스마트이미지 제공해킹으로 인한 개인정보 유출 사고가 계속되고 있는 가운데, 수법이 고도화되며 해킹 시도를 인지조차 못하고 기업들의 보안이 뚫리는 경우가 생기고 있다. 전문가들은 전문 인력과 장비를 갖추기 위한 투자만이 신속한 대응으로 피해를 최소화할 수 있는 유일한 길임을 강조하고 있다.
뚫렸는데 감지도 못해 "투자해야 잡을 확률 높이는 데, 미흡"
지난 1월 LG유플러스에서 고객 약 29만 명의 개인정보가 유출되는 사고가 발생했는데, LG유플러스에서는 해킹 시도 자체를 알아차리지 못했다. 한국인터넷진흥원(KISA)이 고객 정보 유출이 의심된다는 안내를 한 이후인 1월 2일에 유출 사실을 감지했고, 경찰청 사이버수사대 및 KISA에 수사가 의뢰됐다.
상황이 이렇다보니 해커가 어떤 경로로 접근해 얼마나 많은 개인정보를 유출했는지 정확히 알 수 없는 상태다. 사측이 해커와 접촉해봤지만 성과는 없었다. 현재 민관합동조사단의 조사가 진행되고 있는데, 이달 중 결과가 발표될 예정이다.
보안업계에서는 해킹 시도가 늘어나는 동시에, 해커들의 수법이 교묘해짐에 따라 기업들이 해킹을 파악조차 못하는 경우가 늘고 있다고 보고 있다. 한 관계자는 "해커들이 최대한 정상적인 사용자처럼 보안체계에 접근하고 흔적도 잘 남기지 않기 때문에 1~2년 지나서 뒤늦게 아는 경우도 종종 생긴다"고 말했다.
명확한 피해 규모를 헤아리기도 더 어려워지고 있다. 국회 정무위원회 소속 국민의힘 유의동 의원이 개인정보보호위원회로부터 제출받은 자료에 따르면, 지난 2020년 8월 위원회 출범 이래 지난 1월까지 정보유출을 신고한 민간기업·기관은 383곳이고 유출된 정보는 1496만 건에 달한다.
매월 평균 12곳에서 개인정보 유출 사고가 발생하는 셈인데, LG유플러스와 같이 신고 당시 유출 규모를 정확하게 확인하지 못한 곳도 다수 포함돼있어 실제 유출된 정보는 더 많을 것으로 보인다.
개인정보 유출ㆍ인터넷 장애 발생한 LG유플러스 기자간담회. 연합뉴스
LG유플러스는 지난달 29일과 지난 4일에는 디도스 공격을 받으며 인터넷 접속장애까지 겪었는데, 결국 지난 16일 황현식 대표가 공식 사과하며 '사이버 안전혁신안'을 발표했다. 정보보호 책임자를 CEO 직속으로 배치하는 등 조직과 투자를 확대하고, 외부 보안전문가와 취약점을 사전 점검하고, 공격자가 내부에 있을 수도 있다는 전제 하에 보안 시스템을 갖추는 '제로 트러스트 아키텍처' 등이 주요 내용이다.
이에 대해 고려대 김승주 정보보호대학원 교수는 "해킹 발견이 어렵다고 해도, LG유플러스같이 개인정보를 많이 다루는 회사라면, 신속 대응할 수 있는 전문 인력과 장비를 갖추는 것이 기본"며 "상대적으로 대응에 많은 시간이 걸린 것을 볼 때, 지금까지 미흡했던 것이라는 평가가 나오는 것이고, 이제 투자를 하겠다는 것인데 이를 잘 지키느냐가 관건"이라고 말했다.
개인정보 이원화·제로 트러스트 선제 구축, "리스크 최소화"
지난달 16일에는 중국 해커조직이 CU에 해킹을 시도했지만, 개인정보 유출과 같은 피해는 없었다. CU는 해킹 사실을 인지하자 공식 홈페이지 운영을 중단하고, 경찰청 및 KISA에 수사 의뢰를 한 뒤, 자체 조사에도 나섰다.
조사 결과 해커가 접근한 홈페이지를 통해서는 개인정보에 접근할 수 없었고, 고객 개인정보는 아예 별도로 관리되고 있어 피해가 없었다고 한다.
CU 관계자는 "홈페이지는 브랜드와 상품을 소개하는 공개된 수준의 정보가 저장돼 있고, 개인정보는 별도의 공간에 암호화돼 보관돼있다"며 "해킹 시도는 있었지만 보안 전문 업체와의 협업과 개인정보 이원화 체계로 지킬 수 있었던 것"이라고 설명했다.
엔씨소프트는 유플러스가 대책으로 언급한 '제로 트러스트' 모델을 이미 지난 2019년 도입해 보안 수준을 높인 기업으로 꼽힌다. 엔씨소프트에 따르면, 회사는 미국표준기술연구소의 가이드라인을 재해석해 사용자와 기기의 보안 수준을 검증하고 이에 따라 개별 서비스에 접속할 수 있는 권한을 차등 부여하는 것을 골자로 한 제로 트러스트 모델을 도입했다.
사용자의 지리적 위치와 접근 권한을 실시간으로 확인해 기기 및 사용자의 상태에 따라 서비스 접근을 제한하거나 다운로드를 차단하고, 지속적으로 위험도를 판단할 수 있는 모니터링 체계가 구축돼 있다.
엔씨소프트 관계자는 "이같은 노력의 결과로 지난해 ESG 리스크 평가에서 정보보안, 개인정보보호 영역의 글로벌 상위 1% 기업으로 평가받았고, 리스크를 최소화할 수 있었다"며 "앞으로 엔씨는 제로 트러스트의 모든 구현 원칙을 충족하는 아키텍쳐를 개발하는 방식으로 사각지대가 없는 보안 체계를 구축해 나갈 것"이라고 말했다.