[기자수첩] 작은 '구멍'이 기업 무너뜨린다

“막는 사람은 1부터 100까지 다 막아야 하는데, 뚫는 사람은 하나만 뚫어도 다 뚫을 수 있다” 보안 전문가가 '모든 공격을 전부 막아내는 것은 불가능하다'는 의미를 알기 쉽게 설명한 비유다. 최근 KT, 롯데카드에 이어 쿠팡의 정보 유출 사태로 인해 보안에 대한 중요성과 경각심은 최고조에 이르고 있다. 해킹에서부터 미인가 기지국을 통한 고객정보 탈취, 인증 권한을 지닌 퇴사자로 인한 개인정보 유출까지 그 방법도 가지각색이다. 이는 여전히 기업들의 보안 인식 수준이 낮고, 기존 침입 차단 장치만으로는 여러 유형의 사고를 포착하기 어렵다는 점을 보여 준다. 특히 쿠팡 사례의 경우 악성코드 형태의 일반적인 '백도어(backdoor)'와 결은 다르지만 운영·유지보수 편의를 위해 남겨 놓은 코드·계정·장치가 악용됐고, 이를 외부에서 이용해 고객정보를 은밀하게 빼냈다는 점에서 논리적 백도어의 형태로 볼 수 있다. 이처럼 외부에서의 공격은 다양해졌고 더 쉬워졌다. 특히 인공지능(AI)으로 공격을 자동화하는 지경에 이르렀다. 보안 전문가의 말을 빌리자면 시쳇말로 '딸깍'이면 공격이 된다고 한다. 반면 조직이 관리하고 지켜야 할 자산은 더 많아졌다. 1부터 100이 아니라 1부터 수천, 수만 가지에 달한다. 내로라하는 대기업들조차도 어떤 IT 자산을 보유하고 있는지 일일이 파악하기 어려울 정도다. 직원 한명한명 관리하는 인사 체계 시스템부터 각종 네트워크, 디바이스, 실물자산 등 셀 수 없다. 이런 자산이 공격 표적이 된다면, 조직 자체가 붕괴되는 결말을 맞이할 우려도 있다. 이에 사소한 취약점 하나, 직원의 작은 실수만으로 큰 피해를 부를 수 있다. 따라서 내부망과 연결이 가능한 모든 대역의 무선 채널과 발생하는 이상 징후를 즉시 탐지하는 보안 체계가 필요하다. 해커의 시스템상 내부 침입만 대비해서도 안 된다. 인가되지 않은 장비나 설비를 외부에서 들여오거나 조직 내 시스템에 비인가 통신 채널이나 백도어를 설치하면 물리적 환경에서도 IT 자산을 노릴 수 있다. 예컨대 차량 내 통신 모듈이나 부품에 백도어, 비인가 통신 채널이 실제로 존재한다면 해당 차량은 곧바로 이동식 도청·정보수집 장치로 변할 수 있다. 현재 차량은 수많은 시스템이 결집돼 있는 SDV(소프트웨어 중심 자동차)로 분류된다. 각종 센서와 제어 시스템, 통신 모듈이 결합된 이동식 정보 인프라, 즉 '바퀴 달린 컴퓨터'라고 해도 과언이 아니다. 이런 차량이 백도어 공격으로 인해 차량 위치, 주행 패턴, 탑승자 대화, 차량과 연결된 단말의 각종 로그까지 외부로 탈취될 수 있다면 이 또한 대비해야 할 공격 표면임이 분명하다. 실제 이스라엘의 경우 중국산 전기차를 사실상 도청장치로 분류했다. 이에 군 간부에게 지급된 중국산 전기차를 전량 회수하기로 하는 등 적극적인 조치에 나섰다. 영국 역시 중국산 전기차에 국방부 기기를 연결하지 말라고 당부하는 등 대응에 힘쓰고 있다. 우리나라도 대비해야 할 때다. 다방면으로 고려하지 않은 사소한 의사결정으로 인해 기업의 존폐가 위태로운 상황을 맞이하는 조직이 더 이상 생기지 않길 바란다. 내·외부로 상시 감시 체계를 마련하고, 이상행위 탐지 즉시 대응에 나설 수 있는 체계를 구축해야 한다.