올해 하반기는 전반적으로 랜섬웨어 등 주요 사이버공격이 거세지는 가운데, 보안이 미비한 것으로 분석되는 클라우드 환경, 중소기업 등이 많은 피해를 입었다. 이전부터 보안이 부실하다는 우려가 제기됐던 스마트홈 인프라를 통한 대량 정보 유출이 발생해 '소 잃고 외양간 고치기' 식의 보안 대처가 이뤄지기도 했다.
정보 주체가 능동적으로 개인정보를 관리하는 '마이데이터' 도입, 글로벌 법제와 궤를 같이 하는 과징금 규정 도입 등의 내용을 담은 개인정보보호법 정부개정안도 하반기 국회에 제출돼 입법 절차를 밟고 있다.
최근에는 '역대 최악'이라는 평가를 받을 정도로 심각성과 여파가 큰 취약점 '로그4쉘'이 발견돼 국내외 보안업계가 피해 예방을 위해 분주히 움직이고 있다.
■랜섬웨어 공격 지속 증가…피해 상당수가 중소기업
올 상반기 활발했던 랜섬웨어 공격이 하반기에도 꾸준히 나타난 것으로 확인됐다.
지난 10월 글로벌 보안 기업 체크포인트는 매주 전세계 조직 61곳 중 한 곳 꼴로 랜섬웨어 공격을 받는 것으로 조사됐으며, 전년 대비 공격 빈도가 9% 상승했다고 밝혔다.
한국 조직 대상 공격 건수는 주간 평균 592건으로, 전년 대비 52% 늘면서 글로벌 추이보다 훨씬 큰 증가세를 보였다.
공격 건수가 증가하면서 피해 건수도 급증했다. 과학기술정보통신부는 국내 랜섬웨어 침해사고 건수가 지난 2019년 39건 대비 작년 127건을 기록해 325% 급증했으며, 특히 상대적으로 보안 투자 여력이 부족한 취약한 중소기업 대상 사고가 137건을 차지했다.
랜섬웨어 피해 증가세를 고려해 정부는 ‘랜섬웨어 대응 강화방안’을 수립했다. 피해가 집중적으로 나타나는 중소기업을 지원하기 위해 클라우드 또는 하드웨어 기반 데이터 백업 및 데이터 암호화, 데이터 복구가 가능한 '데이터 금고'를 지원키로 했다. 메일보안, 백신, 탐지‧차단 소프트웨어(SW)도 무료 제공했다.
■아파트 거실 영상이 다크웹에…정부, 뒤늦게 보안 대책 추진
지난 11월 아파트 700여곳의 월패드 카메라가 해킹돼 거주민의 사생활 영상이 다크웹에 대량 유출된 사실이 알려지면서 월패드를 비롯한 스마트홈 기기에 대한 보안 문제가 화두로 떠올랐다.
이에 과학기술정보통신부는 지난 2일 국토교통부, 산업통상자원부와 함께 마련한 '지능형 홈네트워크 설비 설치 및 기술 기준' 고시 개정안을 스마트홈 업계를 대상으로 안내했다. 여기에는 세대 간 망분리, 홈네트워크 설비에 대한 보안 요구사항 준수 등의 내용이 담겼다.
보안 대책이 다소 뒤늦게 추진됐다는 목소리가 나왔다. 월패드 정보 유출 사태가 알려지기 전에도 스마트홈 보안 문제는 몇 년 전부터 꾸준히 지적됐기 때문이다.
문제점을 인식해 정부는 해당 고시 개정 작업을 올초부터 진행해왔으나, 스마트홈 기기 제조사들의 반발로 지난 9월 초안을 전면 재검토하기로 한 뒤 월패드 정보 유출 사고가 주목을 받았다.
정부는 고시 개정안을 이달 또는 다음달 공포할 계획이다. 공포 후 6개월 뒤 고시가 시행될 전망이다. 다만 보안 강화를 요구하는 고시 개정안이 신축 아파트에만 의무 적용되기 때문에 추후 유사한 보안 사고가 터질 수 있다는 비판적인 시각도 존재한다.
아파트 설비 자동제어시스템이 해킹된 사실도 알려졌다. 지난 3일 국가정보원은 해외 국가 대상 해킹 공격에 악용된 국내 IP 정보를 입수, 분석 조사해 이같이 밝혔다. 해킹된 시스템은 해외 40개 국가 소재 인터넷 서버를 공격하는 경유지로 활용됐다.
■원격근무로 사용 는 '클라우드', 보안 구멍으로
코로나19 유행 이후 원격근무가 확산되면서 클라우드 기반의 업무 체계로 전환한 기업들이 늘어났다. 글로벌 보안 기업 팔로알토네트웍스에 따르면 향후 1년 내 기업 중 94%가 하이브리드 업무 환경 모델 도입을 고려한다고 답했다. 향후 24개월 내 71%는 보안 환경을 클라우드로 완전히 이전할 계획인 것으로 조사됐다.
