침해사고/위협동향

키워드로 살펴보는 2011년 보안 이슈

이민형 기자

[디지털데일리 이민형기자] 2011년에는 유난히 보안 사고가 많았다. 물론 전산보안 사고는 항상 일어나는 일상의 것이지만 올해는 특히 엄청난 정치적 후폭풍까지도 몰고온 경우가 적지 않았다.

 

몇개의 키워드를 뽑자면 디도스(분산서비스거부, DDoS), 해킹, APT(지능형지속가능위협) 공격, 개인정보보호법 시행 등이다.

 

지난 9월 30일자로 개인정보보호법이 시행에 들어가면서 지금까지 공공기관과 일부 사업자(약 50만개)에게만 적용되던 개인정보보호 의무가 약 350만개 모든 공공기관과 사업자, 비영리단체까지 확대됐다.

 

2011년의 보안 사고및 현안들을 하나씩 되짚어보는 것이 중요한 이유는 2012년의 보안 트렌드를 미리 짚어볼 수 있기 때문이다.

 

실제로 전체 IT예산의 5%이상을 보안투자에 투자해야 하는 은행권의 경우, 최근까지 진행된 2012년 IT예산안에서 내년에는 올해보다 약 50%~70%이상 증액된 수준으로 보안 IT투자를 확대할 것을 검토하고 있다.  

 

금융회사들마다 다소 차이가 있겠지만 디도스나 해킹과 같은 사이버테러에 대한 대비, 모바일 플랫폼 확대에 따른 시스템의 보안성 강화 등이 초점이다.    


올 한해를 뜨겁게 달궜던 보안 이슈를 키워드별로 분리해 정리해봤다.

◆금융권·인터넷업체 발칵…APT 공격=올해 주요 보안 이슈로 ‘APT 공격’이 급부상했다. APT는 ‘지능형지속가능위협(Advanced Persistent Threat)’의 의미를 가지고 있는 단어로 최근 기업을 위협하는 가장 지능적이고 무서운 사이버공격 수법으로 인식되고 있다.

APT 공격은 특정한 목적을 가지고 오랜 기간동안 공을 들여 특정 기업을 공격하는 것이 특징이다. APT 공격은 성공률을 높이고 첨단 보안 탐지 기법을 회피하기 위해 제로데이 취약점과 루트킷 기법과 같은 고도의 공격 기술을 복합적으로 이용하기 때문에 방어하기가 쉽지 않다.

지난해 이란 원자력발전소를 공격한 스턱스넷의 경우 4개의 제로데이 취약점과 루트킷 기법을 이용해 공격한 것으로 드러났다.

올해 초에는 EMC의 보안사업부인 RSA가 APT 공격으로 자사의 OTP(일회용비밀번호) 제품인 ‘시큐어ID’ 관련 기술정보가 유출되기도 했다.

국내에서도 APT 공격으로 인한 해킹 사고가 발생했다. 지난 4월 12일 농협중앙회의 전산망이 마비가 시작이었다. 이 사고는 외주 업체 직원이 서버 관리에 사용되는 노트북이 악성코드에 감염돼 일어난 사고다. 해당 공격을 한 해커는 7개월동안 추가로 악성코드를 심고 주요 정보를 탈취한 후, 공격명령 파일을 설치해 농협 서버 운영시스템을 파괴시켰다.

농협에 이어 지난 7월에 발생한 SK커뮤니케이션즈의 개인정보유출 사고도 APT 공격이었다.  지난 7월 SK컴즈는 특정 소프트웨어의 취약점을 타고 들어온 악성코드로 인해 3500만명 분량의 개인정보를 유출시켰다.

최근 발생한 게임업체 넥슨의 해킹사태도 APT 공격으로 의심되지만 아직까지 수사결과가 나오지는 않았다. 인터넷업체들의 잇다른 해킹사고로 인해 주민번호를 폐기하는 기업들이 증가한 것은 고무할 만 하다.

한편 지난 10월에는 스턱스넷과 유사한 악성코드 ‘듀큐(W.32 Duqu)’가 발견돼 차세대 사이버 공격의 전조를 예고하기도 했다.

◆개인정보보호법 시행=개인정보 처리원칙과 보호기준을 담은 개인정보보호법이 지난 9월 30일 전면 시행됐다.

이에 따라 지금까지 공공기관과 50만개 사업자에 적용돼 왔던 개인정보보호 의무가 약 350만개 모든 공공기관과 사업자, 비영리단체로 확대되고, 전자파일 형태의 개인정보 외에 동창회 명부, 민원서류 등 수기문서도 법 적용범위에 포함됐다.

개인정보 수집·이용, 제공, 파기 등 보호기준과 안전성 조치가 강화된다. 개인정보 수집·이용은 정보주체의 동의, 법령상 의무준수, 계약체결·이행 등 일정한 요건 안에서만 가능하다. 수집목적외의 이용·제공은 정보주체의 별도 동의, 법률의 특별한 규정 등 예외적인 경우 이외에는 처리가 금지된다.

개인정보보호법 시행으로 인해 업계에도 발등에 불이 떨어졌다. 개인정보보호법에 따르면 개인정보 처리자를 반드시 선임해야하기 때문이다.

최근 넥슨, 네오위즈게임즈 등 주요 게임업체들이 CSO(최고보안책임자)를 선임했으며 중견기업들도 개인정보 처리자를 새로이 선임했다는 소식이 들려오고 있다.

