국정자원 전산망장애 3주째 지속
온나라시스템 해킹까지 도마 위
SKT·롯데카드 해킹사태도 겹쳐
국가·민간 핵심망 모두 위태위태
전문가 “복원력, 기술 아닌 철학”
침해 한번에 멈추는 구조 바꿔야
‘사고예방은 비용이 아닌 투자’로
제도전환 통해 근본 인식변화를
지난달 27일 서울 시내 한 지하철역에 설치된 무인민원발급기에 시스템 오류 관련 문자가 표시되고 있다. 연합뉴스
‘예방도, 복원력도 없었다.’
잇따른 해킹과 데이터센터 화재 등의 사고가 한국의 디지털 인프라를 흔들고 있다. 정부 전산망은 화재로 멈췄고, 국민의 핵심 개인정보를 보관하는 통신사는 해킹에 뚫렸다. 신용카드사의 서버는 취약점을 고치지 않은 채 수년 간 공격 가능성에 노출돼 있었다.
현재도 마찬가지다. 국가와 기업 모두 사고가 나고 나면 ‘지금까지 뭐 했냐’는 비판을 받고는 부랴부랴 복구하는 수준에 머물러 있다. 이처럼 한국의 디지털 네트워크는 세계 최고 수준의 인터넷·모바일 보급률에 걸맞는 면역체계를 갖추지 못했다는 지적이 나온다.
보안 예산은 줄고, 대응 체계는 낡았다. 반면, 관리 책임은 흐려졌다. 이에 단순 ‘비용’이 아닌 ‘전략적 투자’를 집행해 디지털 리스크를 다뤄야 한다는 목소리가 높아졌다.
지난달 대전 국가정보자원관리(국정자원) 화재에 따른 정부 전산망 장애는 3주 넘게 이어지고 있다. 정부 민원서비스와 행정망이 온전히 복구되지 않은 상태다. ‘화재’ 자체도 문제지만 더 큰 문제는 ‘복원력’(Resilence)이었다. 이중화나 재난복구(DR) 체계가 제대로 작동하지 않아 단일시설 장애가 국가 행정망 전체를 무너뜨렸다. 행정안전부는 “DR 예산이 부족했다”고 해명했지만, 전문가들은 “재난복구는 예산이 반드시 들어가야 할 기본 중의 기본”이라고 꼬집는다.
이런 가운데 공무원 업무 시스템인 ‘온나라 시스템’ 등이 외부 해킹된 사실이 확인되면서 정부의 행정망 관리 체계가 도마 위에 올랐다. 2022년 9월부터 올해 7월까지 해커가 원격근무시스템(G-VPN)을 통해 내부 자료를 열람했는데, 행안부는 미국 보안매체 ‘프랙 매거진’이 해킹 정황을 공개한 지 두 달이 지나서야 피해 사실을 인정했다. 행안부에 따르면 해킹 피해를 당한 것으로 추정되는 행정전자서명(GPKI)는 650명분으로, 이 중 12명은 인증서 키뿐 아니라 비밀번호 등 내용도 함께 유출됐다.
국정원은 G-VPN을 통한 본인확인 등 인증 절차가 미흡했고, 온나라시스템의 인증 로직 일부가 외부에 노출된 상태였으며, 이로 인해 해커가 여러 정부 기관의 행정망에 접속했을 가능성이 있는 것으로 보고 있다. 이와 함께 각 부처 전용 서버에 대한 접근통제가 미비했던 점도 취약점으로 꼽혔다.
이 가운데 올해 행안부의 정보보호 인프라 예산은 줄어든 것으로 나타났다. 행안부의 정보보호 기반 시설 확충 사업 예산은 약 199억원으로 전년 대비 45% 삭감했다. 사이버 침해사고 예방과 주요 기반시설 보호 등 핵심 항목이 모두 줄었다.
