국무총리가 컨트롤타워인 절충형 사이버보안법 제정 추진 애플도, 메타도 속았다
사람의 심리를 악용하다! 소셜 엔지니어링
애플과 메타가 작년 법 집행 공무원을 사칭한 해커들에게 속아 사용자의 IP 주소, 전화번호, 집 주소 등 사용자의 개인정보를 넘긴 사실이 뒤늦게 알려졌어요. 공무원의 이메일을 해킹해 '긴급 데이터 요청(EDR)'을 보낸 일종의 소셜 엔지니어링 수법에 당한 것인데요, 배후로는 지난 뉴스레터에서 언급했던 랩서스가 지목됐어요.
긴급 데이터 요청(EDR)
사용자의 데이터를 수집하는 기업이라면 정부 기관의 데이터 공유 요청을 받을 수 있어요. 일반적으로 애플과 메타 같은 기업은 판사의 수색 영장 또는 소환장을 받고 정보를 제공하는 등의 내부 절차가 있지만, 중상 또는 사망과 같이 긴급한 상황으로 파악될 경우, 이런 절차를 거치지 않고도 사용자의 데이터를 제공하기도 한다고 해요. 해커들은 이런 허점을 노려 정부 기관 공무원을 위장해 사용자의 데이터를 해킹했어요.
소셜 엔지니어링
이렇게 정부 기관을 사칭해 메일을 보내는 것처럼, 시스템에 침입하고 데이터를 해킹하기 위해 기술적인 기법을 사용하는 것이 아닌 사람의 심리를 악용해 해킹하는 기법을 '소셜 엔지니어링'이라고 하는데요, 피해자의 심리와 습관을 교묘하게 노리는 탓이 보안수칙을 알고 있어도 자칫 방심하면 당하기 쉽다고 해요. 대표적인 공격 사례를 몇가지 알려드릴게요.
○ 케빈 미트닉 소동
케빈 미트닉은 80-90년대 컴퓨터 시대의 가장 악명 높은 해커 중 한 명으로, 소셜 엔지니어링 능력이 출중했어요. 해킹하려는 기업 시스템의 계정 이름과 비밀번호를 알아내기 위해 시스템 관리자에게 직접 전화를 걸어 개발자 중 한 명이라고 주장해 로그인 정보를 받고 해킹에 성공했어요.
○ 이스라엘 해커 3형제
90년대 이스라엘에서 가장 악명을 떨친 무저, 샤데, 래미 바디르 형제는 통신사를 자주 공격하곤 했는데, 현장 엔지니어를 가장해 통신사 본사에 전화를 걸거나, 비밀번호를 알아내기 위해 비서를 속여 상사에 대해 세세한 정보를 캐내는 등의 방법을 썼어요. 완벽한 성대모사가 특기였고, 다른 사람이 전화기로 번호 누르는 소리만 듣고도 PIN을 알아낼 수 있었다고 하네요.
○ 프리텍스팅
공격자가 피해자를 도울 수 있는 사람인 것처럼 위장해 피해자를 '설득'하고 값진 정보나 서비스, 시스템에 대한 접근 권한을 넘기도록 유도하는 방법이에요. 2006년 미국 HP 사건이 대표적인 예에요. 당시 HP 경영진은 언론에 정보를 흘린 이사회 임원을 찾기 위해 사설 탐정을 고용했는데, 이 사설 탐정은 이사회 이사인 척 행동하면서 HP가 제공한 사회보장정보를 이용해 전화업체가 통화 기록을 넘기도록 만들었어요. 이 사건으로 인해 HP의 회장 및 여러 명이 불명예 사임을 하게 됐어요.
○ 워터링 홀
공격 대상이 자주 이용하는 웹사이트를 파악해 사전에 악성코드에 감염시킨 뒤 공격 대상이 접속할 때 공격을 시도하는 수법이에요. 2013년 미국 에너지부 웹사이트에 악성코드를 심어놓은 사건이 유명해요.
이외에도 흔히 알고 있는 피싱/스미싱, 악성 QR코드, 브라우저 알림 도용, 협업 사기, 공급망 협력업체 명의 도용, 딥페이크 레코딩 등도 모두 소셜 엔지니어링 공격에 속한다고 볼 수 있어요.
몰라도 속고 알아도 속는다
많은 전문가들이 기업 정보 보안에서 가장 큰 위협은 '사람'이며, 결국 중요한 것은 또다시 기본적인 보안 수칙을 숙지하고 지키는 것, 끊임없는 교육과 훈련이 근본적인 답이라고 말하고 있어요. 하지만 1년의 1-2번 있는 형식적인 교육과 테스트, 정보보안은 실제 일반 직원들의 업무가 아니며, 자신의 업무에 포함되지 않는다면 직원들은 관심 없다는 현실을 생각해보면 결코 쉽지 않은 일인만큼, 우리 보안 담당자들의 어깨는 여전히 무겁네요.
|
사이버보안 컨트롤타워는 어디로...
