해마다 개인정보 침해 사례가 증가하면서 ‘개인정보 유출피해 불감증’이 확산되고 있다. 방송통신위원회 통계자료에 따르면 개인정보 침해 건수는 2003년 1만 7,777건에서 2012년 16만 6,801건으로 증가했다. 블랙 해커는 정부 기관뿐 아니라 일반인의 개인정보를 노리거나 중소기업의 서버와 민간 PC를 해킹하기도 한다. 블랙 해커가 어떤 의도로 민간 PC와 정부기관을 해킹하는지, 또 이를 막기 위해 정부 기관과 대중은 어떠한 노력을 하는지 살펴봤다.

인터넷 카페로 정보 공유

  해킹 피해자들은 스스로 ‘디도스 공격 방어전문가 및 피해자 모임(디도스 피해자 모임)’, ‘화이트해커&보안전문가’ 등 인터넷 카페에 모여 해킹 피해를 막기 위해 정보를 공유하기도 한다. 디도스 피해자 모임은 정보보안 업체와 제휴해 모임에 업체의 기술과 상품을 알리는 대신 업체가 피해자들의 사례를 상담하고 진단하는 역할을 한다. 디도스 피해자 모임 카페에 ‘운영하는 인터넷 쇼핑이 디도스 공격을 받았다’는 피해 사례를 올리자 한 전문가는 ‘서버 이전이 곤란하고 즉각적인 대응이 필요하다는 인터넷 쇼핑 서버의 특징을 고려해 공격이 발생하는 달만 집중방어하고 이후는 콘텐츠전송 네트워크(Contents Delivery Network)를 쓰는 안티 디도스와 CDN 모드가 결합한 모델을 권고한다’고 답했다. ‘ㅇ’ 정보보안업체 이수민 전문상담원은 “해킹 피해가 일반인에게도 확산되면서 사람들의 정보보안 기술에 대한 관심이 커졌다”라며 “카페에서 디도스 공격 피해 사례를 접수받아 악성코드를 분석하고 방어를 위한 기술을 진단해준다”고 말했다.

  정보보호 지식을 배우려는 사람들이 모인 카페인 ‘화이트해커&보안전문가’는 피해 사례 문의와 더불어 회원 간 해커 동영상 강의를 공유하기도 한다. 박상연 운영자는 “해킹 사례 상담뿐 아니라 정보보안 분야의 취업을 상담해주기도 한다”며 “기본적인 해킹 지식을 다루는 동영상을 올려 일반인도 정보보안에 대한 지식을 가져 피해를 최소화하게 돕는다”고 말했다.

  디도스 피해자 모임에서 카페 회원들은 디도스 공격을 방어하기 위한 장비를 공유하기도 한다. 디도스 전문 기업인 ‘R’의 제품을 ‘제품 설치가 쉬워 관리자 교육이 쉽고 비교적 저렴한 구매 비용이 든다’며 추천하는 회원이 있는 반면 ‘제품 성능이 낮고 다른 제품에 비해 시스템 처리 속도도 느리다’며 단점을 알려주는 회원도 있다. 안티 디도스 신제품에 대한 기사를 올려 정보를 공유하기도 한다. 김형중(정보보호대학원) 교수는 “비전문가가 무차별적 공격으로 서버를 과부하 시키는 디도스 공격을 당할 시 디도스 차단 장비를 이용하면 효과적이기 때문에 카페 회원끼리의 정보 공유는 큰 도움이 될 것”이라며 “서버가 감당하지 못할 정보량은 장비를 통해 날려버리거나 따로 보관해 이후 처리하게 한다”고 말했다.


노출 쉬운 민간PC, 경각심 필요

  블랙 해커는 보안에 취약하고 해킹 사실이 잘 드러나지 않아 민간 PC를 표적으로 삼는다. 민간 PC는 해커가 쉽게 접근할 수 있어 장난을 치고 싶은 해커의 심리와 호기심을 충족시킬 수 있다. 김승주(정보보호대학원) 교수는 “블랙 해커의 심리는 금전적 이득 취하기, 우월의식 등 명예욕 느끼기, 해커 사이의 경쟁에서 이기기 등이 있다”며 “블랙 해커가 민간 PC를 해킹하는 이유는 잡힐 확률이 낮고 일반인의 정보를 빼낸다는 우월의식을 가질 수 있기 때문이다”고 말했다.

  민간 PC는 블랙 해커에게 노출되기 쉽지만 사용자가 주의를 기울이면 해킹 피해를 줄일 수 있다. 방송통신위원회는 정보보호에 대한 일반인의 경각심을 일깨우기 위해 10월 21일부터 11월 30일까지 ‘2013 인터넷 내정보 지킴이 캠페인’ 기간을 지정해 ‘스마트폰 이용자 개인정보보호 10대 수칙’ 등을 발표했다. 방송통신위원회가 제시한 일반인 차원에서 해킹 피해를 막는 방법으로는 ‘아무거나 누르지 말기’와 ‘프로그램의 오류를 수정한 버전인 패치(Patch)를 주기적으로 내려받기’를 들 수 있다. 김형중 교수는 “아무거나 누르지만 않아도 해킹의 위협이 낮아진다”며 “가급적 공신력 있는 기관에서 허용하는 프로그램만을 설치하도록 노력해야 한다”고 말했다. 김승주 교수는 “블랙 해커는 패치 버전이 나오면 이전 운영체제의 오류를 파악할 수 있기 때문에 이를 이용해 패치 버전을 내려받지 않은 PC를 쉽게 해킹할 수 있다”며 “보통 패치 버전은 1달마다 나오기 때문에 번거롭더라도 지속해서 내려받아야 한다”고 말했다.


정부, 유능인재 유인 못 해

  정부는 외부 블랙 해커의 디도스 공격에 대비해 대규모 디도스 공격 방어 장비를 각 부처에 갖췄다. 공격 발생 시 기술적으로 정부 기관에서 오는 서버를 우선적으로 받고 타 기관에서 계속 들어오는 서버들은 장비에 보관했다가 이후 진원지 추적에 쓰이는 원리다. 김승주 교수는 “우선적으로 받을 서버를 ‘화이트 리스트’에 놓고 계속적으로 신호를 보내는 좀비 PC의 서버는 블랙리스트에 놓는 원리”라며 “정부 기관이 아무리 높은 정보보안 장벽을 쳐도 보안의 틈새를 노려 서버를 마비시키는 등의 사이버 테러를 할 여지는 충분히 남아 있다”고 말했다.

  한편 정부뿐 아니라 대기업과 주요 은행권에서도 정보보안 분야의 인재를 채용하고 있다. 한국인터넷진흥원, 사이버 수사대, 국정원 내 사이버 정찰 부서 등은 국가의 정보보호 분야를 담당하는 부처다. 하지만 정부는 채용된 인재에게 개인 활동 시 얻는 수익보다 낮은 급여를 제시해 유능한 인재를 끌어드릴 유인이 약한 편이다. 또한 정부 기관은 임기보장이라는 안정성이 있지만 임금이 대기업에 비해 적어 유능한 화이트 해커가 정부 기관에 별 매력을 찾지 못한다. 김형중 교수는 “일반 기업보다 적은 연봉으로 보안 전문가를 영입하기엔 경쟁력이 약하다”라며 “안정성 외 자유로운 업무 분위기 조성 등 다른 유인책이 필요하다”고 말했다.