영국 정부가 사이버범죄와의 전쟁을 국가에 중대한 위협을 끼치는 최고 3대 요인 중 하나로 꼽으며 사이버보안이 2011년에도 가장 큰 화두가 되었다 할 수 있어 관련 사례를 정리해 아직 해결되지 않은 사이버보안의 대비책과 미래를 조망해보고자 한다.
대기업들을 대상으로 삼은 고강도 해킹사례가 수 차례 발생한 것은 물론이고, 소위 `핵티비즘` 이라 불리우며 정치적.사회적 목적을 실행하기 위해 자신과 뜻을 달리하는 정부, 기업, 단체, 조직 등의 웹사이트를 해킹하여 정보를 빼내는 행위도 만연하였던 것으로 나타났다.
2011년을 정리하며 가장 보안성에 중대한 위협을 끼쳤던 사례를 알아보면 다음과 같다;
1. RSA社의 해킹
외장스토리지(저장장치) 업체인 EMC社의 보안전신을 담당하고 있는 RSA社가 지난 3월 해킹당한 사실을 공식적으로 발표하였다. 이는 해커들이 사내 2개 그룹의 임직원들에게 `2011년 인력수급계획`이란 제목의 이메일을 보낸 것을 시작으로, 이메일에 첨부된 엑셀파일을 열어봄과 동시에 파일 내부에 저장되어있던 플래쉬무비 파일 속에 숨겨져있던 말웨어가 기업 내 전자 네트워크로 침투되어 해당 기업은 해킹에 노출되게 된 것이라 볼 수 있다.
해당 사태로 말미암아 RSA社는 대략 4천만 파운드의 잠정적 피해를 입은 것으로 집계하였는데, 3월 이후인 두 달 만에 RSA社의 고객이자 방위산업체인 록히드마틴사 또한 해킹에 노출된 것으로 드러나 사태는 심각성을 드러내기 시작하였다고 한다.
RSA 공격에 대한 분석을 담당한 전문가들에 따르면, 특정 고객으로부터 방위산업에 대한 정보를 빼내기 위해 특수하게 고안된 공격이었다는 점에 주목해야 한다고 밝혔다. 한 번의 클릭으로 4천만 파운드의 손실을 입을 수 있는 상황이 이제 현실에서 발생할 수 있는 바, 사용자들의 각별한 주의가 요구된다 할 수 있다.
2. Sony社의 해킹
지난 4월, 글로벌기업인 Sony社 또한 핵티비즘 그룹인 Anonymous에 의해 해킹공격을 받는 사례가 발생하였다.
공격을 받은 직후, 자사에서 운영 중인 PlayStation 네트워크를 차단하기에 이르렀지만, 이러한 사태수습은 결국 자사의 디지털보안 대응능력이 매우 열악하다는 사실을 뒷받침해줄 뿐이었다. 사건이 발생한지 일주일이 지나서야 고객들에게 공지문을 보내 1억 명에 이르는 고객들의 기록들이 유실되었으며, 여기에는 신용카드정보 또한 포함되어있다는 점을 발표하기에 이르렀다.
3주라는 복구기간이 걸려 재가동된 PlayStation 네트워크는 수 천 명에 달하는 고객들이 자신의 비밀번호와 개인정보를 바꾸는 사태를 야기시키며 혼란을 초래하기도 하였다고 한다. 결국 Sony社는 최고정보보안관리자를 새로이 영입하면서 보안성을 확립해나가겠다는 의지를 고객들에게 내비추며 사과의 뜻을 전하였다고 한다. [출처: http://www.computing.co.uk/ctg/news/2107468/sony-hires-security-chief]
3. 영국의 사이버보안 전략
지난 10월, 영국 정부는 국가의 사이버안보능력을 강화시키기 위해 6억 5천만 파운드의 비용을 들여 디지털안보체계를 확립해나가겠다는 뜻을 밝혔으며, 4개년 프로젝트로 진행될 것이라는 점을 밝혔다.
이어 2011년 12월 정부는 어떠한 방식으로 자금이 운영될 것인지에 대한 세부계획을 발표하였으며, `국가사이버보안전략`을 공공에 배포하여 사이버보안의 허브를 구축하여 공공기관과 민간기관 사이에 안전한 정보를 공유할 수 있는 최적의 보안채널을 만들어내겠다는 의지를 보이기도 하였다.
또한 기존에 외부로 노출되지 않고 활동해왔던 정보통신사령부 기술의 일부를 상업적으로 사용할 수 있는 방안도 마련해 볼 예정이라고 밝히기도 하였으나, 현재까지 사이버안보전략이 구체적으로 어떤 방식으로 공공기관의 사이버보안성을 높일 수 있을 것인지에 대한 방안이 마련되지 않아 추가적인 작업이 필요한 것으로 보인다.
현재 영국의 사이버보안전략이 전문가들로부터 통일성이 부족하고 다소 혼잡스러우며, 비효율적인데다 제대로 실행될 수 있을지에 대한 의문이 지속적으로 발생하고 있는 바, 향후 정부 차원에서의 단계적인 실행방안 마련을 통해 효율적인 보안체계를 구축할 수 있을지 그 귀추가 주목되는 시점이라 할 수 있다.
출처: 경기과학기술진흥원
자료출처: computing.co.uk