에이수스(ASUS) 공급망 공격, 야놀자펜션 고객 정보 7만여건 유출, 빗썸 암호화폐 비정상 출금. 지난 한 주 동안 발생한 국내외 보안 사고다.
에이수스의 소프트웨어(SW) 업데이트 시스템 해킹으로 100만대가 넘는 에이수스 윈도 컴퓨터에 백도어가 뿌려졌다. 공격자는 지난해 6월부터 11월까지 특정 600대 PC에서만 해당 백도어가 작동되도록 했다. 2차 권한 탈취 공격을 가할 때까지 에이수스는 해당 사실을 인지하지 못했다. 지난 1월 사고를 통보받고서도 고객에게 알리지 않았다. 언론에 보도가 나가자 백도어 패치 업데이트를 했다고 발표했다.
야놀자펜션의 애플리케이션(앱) 데이터베이스(DB) 해킹으로 고객정보 7만 건이 새나갔다. 2014년 3월에서 2016년 8월 사이 야놀자펜션 앱을 이용한 고객은 영문도 모른 채 알리고 싶지 않은 정보를 누군가에게 탈취 당했다.
암호화폐 거래소 빗썸은 2017년 6월, 2018년 6월에 이어 올해 또다시 해킹 사고에 휘말렸다. 이번 암호화폐 비정상 출금이 외부 해킹 등 공격 정황은 발견되지 않았다고 하지만 여전히 의문이 남는다.
이들 사건이 전부는 아니다. 해킹·보안 사고는 세계 곳곳에서 지금 이 순간에도 계속 발생한다. 위협은 오히려 커졌다. 매년 수백만개 뿌려지는 랜섬웨어는 개인 대상에서 기업으로 공격 목표를 바꿨다. 랜섬웨어를 풀어내는 열쇠를 보안 기업이 만들지만 하루도 채 되지 않아 새로운 버전의 악성코드가 다시 뿌려진다.
해커는 기업 내부로 침투하기 위해 단순히 기술만 고도화하는 것이 아니라 사회관계망서비스(SNS), 유선전화 등을 활용해 사방으로 정보를 수집해서 공격에 활용한다.
이제는 보안을 바라보는 인식을 바꿔야 한다. 아무것도 믿지 않는 '제로 트러스트' 개념을 받아들여야 할 때다. 고가의 보안 솔루션을 설치했다거나 완벽한 보안 팀을 갖추고 있다거나 망 분리가 됐다는 것 모두를 믿어선 안 된다. 사고는 언제든 발생한다. 이메일 한 통, 사소한 업데이트 하나로 기업 기밀 자산뿐만 아니라 고객 정보가 새 나간다. 이들 사고는 해프닝에서 끝나지 않고 기업을 사지로 내몬다.
해커 공격을 100% 막는다는 것은 불가능하다. 어떤 보안 기업도 100%는 보장하지 못한다. 모든 사고에 예외가 없듯 사이버 범죄도 마찬가지다.
정영일기자 jung01@etnews.com
