‘맞춤형 악성코드’ 해킹… 北소행여부 관심

■ 싸이월드 등 개인정보 유출

‘네이트온’과 ‘싸이월드’가 해킹돼 고객정보가 유출된 것으로 알려지면서 해당 서비스를 운영하는 SK커뮤니케이션즈가 창사 이래 최대 위기를 맞았다. 28일 서울 서대문구 미근동 SK커뮤니케이션즈 본사. 김재명 기자 base@donga.com

네이트온과 싸이월드는 인터넷을 쓰는 한국인이라면 누구나 한 번쯤 써봤을 인기 서비스다. 이런 서비스의 가입자 개인정보가 통째로 유출됐다는 점에서 2차, 3차 피해 우려가 더욱 커지고 있다.

당장 이번에 유출된 이름과 전화번호, e메일 주소를 이용한 보이스피싱(전화 사기) 및 스팸메일이 급증할 것으로 예상된다. SK커뮤니케이션즈 측은 “안전하다”고 강조했지만 이에 더해 유출된 비밀번호와 주민등록번호의 암호마저 풀릴 경우 피해는 걷잡을 수 없이 확대될 것으로 예상된다.

○ 피해 확산 우려

SK커뮤니케이션즈 측은 “비밀번호와 주민등록번호에는 최고 수준의 암호화 기술을 적용했기 때문에 해커가 이를 풀어내는 건 사실상 불가능하다”고 거듭 강조했다.

하지만 임종인 고려대 정보보호대학원장은 “개인정보 유출 사고를 겪은 회사 측은 버릇처럼 ‘암호화돼 있어 안전하다’고 하지만 결국 암호가 풀리는 경우가 대부분”이라며 “모든 정보가 완벽히 해커의 손으로 들어간 경우를 가정하고 움직여야 피해를 최소화할 수 있다”고 말했다.

또 싸이월드에선 현금 대신 ‘도토리’라는 사이버머니(가상화폐)를 통해 상품을 사고팔기 때문에 비밀번호 암호가 풀리면 해커가 이를 가로챌 수 있다. 권창현 SK커뮤니케이션즈 홍보실장은 “암호는 안전하게 지켜진다고 생각하지만 고객을 안심시키기 위해 일회용 비밀번호생성기(OTP) 등 추가 보안 수단 도입을 준비하고 있다”고 설명했다.

‘3대 포털’로 불리는 네이버와 다음에도 비상이 걸렸다. 두 회사는 이날 SK커뮤니케이션즈의 사고 소식이 전해지자마자 최근 서버 접속기록을 다시 조사해 해킹 시도가 없었음을 재확인했다. 두 회사 보안팀은 이날 모두 비상 대기에 들어갔다.

○ 누가 왜 했나

이번 해킹의 배후는 아직 오리무중이다. 중국에서 공격이 시작됐다고는 하지만 이는 서버에 접근한 컴퓨터의 기록이 중국의 인터넷 주소(IP)로 남아 있었다는 것뿐이다. 해커들은 여러 곳의 서버를 경유하는 방식으로 공격의 진원지를 쉽게 세탁한다. 방통위는 “아직 사고 초기라 사실을 파악하는 데 시간이 필요하다”고 했다.

올해 4월 일어난 농협 사고의 배후는 북한으로 밝혀진 바 있다. 해커가 어떠한 정보도 빼내지 않고 단순히 농협 전산망을 마비시키는 데에만 관심을 보였던 당시와 달리 이번엔 개인정보를 통째로 빼냈다. 농협 사태가 일종의 ‘사이버 테러’였다면 SK커뮤니케이션즈 사태는 대규모 도둑질에 가까운 것이다. 정보보안업체 시만텍은 “암시장에서 신용카드 정보 같은 개인정보는 개당 7센트∼100달러에 거래된다”고 밝힌 바 있다.

하지만 해킹 방식은 유사한 점이 있다. 북한의 소행으로 밝혀진 2009년 및 올해의 디도스(DDoS·분산서비스 거부) 공격이나 농협 전산망 마비 사태 등이 서버에 대한 직접 공격이 아닌 악성코드를 통한 간접 공격으로 이뤄졌다. 이번 SK커뮤니케이션즈 해킹 사고도 이처럼 악성코드를 이용한 해킹이었다. 이 때문에 북한 소행 여부에 관심이 쏠리고 있다.

특히 이번에 사용된 악성코드는 처음부터 SK커뮤니케이션즈를 해킹하기 위해 ‘맞춤형’으로 제작된 것으로 알려졌다. 이렇게 특정 업체나 기관을 노린 악성코드를 따로 작성해 간접 공격을 벌이면 막아내는 게 쉽지 않다. 대부분의 백신 프로그램은 개인의 PC 등에서 피해 사례가 발견된 기존의 악성코드 정보를 얻은 뒤 여기에 대한 대응책만 마련하기 때문이다.

김상훈 기자 sanhkim@donga.com　　
정재윤 기자 jaeyuna@donga.com