‘보험업계 초유’ SGI서울보증보험 해킹과 실태 분석

16일, SGI서울보증보험 홈페이지에 시스템 장애 관련 사과문이 게재돼있다. ⓒSGI서울보증보험

[일요시사 취재2팀] 김준혁 기자 = 올해 들어 벌써 6번째 해커로부터 공격당했다. 랜섬웨어 공격의 직격탄을 맞은 SGI서울보증보험(서울보증)은 16일, 피해 구제 조치에 나서겠다고 밝혔다. 아직까지 해킹으로 인한 개인 정보 유출 정황은 없는 것으로 파악됐다.

하지만 장애 복구가 늦어진 데 대해 서울보증이 금융 당국으로부터 제재를 피할 수 없을 것으로 전망된다.

‘전자금융감독규정’에는 보험사 핵심 업무의 복구 목표 시간은 24시간 이내로 규정돼있으나 이번 서울보증 사태는 이를 크게 초과했기 때문이다. 금융감독원 관계자는 “취약점을 점검한 후 현장 검사 필요성이 있으면, 그에 따른 조치도 이어지게 될 것”이라고 말했다.

만약 서울보증이 전자금융거래법 위반 등 보안 체계를 취약하게 운영한 것으로 밝혀질 경우, 영업정지나 과징금 부과 등의 제재를 받게 된다.

금융 당국에 따르면 서울보증은 정보 및 개인 정보 보호 관리 체계 인증(ISMS, ISMS-P)을 받지 않았다. ISMS는 기업이나 기관이 정보 자산을 안전하게 보호하기 위한 관리·기술적 보안체계를 갖추고 있는지를 점검해 한국인터넷진흥원이 발행하는 제도로, 법적 의무 사항은 아니지만 보안에 민감한 기업들에겐 사실상 필수 인증으로 알려져 있다.

앞서 서울보증은 한국거래소 상장 당시였던 지난 3월, 증권신고서에서 “ISMS 인증을 추진해 금융 보안 위협에 대응하고자 한다”고 밝혔던 바 있다. 물론 보안 인증을 받았다고 해킹으로부터 100% 자유로운 건 아니다. 실제로 최근 SKT와 예스24의 경우 ISMS-P 인증을 받았지만 피해를 입었던 사례가 있다.

한편 서울보증은 이날 오전 9시부터 피해 고객을 위한 전담 센터 운영에 돌입했다.

서울보증 측은 “시스템 장애로 인한 피해구제를 위한 ‘피해신고센터’ 운영을 시작했다. 피해신고센터는 피해 사례를 접수부터 보상 가능성 상담까지 응대할 수 있는 전문 인력으로 구성됐다”며 “피해를 입은 개인과 기업 누구나 유선전화를 통해 신고할 수 있다”고 밝혔다.

피해신고센터는 더 이상 신청이 들어오지 않을 때까지 무기한 운영하며, 신고 내용을 검토해 사실관계 및 피해 금액이 확정될 경우 전액 보상한다는 방침이다.

이명순 서울보증 대표이사는 이날 “한 건의 피해도 빠짐없이 보상하겠다는 각오로 전담센터를 설치했고, 추후 책임 있는 후속 조치를 취할 계획”이라며 “앞으로도 고객의 불편과 피해를 최소화하기 위해 온 마음을 다해 고객 응대에 최선을 다할 것”이라고 밝혔다.

앞서 지난 14일, 서울보증 홈페이지에 시스템 장애가 발생해 주택담보대출, 전세대출, 휴대전화 할부 개통 등에 필요한 보증 서비스가 전면 마비됐다. 당초 대출 실행 전 보증보험 가입이 선행돼야 하지만 시스템이 정지돼 지방 영업점들의 창구도 업무가 불가능했고, 이날 오후 홈페이지엔 사과문이 게재됐다.

이튿날 금융보안원 등 전문기관의 공동 조사 결과 시스템 장애 원인이 ‘랜섬웨어 공격’인 것으로 확인됐다. 랜섬웨어는 컴퓨터나 서버 파일을 암호화한 뒤, 복구를 대가로 금전을 요구하는 사이버 공격 수법으로, 국내 보험사 중 최초의 사례로 기록됐다.

서울보증은 백업 데이터를 기반으로 시스템 복구 작업을 진행 중이지만, 랜섬웨어 공격 이전 상태로의 완전한 복구는 상당한 시일이 소요될 것이라는 게 전문가들의 분석이다.

이날 금융감독원 관계자는 “랜섬웨어 감염 전 백업 데이터를 중심으로 복구 작업을 진행 중”이라며 “시스템의 실시간 백업 자료는 오염돼 활용할 수 없고, 별도로 백업한 데이터를 활용하고 있어 완전히 복구하기는 쉽지 않을 수 있다”고 밝혔다.

