국내 금융기관 전산망의 보안 취약성, 얼마나 심각한 걸까?
KAIST 정보보호대학원의 임채호 교수와 대학원생들로 이루어진 모의해킹팀은 국내 여러 기업을 대상으로 실제상황을 가정한 해킹을 진행해왔다. 그리고 그 결과는 늘 '위험수준'인 낙제점에 머물렀다.
과정은 이러하다. 모의해킹팀은 요즘 이슈가 된 APT 공격 방법과 유사한 악성코드를 포함한 이메일을 기업체 직원에게 발송한다.
이메일에는 지인으로 속이거나 직원이 관심 있어하는 정보가 포함되어 있어 보안의식이 결여된 직원들 대부분이 메일에 포함된 악성코드를 실행하게 된다.
악성코드는 백신 탐지를 피해 회사 내부망으로 침투하고, 모의해킹팀은 공격을 지속적으로 진행해 온라인 시스템 관리와 관련된 중요한 권한•정보 등을 획득한다.
실제 상황이었다면 전산망 장애로 인해 온라인 업무가 마비되거나 기업의 주요 정보가 유출될 수 있는 아찔한 상황이다.
이 시뮬레이션은 인터넷 뱅킹으로 하루 평균 33조원이 거래되는 한국 금융권의 취약한 보안상태를 여실히 보여주는 사례다.
임 교수는 “아무리 뛰어난 보안장비라도 그것을 사용하는 사람의 보안 의식이 결여되어 있으면 쉽게 우회가 가능하며, 대부분의 기업들에게서 이러한 현실을 확인할 수 있다”라고 말했다.
'IT 강국 = 해커들의 놀이터'
앞서가는 브로드밴드, 모바일 네트워크와 기술로 ‘IT 강국’이라 불리는 한국에서 금융 정보가 이토록 쉽게 노출될 수 있다는 것이 아이러니해 보인다.
그러나 무선인터넷과 브로드밴드의 사용자가 많아지고 그 속도가 빨라질수록 해커들이 침입할 수 있는 틈도 더 많아진다는 것을 인지해야 한다.
온라인이 일상생활에서 주는 편리함이 필연적으로 공격의 위험을 내포하고 있는 것이다.
글로벌 네트워크 보안 회사 파이어아이(FireEye) CEO 데이브 드월트(Dave DeWalt)는 “해커들은 고속인터넷 환경과 기술의 발전한 한국을 주목하고 있다”고 말했다.
그는 또 “엄청난 지적 재산, 경제 성장과 함께 한국은 세계 사이버 공격의 주요 타깃으로 부상하고 있다”고 덧붙였다.
지난 6월 25일부터 7월 1일 일어난 사이버 공격은 청와대 홈페이지를 포함한 총 69곳의 정부 기관, 언론사 및 다른 기관들에 전산망 장애를 가져왔다.
이 사건에서 총 250만 명의 새누리당 당원, 30만 군 장병, 청와대 20만 명의 개인 정보가 유출됐다. 3.20 사이버테러에서 농협과 신한은행을 포함한 국내 은행들과 언론사들이 악성코드를 이용한 비슷한 공격을 받은 지 불과 3개월이 지난 시점에 발생한 일이었다.
계속되는 사이버 관련 사고에도 정부와 국내 기업들은 안보 시스템에 대한 투자에 인색하다. 올해 정부의 정보보호 예산 2,400억원 중 사이버전력에 투입하는 예산은 100억원에 못 미친다.
인력부족도 문제제기가 지속적으로 이어진 부분이다. 국방부에 따르면 국내에서 사이버전(戰)을 전담하는 인원은 약 400명으로 3,000명의 전문 해커들을 육성하는 북한에 비해 현저히 낮은 숫자다. 이에 정부는 지난 7월 4일 2017년까지 사이버 안보 전문가를 5,000명까지 늘리겠다는 계획을 발표했다.
