최민희 위원장은 “KT와 LG 유플러스는 꼼수로 모면하려 하지 말고 자진 신고하고, 정부는 민관합동조사단을 구성해 이번 해킹 사태의 실상을 낱낱이 파헤쳐야 한다”며 “이런 꼼수를 막을 수 있는 관련법 개정에 즉각 나설 것”이라고 밝혔다.
내부가 아닌 외부 제보로 밝혀진 해킹사실
지난 8월 8일, 해킹 전문지 ‘Phrack’에서 국내 정부기관과 민간기업이 해킹을 당했다는 내용을 기반으로 한 보고서가 발표됐다.
이후 22일에는 상황의 심각성을 인지한 고려대학교 정보보호대학원은 ‘Phrack’ 보고서 분석보고회를 개최했다.
과기정통부가 최민희 위원장실에 제출한 자료에 따르면, 이미 한달 전부터 국정원과 KISA측에 익명의 화이트해커의 제보를 통해 사실조사에 착수한 것으로 뒤늦게 확인됐다.
국내 전문가의 상세 데이터 분석... 실제 해킹 및 데이터 탈취 사례 확인
‘Phrack’ 보고서 분석회에서 발표를 맡은 고려대학교 정보보호대학원 김휘강 교수는 화이트 해커 출신 1호 대학교수로 사이버 보안 분야 전문가이며, 현직 개인정보보호위원회 위원이다.
김 교수 발표에 따르면 Phrack이 공개한 데이터에 해커가 우리 정부 및 기업의 시스템을 해킹하여 탈취한 다양한 자료가 포함되어 있었다.
자료가 유출된 해킹 피해 대상은 행안부, 외교부, 통일부, 해수부 등의 정부 부처와 LGU+, 한겨레, KT 등 민간 기업이다.
유출된 자료는 내부 보안 시스템에 대한 설명자료나 데이터베이스 접속 정보, 내부 서버의 목록 및 접속을 위한 ID/Password, 직원 실명 및 ID 등 실로 다양했다.
또한, 해킹은 정부 및 기업의 시스템을 대상으로만 이루어진 것이 아니라, 개인을 대상으로 한 피싱 시도 흔적들도 다수 발견됐다.
네이버나 카카오 등 포털 사이트의 가짜 로그인 페이지를 만들어 이용자 접속을 유도하고, 실제 이용자가 접속하는 경우 ID와 Password 및 이메일 등을 탈취하는 방식이다. 정부‧기업의 시스템 뿐만 아니라 국민 개개인도 공격 대상이 될 수 있음을 보여줬다.
KT, LGU+ 자사정보 유출은 인정...그러나 자체점검결과, 침해 정황 없어 신고 안해
KT와 LGU+ 는 자체조사를 진행했지만 두 이통사 모두 침해 정황이 발견되지 않았으며 침투 흔적이 없음을 KISA에 통보했다. 다만, 유출된 자료는 자사정보임을 인정했다.
과기부와 KISA는 현재까지 통신사가 제출한 자료를 분석한 결과, “KT 웹서비스 서버 내에서만 사용되어져야하는 인증서 및 개인키 파일이 외부로 유출됐고 이는 명백히 침해사고다”라며 ‘잠정결론’내렸다.
또한, LGU+ 에 대해서도 “유출된 데이터는 내부 시스템에서만 존재해야하고 외부에 유출되어져서는 안되는 파일로 이 파일에는 접속계정 및 암호화된 비밀번호 등이 담겨있으며 즉, 파일 데이터 내용이 공개됐다는 것은 미상의 경로로 유출된 것으로 이는 명백히 침해사고의 판단근거가 된다”는 ‘잠정결론’을 내렸다.
이를 근거로 KISA는 KT와 LGU+ 측에 정식적으로 침해사고 신고를 요청했지만 아래와 같은 이유로 거절의사를 통보했다.
APPM은 통신사 내부만의 모든 서버를 들어가서 내용을 볼 수 있는 마스터키로 불리며 APPM의 소스코드 유출은 APPM을 만드는 설계도 자체가 유출된 것이기 때문에 LGU+가 APPM 암호를 변경하여도 해커 조직은 변경된 암호를 손쉽게 알아낼 수 있고 복호화도 언제든지 가능하다는 지적이 있다.
현재까지 LGU+ 는 8,938대 서버 정보에 대해 밝히고 있지 않다. 만약 8,938대 서버에 고객의 개인정보를 저장하는 서버가 있다면 이는 SKT 유심해킹사태와 같은 사태로까지 이어질 수 있다.
현행법상 침해사실 명백해도 자진신고 안하면 ‘민관합동조사단’ 구성 못해... 법적한계
해당 진위여부를 명확히 파악하기 위해서는 과기부의 ‘민관합동조사단’ 구성이 필요하다. ‘민관합동조사단’이 꾸려지면 정보통신망법에 근거해 문제가 된 기업의 서버를 직접 들여다볼 수 있기 때문이다.
이를 통해 (1) 누가 (2) 어떤 경로로 (3) 언제 침투했는지 정확히 파악할 수 있다. 그러나 현행법상 기업이 자진신고를 하지 않으면 ‘민관합동조사단’이 구성될 수 없고 KISA는 기업의 침해 및 유출 사실을 정확히 들여다볼 수 없는 법적한계가 있다.
SKT 유심해킹사태로 인해 고객이탈, 위약금 면제 등 엄청난 피해액은 기업의 손실로 이어지면서 당시 국회는 본 사건을 계기로 기업들의 자진신고 회피를 우려한 바 있다.
엄청난 손실이 예견되는데 굳이 자진신고를 통해 자사의 정보를 모두 들여다볼 기회를 주면서 피해를 감수하고 싶지 않은 것이다.
지난 4월, SKT 측은 자진신고를 통해 유심해킹사실을 KISA에 알렸다. 곧장, ‘민관합동조사단’이 꾸려졌고, SKT 측은 초기에 악성코드 4종으로 발표했으나 최종 조사결과는 33종의 악성코드가 발견되며 이용자에게 엄청난 충격을 주었다. 이처럼 ‘민관합동조사단’ 조사는 반드시 필요하다.
‘민관합동조사단’ 구성 전, 일반침해사고 혹은 침해 정황 발견 시, 기업 출입 조사 권한 부여 필요
이와 같은 상황을 두고 과기부와 KISA 측은 법적 미비로 인한 조사의 한계에 부딪히고 있다. 그래서 최민희 위원장실은 고객의 개인정보를 포함한 자사 정보유출을 은폐하거나 침해사실 정황이 드러났음에도 기업의 손실을 막기 위해 자진신고 하지 않는 상황을 우려해 '정보통신망법' 제48조의4 관련하여 일반침해사고 시, 기업을 출입하여 조사할 수 있는 권한을 부여하는 개정안을 준비하고 있다.
최 위원장은 “법 개정 전에 KT와 LGU+가 해킹 피해의 실상을 밝힐 수 있도록 조사에 협조하기를 강력히 촉구한다”며 “과방위에서 과기부를 대상으로 관련 사항에 대해 질의하고 해결방안을 정부와 함께 모색하겠다”고 밝혔다.
댓글
(0)