해킹과 보안에 관해서 !!
페이지 정보
작성자 게시판관리자 작성일18-09-20 01:56 조회9,831회 댓글0건관련링크
본문
해킹과 보안
개인 정보와 데이터를 탈취하고 변조시키는 해킹은 심각한 사회문제다. 모든 것의 연결, 실시간 정보 수집이라는 키워드를 가지는 사물인터넷 시대로 접어들면서 해킹과 보안 문제는 한층 더 복잡한 양상을 띠고 있다. 인증 · 식별 기술, 암호화 기술 등의 기술적 대응과 동시에 개인 정보가 갖는 인격적 가치를 뒷받침하는 법 · 제도적 대응이 필요하다.
사이버 침해 사고의 심각성과 해킹
정보기술이 발달하고 인터넷을 이용하는 서비스 제공이 늘어나면서 이를 이용하기 위한 개인 정보 제공 또한 자연스럽게 급증하고 있다. 온라인 상거래 사이트는 물론이고 대부분의 인터넷 사이트들이 서비스의 이용을 위해 이름, 생년월일, 주민등록번호, 주소 등 개인 정보의 제공을 요구한다. 그리고 그 결과로 ‘네이버’나 ‘다음’ 같은 포털 사이트나 온라인 상거래업체는 엄청난 양의 개인 정보를 축적하고 있다. 문제는 이런 개인 정보들이 본인의 의사와는 상관없이 유출되어 상업적으로 활용되고 범죄에 이용될 가능성이 높아지고 있다는 것이다. 이런 사이버 범죄 행위의 대표 유형이 바로 해킹(hacking)이다.
해킹은 전산망에 불법적으로 침입해 개인 정보 또는 전산망 내의 각종 정보들을 탈취하거나 변조하는 전산망 보안 침해 사고다. 인터넷 발전의 초창기에는 해킹 행위를 하는 해커(hacker)가 마냥 부정적인 존재는 아니었다. 오히려 시스템을 시험하고 암호 생성자로 하여금 수준 높은 프로그램을 개발하도록 했고, 그들의 기술력과 상상력으로 인터넷의 발전을 이끌기도 했다. 하지만 최근에는 선량한 의미의 화이트 해커(white hacker)보다 악의적 의도를 가지고 다른 사람이나 회사의 컴퓨터에 침투해 정보를 훔치거나 망가뜨리는 블랙 해커(black hacker)가 ‘해커’를 의미하는 경우가 많아지고 있다.
2000년대 초반의 해킹 사고는 바이러스나 웜(네트워크에서 연속으로 복사 기능을 수행함으로써 자가 증식해 기억장치를 소모하거나 저장된 데이터를 파괴하는 프로그램)과 같이 개인의 PC에 악성코드(사용자 시스템에 침투해 정보를 유출하거나 정상적인 동작을 지연 또는 방해하는 프로그램)를 감염시켜 발생하는 사고가 주를 이루었다. 그러나 현재는 공격 기법이 점점 고도화되어 특정 기업이나 조직의 네트워크에 지속적으로 가하는 공격을 의미하는 APT 공격(Advanced Persistent Threat), 여러 대의 공격자를 분산 배치해 특정 사이트를 공격하는 디도스(DDoS, Distributed Denial of Service) 공격 그리고 개인 정보 유출로 인한 사고가 점차 증가하고 있다.
해킹으로 인한 피해는 개인 차원에만 그치는 것이 아니라 범국가적 위기를 초래하기도 한다. 실제로 2007년 발틱해의 소국인 에스토니아에 3주간 계속된 디도스 공격은 국가에 대한 사이버테러의 첫 번째 사례로 정부, 정당, 언론사, 은행, 기업 등의 웹사이트가 마비되었다. 3주간 지속된 공격에 국가 기간망이 1주일 이상 마비되었으며, 금융거래와 행정 업무가 불통 상태가 되었다. 국내에서도 2013년 3월 초유의 디도스 공격으로 주요 방송사들(KBS, MBC, YTN)과 금융기관(신한은행, 농협)의 전산망이 마비되어 국가적 혼란을 겪었다. 이렇게 해킹은 개인의 인권을 침해하는 동시에 심각한 사회적 혼란을 일으킬 수 있는 심각한 위험으로 선제적 대응이 요구되고 있다.
사물인터넷 시대의 새로운 보안 침해 위험
최근 전 세계적으로 화두가 되고 있는 ‘사물인터넷(IoT, internet of things)’은 각종 사물에 센서와 통신 기능을 내장해 인터넷에 연결하는 기술을 의미한다. 즉 사물인터넷이라 함은 주변 사물들이 유무선 네트워크로 연결되어 유기적으로 정보를 수집 · 공유하면서 상호작용하는 지능형 네트워크 기술 및 환경을 의미한다. 나아가 현실 세계의 사물들과 가상세계의 네트워크를 연결해 사물과 사물, 사물과 사람이 언제 어디서나 서로 소통할 수 있도록 하는 미래 인터넷 기술이다. 시장조사업체인 IDC(International Data Corporation)에 따르면 전 세계적으로 통신 기능이 탑재된 사물인터넷 단말기 보급대수가 2020년에는 281억1100만 대까지 증가할 것으로 추산되고 있다.
