전체기사 최신뉴스 GAM 라씨로
KYD 디데이

[위크넷 해킹] 신종 해킹에 공공기관 '초비상'...보안관리 강화해야

기사입력 : 2023년07월10일 21:32

최종수정 : 2023년07월10일 21:32

'워크넷' 중국 해커에 23만명 개인정보 탈취
신종 '크리덴셜 스터핑' 해킹공격에 속수무책
보안 전문 인력 확대·직원 경각심 배양 필요

[세종=뉴스핌] 정성훈 기자 = 해킹 수법이 점차 진화하고 지능화되면서 상대적으로 보안이 취약한 공공기관들 사이에 비상이 걸렸다. 

더욱이 이를 막기 위한 인력·예산 확대 필요성이 시급한데, 정부의 긴축재정 방침에 따라 내년 공공기관 예산이 큰 폭으로 삭감될 분위기가 감지돼 우려가 커지고 있다.     

◆ 신종 '크리덴셜 스터핑' 공격에…워크넷 개인정보 23만명 유출

10일 고용노동부에 따르면, 고용부 산하기관인 고용정보원이 운영하는 채용사이트 워크넷이 중국 해커에 뚫려 23만명의 개인정보가 유출된 것으로 알려졌다. 

고용정보원이 밝힌 유출 정보는 개인이력 항목에 있는 이름, 성별, 출생년도, 주소, 일반전화, 휴대전화, 이메일, 학력, 경력, 훈련참여이력, 참여프로젝트, 주요활동 및 수상경력, 해외경험, 외국어능력, 보유자격, 증명사진, 운전가능여부, 차량소유여부로 총 18개다.

해킹 방식은 소위 '다크웹'으로 불리는 인터넷 암시장에서 불법으로 취득한 사용자 정보(아이디·암호)를 다른 계정에 무작위로 대입해 로그인한 뒤 개인정보 빼내는 '크리덴셜 스터핑' 수법으로 추정된다. 이는 대다수 인터넷 사용자가 여러 사이트에서 동일한 아이디와 비번을 쓴다는 점을 악용한 것이다.   

상당수 공공기관은 이러한 해커들의 공격에 속수무책 당할 수밖에 없다. 기관이 자체적으로 운영하는 계정의 경우 나름의 보안 시스템으로 대응이 가능하지만, 아이디와 비번으로 로그인하는 신종 해킹공격의 경우 정식회원인지 해커들의 공격인지 분간해 내기가 어렵기 때문이다.  

화이트해커로 활동했던 한 보안전문가는 크리덴셜 스터핑 해킹수법에 대해 "과거에는 공격자들이 개인 정보를 탈취해 개별 사이트에서 일일이 대입해 보는 방식을 취했는데, 최근에는 자동화된 로봇을 만들어 무작위로 돌리는 방법으로 접속을 시도하다 보니 문제가 더 심각해지고 있다"고 우려를 표했다. 

특히 이 전문가는 "이 해킹방식을 이용하면 수초에도 수천, 수만개 계정의 로그인을 시도할 수 있는데 이를 해커들의 공격인지 감지해 내는게 더 어려워졌다"면서 "그나마 별도의 보안팀을 운영하는 기관들은 유사한 IP로 접속하는 공격방식에 대해 불법 여부를 판단해 사전에 차단할 수 있지만, 그렇지 않은 기관들은 해킹을 당하고도 모르는 경우가 상당할 것"이라고 설명했다. 

국회 환경노동위원회 소속 노웅래 의원실에 따르면, 워크넷을 운영하는 고용정보원은 해킹방지를 위해 5년간 100억원을 지출해온 것으로 확인됐다. 매년 20억원 안팎의 예산을 투입한 것이다. 별도의 보안팀만 20여명, 전산·운영팀 등을 포함하면 수십명의 관련 인력을 운영 중에 있다. 하지만 이번 해킹 공격을 막기는 어려웠다.  

김영중 고용정보원 원장은 "정부 기관이 해킹당한 것에 대해서는 국민들께 죄송한 마음"이라며 "고용정보원의 경우 그나마 별도의 보안인력이 배치돼 있어 나름 신속히 대응할 수 있었지만, 그렇지 못한 기관들은 이번 같은 해킹 공격에 취약할 수밖에 없다"고 우려했다. 

