2017년 한 해 보안 업계에서는 랜섬웨어, 개인정보 유출, 공급망 공격이 뜨거운 감자였다. 2018년에는 여러 공격 방식이 더 복잡하게 얽혀서 방어를 어렵게 할 것이며, 돈이 되는 모든 곳에 공격이 집중될 것이다.
본지는 ‘2018년 주목해야 할 정보보호 이슈 10’으로 ▲공격자의 새로운 화수분, 가상화폐거래소 ▲‘돈’ 되는 개인정보 ▲신뢰 이용하는 공급망 공격 ▲AI vs AI ▲예정된 사고, IoT ▲진화하는 악성코드와 랜섬웨어 ▲사회기반시설 노리는 시스템 파괴형 공격 ▲엔드포인트 보호 기술의 혁신 ▲멀티클라우드 보안 전략 ▲위협 인텔리전스와 위협 헌팅을 선정했다.
2018년 주목해야 할 보안이슈를 점검하고, 이에 어더헥 대응해야하는지 살펴봄으로써 위험을 낮추고 비즈니스 경쟁력을 높일 수 있는 방법을 찾아본다.<편집자>
공격자의 ‘화수분’, 가상화폐거래소
가상화폐 거래소 보안에 비상이 걸렸다. 가상화폐 거래소 유빗이 해킹으로 파산에 이르게 됐으며, 최근에는 가상화폐 지갑을 노리는 랜섬웨어까지 성행하고 있는 상황이다. 가상화폐 거래소 보안 문제가 심각한 상황이 되자 정부가 서둘러 보안 강화 대책을 내놓았지만, 실효성 문제가 제기된다.
과학기술정보통신부와 방송통신위원회는 가상화폐 거래소 보안점검 강화 대책을 20일 발표하고, 개인정보 유출 등 지속적 법규위반 사업자에 대해 서비스 중지를 명령하는 등 특단의 조치를 취하겠다고 밝혔다.
또한 이용자 피해구제 강화를 위해 사업자의 보호조치 미흡으로 인해 개인정보 유출 시 이용자의 피해를 효율적으로 구제하기 위한 ‘집단소송제도’, ‘손해배상 보험·공제 가입 의무화’ 도입을 검토한다.
거래소 보안 강화 조치에 실효성 ‘글쎄’
정부 발표에 따르면 빗썸, 코인원 코빗, 업비트 등 4개 업체를 ISMS 인증 의무대상으로 선정하는 한편, 거래소 대상 ISMS 인증 설명회를 개최하고 의무 대상이 아닌 거래소도 정보보호 수준 향상을 위해 인증을 받을 수 있도록 독려할 계획이다. 인증 이후에는 매년 사후점검을 실시하여 거래소 정보보호 활동이 지속적으로 강화될 수 있도록 관리해 나갈 계획이다.
거래소에 정보보호최고책임자(CISO)를 거래소별로 지정하고 과기정통부와 거래소 CISO와의 핫라인을 구축, 해킹 위협과 대응방향을 신속하게 공유한다. 또한 사이버 보안 모의훈련 참여를 유도하는 한편, 한국인터넷진흥원 종합상황실에서 거래소 홈페이지 대상 악성코드 유포와 디도스 공격 등을 모니터링한다.
그러나 이 같은 정부의 대책에 업계는 실제 규제 효과는 미미할 것이라는 반응을 보이고 있다. 빗썸이 3만6000여건의 개인정보를 유출시킨 사고에 대한 과징금 4350만원, 과태료 1500만원에 불과하다. 하루 거래량이 수십조원에 이르는 가상화폐 거래소의 개인정보 유출 사고에 대한 처벌로 지나치게 가볍다는 비판이 제기된다.
거래소 보안 취약점 시급히 해결해야
가상화폐 거래소 해킹사고는 대부분 거래소 내부 보안 취약점을 이용해 내부로 침투하거나 사용자 지갑을 탈취하는 방법을 사용한다. 빗썸의 경우처럼 거래소 내부 직원 PC에 침입하거나 고객센터 상담 시스템을 공격해 쉽게 가상화폐를 탈취한다. 거래소에는 FDS가 제대로 구축돼 있지 않고 보안관제도 미미하다.
가상화폐 가격 급등락이 계속되자 아예 직접 채굴에 나서는 공격자도 있다. 가상화폐 채굴을 위해 필요한 컴퓨팅 파워를 얻기 위해 사용자 PC에 봇을 심어 대신 채굴하도록 하는 악성코드를 유포하는 방식이다.
한편 ‘돈’이 되는 어느 곳이든 공격하는 해커들은 가상화폐 거래소 뿐만 아니라 금융기관을 직접 노리거나 ATM을 해킹하려는 노력도 지속하고 있다. 시만텍은 랜섬웨어 이전에 창궐했던 금융 악성코드가 다시 부활할 것이며, 범죄자에게 높은 수익을 줄 수 있는 모바일 애플리케이션을 타깃으로 공격이 진행될 것이라고 예측했다.
