(사진=자료사진)
숙박 정보 애플리케이션 '여기어때' 해킹 사건으로 기업 보안 문제가 다시 도마 위에 올랐다.
'여기어때' 해킹을 비롯해 최근 중국발로 추정되는 사이버 공격 대부분이 기존에 알려진 보안 취약점을 이용했다는 점에서 피해 기업들도 책임을 면할 수 없다는 지적이 나온다.
◇ 공격 배경 두고 추측 분분…사드 보복성 단정 어려워 26일 보안업계에 따르면 여기어때를 해킹한 세력을 두고 업계에서는 추측이 분분하다.
여기어때의 데이터베이스(DB)를 공격한 IP(인터넷 주소)의 90% 이상이 중국이었다. 이 때문에 이번 해킹이 사드(THAAD·고고도 미사일 방어체계) 배치에 반발하는 중국 해커의 보복일 수 있다는 추측이 제기됐다.
하지만 중국 IP라고 해서 중국발 공격으로 단정 짓기는 어렵다는 게 보안업계의 대체적인 시각이다.
해커가 자신의 소재지를 숨기기 위해 한국과 가까운 중국의 IP를 이용하는 경우가 많기 때문이다. 국내 유입되는 악성코드의 90% 이상은 중국을 경유하는 것으로 알려졌다.
일부에서는 해커들이 'SQL 인젝션' 공격 방식을 사용했다는 점에서 중국의 해커집단 훙커연맹과 연결짓기도 한다. 훙커연맹은 최근 사드 배치에 대항해 한국 웹사이트를 공격하자고 하면서 SQL 인젝션 방식을 제안했다.
SQL 인젝션은 해커가 아이디와 비밀번호 입력창에 명령어를 입력해 서버에 침투, 각종 정보를 탈취하는 방식이다. 하지만 기본적인 해킹 방식의 하나여서 훙커연맹의 소행 근거로는 보기에는 무리가 있다고 전문가들은 지적한다.
보안업계 관계자는 "최근의 사드 보복성 해킹은 롯데면세점 홈페이지 공격에서 보듯이 공격 대상을 마비시키는 디도스(DDoS·분산서비스거부 공격) 방식과 홈페이지 화면을 바꾸는 디페이스(Deface) 방식으로 크게 나눌 수 있는데 여기어때는 두 가지 모두에 해당하지 않는다"며 "해커들이 금전(비트코인)을 요구한 점도 정치적 공격과는 거리가 멀다"고 설명했다.
반면 새로운 방식의 사드 보복성 공격이라는 관측도 있다. 중국 해커들이 노골적인 정치적 보복에 대한 비판 여론이 불거지자 자신의 정체를 숨기는 방식으로 전략을 바꿨을 수 있다는 분석이다.
◇ 기본적인 공격에도 취약…정작 보안 투자에는 소극적보안 전문가들은 설령 중국 해커들의 소행이라 할지라도 기본적인 공격 방식에 뚫렸다는 데 문제의 심각성이 있다고 지적한다. SQL 인젝션의 경우 앞서 한국인터넷진흥원(KISA)이 보안 가이드를 배포하고, 여러 차례 주의를 당부했다.
최근 국내 기업과 해외 공관에 피해를 준 디페이스 공격도 보안이 취약한 오픈 소스 플랫폼을 사용하면서 최신 버전으로 업데이트하지 않은 웹사이트들을 주로 노렸다.
보안업체 하우리의 최상명 침해사고대응팀(CERT) 실장은 "보안은 성과가 눈에 보이지 않는 영역이라 투자에 소극적인 기업들이 많다"라며 "대기업에 비해 특히 중소기업은 자금력이 부족한 데다 보안 업데이트마저 소홀히 해 공격에 더욱 취약하다"고 말했다.
'여기어때'와 같은 스타트업도 사정은 크게 다르지 않다.
'여기어때'는 지난해 숙박 업계 최초로 개인정보보호협회로부터 '보안 e프라이버시' 인증을 받았다고 홍보해왔지만, 평가 기준이 더 엄격한 정부의 ISMS(정보보호관리체계) 인증은 받지 못했다.
ISMS 인증은 유효기간이 3년이며 연장하려면 갱신 심사를 받아야 한다.
현재까지 인증서를 유지하는 곳은 450여곳인데 이용자가 많은 숙박과 배달 스타트업 중에는 야놀자와 우아한형제들(배달의민족) 두 곳만 받았다.
스타트업들은 ISMS 인증 절차가 까다롭고, 비용이 부담된다며 어려움을 토로하지만, 광고와 마케팅에는 거액을 쓰면서 정작 보안에는 소극적이라는 비판을 피하기는 어려워 보인다.
한국인터넷진흥원 관계자는 "사이버 침해 사고는 가장 최근에 드러난 보안 취약점을 뚫고 들어온다"며 "민감한 고객 정보를 다루는 기업일수록 보안 솔루션을 최신으로 업데이트하고, 사고 예방을 위해 관계 기관과 긴밀히 협력할 필요가 있다"고 말했다.