2014년 한해를 떠들썩하게 만든 보안 10大 장면
boannews.com2015 국가정보보호백서에 엄선된 정보보호 10대 이슈 살펴보니...
카드사·통신사 고객유출로 시작해 한수원 사태로 마무리한 2014년
[보안뉴스 민세아] 과거 대규모 보안사고는 홀수해에 주로 발생했기 때문에 많은 사람들이 2014년은 순탄할 것이라 기대 섞인 전망을 했다. 그러나 이런 예상을 뒤엎듯 2014년은 개인정보 유출사건과 해킹 공격이 끊이질 않았다.
2014년 1월 발생한 카드사 고객정보 유출사건으로 인해 우리나라 국민들은 정보보호의 중요성에 대해 다시 한번 깨달을 수 있었다. 그 만큼 충격적인 사건이었다.
그렇다면 2014년 한해 동안 사건사고를 비롯한 국내 주요 정보보호이슈는 무엇이었을까? 국가정보원, 미래창조과학부, 방송통신위원회, 행정자치부가 공동으로 발간한 ‘2015 국가정보보호백서’에서는 정보보호 전문가들의 의견을 수렴해 2014년의 국내에서 주요 관심사로 떠오른 정보보호 10대 이슈를 선정·발표했다. 그 내용을 요약해서 소개한다.
1. 카드사 및 통신사 고객정보 유출
1월이 채 지나지도 않아 발생한 카드3사 대규모 고객정보 유출사건은 카드사 협력업체 직원이 약 1억 4천만 건의 고객정보를 대출광고업자 등에게 팔아넘긴 사건이다. 이 사건으로 인해 주민번호 등 고유번호에 대한 국민들의 신뢰가 바닥을 쳤다.
통신사 고객정보 유출사건은 통신사 홈페이지 해킹으로 약 1천 2백만 명의 개인정보가 유출된 사건이다. 해당 통신사는 중요 입력정보가 일정 횟수 이상 틀렸을 때 조회를 정지하는 시스템이 없었다.
2. 개인정보 정상화 대책
카드사 개인정보 유출 사건을 계기로 개인정보 관리에 대한 근본적인 대책을 마련하기 위해 2014년 7월 정부는 국가정책조정회의를 열어 ‘개인정보보호 정상화 대책’을 발표했다.
이는 개인정보 범죄 처벌강화 및 개인정보 유출 피해구제를 위한 것으로, 개인정보 유출 시 피해자가 쉽게 구제받을 수 있도록 하고, 기업이 개인정보보호를 소홀히 할 경우 시장에서 퇴출될 수 있을 정도로 유출 기관에 확실히 책임을 묻는 징벌적 손해배상 제도가 도입됐다.
3. 한국수력원자력에 대한 사이버 공격 시도
2014년 12월 국가 주요기반시설인 한국수력원자력(이하 한수원)에 대한 해킹 공격으로 내부자료가 유출됐다. ‘원전반대그룹’을 자칭한 해커조직은 퇴직자 계정 55개를 이용해 한수원 임직원들에게 개별파일 파괴, 트래픽 증가를 이용한 네트워크 공격, 하드디스크 지정 시각 파괴 기능을 수행하는 악성코드가 첨부된 이메일을 발송했다.
또한 해커조직은 소셜네트워크 등을 통해 여러 차례 원자력 발전소의 도면과 안전성 분석 보고서, 직원 1만여 명의 개인정보 등의 내부자료를 공개했다.
4. 주민등록번호 수집 금지
이전에는 온라인이나 오프라인 회원가입 시 주민등록번호를 알려줘야 했지만 2014년 8월부터 개정 ‘개인정보보호법’이 시행되면서 일부 예외경우를 제외하고는 개인정보처리자의 주민등록번호 수집이 금지됐다.
기존에 보유한 주민등록번호는 모두 파기하고, 생년월일이나 아이핀(i-PIN)등으로 개체해야 한다. 이를 위반할 경우 3천만원 이하의 벌금이 부과된다.