서울보증은 실시간 백업 시스템 외에도 물리적으로 떨어진 2곳에 데이터베이스를 둬 그간 10분 단위로 백업해 온 것으로 알려졌다.

서비스 정상화 작업도 이뤄졌다. 서울보증은 금융감독원과 금융보안원 등 IT 리스크 관련 실무진과 함께 긴급 대응에 나섰다. KB국민, 신한 등 시중은행과 협의해 ‘선 대출 후 보증’이 가능하도록 조처했고, 이동통신사와도 할부 개통 시 보증을 유예하기로 협의해 혼란을 막았다. 다만 대출 신규 접수 등 일부 서비스는 여전히 막혀 있다.

이번 서울보증 사태 등 국내 굴지 기업들의 해킹 사건으로 각 기업의 보안 부서에도 당장 발등이 떨어진 모양새다.

앞서 지난 6월엔 SK텔레콤에서 유심 서버가 해커에 의해 공격을 받아 가입자 수천만명의 정보 노출 우려가 제기됐다. 당시 대규모의 민감한 고객 정보를 다루는 굴지의 통신사에서 해킹 사고가 발생했다는 점에서 사회적으로 파장이 거셌다.

경찰 조사 결과 약 2700만건의 휴대폰 번호, 국제 가입자 식별번호 등 회원 유심 정보 및 9.82G에 달하는 데이터가 유출됐으며 총 28대의 서버가 감염된 것으로 나타났다.

당시 SK텔레콤은 서버의 계정 정보를 암호화하지 않고 저장해 해커가 시스템에 접근하도록 했으며, 악성코드 감염 서버를 발견한 후에도 정보통신망법에 따라 관련 기관에 신고하지 않은 것으로 드러나면서 논란을 키웠다.

SK텔레콤은 해킹 사고 이후부터 지난 14일까지 해지 및 해지 예정인 고객들을 대상으로 위약금 면제를 결정했다. 또 8월 통신비 50% 할인 및 올해 연말까지 50G의 데이터를 추가 제공하기로 했다. 또 정보 보호를 위해 5년간 약 700억원 규모를 투자하겠다고 약속했다.

같은 달 9일에는 ‘문화콘텐츠 플랫폼’이자 국내 대형 온라인 서점인 예스24에서도 랜섬웨어 공격으로 무려 닷새 동안 홈페이지 접속이 마비됐다. 당시 해커의 공격으로 인해 도서나 티켓 예매 불가는 물론, 2000만명에 달하는 회원들의 민감한 정보까지 유출되는 피해를 입었다.

당시 예스24 측은 ‘신원 미상자의 랜섬웨어 공격으로 시스템 제어가 어려운 상황이 발생했다’면서도 ‘개인 정보 유출 정황은 확인되지 않았다’고 안내했다. 하지만 같은 날 개인정보보호위원회는 “비정상적인 회원 정보 조회 정황을 확인했고 유출 신고를 해왔다”고 밝히며 허위 공지 논란이 일었다.

해커가 예스24에 암호화 복구 해제 대가로 금전(비트코인)을 요구했으나 예스24 측에선 별다른 대응을 하지 않았던 것으로 알려졌다.

예스24는 사고 일주일 만인 16일에 실물 상품 무상 반품, 공연 티켓 예매자에게 최대 120% 환불(1차 보상) 및 전체 회원을 대상으로 YES 상품권 5000원 지급, 구매 이력 있는 회원들에겐 추가 혜택 제공(2차 보상) 등의 피해 보상을 약속하면서 공식 사과 입장을 냈다.

지난 4월30엔 ‘취업·아르바이트 사이트’인 알바몬에서 해킹으로 인해 회원들의 이름, 휴대전화 번호, 이메일 주소, 이력서 등 약 2만2000여건의 개인 정보가 유출됐다. 당시 해킹은 ‘이력서 작성 페이지의 미리보기’ 기능에서 해킹 시도가 확인됐으며 인지 즉시 해당 계정과 IP가 차단 조치 및 취약점에 대한 긴급 조치가 완료됐다.

다수의 개인 정보가 유출된 것으로 확인되면서 이로 인한 2차 피해 확산 우려가 제기되는 등 우려 목소리가 나왔으나 알바몬 측은 “공식적으로 피해가 접수된 사례는 없다”고 밝혔다.

알바몬이 유출 피해를 입은 회원들에게 네이버 페이, 요기요 상품권, 5대 유통 통합 상품권 10만원 중 하나를 보상 차원에서 선택 지급했으나 민감한 개인 정보에 비해 보상 금액이 너무 적은 게 아니냐는 일부 비판도 나왔다.

같은 달 5일엔 해킹 그룹 ‘탈레스’가 콜센터 용역업체인 KS한국고용정보를 공격해 전·현직 임직원들의 이름 및 생년월일 등 인사 정보를 유출하는 사건이 발생했다. 해킹은 ‘LummaC2’라는 악성코드를 이용해 KS한국고용정보 공식 도메인의 관리자 계정을 탈취하면서 이뤄졌다.

