[디지털데일리 김보민기자] 공공기관을 대상으로 해킹 공격이 증가하고 있는 가운데, 사후약방문이 아닌 사전 대응 체계를 강화할 필요성이 대두되고 있다.

28일 정보보호 업계에 따르면 개인정보보호위원회(이하 개인정보위)는 최근 전체회의를 통해 한국고용정보원에 840만원의 과태료를 부과했다.

지난해 6월부터 7월까지 한국고용정보원이 운영하는 구인·구직 포털 '워크넷'에 개인정보 유출 사태가 벌어진 데 따른 조치였다. 당시 회원들은 이력서에 적은 중요 정보가 유출되는 일을 겪었다.

유출 규모는 23만6000여명에 달했다. 신원 미상의 공격자는 여러 가지 경로로 수집한 회원들의 로그인 인증 정보를 다른 사이트 계정 정보에 대입하는 '크리덴셜 스터핑' 방식을 가했던 것으로 파악됐다. 크리덴셜 스터핑은 단순한 수단이지만, 파급 효과가 커 많은 공격자들이 활용하는 방식 중 하나다.

회원 대부분이 구직자인 워크넷 특성상 개인 핵심 정보가 유출됐다는 점은 우려할 대목이다. 한국고용정보원은 24시간 감시 및 모니터링 체계를 갖추고 있었지만, 크리덴셜 스터핑 공격에 대응할 만한 보안 대책이 미흡했던 것으로 알려졌다. 개인정보위는 해당 기관에 시스템 보안 대책을 정비하도록 권고했다.

이번에 과태료 조치가 내려진 곳은 한국고용정보원 뿐만이 아니었다. 개인정보위는 3만2000여명의 개인정보가 유출된 한국장학재단에도 840만원의 과태료를 부과했다. 이곳 또한 크리덴셜 스터핑 공격 방식에 노출된 것으로 파악됐다.

두 기관은 보안 대책 설정을 재정비하는 등 위반 사항을 시정한 상태다. 비슷한 피해가 다시 발생하지 않도록 기존 로그인 방식을 변경하는 조치도 취했다.

사이버 위협 방식이 고도화되고 있고, 인공지능(AI)을 활용하는 공격자들도 늘고 있는 만큼 공공기관의 '소 잃고 외양간 고치기' 식의 조치를 지양해야 한다는 목소리도 커지고 있다. 개인정보 유출과 해킹을 막을 사전 대책을 강화할 방법을 고민해야 할 시기이기 때문이다.

통상 선거 시기를 앞두고 국가 배후 및 국제 해킹 조직의 공격이 늘어난다는 점도 우려할 대목이다.

국가정보원(이하 국정원) 등 정보보호 업계에 따르면 지난해 공공 분야를 대상으로 국가 배후 및 국제 해킹조직이 공격을 가한 사례는 하루 평균 약 162만건에 달한다.

전년과 비교했을 때 36% 증가한 수준이다. 주체 별로 나눠 보면 북한의 공격 건수가 80%로 가장 큰 비중을 차지했다. 다만 실제 공격 피해 심각도를 따져보면 북한은 68%, 중국은 21%를 차지했다.

그만큼 탐지하기 까다로운 국가발 해킹 사례가 늘어나고 있다는 의미다. 북한 해킹 조직은 김정은 국무위원장이 어떤 이슈에 관심을 두고 있느냐에 따라 공격 목표를 변경하는 행태를 보이고 있다. 지난해 식량난 해결을 지시했을 당시 국내 농수산 기관을 겨냥한 집중 공격이 늘어났던 것이 대표적인 예다. 북한은 최근 고성능 컴퓨터를 반입하며 해킹 인프라를 강화한 것으로 알려졌다.

올해의 경우 한국은 총선, 미국은 대선을 앞두고 있어 상황을 예의주시할 필요가 커지고 있다. 방해 공작이나 시스템 침투 등 여러 해킹 가능성에 대비해야 할 시점인 셈이다.

백종욱 국가정보원 제3차장은 최근 간담회를 통해 "올해는 한국 총선을 비롯해 전 세계 인구 절반 이상이 투표를 하는 '선거의 해'라고 한다"라며 "선거 시스템 대상 해킹 공격이나 가짜 뉴스 유포 등에 대한 철저한 대비가 절실한 시점"이라고 말했다.