국제사회 '사이버 전쟁' 속으로
점점 사이버 공격은 국제적인 문제로 커져가고 있다. 지난 5월 28일 워싱턴포스트는 중국 해커들이 미국의 전투용 항공기와 미사일 방어체계를 포함한 주요 첨단 무기 정보를 해킹했다고 보도했다. 이는 중국이 최근 들어 국방기술 강화 목적으로 정부지원 해킹 시도들을 하는 것이 아니냐는 우려를 증폭시키는 사건이었다. 중국의 거침없는 행보를 예의 주시하고 있는 것은 미국만의 일이 아니다.
한국에서 일어나는 사건 중에도 중국 해커 또는 중국내 서버가 경유지로 악용된 사례들이 자주 발견됐다. 2011년 SK커뮤니케이션즈 및 현대캐피탈과 넥슨 등의 대규모 개인정보유출사고도 중국에서 공격이 시작된 것으로 알려졌으며 한국인터넷진흥원이 수집한 유해 트래픽의 근원지 IP를 살펴보면 중국이 53%로 가장 높은 비율을 차지했다.
중국은 한국의 최대 무역상대국으로 다수의 제조공장과 기업들이 진출해있으며 중국 기업들이 한국 기업을 포함한 세계 여러 글로벌 그룹들과 경쟁하고 있다. 이러한 환경 속에서 중국이 한국에서 빼낸 정보를 기업경영, 국방력 그리고 안보에 이르는 광범위한 영역에서 어떤 식으로 악용 또는 도용할지 모를 일이다.
“주요 기반시설에 대한 사이버 공격이 늘어나면서 사이버 방어력은 국가 안보의 필수적인 요소로 부상하고 있다”고 한국과학기술원(KAIST) 정보보호대학원 김명철 원장은 말했다.
중국 뿐 아니라 북한의 공격 또한 한국의 사이버 안보에 큰 위협이 되고있다.
전 함흥공산대학 컴퓨터공학과 교수이자 NK 지식인 연대 대표 김흥광씨는 한 언론과의 인터뷰에서 북한이 PC는 물론이고 스마트폰을 포함한 모바일 기기를 대상으로 한 해킹 등 적극적으로 사이버전력을 보강하고 있다고 말했다.
그는 “북한은 매년 300명의 사이버 전문가를 양성하며 사이버전력은 3.000명 정도일 것”이라고 말했다.
지능화된 사이버 공격, 보안은 제자리 걸음
한국이 사이버 보안 능력 강화에 소극적인 자세를 취했던 것에 반해 해커들은 백신을 우회해 전산망으로 침투하는 방법 등 새로운 기술을 선보이며 돌진하고 있다.
전문가들은 하루에 십 만개 이상의 새로운 변종 악성코드가 생겨나는 것으로 보고 있다.
KAIST 임채호 교수는 “악성코드는 사용자들이 많은 웹사이트에 대량으로 또 신속하게 퍼져갈 수 있으며 해커들은 이를 이용해 DDoS공격을 위한 좀비 PC로 만들거나 금융 정보를 빼낸다”며 “현재의 방어체계로는 지능화된 공격을 막기에는 역부족이다”라고 설명했다.
최근 해커들이 DDoS공격과 함께 자주 사용하는 수법에는 지능형지속가능위협(APT) 공격이 있다. APT는 허가 받지 않은 개인이 네트워크에 접근, 오랜 시간 체류할 수 있어 해커들이 정보를 빼내는데 용이한 방법이다.
로버트 렌츠 전(前) 미국 국방부 차관보는 “현재 전세계 많은 기업들이 APT 공격에 꼼짝없이 당하고 있다. 이제는 수동적인 방어에서 능동적인 대처로 패러다임을 바꿔야 한다”고 지난 10일 잠실에서 열린 국제 정보보호 컨퍼런스에서 말했다.
한국에서도 APT 공격은 눈에 띈다. 인포섹 신수정 대표는 “최근 APT나 타깃 공격은 기존의 방어체계로는 막을 수 없는 새로운 추세이다. 체계를 완전히 뜯어고쳐야 한다”고 말했다.
