"우리회사를 해킹해 주세요."
지난 1월 경기 성남시 분당구에 위치한 보안업체 '큐브피아' 사무실. 해킹을 의뢰한 이는 국내 굴지의 철강업체 A사 최고경영자였다. 그는 회사가 보안컨설팅업체로부터 받은 정기 평가에서 매번 95점 이상을 받고 있었지만 실제 보안수준이 어떤지 궁금했다.
다음 날 3인 1조로 꾸려진 해킹 팀이 서울 시내에 위치한 A사 건물 주변 도로 승용차에서 프로젝트를 시작했다. 무선 안테나와 노트북만으로 A사의 무선 인터넷망 침투를 시도한지 10일. 어이없게도 구멍이 뚫린 것은 A사의 보안점검을 하던 외주업체 직원의 컴퓨터였다. 내부 전산망에 깔린 보안 프로그램이 외부업자가 사용하던 컴퓨터에서 제대로 작동하지 않았던 것. 전산실 관리서버로 연결된 이 컴퓨터를 통해 해킹 팀은 대표를 포함한 주요 임원 컴퓨터에서 전략계획서 및 제강기술, 재무 재표, 대표의 사생활 관련 정보 등 기밀을 손에 넣었다. 단 25일만이었다.
최근 해킹 관련 대형 범죄가 빈번해지면서 실제 해킹을 통해 보안시스템을 점검하는 '침투진단 서비스'가 각광을 받고 있다. 침투진단 서비스는 의뢰인과 보안업체 간에 해킹 침투범위 설정 및 법적 책임을 묻지 않을 것 등을 합의한 다음 진행하는 보안점검 서비스다. 권석철 큐브피아 대표는 "다반사로 일어나는 해킹에 대한 두려움 때문에 관련 업체로부터 매월 5건 이상 침투진단 의뢰가 들어오고 있다"고 말했다.
침투진단 서비스 실무자들은 일반기업들의 보안 취약점에 대해 의외로 '전산 및 보안 관리자'를 꼽았다. 최영남 큐브피아 선임연구원은 "총 50여건의 침투 서비스에서 절반 이상이 전산ㆍ보안 관리자의 컴퓨터를 통해 뚫었다"며 "100개가 넘는 서버 비밀번호를 관리자 한 사람이 엑셀파일이나 한글파일로 한꺼번에 저장, 보관하는 경우가 많아 해커들의 표적이 된다"고 말했다. 더욱이 닥치는 데로 보안 프로그램과 장비를 설치하는 경우 이 프로그램들끼리 서로 충돌하는 과정에서 빈틈이 쉽게 발생한다는 게 전문가들의 설명이다.
최 연구원은 "B의료기기 업체의 경우 이미 해커들이 침입해 대표의 외도 장면이 찍힌 사진부터 법인카드 사용 내역, 특허 자료 등 기밀을 한번에 털어 가기 위해 회사의 휴면 서버에 저장해 두고 있었다"며 "침투를 더 진행하는 게 무의미해 보안 인프라를 새로 설치할 것을 권하기도 했다"고 말했다.
성남=조원일기자 callme11@hk.co.kr
기사 URL이 복사되었습니다.
댓글0