서울 시내 한 SK텔레콤 공식인증 대리점에 유심 교체 관련 안내 포스터가 붙어 있다. 연합뉴스
민간 핵심망에서도 사고가 이어졌다. 지난 4월 SK텔레콤은 2300만명 가입자의 유심 일부 정보가 유출되는 해킹 사태를 겪었다. 이동가입자식별번호(IMEI)·단말기고유번호(IMSI)·유심 일련번호(ICCID) 같은 유심 고유 식별정보와 인증키가 외부로 빠져나간 것으로 조사됐다. 공격에 사용된 것은 중국계 해커 조직이 자주 쓰는 ‘BPF도어’ 수법이었다. 웹 방화벽을 우회해 내부망까지 침투하는 고도화된 공격이다. SKT가 이상 징후를 감지했을 때는 이미 데이터 9.7GB가 유출된 후였다. 유출된 정보는 복제폰, 명의도영, 금융 사기 악용 우려를 일으켰다. 이에 SKT는 무료 유심 교체를 결정했지만, 현장에서는 재고 부족으로 고객 혼선이 이어지기도 했다.
정준오 국가안보전략연구원 안보전략연구실 연구원은 이 사건을 “전형적인 웹 방화벽 우회 공격으로 마이터 어택 프레임 워크에서 정의한 지능형지속공격(APT)”이라고 분석했다. 기존 로그 분석 체계는 알려진 공격 패턴만 식별할 뿐 ‘언노운’ 공격이나 제로데이 위협을 실시간으로 감지하지 못했다. SKT의 고도화된 보안망도 실시간 로그 분석과 행위 기반 탐지가 부재해 뚫린 셈이다.
서울 한 KT대리점 모습. 연합뉴스
뒤이어 이어진 KT의 무단 소액결제 사건은 예고된 재난이었다. 약 360여명의 피해자가 발생한 이 사건은 초소형 기지국인 ‘펨토셀’이 불법으로 조작된 것이 원인이었다. 해커는 펨토셀을 가짜 기지국처럼 변조해 통신 인증정보를 복제하고, 이를 이용해 결제를 실행했다.
이같은 위험은 이미 경고된 바도 있다. 2012년 한국인터넷진흥원(KISA) 연구보고서인 ‘펨토셀 및 GRX 보안 취약점에 대한 연구’에 따르면 공격자가 펨토셀을 악용해 사용자 정보를 가로챌 수 있다는 분석이 나왔다. KT는 이번 사건으로 경찰 수사를 받고 있다. 이 과정에서 서버 폐기 일정 허위보고와 로그 은닉 정황까지 포착됐다.
서울 종로구 롯데카드 본사에 고객 개인정보 유출 해킹 사건과 관련해 카드센터 상담소가 마련돼 있다. 연합뉴스
8월 말 발생한 롯데카드 온라인 결제 서버 침해 사건은 관리 부실이 빚은 사고였다. 해커는 2017년에 공개된 ‘오라클 웹로직’의 원격코드 실행 취약점을 악용했다. 이 취약점은 인증 없이 서버를 장악할 수 있는 결함이지만, 패치가 배포된 지 7년이 지나도록 일부 서버는 여전히 방치돼 있었다. 롯데카드는 내부 점검 중 3개 서버에서 2종의 악성코드와 5종의 웹셸을 발견하고 삭제했지만, 297만명의 고객 정보와 약 200GB가 유출된 것으로 발표됐다. 이는 당초 금융당국에 보고한 1.7GB라는 유출 규모보다 커 사태를 과소평가했다는 평도 나왔다.
보안 전문가들은 “패치 관리 미흡이 근본 원인”이라고 분석했다. 국내에서 이와 같은 취약점이 노출된 서버는 약 6800대에 달한다. ‘한 번의 패치면 막을 수 있었던 사고’라는 한탄이 나옴과 동시에 금융권 전반의 보안 업데이트 체계 미흡 문제가 만천하에 드러났다. 특히 금융당국이 최근 7년간 롯데카드를 10차례 넘게 검사했지만, 해킹과 같은 보안 문제를 제대로 들여다 본 적은 없는 것으로 나타나면서 부실한 감독 책임을 피하기 어렵다는 지적도 나왔다.
전문가들은 ‘복원력은 기술이 아니라 철학’이라고 짚는다. 한 번의 사고로도 전체 시스템이 멈추는 구조를 바꾸지 않으면 한국의 디지털 사회는 반복되는 재난의 순환에서 벗어나기 어렵다. 공공기관에는 ‘복원력 지표’를, 민간에는 ‘보안투자 세제혜택’ 등을 부여해 예방을 ‘비용’이 아닌 ‘투자’로 인식하도록 제도 전환이 필요하다는 목소리도 나온다.
