김재기 S2W "대기업 협력사가 '해킹 통로'"
정부, 공공기관, 대기업 등의 협력사가 해커들의 '해킹 통로'가 되고 있다는 지적이 나왔다. 공공기관이나 대기업 자체적으로 보안을 신경쓰고 있지만, 파트너사가 공격을 받으면 대기업이나 공공기관도 실질적인 위협, 즉 공격 표면이 될 수 있다는 얘기다. 최형두 국민의힘 의원과 김한규 더불어민주당 의원이 13일 오전 개최한 국회 국가미래전략기술포럼에서 김재기 S2W 위협인텔리전스센터장은 이같이 진단했다. 이날 포럼 행사는 '위기의 K보안 글로벌 해커 타깃 한국'을 주제로 열렸다. 발제자로 나선 김 센터장은 "대기업 A사만 보안 관리를 해야 되는 것이 아니라 파트너 기업이나 협력업체의 보안도 중요하다"며 "특정 외주 업체의 침해사고가 국내 대기업 및 공공기관의 정보 유출 문제로 번질 수 있기 때문"이라고 밝혔다. 김 센터장은 실제 사례로 애플의 예시를 들었다. 그는 "애플도 신형 맥북의 설계도가 유출된 적 있다"며 "전 세계 시총 1위를 기록했던 애플은 당연하게도 보안에 무척이나 신경쓰는 기업이다. 그러나 애플이 직접적인 공격을 받지 않았음에도 애플의 맥북을 제조하는 판타 컴퓨터라는 하드웨어 제조 업체가 공격을 받으면서 설계도가 유출되는 치명적인 피해를 입었다"고 설명했다. 김 센터장은 이같은 사례가 비단 해외의 경우에 그치지 않는다고 강조했다. 한국의 대기업도 수많은 협력업체를 두고 있기 때문이다. 그는 "대기업, 정부, 기관 모두 자체적으로 보안에 신경을 쓰고 있지만, 파트너사 또는 협력사를 통해 피해가 발생할 수 있는 만큼, 협력사에 대한 보안 강화도 필요한 부분"이라며 "수탁사나 협력사에 대한 보안 강화를 신경 쓰는 기업은 극히 일부에 불과하다. 대부분 빅테크 수준의 투자가 활성화 돼 있는 기업을 중심으로 진행되는 데 그친다"고 진단했다. 한편 김용대 한국과학기술원(KAIST) 전기 및 전자공학부 교수도 이날 발제자로 나서 KT 해킹 사건이 '국가기간통신망 도청 사건'이라고 강조했다. 통화 내용은 암호화가 되지 않고, 현재도 펨토셀(초소형 기지국)을 해킹하면 통화 도청이 가능한 상태다. 이에 "김 교수는 일부 공격자들이 현금을 목적으로 소액결제를 시도했으니 세상에 해킹 사태가 밝혀진 것이지, 만약 소액 결제 피해자들이 없었으면 이 사건은 세상에 알려지지 않았을 것"이라고 강조했다. 그는 정보통신망법 48조 1항 등 모순적인 한국 제도를 개편해야한다면서, 또 해킹 사실을 은폐하는 것이 아니라 취약점이나 위협 정보를 공유할 수 있는 문화 및 인식, 제도, 인증 등 구조적인 개선이 필요하다고 역설했다.