하지만 ‘모든 것을 연결한다’는 사물인터넷이 갖는 중요한 특징은 기존에 겪지 못했던 새로운 위협 요인들을 발생시키고 있다. 무엇보다도 네트워크 간 ‘상호호환성 및 운용성’은 사물인터넷 활성화의 핵심 요소인데, 모든 것이 연결되어 있어 있기 때문에 전자적 침해 행위(해킹과 같은)가 광범위하게 확산될 가능성 역시 높다. 아직 해킹과 같은 대규모 사이버 공격으로 인한 피해 사례는 보고되지 않았지만, 사물인터넷 관련 보안 문제는 이미 여러 차례 가시화돼 그에 대한 경각심이 높아지고 있다.
2014년 미국의 보안업체 프루프포인트(Proof Point)는 2013년 말부터 2014년 초 연휴 기간 동안 발생한 스팸메일을 분석한 결과, 랩톱(laptop)이나 데스크톱 컴퓨터가 아닌 사물인터넷 장치를 활용한 사이버 공격이 25% 이상을 차지한다는 것을 발견했다. 실제로 ‘싱봇(Thingbot)’이라는 해킹 툴이 스마트 홈 네트워크에 침입해 원격으로 10만여 대의 스마트TV, 냉장고 등 가전제품에 설치된 바 있다. 싱봇에 감염된 스마트 가전들은 피싱과 스팸메일을 전 세계로 발송하는 허브로 이용되었다.
자동차와 IT를 융합해 미래 기술로 각광받는 스마트 카(일명 커넥티드 카)에 대한 해킹도 현실화된 문제다. 2010년 미국 텍사스에서는 도난 방지 시스템이 해킹 당해 100대의 자동차가 원격 조정에 의해 경적을 울리고 갑자기 엔진이 정지되는 사례가 보도되기도 했고, 2015년 7월에는 완성차업체 피아트크라이슬러(Fiat-Chrysler)가 해킹 위협 때문에 지프 그랜드체로키 등 140만여 대의 리콜을 실시했다.
또한 외부 해킹에 의한 보안 취약성과 별개로 사물인터넷 기반의 서비스에서 실시간 수집되는 이용자 데이터는 사생활 침해 문제를 유발할 가능성이 있다. 도처에 있는 사물인터넷 단말기에서 수집된 이용자 데이터는 서비스 제공업체에 전달되어 서비스 개선 및 마케팅 등에 활용될 수 있는데, 이용자 동의 없이 민감한 데이터를 활용하거나 보안 사고로 인해 이용자 데이터가 유출될 경우 2차 피해로 번질 가능성이 높다.
기술적 대응과 법 · 제도적 대응의 균형 필요
해킹 등 사이버 공간에서의 개인 정보, 데이터 침해 사고는 인터넷 발전 초기부터 존재했지만 최근 사물인터넷 시대로 접어들면서 피해의 파급성과 돌발성이 더욱 높아지고 있다. 앞으로 개인의 의사에 반하는 정보가 수집되고 유통될 가능성이 더욱 높아질 것이며, 사물인터넷으로 대표되는 초연결 사회에서는 내 개인 정보를 제공하지 않으면 어떠한 네트워크 서비스도 이용할 수 없는 상황에 처하게 될 수도 있다.
인터넷 등 사이버상에서의 보안, 개인 정보 침해가 사물인터넷의 확대로 현실 세계로 전이 · 확대되고 있는 정황에 따라해 각국의 기술적 대응은 이미 시작되고 있다. 제3자의 접근을 막기 위한 디바이스 인증 · 식별 기술, 사물인터넷을 구성하는 디바이스 간 통신의 보안을 위한 암호 기술, 개인 정보 등 데이터 처리 및 가공 후 그 결과 값이 프라이버시 침해가 되지 않도록 변형을 가하는 기법 등이 대표적이다.
그러나 기술적 대응만으로는 개인 정보 침해와 데이터 해킹 등으로 인한 보안 문제를 모두 해결하기는 어렵다. 개인의 선택과 자유 그리고 사적 생활의 보호에 대한 법 · 제도적 논의도 동시에 이루어져야 할 것이다.
해킹과 보안 (과학기술, 첨단의 10대 리스크, 2016. 4. 1., 커뮤니케이션북스)
댓글목록
등록된 댓글이 없습니다.