온나라시스템 해킹까지 도마 위
SKT·롯데카드 해킹사태도 겹쳐
국가·민간 핵심망 모두 위태위태
전문가 “복원력, 기술 아닌 철학”
침해 한번에 멈추는 구조 바꿔야
‘사고예방은 비용이 아닌 투자’로
제도전환 통해 근본 인식변화를
‘예방도, 복원력도 없었다.’
잇따른 해킹과 데이터센터 화재 등의 사고가 한국의 디지털 인프라를 흔들고 있다. 정부 전산망은 화재로 멈췄고, 국민의 핵심 개인정보를 보관하는 통신사는 해킹에 뚫렸다. 신용카드사의 서버는 취약점을 고치지 않은 채 수년 간 공격 가능성에 노출돼 있었다.
현재도 마찬가지다. 국가와 기업 모두 사고가 나고 나면 ‘지금까지 뭐 했냐’는 비판을 받고는 부랴부랴 복구하는 수준에 머물러 있다. 이처럼 한국의 디지털 네트워크는 세계 최고 수준의 인터넷·모바일 보급률에 걸맞는 면역체계를 갖추지 못했다는 지적이 나온다.
보안 예산은 줄고, 대응 체계는 낡았다. 반면, 관리 책임은 흐려졌다. 이에 단순 ‘비용’이 아닌 ‘전략적 투자’를 집행해 디지털 리스크를 다뤄야 한다는 목소리가 높아졌다.
지난달 대전 국가정보자원관리(국정자원) 화재에 따른 정부 전산망 장애는 3주 넘게 이어지고 있다. 정부 민원서비스와 행정망이 온전히 복구되지 않은 상태다. ‘화재’ 자체도 문제지만 더 큰 문제는 ‘복원력’(Resilence)이었다. 이중화나 재난복구(DR) 체계가 제대로 작동하지 않아 단일시설 장애가 국가 행정망 전체를 무너뜨렸다. 행정안전부는 “DR 예산이 부족했다”고 해명했지만, 전문가들은 “재난복구는 예산이 반드시 들어가야 할 기본 중의 기본”이라고 꼬집는다.
이런 가운데 공무원 업무 시스템인 ‘온나라 시스템’ 등이 외부 해킹된 사실이 확인되면서 정부의 행정망 관리 체계가 도마 위에 올랐다. 2022년 9월부터 올해 7월까지 해커가 원격근무시스템(G-VPN)을 통해 내부 자료를 열람했는데, 행안부는 미국 보안매체 ‘프랙 매거진’이 해킹 정황을 공개한 지 두 달이 지나서야 피해 사실을 인정했다. 행안부에 따르면 해킹 피해를 당한 것으로 추정되는 행정전자서명(GPKI)는 650명분으로, 이 중 12명은 인증서 키뿐 아니라 비밀번호 등 내용도 함께 유출됐다.
국정원은 G-VPN을 통한 본인확인 등 인증 절차가 미흡했고, 온나라시스템의 인증 로직 일부가 외부에 노출된 상태였으며, 이로 인해 해커가 여러 정부 기관의 행정망에 접속했을 가능성이 있는 것으로 보고 있다. 이와 함께 각 부처 전용 서버에 대한 접근통제가 미비했던 점도 취약점으로 꼽혔다.
이 가운데 올해 행안부의 정보보호 인프라 예산은 줄어든 것으로 나타났다. 행안부의 정보보호 기반 시설 확충 사업 예산은 약 199억원으로 전년 대비 45% 삭감했다. 사이버 침해사고 예방과 주요 기반시설 보호 등 핵심 항목이 모두 줄었다.
