![[취재파일] 반쪽짜리 금융사 해킹 방지 대책](http://img.sbs.co.kr/newimg/news/201105/200467447_1280.jpg)
금융위원회 발표 이후 일감이 늘어날 것이란 기대로 보안업체 주가가 상승세를 보이기도 했습니다. 하지만 이 정도 대책으로 금융사 해킹이 줄어들 것이란 생각은 들지 않습니다.해킹 사고의 다른 한 축에 대한 대책을 제대로 만들지 않았기 때문입니다. 누구나 뚫릴 수 있는 기술적, 현실적 한계가 있는데도 해커에 대한 처벌 강화가 "마련한다" 는 수준에 그쳤다는 것이 이유입니다.
일본의 다국적 회사 소니는 지난 4월 자기 회사의 플레이스테이션 네트워크가 처음으로 해커들에게 공격을 받은 뒤 지금까지 무려 20번째 해킹 공격을 받고 있습니다. 일본 비디오 게임 개발업체 '세가'도 해킹 공격으로 130만명의 개인정보가 유출이 됐습니다. 이 밖에도 많은 다국적 기업과 IMF 같은 국제기구, 미국 정부도 해킹 공격을 받고 있습니다.
이런 곳들이 보상 방지 대책이 없거나 CEO에게 처벌을 묻지 않아서 해킹을 받는 것이 아닙니다. 어느 곳이든 해킹에 안전하지 않다고 보는 것이 더 현실적인 인식입니다. IT보안업체 인포섹의 신수정 대표는 "미국의 정보기관에서 최고의 보안 전문가들을 통해 모의 해킹 시험을 했더니 공격 대상 가운데 65%가 침투에 성공을 했고, 관리자들이 발견한 경우는 그 가운데 4%에 불과했다" 고 소개했습니다. 막는 쪽에만 책임을 묻는 것으로는 한계가 있을 수 있는 부분입니다.
미국 정부가 지난 달 국가안보를 위협하는 해커에게 최고 20년형을 선고할 수 있도록 하고, 민간 컴퓨터에 침투한 경우는 10년형으로 각각 형량을 2배 늘린 것도 해킹 시도를 하는 쪽에 대한 처벌 강화가 필요하다는 인식 때문일 것입니다.
우리 나라의 경우 해커, 특히 악의적인 해커인 크래커가 받는 처벌 수준이 어떨까요? 현행 정보통신망법은 무단으로 다른 사람의 정보통신망에 침입하면 3년 이하 징역 또는 3천만원 이하 벌금을 받게 됩니다. 하지만 실제 법원의 판결은 형량보다 상당히 관대한 편입니다.
서울지방법원은 경쟁 도박사이트에 디도스 공격을 퍼부은 혐의로 기소돼 '사이버 조폭' 이란 이름까지 붙었던 해커들에 대해 "잘못을 뉘우치고 있다" 며 집행유예를 선고했습니다. 과거 근무했던 업체의 홈페이지를 해킹하고 각종 자료를 삭제한 35살 김 모씨에 대해선 징역 1년에 집행유예 2년을 선고했습니다. 지난 번 현대캐피탈 해킹 사건을 주도한 해커 신 모씨는 이미 다음커뮤니케이션을 해킹했던 전력이 있지만 2년도 못 살고 나와서 필리핀으로 간 뒤 그 곳에서 '마음놓고' 해킹을 하고 있습니다.
IT보안 업계에서는 이런 크래커(블랙 해커) 외에 Gray Hacker도 잠재적으로는 어느 순간 위험 인물로 바뀔 수 있는 대상으로 보고 있습니다. 해킹을 할 줄도 알면서 어느 정도 윤리의식을 갖추고 있는 해커들을 말하는데 일부는 낮에는 보안업체나 일반 업체에서 보안전문가로 일하고 밤에는 특정 사이트를 해킹하는 경우도 있다고 합니다. 결국 범죄를 일삼는 해커들은 솜방망이 형량만 살고 나와서 본격적으로 활동하고 있고, 이런 솜방망이 형량은 언제든 블랙 해커로 변할 수 있는 사람들에게 전혀 억제 효과를 발휘하지 못하고 있는 현실이라는 겁니다.
이런 상황에서 금융사의 보상 대책 강화나 CEO 징계만을 강조하게 될 경우 어떤 현상이 생길 수 있을까요? 아마 금융회사들이 해커들의 금전적 요구 협박을 받았을 때 적당히 돈으로 무마하려는 유혹에 빠지기 쉬울 것입니다. 적극적인 신고와 협조로 해커를 잡을 경우 금융회사의 책임을 어느 정도 덜어주는 인센티브가 있고 잡힌 해커는 중한 처벌을 받게 된다는 것을 분명히 인식시켜주지 않는 한 말입니다. 해킹에 대한 지식이 많지 않더라도 손쉽게 인터넷 사이트에서 해킹 프로그램을 구할 수 있고 장난삼아 해킹을 하는 청소년들까지 늘면서 경찰청이 집계한 청소년 사이버 범죄 입건 비율이 3년 만에 5배인 19.5%까지 늘고 있는 상황에서 지금과 같은 환경이라면 얼마든지 있을 수 있는 일이라고 봅니다.
기술적으로도 일부 IT 보안 전문가들은 이번 정부의 해킹 방지 대책에 구멍이 있다고 지적합니다. 선진국들은 갈수록 인터넷 사이트를 운영하는 업체들이 안전한 사이트라는 것을 사용자들에게 보증하도록 하는 '국제표준보안기법' 을 늘려가고 있는데 우리 나라는 금융회사 사이트에서 보안 프로그램을 사용자 컴퓨터에 깔아서 조사하는 방식을 택해 해커들의 공략 대상이 될 수 있다는 겁니다. 쉽게 말해 은행이나 증권사 사이트에 접속하면 방화벽, 키보드 해킹 방지 프로그램 등을 계속 설치하게 하는데 이미 해커들은 그 설치 프로그램으로 위장한 해킹 수단을 만들어 활용하고 있기때문에 그런 방식보다는 아예 이 사이트는 믿을만 하다는 보증을 스스로하도록 만드는 '국제표준보안' 방식을 따라가야 한다는 겁니다.
사생활 침해 문제로 다소 논란이 있긴 하지만 미국은 지난 달 '사이버 안보 입법 제안' 을 발표하면서 금융회사, 민간 소유 전력망 등에 대한 사이버 공격도 정부가 국가안보차원에서 지원하는 방안을 추진하고 있습니다. 해커에 대한 처벌 강화 대책과 같이 말입니다. '왜 해킹을 못 막았냐? 너희에게 책임을 묻겠다' 는 수준만으로는 진정한 대책이 될 수 없다는 점을 인식하고 있기때문으로 보입니다. 검찰 발표 대로라면 '적국'인 북한에게 농협이라는 금융망까지 뚫린 우리나라인데 정부가 내놓은 대책은 왜 이렇게 반쪽짜리 인지 모르겠습니다.
동영상 기사
동영상 기사