◆ 국책연구기관 등 공공기관, 보안인력 손에 꼽아…"정부 예산 지원 절실"

실제 개인회원들을 상당수 보유한 대학이나 국책연구기관들의 경우 보안인력이 손에 꼽을 정도로 부족했다. 정부는 400명 이상 규모 공공기관에 보안전문가 3명씩을 필수로 배치하라고 권고하고 있는데, 대부분의 기관은 보안전문가 1명이 모든 보안 업무를 처리하고 있었다. 

한 국책연구기관의 경우 해킹훈련이나 취약점검을 수시로 하고 있다고 밝혔지만, 보안담당자 1명이 보안 업무뿐만 아니라 시스템 업무도 병행하고 있었다. 이번 같은 해킹공격에 대응할 여력이 전혀 없는 것이다. 

이 연구기관 전산실 담당자는 "공공기관 평가 항목에 안전 평가 지표들이 있어 주기적으로 비밀번호를 바꾼다든지, 또 모든 문서를 암호화한다든지 해서 사고에 대비하고 있다"면서도 "이 업무를 혼자서 하기는 너무나 벅차다. 경영진들이 보안업무에 중요성을 느끼지 않은 기관들은 보안에 더욱 취약할 수밖에 없다"고 고충을 토로했다.

이 담당자는 또 "내년 공공기관 예산 삭감 바람이 불고 있는데 보안 예산이 줄지 않을까 사실 우려된다"면서 "최소한 추가적으로 보안인력을 채용하거나 관련 시스템을 갖출 수 있도록 정부 예산 지원이 절실하다"고 요청했다.

[사진=로이터 뉴스핌]

또 다른 국책연구원 전산 업무 관계자도 "현재 실질적인 전산팀 인력이 5명인데 이마저도 갖추지 못한 연구기관들이 허다하다"면서 "이 인력들이 보안업무만 하는게 아닌 기자재 임차, 소프트웨어 설치 점검 업무 등 다양한 업무들을 맡고 있어 보안업무는 사실 손 놓고 있는 상황"이라고 전했다. 

그러면서 이 관계자는 "인력도 인력이지만, 결국 기관장의 의지가 중요한 것 같다"면서 "기관평가에서 보안점수가 높지 않다 보니 이를 버리는 기관들이 많은데, 언제든지 해커들의 공격 타깃이 될 수 있다는 위기의식을 버리지 말아야 할 것"이라고 조언했다. 

고용노동부 산하 한 공공기관의 경우도 약 300명 규모로 운영되는데, 보안 관련 인력은 정보보안 및 개인정보 보호 담당자를 합쳐 3명뿐이다. 

매년 모의해킹 방식으로 사이트를 진단하고, 데이터베이스 암호화 악성메일 사전 차단 등 보안시스템을 운영하고는 있다지만, 이번 같은 무작위 로그인 공격에는 사실상 속수무책이다.

한 보안전문가는 "이번 워크넷 공격방식은 같은 아이디와 비번을 동일하게 쓰고 있다는 점을 악용한 신종 공격으로, 기관들은 어쩔 수 없이 공격을 당할 수밖에 없는 상황"이라며 "현재로서는 해킹공격을 인지하고 이를 사전에 차단할 수 있는 보안 전문인력 확대와 전 직원들이 보안에 대한 경각심을 갖고 비번을 수시로 바꿔주는 노력 등이 최선"이라고 조언했다.     

jsh@newspim.com

CES 2025 참관단 모집

[뉴스핌 베스트 기사]

