[이슈분석]악성코드의 범람…피할 곳이 없다

지난 8월 국내 한 보안 업체의 탐지망에 수상한 악성코드가 포착됐다. 중국에서 개발된 것으로 보이는 이 악성코드는 국내 웹사이트를 통해 광범위하게 유포되고 있었다.

해당 보안 업체는 악성코드가 연결된 서버를 찾아냈다. 이 서버는 악성코드와 통신하는, 해커의 전진기지와 같은 곳이었다. 해커 몰래 접속한 그곳은 놀라움 그 자체였다. 악성코드에 감염된 PC에서 어떤 작업이 이뤄지고 있는지 속속들이 엿보고 있었다. 현재 구동하고 있는 프로그램, 입력하는 내용, 심지어는 마우스 움직임도 알 수 있을 정도였다. 그런데 이들이 감시 하에 둔 대상이 심상치 않았다.

전상훈 빛스캔 이사는 “병원 PC들이 감염돼 진료기록, 처방내용 등 의료정보가 고스란히 해커에 노출되고 있었다”며 “해커가 PC를 완벽히 장악한 상태였기 때문에 사용자 몰래 위변조가 가능했다”고 말했다. 원래 진료나 처방을 다른 내용으로 조작할 수 있었다는 얘기다.

◇악성코드의 범람…해킹 노이로제 시대

악성코드를 이용한 해킹 위협이 위험 수위에 이르고 있다. 트래픽 발생이나 시스템 성능 저하 등 업무 `방해` 차원을 넘어 일상생활을 위협하는 수준까지 `치명적`으로 진화하고 있다. PC에 이어 스마트폰의 폭발적인 보급으로 곳곳이 지뢰밭으로 변한 형국이다. 까딱 잘못하면 터진다.

회사원 강 모 씨의 경우가 그랬다. 지난 8월 강 씨는 지인의 이름으로 돌잔치 초대 문자 한 통을 받았다. 참석을 바란다는 내용과 함께 링크가 첨부된 문자였다.

별다른 의심 없이 링크를 클릭한 순간, 강 씨는 돌아올 수 없는 강을 건너게 됐다. 악성코드가 설치되면서 스마트폰에 저장된 연락처로 똑같은 문자메시지가 모두 전달됐다 사내 업무용 앱을 설치하면서 풀었던 보안 설정을 다시 잠그는 걸 깜빡했다.

오랜만에 안부를 주고받게 된 경우도 있었다. 하지만 대부분 갑작스런 돌잔치 소식에 지인들은 모두 어리둥절했다. 강 씨에겐 돌이 안 된 갓난아이가 없었기 때문이다. 특히 처가 식구에게 전달된 문자는 강 씨를 곤혹스럽게 만들었다. 그는 “워낙 순식간에 벌어지다보니 정신이 하나도 없었다”며 “본의 아니게 지인들에게 피해를 입혀 일일이 전화로 사과해야 했다”고 말했다.

강 씨가 당한 건 `스미싱`이라는 신종 금융사기다. 스미싱은 문자메시지를 뜻하는 SMS(Short Message Service)와 피싱(phishing)의 합성어로, 문자메시지를 이용해 금전적 이득을 취하는 수법이다.

스미싱으로 인한 피해는 가히 폭발적으로 증가하고 있다. 투명사회를 위한 정보공개센터에 따르면 작년 한 해 동안 경찰청에 접수된 스미싱 사건 건수는 2100여건, 피해액은 5억6900만원.

그런데 지난 7월까지, 7개월 동안 접수된 사건은 1만8143건, 피해액은 35억3000만원으로 집계됐다. 건수로는 8배 이상, 피해액은 6배 이상 급증한 것이다. 스미싱 위협이 우리 주변에 만연하고 피해도 크다는 뜻이다.

`스미싱`만 기승을 부린다면 그나마 다행이다. 피싱, 파밍과 같은 또 다른 전자금융사기가 곳곳에 도사리고 있다. 국회 정무위원회 소속 김재경 의원(새누리당)이 금융감독원으로부터 제출 받은 통계에 따르면 올해 6월말까지 각 금융사가 금감원에 보고한 전자금융 사고는 224건, 22억7130만원으로 나타났다. 2012년 전자금융 사고가 82건, 피해액이 20억5890만원이었던 것을 고려하면 올해 상반기 사고 건수와 피해 액수가 지난해 수준을 넘어섰다.

게다가 최근에는 메모리 해킹이라는 신종 수법까지 등장해 사회 문제가 되고 있다. 경찰청은 `파밍`보다 한 단계 진화한 수법이라며 메모리 해킹에 대해 특별 주의를 당부하기도 했다.

◇광범위한 공격…직접 이용자 겨냥

해킹 위협은 어제 오늘의 일은 아니다. 그러나 최근 경향은 그 대상이 광범위하고 치명적이라는데 심각성이 있다. 육안상으로는 진위여부를 판가름하기 어려울 정도로 정교화된 파밍 사이트, 허위 보안카드 번호를 입력하게 유도하거나 비정상적인 계좌이체로 조작하는 이른바 메모리 해킹수법 등은 전 국민의 지갑을 노리고 있다.

이처럼 해킹이 기승을 부리는 배경은 무엇일까. 전문가들은 사이버 범죄자들의 수익 모델 변화에 주목하고 있다. `돈`을 갈취하기 쉬운 쪽으로 이동한 결과라는 분석이다.

문일준 빛스캔 대표는 “2000년대 초반 해커들은 데이터베이스(DB) 서버를 공격, 개인정보를 빼내는데 주력하고 있는 실정이었다. 하지만 DB가 쉽게 유출되고 이를 이용하는 사람들이 증가하면서 개인정보의 가치가 떨어졌다”고 말했다.

금전적인 값어치가 떨어지면서 공격자들이 서버가 아닌 개인PC를 대상으로 타깃을 바꿨는데, 그 결과가 최근의 금융 피해로 이어지고 있다는 설명이다.

문종현 잉카인터넷 대응팀장은 “지난해 하반기부터 금융보안 위협이 본격화된 것으로 판단한다”며 “과거 개인을 상대로 한 온라인 게임 계정 해킹은 법률 개정으로 금전적 이득을 취하기 어려워지자 직접적으로 금융 이용자들을 겨냥하는 형태로 변모했다”고 말했다.

김정수 하우리 보안대응센터장도 “게임 아이템보다는 주민등록번호, 공인인증서 등이 명의도용·마케팅·피싱 등 제2의 악의적인 목적에 활용하기 쉽고, 수익적 측면에서 우월하기 때문”이라고 말했다.

그렇다면 범람하는 해킹 위협에 대한 효과적인 방어는 가능할 것인가. 하루에도 수십, 수백개의 악성코드가 쏟아지는 현 상황은 이미 속도와 규모에서 방어하는 쪽을 앞섰다는 평가를 받는다.

문일준 대표는 “해킹이 발생한 이후에 대응하는 사후 방식은 적절한 대응 수준이라고 볼 수 없다”며 “따라서 공격이 어디에서 시작되고 어떤 방식으로 활동하는 지 종합적인 관점에서 검토해 해결하려는 노력이 필요하다”고 강조했다.

보안에 대한 새로운 접근법이 필요한 시점이란 주장이 설득력을 얻는다.

권석철 큐브피아 대표는 “사후 대처 방식은 분명한 한계가 있다”며 “해킹은 막을 수 없다는 전제 하에 보안에 대한 새로운 패러다임을 고민해야 한다”고 주장했다.

윤건일기자 benyun@etnews.com