5. 윈도우XP의 기술지원 종료에 따른 보안위협 이슈
마이크로소프트(MS)사는 2014년 4월부터 윈도우XP 운영체제에 대한 기술지원을 중단하겠다고 밝혔다. 이에 따라 윈도우XP에 대한 추가 업데이트나 최신 드라이버 지원, 온라인 기술지원 및 취약성에 대한 보안패치도 더 이상 지원되지 않는다.
금융감독원의 조사 결과 금융회사의 상당수 단말기 및 CD, ATM 기기가 윈도우XP 이하의 버전을 사용 중인 것으로 알려졌다. 윈도우XP를 계속 사용할 경우 각종 바이러스나 스파이웨어, 악성코드 등 보안 위협에 노출될 가능성이 크게 높아진다.
6. 사물인터넷 정보보호 이슈 및 로드맵 발표
사물인터넷의 보안위협은 기존 정보유출이나 금전탈취 수준을 넘어서 사람의 생명을 위협할 수 있을 만큼 치명적이라는 전망이다.
이에 정부는 △사물인터넷 보안 환경 조성을 위해 홈, 가전, 의료, 자동차 등 7대 산업 분야에 보안을 내재화하는 계획 △사물인터넷 보안 선도기술 개발 위한 3계층 9대 핵심 원천기술 개발을 추진하는 ‘시큐어 Dome 프로젝트’ △사물인터넷 보안 산업 경쟁력 강화를 위한 사물인터넷 전문기업 육성 및 융합보안 인력 양성 계획이 담긴 ‘사물인터넷 정보보호 로드맵’을 2014년 10월 수립했다.
7. 모바일 악성앱 진화
기존 단순 피싱 사이트로 사용자를 연결시킨 악성앱의 초기 형태는 감소하고, 공인인증서 파일 및 사용자 스마트폰 내의 금융정보를 탈취하거나 문자메시지를 이용한 소액 결제를 노리는 형태가 많아졌다.
정상 은행앱을 삭제하고 악성앱으로 교체하는 형태인 ‘뱅쿤(Bankun)’류가 증가하고 있으며, 악성앱 유포방식도 기존 스미싱을 이용한 방식에서 공유기 DNS 변조, 공식 앱마켓을 통한 유포 등으로 다양해지고 있다.
8. 스미싱·피싱·파밍 공격 위협 증가
모바일 뱅킹 사용자가 급증함에 따라 모바일 뱅킹 4천만 시대에 돌입했다. 그러나 이와 함께 전자 금융 범죄도 급증하고 있다. 정부 발표에 따르면 지난해 피싱·스미싱·파밍 차단 건수는 1만 5천 470건인 것으로 드러났다.
9. 전자상거래 규제 완화와 보안 확보 이슈화
정부가 2014년 7월 ‘전자상거래 결제 간편화 방안’을 발표하면서 8월부터 공인인증서 의무사용이 폐지되고, 전자지급 결제대행(PG)사의 카드정보 저장이 허용됐다. 또한, 금융회사가 공인인증서를 대체할 수 있는 보안·인증 수단을 자율적으로 결정하도록 허용하면서 규제 완화와 정보보안이 조화를 이룰 수 있을 것인지 향후 행보가 주목되고 있다.
10. 정보보호 인력 양성·채용체계 개선
늘어나는 개인정보 유출사고와 고도화되는 사이버위협에 대응하기 위해 정부는 2014년 6월, 공무원 전산직렬에서 ‘정보보호 직류’를 신설한다고 밝혔다. 2014년 10월에는 ‘정보보호 직류’ 시험과목 선정을 위한 공청회를 개최하고 시험과목(안)을 발표했다.
같은 달 정부는 국가·공공기관 정보보안 인력의 교육 및 훈련을 위한 ‘사이버안전훈련센터’를 개소했다. 사이버안전 훈련센터는 현업에 즉시 활용할 수 있는 정보보안 인력을 양성하기 위한 목적이다.
[민세아 기자(boan5@boannews.com)]