공인인증서 4만 건 해킹됐다

이다인 기자 / 기사승인 : 2020-10-07 11:52:13
  • -
  • +
  • 인쇄

1. 공인인증서 4만 건 해킹 사건 발생

공인인증서의 독점적 지위를 없애고, 사설인증서 활용 범위를 넓히기 위한 전자서명법 개정안이 11월 시행을 앞두고 있는데요. 최근 두 달간 금융결제원 등 5개 발급기관의 개인 공인인증서 약 4만6천 건이 유출된 것으로 알려졌습니다. 한국인터넷진흥원은 유출 정황이 발견된 직후 발급기관에 사실을 통보하고, 유출 인증서를 모두 폐지 처리했습니다. 발급 기관은 해킹 피해자에게는 문자를 통해 사실을 모두 알렸다고 밝혔습니다.



금융보안원 분석 결과 여러 해커는 악성 프로그램을 통해 개인 PC에 저장된 공인인증서를 탈취한 것으로 알려졌습니다. 특히 여러 금융기관에 로그인을 시도했는데요. 다행히도 이번 사건에서는 금전적 피해가 발생하지 않은 것으로 나타났습니다. 금융결제원은 추가 피해를 막기 위해 모니터링 강화 등 다양한 조치를 취하겠다고 밝혔습니다. 강제로 공인인증서가 폐지된 피해자는 재발급을 받아야 합니다. 추가로 계좌 비밀번호나 보안카드 등 중요 정보 유출이 의심될 경우 은행을 방문해 정보를 변경해야 합니다. 공인인증서는 금융기관을 비롯해 다양한 분야에서 활용되고 있기 때문에 탈취당할 경우 큰 피해로 이어질 수 있습니다.



공인인증서 제도 폐지를 앞두고 발생한 대규모 해킹 사건이라 피해자의 불안감은 더 커지고 있습니다. 공인인증서 제도가 폐지된다 하더라도, 금융결제원 등에서 발급한 인증서 방식은 그대로 활용이 가능합니다. 새로운 전자서명 방식을 등록하고 활용하는 데까지 일정 기간이 소요될 텐데요. 그만큼 공인인증서 방식의 취약점은 그대로 노출되어 있는 것입니다. 개인과 기관 모두 안전한 공인인증서 활용을 위해 주의가 필요합니다.




2. 차근차근 준비하는 정보보안

IT 보안은 하루아침에 개선될 수 있는 분야가 아닙니다. 빠르게 변화하고 발전하는 사이버 공격에 대응하기 위해서는 한발 빠르게 움직여야 하기 때문입니다. 정부가 장기적인 관점에서 보안을 위한 대대적인 준비를 예고했습니다. 바로 각종 보안 인증 제도 개선 계획을 밝힌 것인데요. 중소기업의 체계적인 보안과 자율주행 시대 통신망 안전을 위한 조치로 풀이됩니다.



이번 발표는 ‘한국판 뉴딜 법제도 개혁 및 입법 추진과제에 담긴 내용입니다. 이와 관련하여 과학기술정보통신부는 정보보호 관리체계 인증(ISMS) 내실화를 위한 정보통신망법 개정안을 준비 중입니다. 이는 중소기업이 비용, 시간 측면에서 더 쉽게 인증을 취득하는 방향으로 개정될 예정입니다. 국토교통부는 한국판 뉴딜의 ‘SOC 디지털화’ 과제 중 하나인 보안 인증 체계를 위한 자율주행차법 개정안을 발표할 예정입니다. 익명성 보장, 해킹 방지 등 인증받은 차량과 인프라만 통신하여 자율주행을 구현할 수 있도록 하는 체계 마련이 목적입니다.



그 외에도 소프트웨어 보안 취약점 발굴 및 신고 체계 활성화를 위한 시행령 개정 등을 통해 각종 보안 정책과 과제를 해결해 나갈 계획입니다. 한국판 뉴딜 정책을 통해 IT 그리고 보안 분야의 대대적인 투자와 정비를 통해 발전할 수 있는 발판이 마련될 예정입니다.




3. 외부 상황에 따라 달라지는 사이버 공격

다른 외부 요인이 사이버 공격 동향에 영향을 미치기도 하는데요. 최근 아카마이가 발표한 ‘2020 인터넷 보안 현황 보고서’에 따르면 크리덴셜스터핑 공격이 눈에 띄게 증가한 것으로 나타났습니다. 이는 올해 초 코로나19로 인해 나타난 공격 동향인데요. 악성 웹사이트에서 구매할 수 있는 사용자 정보를 조합해 공격을 시도한 것으로 나타났습니다.



