【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]해커는 본디 집요하다, ‘관리 부주의’로 넘길 일 아니다

온카뱅크관리자

2025-12-09 13:57:29

<div id="layerTranslateNotice" style="display:none;"></div>  <strong class="summary_view" data-translation="true">[서윤빈의 과학 읽다]예스24·롯데카드·쿠팡 등 수시로 유출되는 개인정보… 기업의 책임감있는 정보보안·법 개정 필요해</strong> 
        <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
         <section dmcf-sid="98Q97dPKLe">
          <figure class="figure_frm origin_fig" contents-hash="5efd27a964db0b20fc402501d3a18ab08b7838284ccb58867a3a0a3b311ff1ff" dmcf-pid="26x2zJQ9RR" dmcf-ptype="figure">
           <p class="link_figure"><img alt="2025년 11월29일 쿠팡이 피해 고객에게 보낸 개인정보 노출 통지 문자 메시지. 연합뉴스" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/09/hani21/20251209135414938mzyq.jpg" data-org-width="970" dmcf-mid="K8u5WbUZnd" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/09/hani21/20251209135414938mzyq.jpg" width="658"></p>
           <figcaption class="txt_caption default_figure">
            2025년 11월29일 쿠팡이 피해 고객에게 보낸 개인정보 노출 통지 문자 메시지. 연합뉴스
           </figcaption>
          </figure>
          <p contents-hash="0a2b401e986ca98370ead5847aca07665b94aa1466572763029337bae0f1b496" dmcf-pid="VPMVqix2dM" dmcf-ptype="general">2025년 대한민국은 해킹이 잦다. 2025년 4월, 에스케이(SK)텔레콤에서 유심 정보가 유출돼 국민 절반 가까이가 해킹 피해를 보았다. 6~8월 세 차례, 예스24(YES24)가 랜섬웨어에 당해 일부 서비스가 마비됐다. 9월, 롯데카드에서 개인 신용정보가 유출돼 300만 명의 카드 정보가 털렸다. 그리고 11월, 쿠팡이 해킹당해 사실상 모든 가입자의 개인정보가 ‘퇴사자’ 해커 손에 넘어갔다. 유출 사건이 너무 많다보니 애초에 보안이 있기나 한지 의문을 갖는 사람도 많을 듯하다. 디지털 보안의 핵심 원리는 무엇이고, 해커는 어떻게 보안 방어선을 뚫을까.</p>
          <h3 contents-hash="f9f3f311007d4e0a5193355585fd6f6155b0b46bd37fd75ee04464fbdd7e5279" dmcf-pid="fioM4ALxex" dmcf-ptype="h3">데이터 보안 시스템의 세 가지 방어 원리</h3>
          <p contents-hash="b7e2fb4af6cfbab8e252a48d868343fb5771d2a9a8dc09efc318b7759c408e94" dmcf-pid="4ngR8coMJQ" dmcf-ptype="general">돌이켜보면 해커의 타깃은 언제나 데이터베이스(DB·Database)였다. 이름과 전화번호부터 금융결제까지 온갖 중요한 정보가 저장된 보고가 바로 DB이니 어쩔 수 없는 일이다. 그런데 정보를 저장한다는 측면에서만 생각하면 DB를 일종의 장부로 여기기 쉽다. 장부를 금고에 넣어 보관하듯이 DB를 지키면 보안이 해결될 것이라고 말이다. 하지만 그랬더라면 DB는 정보 본부(Database)가 아니라 정보 창고(Data storage)라고 불렸을 것이다.</p>
