작년 9월부터 개인정보보호법이 시행되고 공공기관 보안관제센터 운영이 의무화되는 등 정부를 중심으로 ‘보안강화’가 키워드로 부상했다. 그럼에도 불구하고 올해 상반기를 돌아보면 개인정보 유출 사고는 끊이지 않았다.
관련 업계에 따르면 법 제정으로 올 상반기 보안솔루션에 대한 시장 수요가 늘어나고 있는 추세다. 그렇지만 현재까지 발생한 사건·사고를 볼 때 여전히 기업 보안 의식은 허술한 것으로 보인다.
또한 지능형 지속가능 위협(APT) 공격이 주요 보안 이슈로 하반기까지 주목받을 것으로 예상된다.
■EBS, 세 차례나 공격 노출돼도 보안 나몰라
상반기에 가장 큰 보안 이슈 중 하나는 지난 5월 17일 400만명의 개인정보가 유출됐던 한국교육방송공사(EBS)의 메인사이트(www.ebs.co.kr) 해킹 사고였다.
작년 3월 EBSi 수능강의사이트가 분산서비스거부(DDoS) 공격을 받은데 이어 작년에 관련법이 정비됐음에도 약 1년만에 다시 대형 해킹 사태가 불거졌다. 이 사고로 지난 2009년 12월 이전에 가입된 회원의 이름·아이디·전화번호·이메일·집주소·비밀번호 등이 유출된 것으로 추정되고 있다.
이에 앞서 EBS는 지난 2월에도 고교생 해커 2명이 만든 프로그램을 통해 EBS홈페이지 가입자 개인정보를 탈취하는 등 허술한 보안이 문제로 지적됐다.
작년을 포함해 두 건의 보안사고가 제대로 해결되지 못하는 않은 사이 약 400만명의 가입자 정보가 고스란히 유출되는 사고를 불러왔다.
지난 5월 말에는 인기온라인 게임인 서든어택 이용자의 개인정보가 불법 유출돼 베트남의 한 웹사이트에 1천여명의 이름·주민번호가 고스란히 게시돼 2차 피해가 우려되는 등 개인정보보호유출은 여전히 핵심이슈로 등장하고 있다.
■한글파일에 중앙일보까지 장악 'APT공격'
한글 문서파일을 통해 침투하는 등 지능적인 수법으로 특정 기업이나 조직 네트워크에 침투해 활동 거점을 마련, 기밀정보를 수집해 빼돌리는 APT 공격 역시 새로운 보안 위협으로 나타났다.
지난 4월에는 APT공격으로 한글과컴퓨터의 HWP 문서파일의 취약점을 이용한 악성파일 변종이 발견되면서 보안강화에 비상이 걸렸다. 잉카인터넷은 같은 달 블로그를 통해 “단 한명의 부주의나 실수로도 악의적인 프로그램이 한글파일을 이용해 기업이나 기관들의 내부 네트워크에 프로그램을 공격할 수 있다”고 밝혔다.
지난달 9일 발생한 중앙일보 홈페이지 해킹 사건도 충격을 줬다. 이스원(IsOne)이라 불리는 해커그룹은 해킹을 통해 취득한 데이터를 정치포털인 서프라이즈와 일간베스트저장소, 유머대학과 같은 인터넷 커뮤니티에 올렸다. 해킹된 화면에 공개된 내용으로 미뤄 이들 해커그룹은 APT공격을 통해 내부 직원 PC의 정보를 탈취한 것으로 알려졌다.
시만텍은 APT 공격이 취약한 시스템이나 직원들을 악성코드에 감염시켜 네트워크 내부로 침투, 내부 시스템과 인프라 구조에 대한 정보 수집을 마친 뒤 보호회 되지 않은 내부 시스템의 데이터를 수집해 공격자에게 전송하는 방법을 주기적으로 수행한다고 말했다.
■모바일 결제 정보 유출, 스마트폰 보안 비상
모바일 결제와 모바일 오피스가 등장하면서 스마트폰 단말기의 보안성을 높이기 위한 'BYOD(Bring Your Own Device)'에 대한 관심도 뜨거웠다. 스마트폰 단말기의 보안성을 높이기 위한 모바일단말관리(MDM)와 무선침입방지시스템(WIPS) 등의 보안 서비스가 주목받기 시작했기 때문이다.
지난 3월 21일 구글이 시작한 모바일 결제서비스인 구글월렛 사용자의 개인정보유출사건 등은 스마트폰 결제의 취약점을 드러냈다. 이날 외신은 구글이 피해자들에게 최대 5달러를 지급하기로 했다고 보도했다.
구글월렛은 스마트폰에서 선불카드를 사용할 때 정보를 삭제하더라도 그대로 개인정보가 남아있어 단말기 분실이나 도난 시에 새로운 사용자가 이용하더라도 기존 사용자 계정으로 접속해 결제할 수 있다는 취약점이 문제가 됐다.
■하반기, 개인정보보호·보안관제 주목
개인정보보호와 보완관제를 중심으로 한 보안 이슈는 지속될 전망이다. 이글루시큐리티가 기관·기업의 보안담당자 517명을 대상으로 실시한 ‘2012년 하반기 보안 트렌드 설문조사’ 결과에 의하면 응답자의 56%가 가장 큰 보안 위협으로 ‘개인정보 및 내부정보 유출’을 꼽았으며, APT공격(19%), 모바일 위협(14%) 디도스(DDoS) 공격(10%) 등이 그 뒤를 이었다.
절반이 넘는 56%가 올 하반기 가장 큰 보안 위협으로 ‘개인정보 및 내부정보 유출’을 꼽았다. APT 공격(19%) ▲모바일 위협(14%) ▲디도스(DDoS) 공격(10%) 등이 그 뒤를 이었다.
내달부터 개정 정보통신망법에 따라 시행되는 ‘인터넷상 주민번호 사용 제한 정책 시행 계획’도 새로운 보안 이슈로 등장할 전망이다.
관련기사
- 7월 첫 ‘정보보호의 달’…보안행사 ‘풍성’2012.07.02
- 모바일 보안 의식 수준↓...의식 강화 시급2012.07.02
- EBS, 개인정보 해킹만 벌써...2012.07.02
- 농협 또 전산망 장애...벌써 몇 번째?2012.07.02
끊임없는 보안사고가 발생하는 중에 보안 시장은 지난해 정부는 개인정보보호법을 제정하고, 공공기관의 보안관제 의무화(보안관제)한다는 내용의 법안을 발표하면서 두 배 이상 성장할 것으로 전망된다.
보안업계는 두 가지 보안 강화법안이 시행되면서 보안 시장이 확대될 것으로 기대했다. 관련법의 적용 대상자가 컨설팅 시장은 물론 중소기업과 소호까지 시장이 확대될 것으로 예상되기 때문이다.