사진
기후동행카드, 고양·과천도 30일부터 [서울=뉴스핌] 이경화 기자 = 서울시는 '기후동행카드'가 오는 11월 30일 첫 차부터 고양시와 과천시까지 서비스를 확장한다고 21일 밝혔다. 이로써 서울~고양~과천을 오가는 시민들도 월 5만~6만원대로 기후동행카드의 무제한 혜택을 받을 수 있게 된다. 지난 1월 27일 서울 지역을 대상으로 출발한 기후동행카드는 3월 30일 김포골드라인, 8월 10일 진접선·별내선까지 확대됐다. 서울 공동생활권인 인구 100만의 대규모 도시 고양시와 지리적으로 서울시와 경기남부의 길목에 위치한 과천시까지 연결됨에 따라 수도권으로 본격 확대되는 계기가 될 것으로 시는 기대한다.  서울 외 지역 기후동행카드 이용 가능 도시철도 구간 [이미지=서울시] 서울시와 고양시, 과천시는 지난해 2~3월 기후동행카드 참여 업무협약을 체결한 이후 후속 논의를 통해 구체적인 시행방안을 마련하고 11월 30일 고양시(3호선·경의중앙선·서해선), 과천시(4호선)의 기후동행카드 참여를 확정지었다. 관계기관들과 함께 시스템 개발·최종 점검을 완료했다. 이번 확대로 3호선은 고양시 일산서구 대화역에서 서울시 송파구 오금역까지 모든 역사(44개)에서 기후동행카드를 이용할 수 있게 된다. 경의중앙선은 고양시 일산서구 탄현역에서 구리시 구리역까지 34개 역사, 서해선은 고양시 일산서구 일산역에서 서울시 강서구 김포공항역까지 7개 역사, 4호선은 남양주시 진접역에서 과천시 정부과천청사역사까지 34개 역사에서 기후동행카드를 이용할 수 있다. 이에 더해 현재 기후동행카드 서비스 범위에 이미 고양시를 경유하는 서울 시내버스 28개 노선과 과천시를 경유하는 6개 노선이 포함돼 있음을 고려하면 서울과 고양·과천을 통근·통학하는 약 17만 시민의 이동 편의가 더욱 증진될 것으로 보인다.  또 이용범위가 대폭 확대되면서 과천·고양 등 시민들도 기후동행카드의 다양한 문화 혜택을 동일하게 누릴 수 있다. 과천시 4호선 확대로 대공원역도 기후동행카드를 이용할 수 있는 만큼 방문 시 서울대공원 50% 할인 등 혜택을 참고하면 된다.  기후동행카드는 올해 1월 23일 서비스 시작 이후 70일 만에 100만 장이 팔리는 등 시범사업 단계부터 큰 호응이 확인된 바 있다. 7월부터 본사업에 들어가면서 청년할인권·관광객을 위한 단기권 등 다양한 혜택이 더해졌다. 평일 최대 이용자가 65만명이 넘어가는 등 인기가 지속되고 있다. 서울시는 고양·과천 지하철 적용을 시작으로 수도권 시민들에게도 실질적인 혜택을 제공할 수 있도록 관련 협의·시스템 개발 검토를 적극 추진할 계획이다. 향후 기후동행카드의 무제한 확장을 위한 타 경기도 지자체와의 논의 역시 급물살을 탈 것으로 기대된다고 시는 덧붙였다.  기후동행카드를 이용하려면 안드로이드 기반 휴대전화에서 '모바일티머니' 앱을 무료로 다운받아 충전하면 된다. 실물카드는 서울교통공사 1~8호선 고객안전실, 지하철 인근 편의점 등에서 구매한 후 서울교통공사 1~8호선, 9호선, 신림선·우이신설선 역사 내 충전기에서 권종을 선택·충전 후 사용할 수 있다.  기후동행카드의 고양시, 과천시 확대 등에 관한 자세한 내용은 고양시(031-909-9000), 과천시(02-3677-2285), 서울시 120 다산콜센터로 문의하면 된다. 윤종장 서울시 교통실장은 "김포·남양주·구리에 이어 고양·과천 확대로 경기도 동서남북 주요 시군까지 기후동행카드의 무제한 대중교통 혁신이 이어지고 있다"며 "교통비 절감·생활 편의·친환경 동참 등 일상 혁명을 수도권 시민들까지 누릴 수 있도록 수도권 지역 서비스 확대·편의 향상에 총력을 기울이겠다"고 말했다.  kh99@newspim.com 2024-11-21 11:15
사진
