외부 보안업체 의존…관리·감독도 소홀

북한이 SK네트웍스서비스와 대한한공 등 대기업 계열사를 해킹해 내부 문서 4만2천여 건을 빼간 것으로 드러나면서 국내 기업의 보안 시스템에 우려가 커지고 있다. 업무 효율을 앞세우다 정작 중요한 정보 보안에 소홀했다는 지적이 나온다.

14일 보안업계에 따르면 이번 사이버 공격의 통로가 된 것은 한 민간업체가 제작한 PC 통합관리망이었다. 관리자가 원격으로 다수 PC를 관리할 수 있어 국내 기업과 정부부처 등 160여 곳이 사용하고 있었다.

하지만 경찰 조사결과 관리자 권한이 없어도 원격으로 제어가 가능해 북한 해커들의 타깃이 된 것으로 드러났다.

관리망 업체와 피해 기업 모두 이런 취약점을 인지하지 못했다.

북한 해커들은 2014년 7월부터 이 PC 관리망에 침투해 개별 PC에 ‘유령쥐(Ghost RAT)’ 등 악성코드 33종을 심었다. 이후 PC에 저장된 문서 4만2천608건을 빼돌린 뒤 삭제한 것으로 조사됐다.

해당 관리망에 연결된 SK그룹과 한진그룹의 계열사 PC는 13만 대에 달했다.

국내 기업이 사이버 테러에 노출된 사례는 이뿐만이 아니다.

북한은 최근 몇 년간 원격제어·정찰 등 다양한 기능을 가진 악성코드를 이용해 민간 기업에 사이버 테러를 시도해왔다. 기업의 경우, 국가기관보다 보안이 취약하고, 금전적 이익으로 연결할 수 있는 정보를 다량 보유하고 있기 때문이다.

북한 해커조직은 2011년 4월 농협 협력업체 직원의 노트북을 이용해 서버 273대의 자료를 파괴했다. 2013년 ‘3.20 사이버 테러’ 당시에는 주요 방송사와 금융기관 전산망에 악성코드를 유포해 9천억 원에 달하는 손해를 입혔다.

끊이지 않는 사이버 테러의 배경에는 기업의 허술한 보안 시스템과 보안인식 부족이 자리하고 있다.

한 글로벌기업의 보안 담당자는 “많은 국내 기업이 비용 절감과 편의를 위해 전문 보안업체에 외주를 주고, 원격으로 다룰 수 있는 보안 시스템을 쓴다”며 “권한 관리도 제대로 안 돼 외부 업체가 고객사의 요청에 따라 권한을 수시로 열어주다 보니 그만큼 해커가 침입할 여지가 많아진다”고 지적했다. 외부 업체에 적은 비용을 주고 보안 업무를 맡기다 보니 제대로 관리가 안 된다는 설명이다.

대부분의 악성코드가 충분히 예방 가능하다는 점도 이런 주장을 뒷받침한다.

보안업계 관계자는 “새로운 악성코드가 등장할 때마다 백신도 빠르게 제작된다”며 “기업이 충분히 주의를 기울이고, 백신 업데이트만 잘해도 상당수 악성코드를 막을 수 있지만, 비용이 들다 보니 관리에 소홀한 경우가 적지 않다”고 전했다.

내부에 이렇다 할 보안 전문가가 없는 점도 문제로 꼽힌다.

정부가 지난해 금융권에 이어 직원 1천 명 이상의 정보통신분야 기업까지 최고정보보호책임자(CISO)를 두도록 했지만, 보안 분야의 전문가가 부족해 보여주기식 인사에 그친다는 지적이 나온다.

전문가들은 사이버 공격이 고도화하는 요즘, 정보 유출이 막대한 경제적·사회적 피해로 이어질 수 있는 만큼 기업들이 정보 보안을 최우선시해야 한다고 조언한다.

고려대 정보보호대학원 임종인 교수는 “특히 방위산업과 관련한 업체의 경우, 정보 유출 시 국가 안보에 타격이 있는 만큼 정부의 지원 아래 보안 시스템을 구축하고, 침해사고 발생 시 즉시 정부에 보고하는 체계를 만들 필요가 있다”고 말했다.

연합뉴스