동아일보

[건강한 인터넷]해킹, 안전지대는 없다

  • 입력 2003년 11월 17일 18시 39분

글자크기 설정

코멘트
1997년 당시 중학생 김모군(15)은 D사의 PC통신망에 침입해 전자우편, 게시판 등에 있던 자료 4만여건을 무단으로 지웠다. “고등학교 입학 기념으로 추억을 만들기 위해서”였다.

같은 해 대학생인 김모군(19)는 PC통신 나우콤에 침입해 이용자들의 ID와 비밀번호를 훔치는 과정에서 전산망을 고장 내 6시간 동안 통신망을 마비시켰다.

광고업체 직원이었던 송모씨(27)는 경쟁사 홈페이지 첫 화면에 누드사진을 올려놓았다가 업무방해혐의로 구속되기도 했다.

요즘의 해킹 수법에 비하면 그래도 여기까지는 애교였다.

▽해커들의 극성=10월 서울 청량리경찰서는 해킹으로 습득한 남의 ID를 이용해 그 사람이 갖고 있던 게임아이템을 훔쳐 이를 팔려고 한 이모군(19)을 검거했다.

이군은 먼저 자신이 제작한 바이러스를 상대방인 윤모군(18)에게 e메일로 보냈다. 윤군이 e메일을 열어보자 바이러스가 작동하기 시작했으며, 그때부터 윤군의 PC에 저장돼 있던 ID와 비밀번호 등 각종 정보들이 이군의 PC로 옮겨갔다.

작년 말에는 ‘에코키스’라는 해킹 도구를 이용해 남의 은행 계좌번호를 알아낸 뒤 그 사람 계좌의 돈을 자신의 계좌로 옮기는 사건도 일어났다. ‘에코키스’가 설치된 PC는 사용자가 누르는 키보드의 모든 입력 내용을 정해진 사람에게 전송하는 역할을 한다. 이 밖에 ‘스팸릴레이’ 기법으로 남의 PC를 경유해 스팸메일을 보내면서 자신의 신분을 숨기거나, 이동통신사의 웹 서버에 저장된 신상 정보를 빼내고 위치정보 등을 해킹해 가입자의 위치를 알아내는 등 개인의 PC를 매개로 해 범인의 신분을 바꾸거나 개인정보가 유용당하는 사례가 갈수록 늘고 있다.

▽해킹도 진화=90년대 중반까지만 해도 업체 및 기관에서 사용하는 컴퓨터는 ‘메인프레임’ 구조였다. 대용량 중앙처리장치(CPU)와 저장장치 등을 갖춘 대형 컴퓨터를 가운데에 두고 각자 업무 부서에서는 필요할 때마다 단말기로 중앙컴퓨터와 연결해 자료를 검색하거나 계산을 하는 방식이었다.

당연히 해커들의 공격 목표는 네트워크에 연결된 몇 안 되는 대형 컴퓨터였다. 94년 한 스위스 해커가 국내의 망을 거쳐 유럽암센터에 침입해 임상 자료를 복사해간 사건, 95년 한 영국인 소년이 한국원자력연구소에 침입해 자료를 미국 공군 전산망에 복사하려다 적발된 사건 등이 모두 이와 같은 구조 속에서 일어났다.

PC를 해킹하려면 당시만 해도 몰래 사무실에 들어가 디스켓에 자료를 복사하는 수준이었다.

그러나 초고속 인터넷이 대중화하면서 해킹의 개념도 바뀌었다. 개인이나 민간기업 소유의 서버뿐 아니라 개인용 PC도 해킹의 대상이 된 것. 수법 역시 중대형 컴퓨터 해킹 시절 단순 자료 열람이나 유출에 그치던 것이 이제는 ID나 비밀번호 등 개인정보 유출 및 사내 기밀 반출, 데이터 변조 등으로 다양화하고 있다. 집이나 회사 등 장소를 막론하고 인터넷에 연결된 자신의 PC에서 언제 누가 나를 사칭하며 자료를 빼갈지 모르는 세상이 되고 있는 것이다.

거의 모든 상업용 서버와 PC가 대용량화하고 인터넷에 연결되면서 해커들의 ‘놀이터’도 넓어진 것.

▽적(敵)은 내부에 있다=각 기관과 서비스 업체들은 해커로부터 고객과 직원의 신상정보와 회사 기밀을 보호하기 위해 네트워크 보안에 투자를 하고 있다.

보안전문업체 안철수연구소의 안철수 사장은 “그러나 대개의 경우 적은 내부에 있다”고 강조한다. 친구나 커뮤니티 멤버 등 조금이라도 관계가 형성돼 있는 사람 중에 해커가 있을 가능성이 높다는 것.

미국 시장조사기관인 IDC에 따르면 정보보호 침해 사고 중 외부인의 소행은 10% 미만인 것으로 나타났다. 즉, 외부 네트워크와 내부 네트워크 사이에 담을 쌓는 네트워크 보안만으로는 요즘 유행하는 해킹 사건의 10%만 막을 수 있다는 것이다.

안 사장은 “과거 해커와의 싸움이 해커와 크래커간의 ‘프로 대 프로’의 싸움이었다면 이제 해킹과의 전쟁은 불특정 다수로부터 자신을 보호하는 ‘민방위 훈련’과 같이 바뀌어야 한다”고 강조했다.

기업들이 거액을 들여 전산망에 보안장치를 설치하는 것보다 가정과 직장에서 수시로 운영체제를 업데이트하고, 인터넷상에서 자신을 증명하는 전자서명인증서 등의 사용을 생활화하는 게 9배나 더 중요하다는 것이다.

보안솔루션업체 이캐빈의 정영태 사장은 “최근 기업들은 내부자에 의한 정보유출 및 해킹 등을 예방하고 사후에 증거자료로 사용하기 위해 e메일 모니터링 시스템의 도입을 늘리고 있으며, 임직원들도 업무상 사용한 자신의 e메일을 언제든지 회사가 열어볼 수 있다는 것에 동의하는 추세”라고 전했다.

나성엽기자 cpu@donga.com

▼참여 기업-기관▼

▽공동주최사(20개)=동아닷컴 KT KTF 데이콤 하나로통신 다음커뮤니케이션 NHN 드림위즈 영진닷컴 야후코리아 하나로드림 엠파스 한국마이크로소프트 프리챌 네오위즈 SK커뮤니케이션즈 넷마블 에듀박스 인터정보 컴트루테크놀러지▽공동주최기관(7개)=정보보호실천협의회 한국개발연구협의체(CODS) 학부모정보감시단 한국컴퓨터생활연구소 한국사이버감시단 서울지방경찰청사이버범죄수사대 한국웹사이트평가개발원 ▽후원(2개)=정보통신부 정보통신윤리위원회


  • 좋아요
    0
  • 슬퍼요
    0
  • 화나요
    0
  • 추천해요

댓글 0

지금 뜨는 뉴스