보고서의 내용을 살펴보면 2018년부터 2020년까지 게임 업계와 게이머 타깃의 대규모 공격이 증가했습니다. 그 중 크리덴셜 스터핑과 피싱 공격이 높은 빈도로 나타났는데요. 전체 약 1천억 건 이상의 크리덴셜 스터핑 공격 중 약 100억 건 이상이 게임업계를 노린 것입니다. 한편 중국에서도 코로나19의 영향으로 보안 사건이 증가하고, 피싱 공격이 연중 최고치를 갱신한 것으로 나타났습니다. 중국 당국의 발표에 의하면 8월 한 달 동안 정보보안 사건은 약 1,650건, 웹페이지 위조는 1,400여 건 발생했습니다. 이는 2020년 한 해 동안 두 번째로 보안 사건이 많은 달로 기록되었습니다.



이렇게 외부 상황에 따라 사이버 공격의 유형이나 빈도가 달라지기도 하는데요. 물론 불확실성이 높은 요소가 많아 예측하는 것은 어려움이 있습니다. 다만, 사이버 공격도 끊임없이 발전하고 변화한다는 사실을 인지하고 대응하기 위한 준비가 필요하다는 점을 잊어서는 안 됩니다.




4. 점점 증가하는 API 공격

API 오류로 영국항공이 23억 달러에 달하는 벌금 처분을 받은 적이있습니다. 실제로 API 공격은 빈번하게 발생하고 있으며, 개인 식별정보, 신용카드 정보 등을 포함하고 있어 공격당했을 경우 큰 피해로 이어질 수 있습니다.



지난해 아카마이의 보고서에 따르면, 전체 웹 트래픽은 1/4은 API 트래픽이며 클라우드 확산으로 그 비중은 더 커질 것으로 전망하고 있습니다. 사실 API의 보안 위협은 예전부터 강조되어왔습니다. 글로벌 컨설팅 기업 가트너는 API가 엔터프라이즈 웹 애플리케이션 데이터 침해의 주요 원인이 될것으로 전망한 바 있습니다. 또한 최근 2년 간 발생한 854억 건의 크리덴셜 어뷰즈 공격 중 20%가 API 엔드포인트로 식별된 공격이었는데요. API는 각각 다른 애플리케이션을 연결하고 중요한 정보고 오가기 때문에 보안이 필수인 영역입니다. 하지만 API를 자체 개발하거나 오픈소스를 활용할 때 보안 점검이 제대로 이루어지지 않고 있습니다. 결국 개발 과정에서 잡지 못한 보안 취약점은 이후에 더 큰 피해로 다가오는 것입니다.



API 공격으로 인한 피해가 계속 발생하자 OWASP는 지난해 API 보안위협 Top10을 공개하고 취약점 해결해야한다고 권고한 바 있습니다. 국내 보안 기업 관계자는 API를 사용하는 모든 서비스에는 API 보안이 필요하다고 언급했는데요. 금융, 이커머스, 클라우드 등 다양한 서비스에 API가 사용되는 만큼 보안이 필수라고 강조했습니다.





5. 클라우드 시대의 핵심은?

정부 및 공공기관을 비롯해 민간 기업까지 클라우드 환경 도입을 위한 움직임이 점점 빨라지고 있습니다. 그렇다면 변화하는 환경에 우리가 준비해야할 요소는 무엇이 있을까요? 보안 업계는 이러한 변화에 대응하기 위해 클라우드 보안 솔루션을 개발하고 관련 기업과 협력을 통해 준비하고 있습니다.



보안 기업별로 새로운 클라우드 보안 서비스를 개발하거나, 기존의 솔루션의 업데이트 버전 등을 선보이고 있습니다. 또한 클라우드 서비스 기업인 AWS, 마이크로소프트의 Azure 등과 파트너 계약을 통해 각 서비스 기업에 최적화된 클라우드 기반 솔루션을 개발하고 있습니다. 클라우드 서비스 기업 외에도 베스핀글로벌과 같은 클라우드 매니지먼트 기업과 업무 협약을 통해 클라우드 사업 확장에 힘쓰고 있는 모습입니다. 특히 클라우드 환경에서 발생할 수 있는 데이터 유출, 계정 침해, 리소스 악용 등의 위협을 막을 수 있는 서비스의 필요성이 높아지고 있습니다.

 

[저작권자ⓒ 데이터저널. 무단전재-재배포 금지]