기본분류

[취재수첩] 논란만 키운 국감장의 해킹 시연

디지털데일리 발행일 2011-09-26 18:00:03
이유지 기자
[디지털데일리 이유지기자] 이번 국정감사에서도 어김없이 ‘보안’이 화두가 됐다.

그 중에서도 지난 19일 열린 행정안전위원회 국감에서 김태원 의원(한나라당)이 행정안전부 홈페이지와 은행사이트, 포털 사이트를 대상으로 실시한 ‘화면해킹’ 시연은 가장 큰 충격파를 던졌다.

‘장관 면전에서’, ‘클릭 한번에’, ‘3분만에’ 또는 ‘5분만에’ 간단하게 행정안전부 홈페이지(민원24)를 뚫어 주민등록등본을 발급받은 것으로 알려지면서 단숨에 이슈로 부각됐다.

화면해킹은 사용자가 이메일, 파일 다운로드, 인터넷 사이트 방문 과정에서 PC가 특정 악성코드에 감염되면 해커가 사용자 컴퓨터 화면상에서 이뤄지는 모든 작업을 훤히 들여다볼 수 있는 수법이다.

공격자로 설정한 PC로 사용자가 자신의 PC에서 입력하는 아이디, 비밀번호는 물론 인터넷뱅킹 프로그램에 사용하는 공인인증서까지 모든 정보를 유출할 수 있다. 이 정보로 온라인상에서 주민등록번호를 발급하고 돈도 이체할 수 있다는 것을 보여줬다고 한다.

김 의원은 지난 22일에도 경찰청 국감을 하루 앞두고 경찰청 사이버테러대응센터 홈페이지(NETAN)와 형사사법 포탈(KICS)도 화면해킹에 뚫렸다고 밝혔다.

이전에도 키보드 입력정보를 유출하는 키로거 프로그램은 이슈화된 적이 있었다. 이번 시연에 이용된 것 역시 사용자가 PC에서 입력하는 정보를 유출하는 악성 프로그램이 업그레이드 형태로 제작된 것으로 전문가들은 분석하고 있다. 키로거를 막을 수 있도록 키보드보안 프로그램이나 가상키패드(마우스입력) 등이 사용되고 백신 등에서도 걸러지는 식으로 보안이 강화되자 이를 우회할 수 있도록 개발된 것임을 짐작할 수 있다. 더 단단한 방패가 나오면 창도 강해지는 원리다.

시연이 이뤄진 행안위 국감 직후, 당연히 행정안전부는 발칵 뒤집어졌다. 곧바로 대책 마련에 나섰다.

행안부는 “키보드 해킹 등에 단일 보안제품으로 방어하는 것은 한계가 있어 다양한 보안기술을 복합적으로 적용해 전자거래의 안전성을 확보하겠다”며, “본인인증 수단을 공인인증서, 보안카드 이외에 OTP(일회용비밀번호)와 보안토큰 사용을 확대하고 등록된 PC에서만 전자거래를 할 수 있도록 하는 방안을 적극 검토하겠다”고 발표했다.

이처럼 국가기관 홈페이지나 전자정부, 인터넷뱅킹 사이트 등 많은 사용자가 사용하거나 중요한 웹사이트가 위험에 노출돼 있지만 취약하지만 보안투자나 조치가 미흡하다면 이를 지적해 개선토록 하는 일은 중요하다.

또 신종 위협이 떠올랐음에도 사회 전반적으로 인식이 부족할 경우, 국민들의 보안 의식과 실천을 높이기 위해 경각심을 높일 수 있는 방안도 필요하다. 이럴 때 해킹 시연이 많이 이용된다.

이 자체가 문제는 아니다. 하지만 요즘 들어 해킹 시연이 너무나 남발되고 있다는 생각이 든다.

최근에는 해킹 시연의 가장 큰 목적이 ‘이슈화’라는 느낌을 받을 때가 많기 때문이다. 경우에 따라서는 다른 숨은 의도가 있는 것은 아닌가 싶은 때도 있다.