민간 핵심망에서도 사고가 이어졌다. 지난 4월 SK텔레콤은 2300만명 가입자의 유심 일부 정보가 유출되는 해킹 사태를 겪었다. 이동가입자식별번호(IMEI)·단말기고유번호(IMSI)·유심 일련번호(ICCID) 같은 유심 고유 식별정보와 인증키가 외부로 빠져나간 것으로 조사됐다. 공격에 사용된 것은 중국계 해커 조직이 자주 쓰는 ‘BPF도어’ 수법이었다. 웹 방화벽을 우회해 내부망까지 침투하는 고도화된 공격이다. SKT가 이상 징후를 감지했을 때는 이미 데이터 9.7GB가 유출된 후였다. 유출된 정보는 복제폰, 명의도영, 금융 사기 악용 우려를 일으켰다. 이에 SKT는 무료 유심 교체를 결정했지만, 현장에서는 재고 부족으로 고객 혼선이 이어지기도 했다.
정준오 국가안보전략연구원 안보전략연구실 연구원은 이 사건을 “전형적인 웹 방화벽 우회 공격으로 마이터 어택 프레임 워크에서 정의한 지능형지속공격(APT)”이라고 분석했다. 기존 로그 분석 체계는 알려진 공격 패턴만 식별할 뿐 ‘언노운’ 공격이나 제로데이 위협을 실시간으로 감지하지 못했다. SKT의 고도화된 보안망도 실시간 로그 분석과 행위 기반 탐지가 부재해 뚫린 셈이다.
뒤이어 이어진 KT의 무단 소액결제 사건은 예고된 재난이었다. 약 360여명의 피해자가 발생한 이 사건은 초소형 기지국인 ‘펨토셀’이 불법으로 조작된 것이 원인이었다. 해커는 펨토셀을 가짜 기지국처럼 변조해 통신 인증정보를 복제하고, 이를 이용해 결제를 실행했다.
이같은 위험은 이미 경고된 바도 있다. 2012년 한국인터넷진흥원(KISA) 연구보고서인 ‘펨토셀 및 GRX 보안 취약점에 대한 연구’에 따르면 공격자가 펨토셀을 악용해 사용자 정보를 가로챌 수 있다는 분석이 나왔다. KT는 이번 사건으로 경찰 수사를 받고 있다. 이 과정에서 서버 폐기 일정 허위보고와 로그 은닉 정황까지 포착됐다.
8월 말 발생한 롯데카드 온라인 결제 서버 침해 사건은 관리 부실이 빚은 사고였다. 해커는 2017년에 공개된 ‘오라클 웹로직’의 원격코드 실행 취약점을 악용했다. 이 취약점은 인증 없이 서버를 장악할 수 있는 결함이지만, 패치가 배포된 지 7년이 지나도록 일부 서버는 여전히 방치돼 있었다. 롯데카드는 내부 점검 중 3개 서버에서 2종의 악성코드와 5종의 웹셸을 발견하고 삭제했지만, 297만명의 고객 정보와 약 200GB가 유출된 것으로 발표됐다. 이는 당초 금융당국에 보고한 1.7GB라는 유출 규모보다 커 사태를 과소평가했다는 평도 나왔다.
보안 전문가들은 “패치 관리 미흡이 근본 원인”이라고 분석했다. 국내에서 이와 같은 취약점이 노출된 서버는 약 6800대에 달한다. ‘한 번의 패치면 막을 수 있었던 사고’라는 한탄이 나옴과 동시에 금융권 전반의 보안 업데이트 체계 미흡 문제가 만천하에 드러났다. 특히 금융당국이 최근 7년간 롯데카드를 10차례 넘게 검사했지만, 해킹과 같은 보안 문제를 제대로 들여다 본 적은 없는 것으로 나타나면서 부실한 감독 책임을 피하기 어렵다는 지적도 나왔다.
전문가들은 ‘복원력은 기술이 아니라 철학’이라고 짚는다. 한 번의 사고로도 전체 시스템이 멈추는 구조를 바꾸지 않으면 한국의 디지털 사회는 반복되는 재난의 순환에서 벗어나기 어렵다. 공공기관에는 ‘복원력 지표’를, 민간에는 ‘보안투자 세제혜택’ 등을 부여해 예방을 ‘비용’이 아닌 ‘투자’로 인식하도록 제도 전환이 필요하다는 목소리도 나온다.
댓글목록
등록된 댓글이 없습니다.