SK커뮤니케이션즈 해킹사건 경찰 중간수사 발표에서 주목되는 점은 ‘특정 회사를 목표로 한 신종 공격 발생’이라는 부분이다. 올 초 이미 농협 전산망 마비 사건에서도 농협이라는 특정 금융권을 대상으로 공격이 감행된 바 있다.
농협과 이번 SK커뮤니케이션즈 사건 공격 정황이 비슷하다. 다만 농협 사건에서는 불특정다수를 대상으로 웹하드 사이트에서 악성코드가 뿌려졌고 부주의하게 감염된 농협 아웃소싱 전산관리자에 의해 관리자 권한이 탈취됐지만 이번 건은 처음부터 SK커뮤니케이션즈를 목표로 철저히 설계됐다는 점이 다르다. 이른바 고도화된 보안 위협인 ‘지능적 지속위협(APT)’ 공격이다.
◇전 국민 좀비PC 될 수도 있다=권석철 큐브피아 사장은 “이번 SK컴즈 개인정보 유출사고 목적은 개인정보 탈취가 아닐 수도 있다”며 “네이트·싸이월드, 이스트소프트의 알집, 알약을 이용하면 우리나라 전 국민을 감염시킬 수 있고, 개인정보를 가져가는 것처럼 위장해서 전 국민을 좀비PC로 만들 수도 있다”고 말했다.
우리나라 누리꾼 대부분이 사용하는 네이트·싸이월드, 알약, 알집을 활용하면 전 국민 PC를 모두 원격에서 조종하고 입력되는 데이터를 가로챌 수 있다는 해석이다.
정석화 경찰청 사이버수사대 실장은 “해커가 이번 공격에서 마음만 먹었다면 공개용 알집 SW를 사용하는 전체 국민을 감염시킬 수도 있었다”며 “공개용 SW는 기업용과 달리 광고를 자동 업데이트하는 기능이 있어 이를 악성코드로 바꿔치기해 악성코드가 유포됐다”고 말했다. 또 “알집만이 아니라 광고를 자동 업데이트하는 공개SW 전체가 향후 위협이 될 가능성도 배제할 수 없다”고 설명했다.
◇‘역접속’ 등 꾸준한 탐지·차단 통한 방어 필요=정석화 실장은 “과거 저축은행 해킹 사고, 농협 등 일련의 금융 사고 이면에는 악성코드라는 원인이 존재했다”며 “이른바 역접속, 리버스 커넥션(Reverse Connection)이라는 공격을 막아야 한다”고 주장했다.
역접속은 악성코드가 심어져 실행되면 바깥쪽으로 세션을 내보내는 것을 말한다. 대부분 보안시스템은 외부로부터의 공격을 방어하는 것이 일반적이기 때문에 바깥으로 나가는 트래픽은 정상적인 것이라 믿고 방치한다. 정 실장은 “농협, 옥션, SK커뮤니케이션즈 등 모두 내부에서 나가는 비정상적 트래픽을 제대로 감시했다면 막을 수 있었다”고 덧붙였다.
내부 금융망에 아무리 튼튼한 보안시스템이 있어도 역접속을 차단하지 않는다면 쓸모없다. 악성코드 제작을 원천적으로 막을 수도 없고 유포 역시 막기 어렵다. 그렇다면 대안은 꾸준한 탐지 및 차단이다.
정태명 성균관대학교 교수는 “다수 보안 사고에서 가장 큰 원인은 보안 불감증”이라며 “기업에서 금지된 공개용 알집을 사용했던 SK커뮤니케이션즈 직원이나, 자체 업데이트 서버가 해킹당해 변조되는 것을 감지하지 못했던 보안기업, 자사 서버가 악성코드 유포지와 경유지로 악용되는 것을 몰랐던 기업 모두 해킹사고에 책임이 있다”고 말했다. 결국 보안솔루션이나 기술력보다 사람에 의한 보안관리가 가장 중요하다는 설명이다.
장윤정기자 linda@etnews.com