[디지털데일리 강소현기자] 올해 연쇄적인 사이버 공격이 국내 주요 기업들을 강타했다. SK텔레콤과 KT, 롯데카드, 예스24(YES24) 등 해킹에 의한 개인정보 유출 사고가 산업 분야를 가리지 않고 발생하고 있는 가운데 그 빈도는 전례를 찾기 어려울 정도라는 평가다.

국가 인공지능(AI) 사업에도 경고등이 켜졌다. AI 인프라가 위협받는 현실을 고려할 때 이번 사태는 더 이상 단순한 기업 보안 사고로 볼 수 없다는게 전문가들의 중론이다. 국가 핵심 인프라가 위협받는 위기 사태로 평가되는 만큼 기업의 실질적인 보안 투자와 관리 강화가 시급한 과제로 지목된다.

이 가운데 전문가들은 이번 사고에 대해 기업을 일벌백계하기 보단 사후조치 및 예방을 장려하는 방향으로 정책을 개편해야 한다는 목소리가 나온다. 시스템이 복잡해지면서 외부로 노출되는 취약점도 증가하고 추적도 어려워진 가운데 대응 역량 강화를 위한 협력이 중요하다는 지적이다.

박기웅 세종대 교수는 소프트웨어·하드웨어의 트렌드 변화가 최근 사이버 공격의 패러다임 전환에도 영향을 미쳤다고 말했다.

박 교수에 따르면 불과 몇십 년 만에 그 이상의 성능을 가진 서버를 누구나 저렴하게 빌려 쓸 수 있는 시대가 열렸다. 직접 장비를 만들 필요도 없다. ‘소프트웨어는 어디에나 있다(Software is everywhere)’는 말이 현실이 된 것이다.

예컨대 아마존웹서비스(AWS)가 제공하는 고성능 그래픽카드(GPU) 서버를 수억원대의 장비를 직접 구매하지 않고도 비교적 저렴하게 공유할 수 있다.

특히 신종 코로나바이러스 감염증(코로나19)로 촉발된 비대면 서비스의 호황기로 마켓컬리 등 국내 플랫폼 업체들이 가파(GAFA)로 불리는 구글·애플·페이스북(메타)·아마존 등 글로벌 빅테크 기업들의 클라우드에 둥지를 틀었다.

하드웨어의 사양도 달라졌다. 삼성전자의 갤럭시 시리즈만을 놓고보면 10년 전과 비교해 갤럭시S25 내부를 구성하는 부품들의 성능은 빨라지고 용량은 커졌는데 크기는 오히려 작아졌다.

이에 공격자(해커)의 입장에서 구상할 수 있는 시나리오 역시 다양해졌다. 성능 좋은 하드웨어를 쉽게 수입할 수 있게 됐고 코로나19 시기를 거치면서 소프트웨어가 일상과 산업 구석구석에 퍼져 해커가 파고들 수 있는 틈새 또한 그만큼 많아졌다.

박 교수는 “최근 서버를 직접 공격하기보다 서버와 연결된 단말기를 경유해 침투하는 방식에 공격자들이 더 집중하게 됐다”며 “특히 코로나 시기 원격회의나 재택근무 등 비대면 근무 환경이 확산되면서 공격자의 시선은 서버에서 개인 단말에 설치된 소프트웨어로 옮겨갔다”라고 말했다.

실제 최근 KT 사례를 보면 관리가 허술한 펨토셀(Femtocell)이 표적이 됐다. 가정이나 사무실에 설치해 실내 통신 품질을 높이는 소형 기지국 장비인 펨토셀을 통해 2만명 규모의 가입자식별번호(IMSI)와 단말기식별번호(IMEI), 휴대번호 등의 개인정보가 빠져나간 것이다. 해커가 관리가 허술했던 펨토셀을 ‘가짜 기지국’(Fake Base Station)처럼 동작해 KT 코어망에 붙었을 것이라 추정된다.

또 그는 빅핵(Big hack)의 사례를 들면서 “‘슈퍼 마이크로’라는 업체가 애플에 서버를 납품했는데 이후 설계도면에 존재하지 않는 무선 신호가 잡혔다”며 “알고보니 이 업체가 중국 공산당의 지원을 받는 해외 제조업체에 마더보드 재하청을 맡겼던 것인데 (슈퍼 마이크로로부터) 수입한 업체를 전수조사한 결과 이미 미국의 30개 대형업체가 같은 제품을 사용 중인 것으로 확인됐다”고 말했다.

공격 대상도 확대됐다. 사이버 공격은 해커들에 저비용 고효율 공격으로 인식됐는데 이는 얻을 수 있는 정보의 부가가치가 높았기 때문이다. 과거 일반적인 정보 시스템을 공격했다면 최근엔 송유관을 뚫고 전력망을 공격해 혼란을 야기하는 수법이 잇따르고 있다는 것이다.

특히 AI 기반 공격도 포착되고 있다. 공격자들은 사용자가 한 번도 거래하거나 확인하지 않은 콘텐츠는 클릭하지 않는다는 심리를 역이용해 AI를 접목한 여러차례의 대화로 신뢰를 쌓은 뒤 클릭을 유도하는 방식이다.

이에 박 교수는 해커 공격 경로·방법를 잘 이해했을 때 정책도 침해대응 효과를 볼 수 있다고 지적했다.

박 교수는 “공격자의 입장에서 이 공격을 했을 때 얻을 수 있는 가치가 2조원 정도라면 어느정도의 시간을 투자하고 몇 명을 투자하겠냐”라며 “결국 공격자의 관점으로 본다면 몇 년에 걸쳐서 수많은 시도를 통해 꽂은 깃발이라는 것을 알 수 있다”고 꼬집었다.

실제 최근 SK텔레콤의 사례를 보면 악성코드 최초 설치 시점이 2022년 6월로 알려졌지만 이 사고가 대중에 알려진 시점은 4월22일 한 언론매체를 통해서였다.

최근 국내에선 보안 사고 이후 기업들의 대응 수준이 논란이 되기도 했다. 상당수 기업이 정보보호 및 개인정보보호 관리체계 인증인 'ISMS-P'를 받았음에도 해킹을 제때 인지하지 못하였거나, 정황이 확인되고도 자발적 신고를 하지 않은 사례가 이어졌다.

이에 대해 박 교수는 사전 제재보단 사후 조치에 방점을 둔 대응 방안이 필요하다고도 강조했다. 장기적인 관점에서 기업이 책임을 회피하게 만들기 보다 민관이 공조하여 공격자를 추적하기 용이한 체계를 갖춰야 할 것이라 봤다.

박 교수는 “공격자의 관점으로 생각해보는 것이 굉장히 중요한데 이는 굉장히 어려운 방정식을 푸는 것과 같다”며 “많은 선들을 이어야 진원지를 파악할 수 있기 때문에 역으로 거슬러 올라가는 건 굉장히 어렵다”고 말했다. 이어 “과거 행적에 대한 추적이 용이한 시스템이나 체계를 갖출 수 있는 가가 결국 중요한 부분”이라며 “기업 지원 체계라든지혹은 국제협력체계의 적극적인 참여들도 굉장히 중요하다”고 덧붙였다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -