정보 보안은 매해 새로운 사건과 사고가 끊이지 않는 분야다. 랜섬웨어와 가상화폐가 2017년을 뒤흔든 데 이어 2018년은 신종 사이버 범죄와 보안 정책의 변화가 업계를 휩쓸었다. 2018년도 어느덧 막바지에 이르렀으나 한 해를 발목 잡았던 보안 이슈들은 우리에게 여러 과제를 남겼다.
가비아가 기업과 인터넷 사용자들의 안전한 2019년을 위해 반드시 짚고 넘어가야 할 보안 이슈들을 추렸다.
다시 성행하는 이메일 범죄
어느 날 “이메일 계정과 사용자의 PC가 해킹됐으니 비트코인을 입금하라”는 메일을 받더라도 속아서는 안 된다. 이것은 최근 유행하는 ‘혹스(Hoax) 메일로 거짓 정보를 토대로 사용자를 속이는 협박성 사기 메일이다.
혹스 메일은 주로 발신자가 수신자와 동일한 메일 주소로 설정된 ‘Email Bounce Attack’ 방식으로 이뤄지며 스팸 발송자가 프로그램을 통해 임의로 발송자 메일 주소를 변조하기 때문에 직접 로그인해 발송했을 가능성은 작다.
스캠(Scam) 메일도 최근 다시 성행하고 있다. 10월 발표된 사이버안전국의 사이버위협 분석 보고서에 따르면 신뢰를 기반으로 정보를 빼돌리는 메일 수법이 크게 증가했으며 이메일 계정 탈취를 통해 메일 내용을 모니터링한 뒤 중간에서 거래 대금을 가로채는 범죄가 특히 늘었다. 이는 입금받을 계좌 정보가 담긴 송장을 위조해 돈을 빼돌리는 수법으로 거래처 이메일 주소 철자를 변조해 발송하기 때문에 자세히 보지 않으면 확인이 어렵다.
점점 교묘해지는 메일 범죄를 예방하기 위해서는 메일 내용 중 의심스러운 첨부파일이나 입금을 유도하는 경우에는 발송자를 꼭 확인하고 주기적인 비밀번호 변경 및 PC 바이러스 검사를 진행해야 한다.
가상화폐 채굴하는 크립토재킹
올해 3분기까지 크립토재킹(cryptojacking) 공격을 받은 사용자 수가 무려 500만 명을 기록한 것으로 나타났다. 크립토재킹은 암호화폐(crytocurrency)와 하이재킹(hijacking)의 합성어로 해커가 악성 프로그램으로 사용자의 PC를 감염시킨 후 가상화폐를 채굴하도록 원격 조종하는 사이버 범죄다. 채굴한 가상화폐는 해커의 전자 지갑으로 전송된다.
해커에 의해 조종되는 이른바 ‘좀비 PC’는 디도스(DDoS) 공격에 자주 활용됐으나 올해 들어 가상화폐 채굴을 목적으로 조종되고 있으며 채굴 악성코드는 보통 새벽 시간에 가상화폐를 채굴하기 때문에 사용자는 자신의 PC가 조종당하는 것을 알기 어렵다.
카퍼스키랩이 발표한 보고서에 따르면 불법 소프트웨어 및 콘텐츠가 채굴 악성코드의 주요 유포 수단이 되고 있으며 앞서 언급한 스팸메일도 악성코드 유포에 활용되고 있다. 최근에는 PC방이나 카페 같은 공공장소에서 공용 와이파이를 활용한 채굴도 성행하고 있다.
크립토재킹 위협을 줄이기 위해서는 기존 악성코드 감염 예방과 동일한 조치가 필요하다. 불법 사이트 이용을 삼가고 소프트웨어나 브라우저를 항상 최신 업데이트 상태로 유지한다. 또한 백신 같은 엔드 포인트 보안 솔루션을 사용해 주기적으로 악성코드 감염 여부를 확인해야 한다.
구글, 크롬에 ‘주의요함’ 보안 경고 표시
구글이 2018년 3월부터 시만텍 인증서를 더 이상 신뢰하지 않기로 하면서 해당 인증서를 사용하고 있던 사이트들의 SSL 인증서 교체 이슈가 한차례 불거졌다. 이어 7월부터는 구글 크롬(Chrome)에서 SSL을 적용하지 않은 모든 웹사이트에 '주의 요함' 문구를 표시하기 시작했다.