사이버안보종합대책, 취약점 해결할까
날로 커지는 사이버 안보에 대한 우려 속에서, 정부는 지난 4일 사이버안보종합대책을 마련했다.
미래창조과학부에 따르면 정부는 2017년 정보보호 산업 시장을 현재의 2배 규모인 10조 원으로 확대하고 사이버 안보 인력도 5,000명을 양성할 계획이다.
이 계획은 청와대가 사이버 안보 관련 사안의 컨트롤 타워 역할을 맡고, 국가정보원이 실무총괄 기능을 수행토록 했다.
그러나 일부 전문가들은 정부가 내놓은 대책에 회의적인 반응이다. 고려대 정보보호대학원 임종인 원장은 “세부적인 액션플랜이 없어서 정부가 이 계획을 어떻게 이행할지 의문이다”라고 말했다.
금융위원회는 11일 금융권 보안 시스템 대책을 내놓으면서 금융사의 내부 업무망과 인터넷망의 분리를 주문했다.
웹보안 전문 빛스캔 주식회사의 전상훈 이사는 “망 분리는 보안을 위한 기본 중의 기본이다”라면서 우리나라 기업들이 지금까지 보안을 정부의 규제로만 여겨왔지만, 이제는 ‘생존을 위한 필수적인 투자’임을 인식해야 하는 시기라고 강조했다.
(코리아헤럴드 박한나•임우정 기자)
<관련 영문 기사>
South Korea confronts uphill battle against hackers
Seoul maps out plan to beef up cyber security amid a rising wave of hacking attempts from North Korea and China
By Park Han-na and Im Woo-jung
How long does it take for hackers to break into the secure network of a commercial bank in South Korea?
A team from the Korea Advanced Institute of Science and Technology, under an agreement with the bank, managed to unlock its security protection in just a couple of weeks.
The simulated cyber attack, led by Lim Chae-ho, professor of information security at KAIST, worked as follows: When an official of the bank opened an email sent by the hackers, malware hidden in the email quickly infiltrated into the computers in the network, neutralizing the antivirus system and threatening to disrupt the bank’s data and service systems entirely.
The simulation, helped by three students, sheds light on how vulnerable South Korea’s financial industry is to cyber attacks in a country where the daily online banking transactions amount to about 33 trillion won ($29.3 billion).
“Any Korean companies or people could face cyber attacks if they lack security awareness even if they have great security solutions,” said Lim in an interview with The Korea Herald.
The real possibility of losing banking data to hackers goes squarely against the perception that South Korea is a technologically advanced nation with enviable broadband and mobile network infrastructure. But the country’s rich wireless and broadband resources are a double-edged sword because they offer more potential opportunities for hackers.
“Hackers have an eye on South Korea due to its high-speed Internet environment and advanced technology,” said Dave DeWalt, chief executive of FireEye, a global network security company. “With massive intellectual property and economic growth, Korea has emerged as a main target of worldwide cyber attacks.”
From June 25 to July 1 this year, a series of cyber attacks paralyzed 69 government offices, news outlets and other institutions including the website of the presidential office. The hackers stole a massive amount of personal data: 2.5 million members of the ruling Saenuri Party, 300,000 military personnel and 200,000 registered users of the presidential office’s website.
The latest cyber attacks took place just three months after the country’s major broadcasters and financial institutions were subject to similar attacks. In March, NongHyup and Shinhan banks suffered malfunctions due to malware thought to originate in North Korea.
Despite the continued attacks, Korean firms and government agencies do not invest in security systems aggressively. The government’s 2013 budget for information protection is just 240 billion won ($214 million), and less than 10 billion won of the annual security budget was allocated to strengthen cyber warfare capabilities, according to the report by the National Information Society Agency.
The lack of manpower is another problem. According to the Defense Ministry, Korea has only 400 experts in cyber warfare, far fewer than the 3,000 professional hackers nurtured by Pyongyang. To catch up, Seoul plans to increase the number of cyber security experts to 5,000 by 2017.
