최근 IT 기업 근무 경험이 없는 25살 청년이 주축인 해킹 조직이 국내 웹사이트 385곳에서 700만건의 고객정보를 탈취했다는 사실이 알려져 논란이 일고 있다. 초보 해커는 보안 프로그램을 최신 버전으로 업데이트하지 않은 업체를 파악, 집중적으로 공격한 것으로 알려졌다. 김휘강 고려대 정보보호대학원 교수는 “요즘엔 취약점 정보가 많은 사이트에 올라오고 스크립트(컴퓨터 프로그래밍 언어)도 무료로 쉽게 구할 수 있다 보니 ‘스크립트 키디(다른 사람이 개발한 스크립트를 활용해 해킹하는 초보 해커)’까지 쉽게 업데이트되지 않은 버전에 맞춰 공격 툴을 만들 수 있다”라며 “이번에 논란이 된 25세 해커도 관련 경험은 많지 않아도 컴퓨터에 대한 기본적인 지식은 있었을 것이다. 앞으로도 주의가 필요하다”라고 말했다.
23일 보안업계에 따르면 지난 20일 전남경찰청 사이버범죄수사대는 25살 청년이 해킹 업무를 전담하는 한 조직에서 일주일 만에 언론사, 결혼정보업체, 주식투자상담업체, 성형병원 등으로부터 700만건의 고객정보 탈취해 피해자 측과 경쟁 관계인 의뢰인 등에 넘겼다고 발표했다. 해커는 보안 프로그램 업데이트 동향을 분석해 왔으며 최신 버전으로 갱신하지 않은 웹사이트를 공격했다. 해킹 난이도에 따라 해킹 의뢰 비용을 100만~500만원 수준으로 책정한 것으로 알려졌다.
보안업계에선 해커가 보안 업데이트를 진행하지 않은 웹사이트를 가려내는 것이 어렵지 않다고 설명한다. 웹사이트에서 바로 이를 확인할 수 있는 경우도 많으며, 온라인에 존재하는 각종 프로그램을 활용하면 업데이트하지 않은 웹사이트를 쉽게 찾아낼 수 있다는 것이다.
조정원 보안프로젝트 대표는 “웹사이트에 설치되는 프로그램의 경우 해커가 페이지 내 버전 정보 등으로 확인할 수 있다”라며 “같이 설치된 파일 정보에서 힌트를 얻을 수도 있다. 취약점과 공격코드는 보안운영체제 관련 데이터베이스 사이트에서 쉽게 구할 수 있다”라고 했다. 이어 “트위터나 구글 검색을 통해서 취약한 버전의 공격 코드를 구할 수 있어 조금만 코딩을 할 줄 알아도 자동으로 취약 버전을 수집하는 프로그램을 만들어 대량으로 웹사이트 공격한다”라고 했다.
보안 프로그램의 업데이트 동향을 해커가 파악하고 취약점을 기존 보안 프로그램이 가지고 있었는지를 파악해 공격하는 경우도 있다. 문종현 이스트시큐리티 이사는 “보안 프로그램 업데이트 소식이 알려지면 해커가 반대로 어떤 문제가 있어서 업데이트가 나왔는지 여부를 역으로 파악해 이를 집중적으로 공격하기도 한다”라며 “이 경우 취약점만 알게 되면 새롭게 업데이트하지 않은 기업을 공략하기가 매우 쉬워진다”라고 했다.
다수 업체가 보안 프로그램을 주기적으로 업데이트하는 데 소홀한 이유는 크게 두 가지다. 이번 사건의 피해자이기도 한 다수의 중소기업은 비용과 인력 부족 등 관리가 소홀해 관련 프로그램을 제때 업데이트하지 못한다. 공장을 가동하는 제조업체 등 일부 업종에선 업데이트 시 호환성 등의 문제로 장비가 멈추면 피해가 크기 때문에 쉽게 프로그램 업데이트를 하지 못하기도 한다. 이 경우 단순 비용 문제가 아닌 위험 관리 차원의 문제다.
보안업계 관계자는 “반도체 장비나 의료 장비 등을 다루는 곳에선 보안프로그램을 새로 업데이트했는데 다른 소프트웨어나 하드웨어 등과의 호환성 문제가 생겨 장비 작동이 멈추면 피해가 어마어마할 수밖에 없다”라며 “때문에 안정성이 입증되기 전까지는 일부 딜레이(지연)가 발생해도 정책적으로 업데이트를 조금 유보하기도 한다”라고 했다.