충격파가 컸기 때문인지 몰라도 이번 해킹 시연 직후 곧바로 보안전문가들 사이에선 논란거리로 떠올랐다. 기자가 만나고 접한 많은 보안전문가들은 이번 해킹 시연을 두고 여러 의구심과 문제점을 거론했다.

우선 이번 해킹은 ‘홈페이지 해킹’이 아니라는 점에서 자칫 호도될 수 있다는 것이다. 홈페이지가 운영되는 웹서버가 뚫린 것이 아니라 개인PC를 특정 악성프로그램에 감염시키고 해당 PC를 장악한 상태에서 시연이 이뤄졌다.

그런 면에서 객관성도 부족하다. 악성코드에 감염된 PC 환경, 사전에 해킹 툴을 설치했거나 미리 해킹에 취약한 환경을 구성해놓는다면 모든 공격이 성공을 거둘 수밖에 없다는 결과는 뻔히 알 수 있다.

이번만이 아니다. 최근 들어 시연에 적합토록 환경을 만들어 놓고 ‘개인 PC가 악성코드에 감염됐다고 치고’ 해킹 시연을 시작하는 경우가 많다. 그 결과는 “몇초만에 뚫렸다”는 식의 선정적인 해킹시연 결과가 나온다.

지금까지 일부 보안업체들이 자사의 보안제품 영업에 긍정적으로 활용할 수 있도록 해킹 시연을 벌이는 경우가 많았던 것도 사실이다. 효과가 극대화될 국정감사나 언론을 주로 많이 이용한다.

특히 인터넷뱅킹과 같은 전자금융거래 서비스에서의 보안취약성과 위험성을 제기하기 위한 것이 가장 많이 이용됐던 것으로 기억한다.

사용자도 많고 실제 금전이 오가는 금융거래이기 때문에 위험성이 부각될 경우 효과는 커질 것이기 때문이다.

최근 1~2년 사이엔 무선이나 모바일 관련 해킹 시연도 많았다. 스마트폰 열풍이 불 정도로 사용자가 급격하게 늘어나고 관심이 커졌기 때문이다. 결국 평소에 보안인식을 제고시키기 위해 노력해온 전문가들이 실제보다 너무 심각하고 과도하게 부풀려지고 있다는 우려마저 제기한 일도 있었다.


이번 행안위 해킹 시연이 논란거리로 떠오른 이유 중 하나는 유일하게 화면해킹 관련 특허 기술을 보유하고 있는 회사 관계자가 시연을 한 것에 있다. 이를 차지하더라도 취약한 PC 환경에서 시연을 했고, 또 ‘신종’ 수법이라고 하기에도 무리라는 지적도 나온다.

시연 현장에서 보안프로그램이 경고창이 나타났지만 이를 무시한 채로 진행했다는 이야기도 있다.

사이버공격 수법이 지능화되고 위협이 보다 심각해지고 있는 면에 비해 사회전반적인 보안의식은 아직 미비한 것은 사실이다. 국가와 기업, 개인 사용자의 전체 보안의식과 투자, 그리고 실천은 꾸준히 개선돼야 한다는 것은 분명하다.

하지만 이제는 ‘보안전문가’들도 해킹 시연에 보다 신중을 기했으면 한다. 객관성이 부족한 해킹 시연과 정확하지 않은 결과 등으로 심한 자극만 준다면 자칫 공포감이나 위화감만 조성될 수 있다.

나아가 무슨 ‘꼼수’가 숨어있을 것이란 의심마저 생겨나 오히려 맷집만 키워 믿지 않게 되는 어처구니없는 결과를 불러올 가능성도 있다.

정확하지 못한 문제점이 지적되면, 보안 대책도 산으로 갈 수 있다.

<이유지 기자> yjlee@ddaily.co.kr

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
이유지 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널

당신이 좋아할 만한 뉴스

많이 본 기사

연재기사

실시간 추천 뉴스