Cyber terrorism, a global threat
Increasingly, cyber attacks are carried out internationally. On May 28, the Washington Post reported that Chinese hackers accessed the secret designs of major U.S. weapons systems including combat aircraft and advanced missile defenses. It is feared that China is rapidly strengthening its defense technology through state-sponsored hacking.
China is also known as a notorious source of hacking attacks in South Korea. Chinese hackers -- or hackers using Chinese networks to hide their real locations -- are speculated to have spearheaded the major cyber attacks on South Korea over the past few years.
For instance, the massive leak of personal information in 2011 involving SK Communications, Hyundai Capital and Nexon reportedly started in China. Research conducted by the Korea Internet & Security Agency showed that 53 percent of the hacking sources originated in China.
China is Korea’s biggest trading partner and hosts a number of manufacturing plants for South Korean firms. Chinese companies are also competing with Korean rivals in diverse markets around the world, and it is anybody’s guess how stolen data from Korea are being exploited for unfair business, military and security purposes.
“Cyber defense capability has emerged as vital to national security due to increasing number of cyber attacks against major infrastructures,” said Kim Myung-chul, dean of KAIST’s Graduate School of Information Security.
Along with China, North Korea poses a serious cyber-related challenge to South Korea. Kim Heung-kwang, former professor at Pyongyang Computer Technology University and member of the North Korea Intellectuals Solidarity group, said that the North was aggressively pursuing cyber warfare capability including attacks on smartphones and other mobile devices, plus hacks into personal computers.
“Pyongyang trains 300 cyber experts every year and some 3,000 hackers are now working for four cyber warfare units,” the North Korean defector said.
Evolution of cyber attacks
While South Korea remains passive in beefing up its security solutions, hackers are sprinting forward with new technologies that could easily cripple antivirus software and inflict far greater damage. Experts said over 100,000 new strains of malware are created every day.
“Malware can be massively spread to all users of websites very quickly, and then hackers could use the infected PCs as zombie computers for Distributed Denial of Service attacks or to steal financial data,” said Lim Chae-ho of KAIST.
“The existing defense solutions are not powerful enough to respond to such sophisticated attacks.”
Hackers now prefer what is called “advanced persistent threat,” or APT, together with DDoS in their assaults. APT allows an unauthorized person to gain access to a network and stays there undetected for a long period of time, so that hackers can steal data more effectively.
“Nowadays many conglomerates in the world are helplessly attacked by APT. We need a paradigm shift from passive to active defense,” said Robert F. Lentz, former deputy assistant secretary of defense at the International Conference on Information Security held in Seoul on July 10.
Korea remains fully exposed to APT attacks.
“The existing security solutions cannot block APT attacks, so we need a new protection system,” said Shin Soo-jung, CEO of information security firm Infosec Co.
Amid growing concerns over cyber security, the Korean government announced a comprehensive national cyber security plan on July 4. Under the plan, policymakers plan to double the size of the domestic information security market to 10 trillion won ($8.76 billion) by 2017, according to the Ministry of Science, ICT and Future Planning.
The ministry also said it would provide systematic training to nurture 5,000 cyber security experts. Cheong Wa Dae will act as a control tower of cyber security and the National Intelligence Service will handle working-level affairs.
Some experts, however, are skeptical of the government plan.
“Since there is no detailed action plan, it is questionable whether and how the government will implement the project,” said Lim Jong-in, professor of information security at Korea University.
The nation’s financial regulator also announced a cyber security plan on July 11. The Financial Services Commission will require banks to build a two-pronged network system to avert cyber attacks.
“Separating the network system into two partitions is the very basic for strengthening security,” said Jeon Sang-hun, CTO of Bitscan Inc. He said that enterprises here have considered cyber security as a part of the government’s regulation, but it’s time for them to realize that security is a vital investment for survival.
(
hnpark@heraldcorp.com) (
iwj@heraldcorp.com)