          <p contents-hash="fd5e78debe9d7ef8d68fe0d2f5e9ab83b0f35313855f4f3de80637a4569b4dd9" dmcf-pid="8Lae6kgRdP" dmcf-ptype="general">DB는 데이터를 체계적으로 관리하고 제공하는 일종의 운영체계다. 우리가 디지털 서비스를 이용하는 모든 순간은 사실 DB에 저장된 수많은 정보를 검색하고 정리해서 보여주는 과정이다. 말하자면 디지털 서비스의 심장인 셈인데, 이 점이 정보 보안을 까다롭게 만든다. 만약 DB가 동작하지 않으면 디지털 서비스는 우리가 YES24 사태 때 경험했던 것처럼 즉시 마비돼버린다. 별주부를 따라 용궁에 가는 토끼도 차마 심장을 육지에 숨겨놓지는 못했던 것과 마찬가지다.</p>
          <p contents-hash="29e2f067a23a26002260d0e351f25557025b170d1acdaea5d46c287749cf43e0" dmcf-pid="6oNdPEaed6" dmcf-ptype="general">심장이 피를 순환시키듯이 정보가 계속 들락날락하는 가운데 데이터 보안 시스템은 금고보다 더 까다로운 세 가지 방어 원리를 활용한다. 첫 번째 원리는 접근 통제다. 접근 통제는 “누가 어떤 정보에 무엇을 할 수 있는가”를 정의하는 기본 방어선이다. 접근 통제는 최소 권한의 원칙에 따라 운영된다. 예를 들어 고객 정보를 보여주는 서버 에이(A)는 DB에서 정보를 읽는 것만 가능해야 한다. 서버 A가 정보를 삭제하거나 작성할 수 있으면 안 된다. 최소 권한의 원칙이 잘 지켜졌다면 해커가 서버 A에 침투하더라도 DB를 파괴하거나 조작할 수 없다. 접근 통제는 데이터 내용에도 마찬가지로 적용된다. 어떤 서버 비(B)가 사용자의 이름과 전화번호 등에는 접근할 수 있지만 카드 정보에는 접근할 수 없다면, 서버 B가 해킹당하더라도 카드 정보는 유출되지 않는다.</p>
          <p contents-hash="61f3bfdf8be8027d8f43885dc4262190dfb61ec0a78de854066c29b0d9264b5b" dmcf-pid="PgjJQDNdd8" dmcf-ptype="general">둘째는 암호화다. 암호화는 접근 통제에 실패해 데이터가 유출되더라도 해커가 내용을 읽을 수 없도록 만든다. 암호화는 다양한 층위에서 이뤄진다. 주민등록번호나 비밀번호같이 민감한 정보는 처음 DB에 저장될 때부터 복잡한 알고리즘을 거쳐 암호문으로 바뀐다. 중요한 DB는 파일 자체가 통째로 암호화돼 관리되거나, 중간에 도청당하는 걸 막기 위해 통신 내용을 암호화하기도 한다. 암호화의 핵심은 암호를 풀 수 있는 해독키(key) 관리다. 금고 열쇠를 금고 위에 올려두면 무용지물인 것처럼, 해독키는 DB와 별도로 관리해 데이터가 유출되더라도 암호를 풀 수 없도록 한다.</p>
          <p contents-hash="0a99ed96168465c565e6d0a0681e6df63358fed6ee17c61f66d87b947014f797" dmcf-pid="QaAixwjJn4" dmcf-ptype="general">마지막 원리는 모니터링이다. 모든 해킹 시도를 막는 것은 불가능하다. 해킹과 보안은 창과 방패의 싸움인데, 방패는 항상 들고 있어야 해서 만천하에 노출된 반면 창은 어디서 어떻게 날아올지 모르기 때문이다. 다만 찔린 창에 또 찔리는 것만은 막아야 한다. 모니터링 시스템은 DB에 누가 언제 접근해 어떤 명령을 내렸는지 모두 상세히 기록한다. 기록은 해킹 사고가 발생했을 때 침투 경로를 파악하고 보안 시스템을 업그레이드하는 데 쓰인다. 또한 모니터링 시스템은 비정상 행위를 탐지한다. 누군가 DB에 평소와 다른 유형으로 접근하거나 갑자기 대량의 데이터가 조회되면 모니터링 시스템은 관리자에게 경보를 발령해 실시간으로 대응할 수 있게 한다.</p>
          <h3 contents-hash="7538a86099e9ccfb111ac7d9c5e0ea89357557a7cb4570aa82764695aa995d30" dmcf-pid="xNcnMrAiif" dmcf-ptype="h3">삼중 방어선이 뚫리는 빈틈들</h3>
          <p contents-hash="ee370f80b01a2d45161d17ed0d8826f2656f07eec4f96cc05a2ad104fb19e03a" dmcf-pid="y0u5WbUZiV" dmcf-ptype="general">사실 삼중 방어선은 꽤 견고하다. 단지 해커가 너무 집요할 뿐이다. 그들은 방패의 가장자리나 방패를 든 사람의 실수를 호시탐탐 노리고 찔러 들어온다. 고전적 수법은 명령을 데이터로 둔갑시키는 것이다. 사용자가 로그인 창에 아이디와 비밀번호를 입력할 때, 디지털 서비스는 이를 “정보가 DB와 일치하는지 확인해”라는 명령으로 인식한다. 그런데 해커는 악성코드를 통해 비밀번호를 입력하는 대신 “이 아이디는 비밀번호를 무시하고 로그인시켜”라는 명령을 수행하도록 디지털 서비스를 속인다. 로그인에 성공하면 사용자의 권한만큼 개인정보를 탈취할 수 있게 된다. 만약 사용자가 DB 관리자라면? 대규모 개인정보 탈취가 발생하게 된다.</p>
