특집
[2013결산 ⑩보안] 국가 기반시설 노린 APT 공격 현실로
디지털데일리
발행일 2013-12-26 09:29:41
[디지털데일리 이민형기자] 2013년 국내 보안시장의 주요 트렌드는 지능형지속가능위협(APT)와 같은 타깃공격, 스미싱·메모리해킹 등 고도화된 전자금융사기, 공인인증제도 재논의 등으로 꼽을 수 있다.
특히 올해에는 청와대를 비롯해 방송사, 금융회사 등 국가기간망을 노리는 3.20 전산망해킹, 6.25 사이버공격 등이 발생해 국가단위의 사이버위협 대응책 마련이 시급하다는 분위기가 조성돼 관련 법안의 개정이 진행되고 있다.
이를 비롯해 스마트폰 사용자가 3000만명을 돌파하며 이를 노린 전자금융사기가 급증한 것도 주목할 만하다. 스미싱으로 불리는 이 수법은 사용자들이 악성 애플리케이션을 설치하도록 유도한 뒤, 소액결제나 공인인증서 탈취 등을 행하는 신종 전자금융사기다. 지난해 30여건에 불과했던 악성 앱이 현재는 5000여건에 달했다.
또한 올해는 공인인증제도로 불리는 전자서명법에 대한 논의가 뜨거웠다. 공인인증제도의 개선을 위한 시민단체와 관련업계의 목소리가 높아지자 정부와 언론, 보안업계에서 모두 이 문제에 주목했다. 지난 8월 고려대에서는 공인인증제도 개선책 마련과 관련해 9시간동안 끝장토론을 개최하기도 했다.
다만 2013년 보안 시장상황은 썩 유쾌하지 않다. 지난해 개인정보보호법 시행으로 특수를 노렸던 보안업계가 성장둔화로 대부분 우울한 한해를 보냈다.
◆국가기관 노리는 APT 공격 발생=2013년에는 대규모 보안 위협이 두 차례나 발생하는 등 보안위협이 고도화되는 경향이 나타났다.
지난 3월 30일 금융회사와 방송사를 대상으로 발생한 전산망해킹 사고와 6월 25일에 발생한 정부, 공공기관에 대한 하드디스크 파괴와 디도스(DDoS, 분산서비스거부) 공격을 병행한 보안위협은 과거 발생했던 디도스 공격과는 달리 국내 기반 시설에 동시다발적 피해를 준 사례로 남을 것으로 보인다.
실제로 사고 당시 배포된 악성코드의 기능과 성능은 차이가 있다. 과거 7.7 디도스에 쓰인 악성코드는 특정 사이트를 공격하는 단순한 기능을 갖췄지만, 3.20 전산망해킹에 사용된 악성코드는 재부팅 후 하드디스크 파티션을 삭제하는 기능까지 갖췄다.
특히 불특정 다수에 대한 무차별적인 악성코드 유포로 수십만 대의 좀비PC를 생성해 공격하는 것과 달리, 특정 프로그램의 업데이트 기능 취약점, 웹 취약점, 스피어피싱 등을 이용했다는 점에서 공격수법이 진화했다.
또한 분석과 복구가 어렵게 단기간 내 악성코드를 업그레이드하는 등 공격과정에서 지능적인 모습을 보였다.
3.20 전산망해킹, 6.25 사이버공격 이후 청와대가 ‘사이버안보 콘트롤타워’ 역할을 맡게 됐다는 점도 주목할 만하다.
지난 7월 정부는 사이버위협 대응을 위한 콘트롤타워 역할은 청와대가 직접 수행한다는 내용을 골자로 ‘국가 사이버안보 종합대책’을 발표했다.
주요 내용으로는 ▲사이버위협 대응체계 즉응성 강화 ▲유관기관 스마트 협력체계 구축 ▲사이버공간 보호대책 견고성 보강 ▲사이버안보 창조적 기반 조성 등이다.
◆고도화된 전자금융사기 등장, 대책없어 ‘발동동’=올해는 신종 전자금융사기로 인한 피해자가 급증했다. 그 중심에는 스미싱과 파밍, 메모리해킹이 있다.