해킹 공격으로 인해 약 3만6000여명의 현직 및 퇴직 임직원들의 개인 정보가 유출됐으며 22G에 달했던 것으로 조사됐다.

하지만, 이렇다 할 사고 대응이나 보상 방안 등을 발표하지 않아 입길에 오르기도 했다.

당시 유출된 데이터가 다크웹을 통해 1만5000달러(한화 약 2000만원)에 판매되는 정황이 포착돼 논란을 키우기도 했다. KS한국고용정보의 해킹 사건은 해킹 공격으로 유출된 정보가 실제로 범죄로 악용될 수 있다는 사례를 남긴 것으로 기록됐다.

지난 3월에는 네이버 스마트스토어가 랜섬웨어 그룹 ‘닉_디젤’에 의해 해킹 공격을 당했다. 해당 그룹은 지난 1월부터 6월까지 네이버 스마트스토어를 공격해 유저들의 개인 정보를 탈취했다고 주장했다.

하지만 네이버 측은 자체 점검한 결과 개인 정보 데이터베이스에 침투 정황 등 해킹 흔적은 파악되지 않았다며 이들 주장을 일축했다. 그러면서 언론에 보도된 ‘판매자 정보’는 법령에 따라 웹페이지에 공개된 사업자 정보로 제3자에 의해 수집된 것으로 보인다고 설명했다.

논란이 일자 네이버는 제3자에 의한 정보 수집을 막기 위해 자동입력 방지(CAPTCHA) 기능을 도입하는 한편, 판매자 정보가 포함된 URL 주소에 무작위 문자열을 삽입하는 등 접근 차단 조치를 시행하고 있다.

전문가들은 랜섬웨어 공격은 사전에 예방하는 게 중요하다고 강조했다.

염흥열 순천향대 정보보호학과 명예교수는 지난달 27일 <보안뉴스>를 통해 “랜섬웨어 해커들은 백업 시스템을 공격해 기업이 빠른 복구를 하지 못하게 하기 때문에 오프라인 백업 시스템에 하루나 반나절처럼 최대한 짧은 주기로 업데이트하는 방법이 있다”고 설명했다.

이어 “한번 랜섬웨어에 당했다면 취약점이 모두 노출됐기 때문에 추가 공격 가능성이 높다”며 “키값을 주고서라도 복구했다면, 그때부터라도 철저한 취약점 관리와 안전한 백업 시스템을 갖춰 추가 피해가 없도록 대비해야 한다”고 당부했다.

익명을 요구한 보안 업계 전문가는 “대기업을 포함한 다수의 중소기업들은 보안을 비용으로만 생각해 투자에 소홀한 경향이 크다”며 “해커들이 이 같은 취약점을 집요하게 파고 들기 때문”이라고 짚었다. 이어 “오래된 운영체제(OS)나 소프트웨어는 최신 보안패치가 적용되지 않는 만큼 해킹에 매우 취약할 수밖에 없다”며 “지원이 종료된 구형 윈도 서버를 사용했던 것으로 밝혀진 예스24 해킹 사태가 좋은 예”라고 설명했다.

그러면서 “해커들의 해킹 기술은 나날이 발전하고 있는 데 반해, 기업의 보안 시스템은 제자리걸음을 하고 있는 경우가 많다. 특히 랜섬웨어 공격은 데이터를 무용지물로 만들 뿐만 아니라, 데이터 유출까지 이중고를 안긴다”고 부연했다.

무엇보다 보안 위협이 끊이지 않고 있음에도 불구하고 이를 전문적으로 다룰 수 있는 사이버 보안 인력이 턱없이 부족한 것도 문제점으로 대두되고 있다.

해킹과 랜섬웨어 공격은 사이버 보안 분야에서 흔히 사용되는 용어지만 혼용 형태로 쓰이기도 한다. 해킹은 ▲정보 탈취 ▲시스템 제어 ▲서비스 방해 ▲금전적 이득을 위해 시스템에 무단으로 침입하는 모든 행위를 일컫는다.

반면, 랜섬웨어(‘Ransom(몸값)’과 ‘Software(소프트웨어)’의 합성어)는 악성코드의 한 종류로 오직 금전적 이득을 목적으로 한다. 주로 이메일에 파일을 첨부해 오픈하는 순간 감염되도록 하거나, 악성 웹사이트 방문을 유도해서 시스템에 침투하는 방식이다.

암호화된 시스템 내 파일들은 무용지물이 되는데, 해커는 복호화 키를 제공하는 대가로 비트코인 등 추적이 불가한 가상화폐 입금 등으로 이득을 취한다.

<kj4579@ilyosisa.co.kr>

전체메뉴