• >
  • Partner & Business
  • >
  • Community
  • Partner & Business

최근 소식

동훈아이텍은 가치창출을 통한 고객만족과 지속적인 성장을 추구하고 있습니다.

전체소식게시판
해킹 막는 최고 대책은 ‘보안교육’
해킹 막는 최고 대책은 ‘보안교육’

가장 큰 취약점인 ‘부주의’ 없애야

 

지난 해 10월 26일 국방부는 지난해 해킹사고와 관련하여 전산망 시공사 L사와 백신 납품업체 H사를 상대로 50억 원 손해 배상 소송을 제기했다. 지난해 9월 국방부는 북한으로부터 해킹을 당했다. 이로 인해 3,200여 대의 컴퓨터가 악성코드에 감염되었다. 그 중 700여 대는 국방의 기밀자료 다루는 컴퓨터였다.

 

군사 기밀인 ‘북한 김정은 참수 작전’이 북한의 손에 넘어가면서, 국방부는 안보에 소홀했다고 큰 비난을 받았다. 국회 국방위원회 소속 더불어민주당 이철희 의원에 따르면, 유출된 문서 용량은 253GB로, A4용지 1,500만여 쪽 분량에 해당한다. 유출된 자료 중에는 2급 기밀이 226건, 3급 기밀 42건, 대외비 27건 등이 포함돼 있었다.

국방부 해킹의 주요 원인은 아직 명확하지 않다. 국방부에 따르면, 2015년 1월과 5월 사이에 북한 추정 집단이 H사의 백신의 취약점을 분석해서 국방부 해킹 수단으로 악용했다. 국방부는 H사가 이러한 사실을 알고 있으면서고 알리지 않았다고 주장했다. 반면 H사는 해킹의 주요 원인은 국방부가 내부망과 외부망을 분리하지 않아서 생긴 일이라고 반박했다. 다시 말해, 국방부의 망 관리 소홀이 주요 원인이라고 주장했다.

책임 소재는 불명확하다. 그러나 분명한 결론은, 해킹의 주요 원인은 ‘관리 소홀’ 이다. 두 기관 모두 보안에 더욱더 신경을 쓸 수 있었다. 그런데 그렇게 하지 않았다. 참고로 관리 소홀로 해킹이 일어난 사건은 이번이 처음은 아니다. 엄밀히 말하면, 거의 모든 해킹은 ‘관리 소홀’ 때문에 발생한 것으로 봐도 무방하다.

사람의 부주의가 해킹 사고의 가장 큰 원인이다. ⓒ Pixabay

사람의 부주의가 해킹 사고의 가장 큰 원인이다. ⓒ Pixabay

최고의 보안 시스템도 사람의 부주의로 뚫릴 수 있어

2010년 7월 이란 나탄즈 원자력 발전소가 해킹을 당했다. 이 사건으로 3만여 대 컴퓨터가 악성코드에 감염됐고, 1,000여 개의 원심분리기가 파괴됐다. 이는 원자력 발전소 가동을 1년가량 지연시켰다.

참고로 말하면, 나탄즈 원자력 발전소의 보안 수준은 ‘철의 요새’라고 불릴 정도로 상당히 견고하다. 미사일 공격 대응을 위해서, 22m 높이의 흙이 발전소 위에 덮여있고, 지하 8m에 있다. 발전소 벽두께는 무려 2.5m에 달한다. 해킹에 대비해서, 내부망과 외부망으로 분리되어있다.

나탄즈 원자력 발전소 해킹 원인은 분명하지 않다. 다만 관리자의 부주의로 악성 USB가 중요 시스템에 접근한 것이, 해킹의 주요 원인으로 추정하고 있다. 해킹에 사용한 스턱스넷 (Stuxnet)의 확산 방법은 메일과 USB밖에 없는데, 중앙 시스템은 망 분리가 돼 있어서 메일 접근이 어렵다.

2011년 4월 해킹으로 농협의 금융전산이 마비되는 사건이 있었다. 북한이 해킹을 벌인 것으로 추정하고 있다. 이 사건으로 농협이 제공하는 금융 서비스 전체가 마비됐다. 그리고 550여 대의 서버 하드디스크가 파괴돼, 일부 중요 정보들은 유실됐다.

