보안

토픽 브리핑| '유출-승-전-유출'... 2014년 보안을 마무리하는 소니와 북한, 그리고 더 인터뷰

이대영 기자 | ITWorld 2014.12.26
2014년은 기승전결이 아니라 개인정보 유출에서 기밀정보 유출로 마무리되는 유출, 승, 전, 유출로 전개되는 한 해가 되고 말았다. 이는 국내뿐만 아니라 전세계적으로 마찬가지다.

2013년 12월 미국에서는 타겟을 위시한 대형 유통업체들의 고객정보 유출 사건이, 국내에서는 국민, NH 농협, 롯데 카드사의 개인정보 유출 사건이 일어나 처음 2014년 한 해를 여는 시작부터 양국의 국민들을 공포의 도가니에 몰아넣었다. 

타깃 개인정보 유출 사건이 중소기업의 데이터 보안에 미친 영향

'범죄의 재구성', 타깃 데이터 유출 해킹 11단계

블랙햇 USA 2014에서 공개될 10가지 충격적인 공격 사례

2013년 최악의 데이터 유출 사고 - 국내편

토픽 브리핑 | 전국민의 개인정보 공공재화에 따른 대국민 행동 요령

유출 방법은 POS 해킹과 내부관계자 유출로 달랐지만, 둘다 고객의 비밀번호까지 포함한 개인정보라는 점과 총 1억 건이 넘는다는 점이 공통적인 사항이었다. 2014년 12월, 미국은 소니의 내부문서 유출 사건으로 떠들썩해졌으며, 우리나라는 한국수력원자력(이하 한수원)의 기밀 유출 사건으로 한해를 뒤숭숭하게 마무리하고 있다.

소니 픽처스, 해킹에 이어 직원 협박 메시지까지…이례적인 전개

북한, 소니 픽처스 해킹 관련설 부인

IDG 블로그 | 한수원 기밀 유출 사건과 관련한 요약 정리와 정부가 해야할 일 세 가지

이 사건에서도 공통된 사항이 있는데, 공격 주체가 북한으로 추정된다는 점과 특정 목적에 따라 협박을 한다는 점이다.

소니 공격 해커, 영화 ‘인터뷰’ 상영 중단 요구

소니 공격 해커, 테러 전술로 전환…’인터뷰’ 상영 극장 위협

그리고 소니를 해킹한 공격자는 현재까지 230GB 이상의 데이터를 유출시켰다. 소니의 전체 네트워크가 해킹당했으며, 각 사업부가 영향을 받았다. 한수원은 어떨까? 해커들이 1차적으로 게재한 자료 이외에는 유출된 것이 없다며 전면 부인하다가 2, 3차 정보가 게재되면서 태도를 바꿨다.

다른 점은 명확하다. 일단 정보 유출의 경중이 다르다. 소니의 경우 영화를 만드는 일개 기업에 불과하지만 한수원은 원자력 발전소 운영을 하는 국가 1급 기밀 기관이자 대한민국 국민의 생명과 안전을 맡고 있는 중차대한 곳이다.

또한 대처 상황에 있어서도 미국 정부는 대통령이 나서서 북한에 대한 응징을 공언한 반면, 우리나라는 피해 규모를 숨기기에 급급하며 공격 방법이나 통로, 백도어 여부조차 파악하지 못했으며, 협박에 대한 대처 방안 또한 사실상 전무했다.

미국은 소니를 해킹한 자가 소니의 내부문서 추가 유출과 영화 상영관을 폭파할 것이라는 은유적인 위협을 하면서 테러 전술로 전환하자 표현의 자유를 침해한 것으로 간주했다.

"크리스마스 선물로 더많은 데이터를 폭로할 것이다"...소니 해커

소니 사건이 발발이후 3주동안 미국 사법당국은 범인에 대한 얘기는 거론하지 않은 채, 수사에 집중해왔다. 그러던 가운데 12월 19일 미국 FBI는 공격 방법과 통로가 2013년 6월 청와대 및 정당 웹 사이트를 침투한 것과 유사하다는 점을 들어 공격의 배후로 북한을 지목했다.

'소니 픽처스에 대한 공격은 북한의 소행'이라는 FBI 발표에 대한 남아 있는 의문점

지난 19일 오바마 미 대통령은 "그들로 인해 많은 손해를 입었다. 그리고 우리는 대응할 것이다. 우리는 비례적으로 대응할 것이다. 우리는 그 곳에 대응할 것이며 시간과 방법은 우리가 선택한다"고 약속했다.

북한, 인터넷 연결 중단

흔해빠진 DDoS 공격에 나가떨어진 북한

미국의 이런 대응의 일환인지, 어노니머스의 공격인지는 현재로서는 사실 관계를 파악할 수 없다. 하지만 지난 몇년간 우리나라는 각종 대형 사이버 사건들이 북한의 소행이라고 공식적으로 밝혀왔다.

우리나라는 그렇게 많이 공격 당하면서도 이토록 쉽게 무너져버리는 북한의 인터넷에 대해 그간 한번도 대응하지 않았다.

더 아이러니한 것은 상영하지 말라고 협박했던 그 영화 <더 인터뷰(The Interview)>는 지극히 재미없고 웃기지도 않는 코미디 영화였다는 점이다.

이 혹평의 영화가 전세계적으로, 아니 적어도 미국과 한국에서 지대한 관심을 받으면서 온오프라인으로 6,600원에 배포하게 된 데에는 상영 금지를 요구한 소니 해커의 역할이 매우 컸다.

결과적으로만 보면, 소니 해커는 북한이 자칭 주장하는 '북한을 지지하는 세력의 의로운 소행'이라기보다는 북한을 향한 고도의 안티 세력이 아닌가 추정해보기도 한다.

2014년은 인터넷 보안에 대한 근본 구조부터 흔들렸으며, 개인정보 유출에서 기밀정보 유출로 마무리되는 뜻깊은(?) 한 해가 되고 말았다. editor@itworld.co.kr

하트브리드, 셸쇼크, 토르 등 2014년을 장식한 보안 '사건 사고' 13가지

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.