[광화문에서/김재영]“그 누구도 믿지 마라” 내 정보 지키는 보안의식

김재영 산업1부 차장

최근 세계적으로 가장 주목받고 있는 해커집단은 ‘랩서스’다. 남미를 기반으로 활동하는 신생 조직인데 실적이 어마어마하다. 지난해 12월 브라질 보건부를 공격하며 등장한 이후 이달 들어 글로벌 정보기술(IT) 기업을 잇달아 털었다. 미국 반도체 기업 엔비디아에선 그래픽처리장치(GPU) 회로도를, 삼성전자에선 갤럭시 설계 파일 소스코드를, LG전자에선 임직원 이메일 계정 등 9만 건을 탈취했다. 마이크로소프트(MS), 미 보안·인증업체 옥타 등도 먹잇감이 됐다.

얼마나 기술이 뛰어나기에 최강의 보안시스템을 자랑하는 글로벌 기업 내부를 헤집고 다녔을까. MS 위협정보센터(MSTIC)의 보고서를 보면 수법은 비교적 단순했다. 오프라인 식으로 말하면 우편함을 뒤져 개인정보를 얻거나, 쓰레기통에 버려진 파쇄 문서의 조각을 맞추는 정도랄까. 본진을 직접 치기보다는 직원, 협력업체 등의 취약한 고리를 파고들었고, 상대를 믿는 사람들의 심리도 이용했다.

스마트폰 유심칩을 복제하는 ‘심스와핑’을 통해 모바일 인증을 통과했다. 이메일로 2차 인증이나 암호 복구를 많이 한다는 데 착안해 개인 이메일을 해킹했다. 때로는 ‘직원인데 비밀번호를 잊어버렸다’며 헬프 데스크에 접근했다. 영어가 모국어인 사람을 섭외해 전화를 걸고 사전에 수집한 프로필 정보를 줄줄 읊으며 신뢰를 얻었다. 내부 직원이나 협력업체 직원을 돈으로 매수해 인증정보를 구하기도 했다. 접근 권한을 얻은 뒤 내부망의 채팅 메시지나 회의, 협업툴 등을 살펴보며 다른 공격 대상을 탐색하는 식으로 차츰 접근 권한을 높여갔다.

이들의 간단한 수법이 통할 수 있었던 건 신종 코로나바이러스 감염증(코로나19) 여파로 재택근무가 보편화하고 디지털 전환이 빨라지면서 곳곳에 구멍이 생겼기 때문이다. 보안시스템은 그대로인데 우회로 접근할 수 있는 통로는 엄청나게 늘어난 것이다. 출입문을 꽁꽁 닫는 데만 주력하고, 일단 안으로 들어가면 ‘우리 편’으로 믿어버리고 경계심을 푸는 식의 보안시스템도 문제였다. 미국 통신사 버라이즌의 ‘2021 데이터 침해 사고 조사 보고서’는 보안사고의 85%가 인적 요인과 관련이 있다고 분석했다.

이에 최근 미국은 ‘아무도 신뢰하지 않는다’는 ‘제로 트러스트’ 원칙을 전제로 국가 사이버 보안전략을 새로 짜고 있다. 이미 침입자가 있다는 가정하에 접속 권한을 부여하기 전에 인증 절차와 신원 확인 등을 철저히 하고, 정보 접근 범위도 차등·최소화하는 것이다. ‘디지털 플랫폼 정부’를 공언한 우리 차기 정부도 보안 취약점에 대처하고 사이버 안전망을 구축하기 위한 대책을 시급히 마련해야 한다.

막강 전력의 러시아가 우크라이나를 침공한 뒤 고전하는 걸 보면 전쟁의 성패는 무기가 아닌 사기라는 사실을 새삼 깨닫게 된다. 가족과 조국을 지키겠다는 우크라이나인들의 신념은 그 어떤 첨단 무기보다 강력했다. 사이버 보안에서도 마찬가지다. 보안의 가장 큰 취약점은 사람이라는 사실을 명심하고 귀찮을 정도로 철저한 보안의식을 갖출 때만이 나와 가족, 회사와 국가의 소중한 정보를 지킬 수 있다.

김재영 산업1부 차장 redfoot@donga.com