안랩에 따르면 지난해 30여 건에 불과했던 스미싱 악성코드는 올해 11월까지 모두 4600여 건이 확인됐다. 초기에는 소액결제 시 인증 문자를 유출하는 기능으로 시작했으나 최근에는 스마트폰에 설치된 은행 앱의 종류를 식별하고 설치된 은행 앱을 악성 앱으로 교체해 사용자가 스스로 금융정보를 입력하도록 유도하는 파밍 형태가 많이 발견되고 있다.
최근에는 보이스피싱으로 악성 앱 설치를 유도하는 결합 형태도 확인됐다. 정부와 보안 업체들은 다양한 방법을 통해 스미싱 악성코드의 피해를 예방하기 위해 노력하고 있으나, 스미싱 악성코드 코드는 꾸준히 발견되고 있으며 스마트폰 사용자의 금전 피해도 계속해서 늘어나고 있다.
파밍으로 인한 피해자도 늘어났다. 파밍이란 악성코드에 감염된 PC를 조작해 사용자가 정상적인 금융회사 홈페이지 주소로 접근해도 가짜사이트로 유도되는 신종 전자금융사기 수법을 말한다. 사용자가 가짜사이트에 개인금융정보를 입력하면 공격자가 이를 통해 금전적인 이득을 취하는 형태다.
공인인증SW를 해킹하는 메모리해킹 수법도 등장했다. 사용자PC에 설치된 보안모듈의 메모리를 변경해 공격자가 원하는 특정 금융회사의 계좌번호와 이체 금액으로 변경할 수 있는 수법이다.
문제는 이같은 신종 수법을 근본적으로 차단할 수 있는 기술이 아직 부족하다는 점이다. 정부에서는 악성코드 감염을 미연에 방지하기 위해 백신 구동, 의심스러운 이메일 열람 금지 등 널리 알려진 대책만을 강구하고 있는 실정이다.
◆지난 13년간 독보적 위치 지켜온 공인인증제도, 그 지위가 흔들리다=지난 1999년 시행돼 지금까지도 많은 이슈를 불러온 공인인증제도가 올해 기로에 섰다.
올 상반기 최재천 의원과 이종걸 의원은 각각 전자서명법 전부개정안과 전자금융거래법 일부개정안을 대표발의했다.
전자금융거래법은 개정안은 ‘금융위원회는 전자금융기술 및 전자금융업무에 관한 기준을 정함에 있어서 보안기술과 인증기술의 공정한 경쟁을 저해하거나, 특정기술 또는 서비스의 사용을 강제해서는 안된다’는 내용을 담고 있다.
전자서명법 전부개정안은 ‘전자서명’과 ‘공인전자서명’의 차이를 두지 않고, 최상위공인인증기관인 ‘한국인터넷진흥원’이 매년 인증기관으로부터 검증을 받아야한다는 내용이 담겨있다.
두 개정안 모두 인증시장의 개방을 통해 ‘공인인증서’ 대신 다른 인증수단을 사용할 수 있도록 하는 법안으로 볼 수 있다.
이 개정안을 두고 시민단체와 공인인증기관이 각기 달라 뜨거운 이슈로 떠올랐다. 개정안의 내용자체가 공인인증기관의 의사가 반영되지 않았던 것이 주요 원인이다. 공인인증기관들은 개정안이 통과되면 ‘공인’이란 것이 사라지게 되므로 사실상 공인인증제도 폐지라고 주장한 것.
지난 8월에는 공인인증제도 개선과 관련한 끝장토론회도 개최됐으나 합의된 의견을 도출하지 못한 채 종료됐다.
현재 전자금융거래법 개정안과 전자서명법 개정안은 모두 국회 상임소위원회에 상정돼 있으나 계류돼 있는 상태다. 한편 이와 별도로 금융위원회와 미래창조과학부는 관련법 정부개정안을 내놓은 상황이다.
이처럼 올 한해 보안과 관련된 다양한 이슈가 터져나왔으나 보안시장 상황은 좋지 않다. 보안업계의 실적 악화가 상반기에 이어 하반기에도 지속됐다.
올해 보안업계의 성장 정체는 정부 내각구성 지연으로 공공기관 사업 발주가 크게 줄어든 것이 가장 큰 영향을 미친 것으로 분석되고 있다.
<이민형 기자>kiku@ddaily.co.kr
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지