농협 해킹은 하청업체 직원 노트북에서 시작했다고 하면 믿기지 않을 것이다. 2010년 9월 하청업체 직원은 카페에서 제공하는 웹하드 무료 이용 쿠폰을 이용해서 무료 영화를 다운로드를 받았다. 그런데 영화 파일에 악성코드가 잠복하고 있었던 것이었다. 노트북은 결국 감염됐고, 이는 농협 중앙 시스템까지 퍼져 나간 것이다. 업무용 컴퓨터를 출처도 모르는 외부 장소에 사용하도록 한 부주의 정책이 큰 참사를 불러온 것이다.

2014년 12월에는 ‘한수원 (한국수자원원자력발전소)’의 시스템이 해킹을 당한 사건이 있었다. 이 사건 원인 역시 부주의로 인해서 발생했다. 해킹 단체는 한수원 은퇴자 단체 정보를 악용해서, 은퇴 직원인 것처럼 위장해서 내부 직원에 악성 메일을 보냈다. 내부 직원은 의심 없이 악성 메일을 열어봄으로써, 해당 컴퓨터가 악성코드에 감염됐다. 이번 해킹으로 한수원의 내부 도면이 유출됐을 뿐만 아니라, 임직원 10,799명 개인정보가 유출됐다.

버락 오바마 전 미 대통령이 ‘사이버안보ㆍ커뮤니케이션통합센터’에서 사이버보안의 중요성을 강조하고 있는 모습 ⓒ 백악관

버락 오바마 전 미 대통령이 ‘사이버안보ㆍ커뮤니케이션통합센터’에서 사이버보안의 중요성을 강조하고 있는 모습 ⓒ 백악관

교육을 통해 보안 강화하라

기관의 보안 시스템 구조는 수박과 유사하다. 수박의 겉은 단단하고, 속은 부드럽다. 마찬가지로 보안 시스템의 겉은 단단하고, 속은 부드럽다. 다시 말해, 외부에서 견고한 보안 시스템을 뚫기는 매우 어렵다. 대부분 중견 수준의 기관들은 여러 대의 보안 장비를 설치해서 내부망을 안전하게 보호하기 때문이다.

그러나 한번 침투하면 해킹이 매우 쉬워진다. 내부망을 위한 보안 장비를 구축한 경우는 잘 없기 때문이다. 그러므로 해커는 외부망을 뚫기 위해서 수많은 악성코드를 이용해서 침투시킨다. 그런데 성공 확률이 극도로 낮다. 대신 해커는 이를 우회할 방법을 찾는다. 바로 사람의 부주의를 이용하는 것이다. 전문용어로는 이를 ‘사회 공학 기법’이라고 한다.

메일과 사이트를 이용한 해킹이 대표적인 사회 공학 기법이다. 메일의 경우, 악성 메일을 보내서 감염시킨다. 이를 ‘피싱 (Phising)’이라고 한다. ‘워터링 홀 (Watering Hole)’은 해커가 사이트에 악성코드를 심어서, 방문자의 기기를 감염시키는 수법이다. 이외에 웹하드에 악성코드를 심거나, 악성 SNS를 이용해서 악성코드를 전파하기도 한다. 물론 이들로 사회 공학 기법의 하나다.

언제든지 악성코드에 감염될 수 있다. 그러므로 사람들은 이에 주의해야 한다. 아울러 기관에서 사이버 보안 교육을 정기적으로 실시해야 한다. 네 가지 내용을 최소 담아야 한다.

첫째 이메일 관련 교육이다. 출처를 모르는 메일은 반드시 조심하도록 교육해야 한다. 둘째 사이트 관련 교육이다. 해외 유해 사이트와 같은 곳에 방문을 지양하게 해야 한다. 셋째 공용 장소에서는 중요 업무를 하지 말 것을 인지하도록 해야 한다. 마지막으로 소프트웨어를 정기적으로 업데이트하게 해야 한다. 국방부 해킹 사례처럼, 소프트웨어 취약점을 악용해서 해킹 시도하는 경우도 많기 때문이다. 워너크라이 사태의 경우, 소프트웨어 (윈도 운영 체계) 업데이트 미비 때문에 발생했다.

 

 

기사원문:

http://www.sciencetimes.co.kr/?news=%ED%95%B4%ED%82%B9-%EB%A7%89%EB%8A%94-%EC%B5%9C%EA%B3%A0-%EB%8C%80%EC%B1%85%EC%9D%80-%EB%B3%B4%EC%95%88%EA%B5%90%EC%9C%A1