전 세계 인터넷 사용자의 50% 이상이 사용하는 구글 크롬 브라우저의 이러한 보안 정책 변화로 SSL을 적용하는 것이 ‘표준’으로 자리 잡고 있다. 실제로 SSL이 설치되지 않은 웹사이트는 개인 정보 유출이나 데이터 변조 혹은 피싱 사이트 개설 같은 문제의 발생할 소지가 있다.
국내에서도 2012년부터 SSL은 개인 정보를 취급하는 모든 웹사이트의 의무 적용 사항으로 위반 시 최대 3천만 원의 과태료가 부과하고 있으나 그 효과는 미미하다. 지난 10월에는 청와대를 비롯한 대표 정부 기관 사이트조차 ‘주의요함’ 문구가 뜨고 있어 대국민 신뢰도에 영향을 주고 있다는 지적이 나왔다.
미국의 경우 개인 정보 취급 여부와 상관없이 HTTPS 조치를 취하도록 ‘HTTPS-ONLY’ 정책을 펴고 있어 우리나라도 정보 보안의 기초를 마련하기 위해 국가 차원에서 SSL 구축을 위한 움직임을 더욱 서두를 필요가 있다.
GDPR은 현재 진행 중
5월 25일, EU 시민들의 개인 정보 보호를 위한 새로운 정보보호법인 GDPR(General Data Protection Regulation)이 시행됐다. GDPR의 보호 대상은 EU 시민이지만, EU 국가에 서비스를 하는 글로벌 기업이라면 GDPR을 준수할 의무가 있기 때문에 법 시행의 여파는 전 세계 기업들에 영향을 미쳤다.
구글과 페이스북은 별도의 GDPR 페이지를 제작하여 준수 사항을 공개했고 애플은 기존 앱스토어의 규정을 엄격화하는 등 대응했다. 국내 기업인 삼성과 현대 등도 사전에 법적 대응 조치를 완료했다.
그러나 해를 넘기기 얼마 앞두고 지난달 독일에서 GDPR 첫 위반 사례가 나왔다. 독일 소셜 미디어 플랫폼인 크누델스(Knuddels)는 해커에 의해 약 33만 명의 사용자 정보를 탈취당했다. 크누델스는 조사 과정에서 사용자의 비밀번호를 암호화하지 않은 채 일반 텍스트로 저장한 것이 밝혀져 GDPR 제32조에 명시된 개인 정보 가명화 및 암호화 규정을 위반했다는 판결을 받았다.
이번 판결을 계기로 각국에서는 GDPR 준수에 대한 경각심이 더욱 촉구되고 있다. 미국과 일본에서는 국가 차원에서 GDPR 준수를 위한 가이드와 제도를 마련하고 있으며 국내에서도 개인정보보호법 정부안을 새롭게 마련하고 있다. GDPR이 국제 표준으로 자리 잡을 가능성이 있는 만큼 새로운 개인정보보호법은 GDPR에 근접한 수준으로 높여야 한다는 지적도 일고 있다.
GDPR에 국내 주요 기업은 물론 스타트업의 국제 시장 경쟁력이 달려있는 만큼, 준수를 위한 준비와 노력은 2019년에도 계속 필요할 전망이다.
2018년 보안 이슈의 공통적인 특징은 기업 및 일반 사용자의 사전 준비와 예방이 더욱 중요해졌다는 것이다.
가비아 보안정책실 안광해 실장은 “보안 정책이 국제적으로 점점 강화되는 추세에 있어 미리 이런 추세에 따라갈 준비를 하지 않으면 법을 위반하거나 국제 경쟁력을 상실할 우려가 있다”고 말했다. 또한 증가하는 사이버 범죄에 대해서도 “직장인 사용자들이 자주 타깃이 되고 있어, 기업 내부 보안 교육과 보안 정책 마련을 통해 사전에 대비하는 등, 2019년에는 기업의 주의와 노력이 더욱 커질 전망”이라고 전했다.
전자신문인터넷 유은정 기자 (judy6956@etnews.com)