국무총리가 컨트롤타워인 절충형 사이버보안법 제정 추진
디지털 전환 가속화와 사이버 공격 위협이 고조되면서 우리나라도 새로운 통합 대응체계를 마련해야 한다는 목소리가 높아지고 있어요. 현재 '사이버보안법' 3건이 국회에 계류 중인 가운데 국무총리가 컨트롤타워를 맡는 새로운 사이버보안 법안 발의가 추진된다고 해요.
그동안의 컨트롤타워는?
대한민국은 1.25 인터넷 대란을 시작으로 다양한 사이버안보정책을 추진해왔어요. 노무현 정부는 국가적 차원에서 사이버 위기를 대응하기 위해 국가안전보장회의(NSC)의 주도로 국가사이버안전 업무체계를 만들었어요. 이후 이명박 정부는 국가정보원을 중심으로 한 '국가사이버위기종합대책'을, 박근혜 정부는 청와대가 컨트롤타워를 맡고 국가정보원이 실무총괄을 맡는 '국가사이버안보종합대책'을 발표하고 추진했어요. 문재인 정부는 지난 2019년 초연결, 초융합, 초지능 등 5G 기반의 새로운 위협에 대응하기 위해 국가사이버안보전략을 발표했고 그 중심은 '국가안보실'이에요.
하지만 정부가 사이버안보정책을 수립하고 발표할 때마다 가장 큰 정책적 논의 과제는 [컨트롤타워의 역할과 기능]이었어요.
16년간 이어져온 사이버보안법 논의
효과적인 위협 대응을 위해 전 분야를 아우르는 통합 대응체계를 만들고 사이버보안 컨트롤타워가 필요하다는 주장이 줄곧 제기되어 왔고, 관련 법안은 17대-21대 국회에서 계속 발의됐으나 16년째 제자리 걸음을 걷고 있어요. 지난 사이버보안 컨트롤타워 조직에 대한 논의를 보면 국가안보실, 국가정보원 등 청와대 조직, 국가정보기과나 더불어 과학기술정보통신부, 국무조정실 등 행정부처가 거론되어 왔어요.
현재 21대 국회에서 계류 중인 사이버 보안 관련 법안의 내용을 살펴보면 국가정보원을 중심으로 정부와 기업이 협력해 사이버 위협을 대처할 수 있도록 수단과 절차를 마련하고 정책 집행력을 강화한다는 것이 주요 내용이에요.
법안이 통과되지 못한 이유는?
현재 대한민국 사이버보안은 공공은 국가정보원, 민간은 과학기술정보통신부, 군은 국방부, 개인정보보호 정책은 개인정보보호위원회가 나눠 맡는 구조에요. 그런데 국가정보원을 중심으로 한 법안들이 국회를 통과하면 국가정보원이 민관을 아우르는 핵심부처가 돼 민간까지 통제하게 되면서, 민간과 기업에 대한 사찰로 이어질 수 있다는 시민단체와 업계의 반대에 무딪혔기 때문이에요.
IT업계는 자칫 국가정보원이 민간 기업 서비스와 데이터를 마음대로 뒤질 수 있도록 허용하는 법안이 될 것이라고 우려하며, 해외 시장에서 한국 서비스와 장비를 신뢰하지 않게 되고 국내 서비스의 해외 진출 발목을 잡을 수 있다는 목소리도 나오고 있어요. 거기에 관계부처 회의를 열었지만, 국가정보원을 제외한 다른 부처들은 법안 내용에 부정적이거나 대폭의 조문삭제를 요구하는 등 반대 뜻을 밝힌 것으로 확인됐어요.
국무총리를 컨트롤 타워로?
과학기술정보통신위원회 소속 양정숙(무소속) 의원은 국내 사이버보안을 총괄할 위원회를 국무총리 산하에 설치하는 내용의 법안 발의를 추진하고 있어요. 이렇게 되면 국가정보원을 컨트롤타워로 뒀을 때 제기될 수 있는 사이버 사찰 논란은 비켜 갈 수 있을 것으로 예상돼요. 양정숙 의원은 "사이버보안은 담당 부처/기관 간 협력이 필요하고 정보 공유도 이뤄져야 한다"며 "대통령보다 국무총리 산하에 컨트롤타워를 설치하는 방안이 운영하는 데 효율적이라고 판단했다"고 법안 추진 이유를 설명했어요.
전문가들은 민관을 포괄하는 사이버 보안 체계 구축이 시급하다고 조언하고 있어요. 사이버 위협이 고조되는 세계 정세와 윤석열 대통령 당선인의 국가 차원의 일원화된 사이버 대응체계 구축 공약으로 어떤 형태가 됐든 사이버보안 컨트롤타워가 생기는 것은 확실시되는 상황이에요. 컨트롤타워의 주체가 누가 될지, 어떤 변화가 있을지에 대해 앞으로 많은 관심이 집중될 것 같습니다!
|
이번 주 뉴스레터는 어떠셨나요?
솔직한 의견을 보내주세요! |
|