김승연 회장, 시흥R&D캠퍼스 첫 방문 [서울=뉴스핌] 김아영 기자 = 김승연 한화그룹 회장이 지난해 5월 공식 출범한 한화오션 사업장을 처음 찾았다.  한화그룹은 김승연 회장이 20일 '한화오션 중앙연구원 시흥R&D캠퍼스'를 방문했다고 밝혔다.  김승연 회장(가운데)이 한화오션 시흥R&D캠퍼스를 방문해 임직원들과 오찬 후 기념촬영을 하고 있다. [사진=한화그룹] 현장을 둘러본 김 회장은 미국 등 글로벌 시장 선점을 위한 초격차 기술경쟁력 확보를 강조했다. 해양 탈탄소 시대를 선도할 그린십(Green Ship) 기술과 방산 기술 혁신으로 조선·해양 분야에서 지속가능한 글로벌 강자로 자리매김할 것을 주문한 것이다. 이날 행사에는 김동관 한화그룹 부회장과 김희철 한화오션 대표이사, 손영창 한화오션 제품전략기술원장도 참석했다. 김승연 회장과 김동관 부회장이 한화오션 시흥R&D캠퍼스의 상업용 세계 최대 공동수조를 방문해 시연을 지켜보고 있다.[사진=한화그룹] 한화오션 시흥R&D캠퍼스는 상업용 세계 최대 규모의 공동수조와 예인수조, 국내 유일의 음향수조 등 첨단 시험 설비를 갖추고 있다. 이를 통해 조선·해양·방산 분야 친환경 초격차 기술 개발을 선도하는 핵심 연구 거점이다. 기술 리더십의 중요성을 강조해온 김승연 회장이 시흥R&D캠퍼스를 찾은 이유이기도 하다.  김승연 회장은 먼저 공동수조(Cavitation Tunnel)를 방문해 연구진의 시연을 지켜봤다. 상업용 세계 최대 규모의 한화오션 공동수조는 길이 62m, 높이 21m의 대형 터널로, 최대 출력 4.5MW 모터와 3600톤의 물을 통해 최대 15m/s의 유속을 형성할 수 있다. 특히, 선박의 추진력을 높이고 수중 방사 소음을 줄이는 연구 성과는 함정의 은밀성과 생존성을 강화하는 방산 기술 개발에도 활용되고 있다. 예인수조를 방문한 김 회장은 임직원들과 함께 수조 내 모형선을 끄는 예인전차에 탑승해 고품질 선박 성능 시험을 참관했다. 한화오션의 예인수조는 길이 300m·폭 16m, 담수량 3만3,600톤으로 세계 최대 규모 최신 시설을 자랑한다. 상선, 함정 등 다양한 선박의 저항, 운동, 조종 성능 등에 맞춤식으로 시험할 수 있다. 김승연 회장이 한화오션 시흥R&D캠퍼스 예인수조를 둘러본 후 임직원들과 기념사진을 촬영하고 있다. [사진=한화그룹] 김 회장은 이 날 임직원들과 함께한 자리에서 "여러분은 한화그룹의 자산이자 대한민국 산업의 자산"이라며 "대한민국의 국익과 국격에 기여한다는 뜨거운 사명감을 갖고 연구에 임해주기 바란다"고 당부했다. 이어 "더 밝게 빛날 한화의 미래에 조선해양 부문이 가장 앞에 서 있을 것을 믿어 의심치 않는다"며 "한화 가족 모두는 우리 그룹의 일원으로서 함께 나아갈 한화오션의 미래에 큰 기대를 가지고 있다. 여러분이 가진 무한한 잠재력과 기술 역량으로 새 시대를 선도해 나가길 바란다"고 덧붙였다. 김승연 회장은 3D 프린팅 기술을 활용해 동일한 형상으로 축소된 프로펠러 모형을 제작하여 다양한 성능을 예측·평가하는 모형제작워크샵에 대한 설명도 들었다. 이곳에서 김승연 회장은 한화오션이 수출형 모델로 독자 개발한 2000톤급 잠수함 모형에 'K잠수함 수출로 글로벌 No.1 도약을 기원합니다'라고 적고 친필 서명하며 해외 수출 성공을 기원했다. 한화오션의 2000톤급 잠수함은 현존하는 디젤 잠수함 중 최고로 평가 받는 장보고-III 플랫폼에 기반해 자체 개발한 중형급 잠수함으로 최신 기술과 다양한 요구사항을 적용한 모델이다. 김승연 회장은 직원 식당에서 임직원들과 오찬도 함께 했다.  김승연 회장이 한화오션 시흥R&D캠퍼스를 방문해 임직원들에게 격려의 메시지를 전하고 있다. [사진=한화그룹] 김 회장은 이 날 한화오션 임직원들에게 "한화는 여러분들이 마음껏 연구 역량을 펼칠 수 있도록 거친 파도를 막아주는 든든한 방파제가 될 것"이라며 굳건한 신뢰의 뜻을 전했다. 한화오션은 시흥R&D캠퍼스의 첨단 인프라를 바탕으로 지속 가능한 해양 솔루션을 개발하고 미래 해양 산업의 변화를 주도하는 글로벌 오션 솔루션 프로바이더로 도약하기 위한 행보를 이어갈 예정이다.  aykim@newspim.com 2024-11-20 15:33
안다쇼핑
Top으로 이동