7월에는 SK커뮤니케이션즈가 운영하는 네이트·싸이월드의 회원 3500만명의 개인정보가 해킹에 의해 대량 유출되는 일이 벌어졌다. 이같은 유출규모는 단일 보안사고로 역대 최대다.
이 사건이 발생한 지 4개월 만에 넥슨의 ‘메이플스토리’ 회원 1320만명의 개인정보도 유출됐다.
SK커뮤니케이션즈 사건을 계기로 해외에서만 이슈화됐던 APT 공격이 국내에서도 현실화됐다. 넥슨 해킹 사건 역시 APT 공격으로 추정되면서, 특정기업을 공격 목표로 삼아 장기간에 걸쳐 지능적으로 공격하는 APT는 가장 위협적인 공격으로 인식되고 있다. 대신에 DDoS는 일반화된 공격으로 받아들이는 추세다.
지난 10월 26일 재보궐 선거 당일에는 중앙선거관리위원회 홈페이지와 당시 박원순 서울시장 후보 홈페이지가 DDoS 공격을 받는 일도 발생해, 사회적인 충격파를 안겨줬고 정치권에도 큰 파장을 몰고 왔다.
현재 SK커뮤니케이션즈, 넥슨, 선관위 사건 수사는 아직도 완전히 마무리되지 않은 상태다.
◆개인정보보호법 시행, 금융 IT보안 대책 강화…국가 차원 위협대응=올해 발생한 보안사고는 사회적 혼란을 유발하거나 돈벌이를 위해, 혹은 정치적인 의도로, ‘보안위협’이 다양한 성격과 목적에 의해 악용되고 있다는 것을 실감케 했다.
보안업계와 전문가들은 앞으로 주요 산업과 유명기업, 국가 기간시설을 겨냥한 고도의 사이버위협, 모바일 악성코드 등 새로운 유형의 보안사고가 급증할 것으로 예상하고 있다.
올해 일어난 갖가지 유형의 대형 보안사고는 사이버공격이 사회안녕을 해치는 심각한 범죄이고 국가안보를 위협하는 수준에 이르렀다는 인식을 새삼 깨우치게 만드는 계기로도 작용했다.
보다 근본적이고 실질적인 국가 차원의 사이버위협 대응체계를 구축하는 등 대책과 사용자 보안실천의 중요성이 어느 때보다 강조되고 있는 이유다.
정부는 국가안보를 위협하는 사이버위협에 종합적으로 대응하기 위해 지난 8월에 ‘국가 사이버안보 마스터플랜’을 수립했다. 국가정보원을 중심으로 정부부처와 관계기관이 협조해 일사분란하게 대응토록 했으며, 관계부처에서 세부 추진방안을 마련해 시행키로 했다. 하지만 세부 추진방안이나 실행계획이 제대로 마련됐고 가동되고 있는지 의문이다.
한편, 금융권에서도 잇단 보안 사고를 계기로 IT보안 강화 종합대책을 마련한 데 이어 전자금융거래법, 시행령, 전자금융감독규정, 금융회사 정보기술 부문 모범 규준 등을 개정해, IT보안 투자와 조직역량을 강화토록 했다.
IT보안에 대한 금융사 CEO의 역할과 책임을 강화했고, 금융회사 정보보호최고책임자(CISO) 지정도 의무화했다. IT보안 예산은 IT 예산 대비 7% 이상, IT인력은 총 임직원 수의 5% 이상 각각 확보토록 했다. 외부망과 연결된 내부망 분리, 고객정보 암호화, 시스템 계정관리·접속 통제 강화 등 IT보안 인프라와 내부통제도 개선토록 했다.
금융위원회와 금융감독원은 금융사를 대상으로 IT보안 실태점검과 감독을 한층 강화한다는 방침이다.
정보보호관련법도 크게 강화됐다. 대표적으로 오랜기간 국회에서 논의만 돼 왔던 개인정보보호법이 지난 3월 말 제정, 공포돼 9월 30일부터 시행됐다. 이에 따라 공공·민간기관 또는 기업·비영리단체에 관계없이 일정수준 이상의 온·오프라인상에서 개인정보를 수집·저장·이용하는 사업자·단체는 개인정보보호법을 준수해야 한다. 이 법 통과에 따라 개인정보보호 관련법 대상 사업자는 50만개에서 350만개로 확대됐을 것으로 추산된다.
◆내년 경기침체·불안 속 보안 투자 활발 기대, 모바일 보안 이슈화 전망=내년에는 세계 경제 침체로 인한 불확실성 증가, 총선과 대선이 있어 공공기관의 투자 위축이 우려되고 있다. 그럼에도 보안업계는 올해 잇단 보안사고 여파와 개인정보보호법 시행, 금융 IT보안 규제 강화 등으로 금융사와 기업에서 개인정보보호 및 보안 강화 대책 수립에 적극 나서면서 보안투자가 더 활발해질 것으로 전망하고 있다.
개인정보보호법에 대응하고 개인정보보호를 비롯해 전반적인 보안강화체계 수립을 위한 정보보호컨설팅과 보안관제서비스와 각종 보안 솔루션 도입이 활성화될 것으로 예상된다.
스마트기기 증가로 모바일 금융서비스가 본격 시작되고 기업에서는 모바일 오피스가 확산되면서, 급증하는 보안위협을 보호할 수 있는 모바일 보안 솔루션 시장도 확대될 것으로 예상되고 있다.
보안업체들은 지난해부터 각종 모바일 보안 제품을 출시해 시장 변화에 적극 대응하고 있다. 최근에는 많은 업체들이 보안 기능에 모바일단말관리(MDM) 기능을 강화한 통합 모바일 보안 솔루션을 선보이면서 시장 공략을 벌이고 있으며, 내년에는 모바일 보안 시장에서 업계의 경쟁이 치열해질 전망이다.
<이유지 기자> yjlee@ddaily.co.kr
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지