‘돈뜯기 해킹’ 속출에도…보안기준 강화 주저하는 정부

그래픽_김승미

중소업체들 비용 증가 반발탓
빗썸, 직원PC 뚫려 정보 유출
여기어때·나야나 해킹도 인재

그래픽_김승미

“막 뚫리네. 내가 이용하는 건 괜찮을까?”

최근 돈을 목적으로 한 해킹이 잇따라 발생하면서 인터넷 서비스 사업자들은 물론이고 이용자들도 불안해하고 있다. 국내 중소 인터넷 서비스 사업자들과 벤처기업들이 보안이 취약하고 쉽게 돈을 내준다는 게 알려지면서 이들을 대상으로 한 ‘돈벌이 해킹’이 기승을 부리고 있다. ‘공격받기 싫으면 돈 내라’는 협박장까지 날아들 정도다.

* 그래픽을 누르면 크게 볼 수 있습니다.

4일 해킹 피해 사례를 살펴보면, 국내 최대 가상화폐 거래소인 ‘빗썸’과 숙박검색업체 ‘여기어때’, 웹호스팅 서비스 사업자 ‘인터넷나야나’ 등 다양하다. 빗썸은 최근 회원들의 개인정보가 대거 유출되고, 일부 회원들은 거래소 안 가상계좌(지갑)에 충전해둔 돈이 빠져나가는 피해까지 봤다. 해커가 이 업체 직원의 집 컴퓨터(PC)를 해킹해 회원 개인정보가 잔뜩 담긴 문서 파일을 빼낸 뒤 피해자들을 상대로 보이스피싱을 해 가상계좌에서 돈을 빼간 것으로 파악되고 있다.

빗썸이 사태를 파악해 수사기관과 정보보호기관에 신고하고 누리집에 공지했으나 이미 피해가 발생한 뒤였다. 빗썸 회원들의 말을 들어보면, 100여명의 가상계좌에서 몇백만원에서 몇억원까지 빠져나간 것으로 추정된다. 빗썸은 개인정보 유출 피해자를 3만명 정도로 추산했으나, 회원이 70여만명에 이르고 하루 거래량이 7천억원에 이르는 점을 고려할 때 피해자가 더 있을 가능성도 있다.

모텔과 펜션 같은 숙박시설을 검색해 예약까지 할 수 있는 여기어때 해킹 건은 민감한 개인 신상정보 공개를 협박하며 돈을 요구한 경우다. 회원 91만여명의 개인정보와 숙박 예약 정보 등을 빼낸 뒤 돈을 요구하다 거절당하자, 문자메시지 발송업체의 전산시스템을 해킹해 숙박 예약자들에게 ‘○월○일 ○○모텔서 좋은 밤 보냈나요’라는 문자메시지를 보내기까지 했다.

중소기업을 대상으로 웹호스팅 서비스 사업을 하는 인터넷나야나에 대한 랜섬웨어 공격은 중소기업의 정보를 ‘인질’로 삼아 금액 협상까지 하며 돈을 뜯어낸 경우다. 해커는 이 업체 서버에 담긴 주요 파일을 암호화해 웹호스팅 서비스가 작동되지 않게 한 뒤 “암호해제(복호) 키를 줄 테니 돈을 내놓으라”고 했다. 애초 5억원을 요구하다 시간이 지나자 50억원으로 올렸다. 인터넷나야나는 해커와 협상을 벌여 13억원을 주고 암호해제 키를 받았으나 아직도 100% 복구하지 못하고 있다. 이 회사 대표는 해커에게 줄 돈을 마련하기 위해 지분을 담보로 잡히기까지 했다.

이러한 사례는 해커가 돈을 벌려고 보안이 취약한 중소 인터넷 서비스 사업자를 골라 공격했다는 공통점이 있다. 방송통신위원회와 한국인터넷진흥원(KISA)의 합동조사 결과를 보면, 여기어때와 인터넷나야나는 최소한의 보안기준조차 지키지 않은 것으로 드러났다. 빗썸 해킹 건은 서울중앙지검 첨단범죄수사1부와 경찰청 사이버수사대가 방통위·인터넷진흥원과 함께 조사를 벌이고 있다.

보안 전문가들은 “보안을 투자가 아닌 비용으로 인식해 소홀히 한 탓이 크다”고 지적한다. 정부가 보안의 중요성을 인식하지 못해 이런 사태를 불렀다는 지적이다. 글로벌 기업의 보안책임자로 일하는 ㅊ씨는 “인터넷 서비스 사업자의 보안은 건설현장에서의 안전 이상으로 중시돼야 하지만, 정부는 그동안 ‘규제를 늘린다’거나 ‘벤처기업 죽이려고 한다’ 등의 소리를 들을까봐 보안기준을 강화하고 보안에 대한 투자를 의무화하는 것을 주저해왔다”고 비판했다.

느슨한 보안기준은 해킹으로 개인정보 유출 피해를 당한 이용자들이 보상을 제대로 받아내지 못하게 하는 걸림돌이기도 하다. 장여경 진보네트워크센터 활동가는 “고객 개인정보를 유출하고도 정부가 정한 보안기준을 지켰으니 우리는 책임이 없다고 발뺌하는 사례가 많다. 이 때문에 이용자들이 피해보상을 받아내는 데 어려움이 있다”고 말했다.

사람과 사물은 물론 정보까지 연결 상태가 되는 4차 산업혁명 시대에선 보안의 중요성이 더욱 커진다. 이 때문에 보안에 대해서만은 벤처기업과 스타트업들도 예외를 두지 말아야 한다는 지적이 많다. 개인정보를 지킬 능력과 의지가 없는 곳은 수집하지도 못하게 해야 한다는 것이다. 그럼에도 해당 업계는 “규제부터 만들려고 한다”고 반박한다.

김재섭 기자 jskim@hani.co.kr

◎ Weconomy 홈페이지 바로가기: http://www.hani.co.kr/arti/economy
◎ Weconomy 페이스북 바로가기: https://www.facebook.com/econohani