개인정보보호법 시행으로 인해 주목받고 있는 보안제품도 있다. DLP(데이터유출방지) 솔루션과 DB암호화 솔루션이 그것이다.

개인정보유출 사고 중 일정부분이 내부자로 인한 유출이라는 점에서 DLP 솔루션을 도입하고 있는 업체가 크게 증가했다. 또한 기업들이 수집한 개인정보를 암호화해 보관하기 위해 DB암호화 솔루션 수요도 크게 늘어난 것으로 나타났다.

◆3.4 디도스 공격=지난 3월 4일에는 청와대와 외교통상부, 국가정보원 등 국가기관과 국민은행 등 금융기관, 네이버 등 주요 인터넷기업 웹사이트에 대한 디도스 공격이 발생했다.

3.4 디도스 공격은 지난 2009년 7월 7일부터 9일까지 국내 17개 웹사이트를 겨냥한 7.7 디도스 대란 때와 유사한 것으로 나타났다.

당시 디도스 공격에 악용된 좀비PC가 1만1000여개로 분석됐으나 공격이 지속적으로 진행됨에 따라 좀비PC는 2만1000여개로 늘어난 것으로 드러났다.

다행히도 과거 7.7 디도스 공격으로 이미 디도스 공격에 대한 대비책을 마련해놨던 국내 공공기관돠 주요 기업들은 큰 피해를 입지 않았다.

그러나 디도스 공격용 악성코드가 사용자 하드디스크를 파괴하도록 명령을 하달해 이슈가 되기도 했다. 하드디스크 파괴 명령이 하달되면 먼저 A~Z까지 모든 드라이브를 검색해 zip, c, h, cpp, java, jsp, aspx, asp, php, rar, gho, alz, pst, eml, kwp, gul, hna, hwp, pdf, pptx, ppt, mdb, xlsx, xls, wri, wpx, wpd, docm, docx, doc 파일들을 복구할 수 없도록 손상시킨다.

악성코드에 감염된 PC가 2만여대임에도 실제 피해를 입은 PC는 62대에 그쳐 큰 피해는 없었던 것으로 보인다.

최근에는 10월 26일 재보선 당일 중앙선거관리위원회 홈페이지가 디도스 공격을 받아 다운된 사고도 발생했다. 경찰은 일단 최구식 의원실 9급 비서인 공 모씨 등이 선관위 홈페이지를 공격한 것으로 결론을 내렸다.

일각에서는 디도스 공격이 아니라는 주장도 제기됐으나 경찰의 추가 수사결과는 나오지 않고 있다. 현재 경찰은 디도스 공격을 사전에 모의한 혐의로 박희태 국회의장 전 비서 김 모씨에 대해 사전구속영장을 청구해 수사를 진행하고 있다.

◆모바일 보안 이슈도 속속 등장=최근 안드로이드 기반 스마트폰의 개인정보와 금전적인 수익을 노리는 악성코드가 폭발적으로 늘어나고 있다.

안철수연구소 시큐리티대응센터에 따르면 올해 상반기에 발견된 안드로이드 악성코드는 128개, 하반기에 발견된 악성코드는 2251개로 약 17배 증가한 것으로 나타났다. 악성코드의 대부분은 스마트폰의 원격조정을 이용해 금전적인 수익을 얻고자하는 형태가 가장 많았으며, 개인정보를 탈취하기 위한 목적이 그 뒤를 이었다.

국내에서도 안드로이드 악성코드에 감염돼 금전적인 피해를 입었다는 사례가 등장하고 있으며, QR코드, 단축URL 등을 이용한 악성코드 배포 기법도 새롭게 등장했다.

얼마전에는 캐리어IQ라는 모바일 소프트웨어가 도마에 올랐다. 캐리어IQ는 모바일 기기의 소프트웨어를 테스트해 통신사나 제조사에 그 결과를 제공하는 업체다. 주로 통신사의 요청에 따라 제조사와 계약을 맺고 선탑재시키는 방식이며 이를 통한 조사결과는 공유한다.

이를 처음으로 발견한 안드로이드 개발자 트레버 에크하트는 “안드로이드 기반 스마트폰, 노키아, 블랙베리, 아이폰 등 대부분의 스마트폰에 악성코드가 심어져있다”며 “이는 사용자의 의도와 무관하게 메시지, 웹 검색 기록, 위치 데이터 등을 캐리어IQ 회사 서버로 전송한다”고 주장했다.

다만 캐리어IQ는 국내 이통사들과는 무관한 것으로 나타났다. 각 통신사에서 캐리어IQ를 사용하지 않는다고 밝혔기 때문.

이후 삼성전자 갤럭시 시리즈에서도 개인정보를 수집하는 앱이 설치돼 있다는 풍문이 돌았으나 사실무근으로 밝혀졌다.

이 외에도 인터넷 프로토콜 기반 웹 서버 공격과 SQL 인젝션, 전자서명을 악용한 악성코드 등이 꾸준하게 등장하고 있다.

주요 보안업체들은 내년도에도 APT, 디도스 공격이 지속될 수 있을 것으로 내다봤으며, 모바일에 대한 위협도 커질 것으로 전망했다.

<이민형 기자>kiku@ddaily.co.kr

이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널