          <p contents-hash="c55fe59d55fabdff1fb2c4a93b8606b9773401d9f226a6fd07c258de9ddd657b" dmcf-pid="Wp71YKu5d2" dmcf-ptype="general">암호화를 무력화하는 빈틈도 있다. 해커는 해독키를 활용하는 순간을 노려 해독키를 가로챈다. 때로는 무식하게 때려 맞추기도 한다. 초당 수십억 개의 비밀번호를 무작위로 대입하면서 암호를 푸는 것이다. 대규모 정보가 유출된 경우 암호키 하나만 알아내면 몇백만, 몇천만 명의 개인정보를 알아낼 수 있으므로 그들이 노력을 감수할 충분한 동기가 된다.</p>
          <p contents-hash="be2520dd03cb0076ecb533280bebac21ce2f55f300ff3083d858a3c7f2576180" dmcf-pid="YUztG971R9" dmcf-ptype="general">요즘에는 DB 자체가 아니라 환경의 취약성을 노리기도 한다. 가령 대기업에 비해 데이터 보안이 약한 협력업체를 공략하는 방식이다. 협력업체의 소프트웨어에 침투해 악성코드를 심고 이를 활용해 대기업의 DB를 노리는 것이다.</p>
          <h3 contents-hash="a99921d791cc40ffb7387f8ceeeba8c8471b4d80a7725e1cdb25fc8c3e89b91c" dmcf-pid="GuqFH2ztLK" dmcf-ptype="h3">유출 정보 범죄에 쓰일까 불안</h3>
          <p contents-hash="12b1e43dfd7b2e3efc5c483469cefae2411177d61a5c306a77f019ca40d38149" dmcf-pid="HB9U18Kpib" dmcf-ptype="general">카드번호, 유효기간, 카드 인증번호(CVC)가 포함된 금융정보는 다크웹에서 카드덤프(Card dump)라는 묶음으로 거래된다. 이름과 전화번호, 주소 등의 개인정보는 신원 도용 패키지로 판매된다. 당연히 그 정보는 각종 범죄에 쓰인다. 근래 부쩍 늘어난 광고성 메시지와 전화는 올해 대규모로 유출된 개인정보가 원인일 가능성이 크다.</p>
          <p contents-hash="e84fe71044163d8db22dc208340a30e2d9d6fd3b03412e75d4f07ea54a5d100c" dmcf-pid="Xb2ut69UMB" dmcf-ptype="general">한국에서는 대부분의 금융거래가 휴대전화 등을 이용한 다중 인증을 요구하므로 당장 우리가 금전적 피해를 볼 가능성은 작다. 그러나 이 또한 하나의 방패에 불과하다는 점을 명심해야 한다. 디지털 서비스가 삶의 근간이 돼가는 시대이니만큼 해킹 피해는 더 이상 단순한 관리 부주의로 넘길 일이 아니다. 기업의 책임감 있는 정보 보안 노력과 이를 보증할 법 개정이 하루빨리 이뤄져야 한다.</p>
          <p contents-hash="d6c11da065f7fcb3426c651a76359557c1415b2c40c9c7cb36f02c689890a765" dmcf-pid="ZKV7FP2uJq" dmcf-ptype="general"><strong>서윤빈 소설가</strong></p>
          <p contents-hash="429801a0d807522e8d569ec0dadec9c47472f5fd0b7470db09ebad022fd2b0f9" dmcf-pid="59fz3QV7nz" dmcf-ptype="general"><strong>*세상 모든 콘텐츠에서 과학을 추출해보는 시간. 공대 출신 SF 소설가가 건네는 짧고 굵은 과학잡학. 3주마다 연재.</strong></p>
         </section> 
        </div> 
        <p class="" data-translation="true">Copyright © 한겨레21. All rights reserved. 무단 전재, 재배포 및 크롤링 금지.</p>

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기