그러나 보안에 대한 충분한 고려 없이 방역 차원에서 클라우드 및 원격근무가 도입됨에 따라 기업들이 관련 보안 사고를 겪는 경우도 많아졌다. 개인정보보호위원회 제재 사례를 살펴보면 야놀자, 스타일쉐어, 집꾸미기, 스퀘어랩, 샤넬코리아 등 기업은 클라우드를 사용하다 개인정보 유·노출이 발생했다.
실제로 지난 9월 IBM 에 따르면 클라우드에서 배포된 애플리케이션에서 발견된 취약점 수는 지난 5년새 150% 급증했으며, 심각도도 보다 심화됐다.
클라우드 환경을 노린 공격은 점차 고도화되고 건수도 증가할 것으로 예상된다. 글로벌 데이터 보호 기업 아크로니스는 내년 사이버위협을 전망한 보고서를 통해 전문 서비스 자동화, 원격 모니터링 관리 등의 관리 도구가 사이버 범죄에 사용되는 사례가 늘어남에 따라 매니지드서비스사업자(MSP)가 공격을 받을 가능성이 높다고 전망했다.
■국회 간 '개인정보법' 개정안…연내 통과될까
지난 9월28일 국무회의에서 개인정보보호법 2차 개정안이 의결돼 국회에 제출됐다. 개인정보보호법 2차 개정안은 ▲법 위반에 따른 과징금 산정 기준을 '위반 행위 관련 매출액'에서 '전체 매출액'으로 전환 후 최대 3% 이하로 부과 ▲위반에 따른 형사처벌 제재를 과징금 등 경제벌 위주로 전환 ▲사전 동의 외 적법한 개인정보 처리 요건 다양화 ▲마이데이터 법적 근거인 개인정보 이동권 도입 등을 주요 내용으로 담고 있다.
국회 정무위원회는 2차 개정안을 법안심사소위원회에서 논의 중이다. 의원 발의안 28개와 병합하는 작업을 거치고 있다.
당초 개인정보보호위원회는 연내 해당 법안이 통과되도록 준비하고 있다고 밝혔다. 다만 법안 병합 작업이 원활하게 이뤄질 지는 미지수다. 과징금 기준이 높아지는 것에 대해 산업계에서 지속 반발하고 있고, 개인정보를 데이터로서 활용하는 제도에 대해 시민단체들은 우려 의견을 나타내고 있기 때문이다.
■거의 모든 인터넷 서버에 쓴다는 '로그4j' 취약점 등장
지난 10일 아파치 재단이 개발한 자바 기반 오픈소스 로깅 라이브러리 '로그4j'에서 심각한 취약점이 발견되면서 국내외 사이버보안 관련 기업, 기관들이 대응에 서두르고 있다.
로그4j는 기업 홈페이지 등 인터넷 서비스 운영, 관리 목적의 로그 기록을 남기기 위해 거의 모든 웹서비스에서 사용된다. 발견된 취약점의 심각도가 치명적이고, 악용 난이도가 낮다는 게 보안업계 평가다. 취약점 등급 시스템(CVSS) 점수도 10점 만점에 10점을 받았다.
취약점 발표 이후 공공 분야 사이버보안을 담당하는 국가정보원은 긴급 점검을 실시했다. 민간 분야를 담당하는 과학기술정보통신부도 주요 기업들에 보안 업데이트를 권고하고 과기정통부는 주요정보통신기반시설을 긴급 점검, 로그4j 2를 사용하는 시스템에 보안 패치를 조만간 완료할 계획이다.
관련기사
- "모든 인터넷 서버 위험"…로그4j 취약점에 보안업계 비상2021.12.12
- 요즘 먹히는 해킹 '공급망 공격'…"뚫리면 속수무책"2021.03.02
- 아파트 사생활 영상 유출 논란…정부, 월패드 망분리 의무화 재추진2021.11.26
- 해커도 익숙해진 '원격근무'…VPN 의존하니 정보 탈탈2021.08.07
해커들도 이번 취약점에 바로 주목했다. 글로벌 보안 기업 체크포인트는 취약점 공격 127만여건을 포착했다. 암호화폐 채굴 악성코드, 랜섬웨어, 미라이 봇넷, AWS 접근 키 유출 등의 공격 수단으로 악용하려는 시도들이 발견됐다.
국내 보안업계도 로그4j 관련 공격이 포착됐다고 보고했다. 업계 관계자는 “서비스, 제조, 금융, 게임 등 다양한 분야의 조직을 대상으로 로그4j 취약점을 악용한 공격 시도가 많이 탐지 되고 있다"며 "대다수의 이벤트가 로그4j 이벤트로 확인됐다”고 말했다.