[스마트 넷 전쟁]<中>해킹에 노출된 기업 보안

중국발 청부해킹에 무방비… 산업기밀 유출 피해 年80조

각종 스마트 기기와 인터넷망을 활용한 ‘스마트 넷 전쟁’은 국가기관뿐 아니라 기업들도 피해 갈 수 없다. 온라인에 떠도는 수많은 악성코드를 활용한 국내 해커로부터의 공격은 물론이고 싼값에 경쟁 회사를 해킹해 주는 중국발 ‘청부 해킹’도 최근 늘고 있다.

중국을 상대로 무역업을 하는 A중소기업의 B 사장은 얼마 전 황당한 일을 당했다. 회사의 거래와 회계를 관리하는 내부 망에 접속하려는데 ‘사업을 접어라’는 등의 협박성 중국어 메시지가 화면에 뜨며 동작을 멈춘 것이다. A사가 한국인터넷진흥원(KISA) 전문가의 도움을 받아 악성코드를 제거하는 동안에도 공격자는 ‘제거 작업을 중단하라’는 메시지를 계속 보냈다. 실시간 감시를 하고 있었던 것이다.

결국 이틀 동안 망에 접속할 수 없었던 A사는 거래처와의 약속에 차질을 빚어 큰 손해를 봤다. B 사장은 “금품을 요구하지도 않고 사업을 중단하라고 하는 걸로 봐서 경쟁 회사와 관련돼 있는 것 같다”고 말했다.

KISA 관계자는 “과거 한 저축은행도 해커의 공격으로 모든 고객 정보가 암호화되는 바람에 업무가 전면 마비된 적이 있다”며 “돈을 주고 경쟁 회사 해킹을 청부하거나 ‘해킹당하지 않으려면 돈을 내라’는 식으로 기업을 협박하는 사례가 늘고 있다”고 전했다.

청부 해킹은 하루 매출이 수십억 원에 이르는 불법 온라인 도박 사이트에서 특히 잦다. 한 보안업계 관계자는 “폭력조직들이 돈으로 해커를 고용하는 일이 많다”며 “최근 중국 해커들은 30만 원 정도면 하루 종일 디도스(DDoS·분산서비스 거부) 공격을 해 줄 정도”라고 귀띔했다.

○ 청부 해킹부터 폐쇄망 해킹까지

기업을 타깃으로 한 사이버 공격 중에는 주요 정보를 노리는 것이 많다. 정부 집계에 따르면 이처럼 산업 기밀 유출로 발생하는 피해는 연간 80조 원에 이른다. 보안업계 관계자는 “중소, 영세기업일수록 보안의식이 낮고 인프라 환경도 열악하다”며 “작은 기업들은 그냥 해커에게 문을 열어 놓고 있다고 보면 된다”고 말했다.

사이버 공격을 받고도 모르는 기업도 적지 않다. 민간 기업들의 보안 사고를 접수해 복구해 주는 KISA 측은 “밖으로 드러나는 기업들의 보안 사고는 실제의 1%도 안 될 것”이라고 추산했다.

일부 기업은 중요한 정보망을 외부 인터넷망과 분리해 ‘폐쇄망’으로 만들어 놓으면 안전할 것이라 믿는다. 하지만 이때도 휴대용 저장장치(USB 메모리) 등을 통하면 손쉽게 해킹할 수 있다. 최근 대기업 C사는 폐쇄망으로 운영해 온 공장 자동화 프로그램에서 악성코드가 다수 발견돼 긴급 대응을 취했던 것으로 알려졌다.

○ ‘보안 위기감’ 실종이 대형 피해로

국내 기업들의 보안이 허술한 원인은 많다. 하지만 그중 보안 투자 부족, 보안 업무 하도급 관행이 가장 큰 문제다. 대표적인 예가 올해 ‘3·20 사이버테러’ 때 피해를 본 D사다.

D사는 대기업 수준의 규모에도 불구하고 서버 보안 담당 인력이 1명뿐이었다. 홀로 100여 대의 서버를 관리하다 보니 각 서버의 도메인과 계정, 패스워드를 엑셀 파일에 적어 뒀는데 이 파일이 해킹되면서 전체 서버의 권한이 몽땅 해커의 손에 넘어갔다.

보안 관리를 싼값에 외주업체에 맡기는 것도 문제다. 외주 관리 업체들은 내부뿐 아니라 외부에서 원격으로 접속해 보안 서비스를 지원하곤 하는데 이 과정에서 보안 취약점이 더 커진다는 것이다. 보안업체 안랩 관계자는 “외주 업체가 외부에서 접근할 통로를 아예 없애는 것이 낫다”며 “외주 업체가 사용하는 장비도 모두 내부에 두고 외부로 반출할 수 없게 해야 USB 메모리 등을 통한 악성코드 감염을 막을 수 있다”고 말했다.

○ 값싼 외주 관행 없애야

기업들이 홈페이지를 제작할 때부터 대행사를 찾는 것도 문제다. 보안업계의 한 관계자는 “보통 웹 호스팅 업체들은 3만 원 정도만 주면 간판만 바꾼 비슷한 홈페이지를 여러 업체에 만들어 준다”며 “1개 서버 안에 수백 개의 홈페이지가 있기 때문에 이 가운데 하나만 뚫려도 나머지 홈페이지를 모두 해커 마음대로 조종할 수 있다”고 말했다.

이런 관행 때문에 잘 알려진 기업들도 보안에 허술한 사례가 많다. 유명 커피 전문 체인인 E사는 얼마 전 홈페이지 곳곳이 악성코드에 감염됐다. 홈페이지를 제작할 때 게시판에 첨부된 악성파일 등은 실행되지 않게 했어야 하는데, 기본을 지키지 않아 벌어진 사고였다. KISA 관계자는 “중소기업, 소상공인 홈페이지 중에는 이런 사례가 수없이 많다”며 “대부분 10년 전 해킹 툴로도 쉽게 뚫리는 수준”이라고 말했다.

○ 기업 사이트 악용 막으려면

제대로 관리되지 않는 기업 홈페이지는 악성코드를 전파하는 경로로 쓰이기도 한다. KISA의 분석에 따르면 상반기(1∼6월)에 발견된 국내 악성코드 은닉 사이트는 1만1493개에 이른다. 이는 지난해 한 해 동안 발견된 것(1만3018개)과 비슷하다.

이렇게 악성코드가 자리 잡은 사이트는 방문자들의 PC를 감염시키고, 이런 PC는 곧 좀비 PC가 돼 해커의 조종에 따라 디도스 공격에 쓰일 수 있다. 기업의 안일함과 개인의 무지로 인해 내 스마트 기기가 개인과 기업, 국가를 위협하는 무기로 돌변하는 것이다.

KISA는 “기업들은 내부 시설의 체계적 종합적 보안을 위한 관리 체계를 만들어야 한다”며 “별도 인원과 예산을 배정해 보안성을 높이고 새 프로그램이나 시스템을 도입할 때는 반드시 사전 진단을 하라”고 조언했다.

김호경·임우선 기자 whalefisher@donga.com