당신의 컴퓨터와 스마트폰은 안전합니까?
당신의 컴퓨터와 스마트폰은 안전합니까?
  • 구태언 변호사(taeeon.koo@teknlaw.com)
  • 승인 2020.01.22 15:24
  • 댓글 0
이 기사를 공유합니다

4차 산업혁명 시대의 가장 큰 특징은 ‘초연결’이다.
구태언 변호사 / 법무법인 린 태크앤로
구태언 변호사 / 법무법인 린 태크앤로

 

초연결(hyper-connected)이란 사람과 사람, 사람과 사물, 사물과 사물이 디지털로 연결되는 것을 말한다. 가깝게는 스마트폰이나 음성명령으로 집안의 전자기기를 제어하는 사물인터넷(IoT)부터, 최근 주목받고 있는 자율주행자동차나 스마트시티에 이르기까지 4차 산업혁명 시대를 대표하는 첨단기술들은 모두 초연결을 기반으로 하고 있다. 

모든 것이 하나로 연결되는 초연결 시대의 핵심은 초고속 정보 전송을 가능하게 하는 인프라 구축이다. 물론 4G에서도 웬만한 디지털 작동이 가능하지만, 첨단기술이 발전하는 속도에 비해 한계에 부딪힌다. 일상의 대다수가 디지털로 전환되면 데이터 트래픽이 폭발적으로 증가하게 되는데, 4G 인프라 수준이라면 언제라도 끊김 현상이 나타날 수 있다. 

지금도 스마트폰으로 스트리밍 영화를 보다가 갑자기 와이파이 연결이 끊기는 경우가 종종 생긴다. 다시 연결되기까지 그 몇 초가 지옥과도 같다. 그런데 자율주행자동차는 스마트폰을 능가하는 대규모의 데이터를 소모한다. 만약 자율주행자동차를 타고 가다가 갑자기 와이파이가 끊기면 그때는 진짜 지옥이 펼쳐질 것이다. 갑자기 멈춰선 자동차들로 도로는 아수라장이 될 것이고, 자동차간 충돌로 대량의 인명사고가 발생할 수도 있다. 

그래서 등장한 것이 바로 5G다. 5세대 이동통신인 5G는 4G보다 데이터 전송속도가 20배나 빠르다. 우리가 상상하는 대다수 첨단기술들이 안정적으로 운용될 수 있을 정도의 데이터 속도다. 우리나라는 세계 최초로 2019년 3월 5G 상용화했다. 세계에서 가장 빠른 인터넷 망을 보유한 나라가 대한민국임을 상기한다면 놀랄 일도 아니다. 경쟁국들보다 몇 년 앞서 5G 인프라가 구축된다면 우리나라가 4차 산업혁명 시대의 글로벌 리더가 될 기반은 이미 마련한 것이라고 봐도 무방하다. 하지만 결정적인 걸림돌이 있다. 그건 바로 기술의 발전 속도만큼이나 빠르게 진화하고 있는 사이버 공격이다. 

모든 해킹 방어하는 보안 기술은 없다 

초연결 사회는 동전의 양면과도 같다. 안정적으로 운용되면 더할 나위 없이 편리하지만, 단 한 번의 해킹으로 모든 시스템이 뒤틀릴 수 있다. 마치 내 몸의 일부와 같던 스마트폰을 잃어버리거나 고장이라도 날 경우 며칠 동안 정상적인 활동이 불가능한 것과 마찬가지다. 아니, 스마트폰은 클라우드를 통해 PC 등 정보를 구할 대체수단이라도 있지만, 사회 구조와 경제 시스템이 종횡으로 연결되는 초연결 시대에는 속수무책이다. 자칫 보안에 구멍이라도 뚫리면 사회 전체가 무너지고 대량의 인명피해가 발생하는 것은 한순간이다. 

하지만 안타깝게도 모든 해킹을 완벽하게 방어할 보안 기술은 존재하지 않는다. 지난번 평창 동계올림픽이 대표적 예다. 평창동계올림픽은 5G 시범 서비스와 자율주행, 드론 퍼포먼스, 증강현실(AR), 가상현실(AR) 등 최첨단 ICT 기술이 총집합된 ICT 올림픽이었다고 해도 과언이 아니다. 평창동계올림픽 조직위원회는 올림픽이 열리기 3년 전부터 정보보호 전문위원회를 구성해 모든 행사 전반에 사이버 보안 원칙을 적용했고, 청와대 안보실도 2017년 8월부터 평창올림픽 사이버보안 TF’를 구성해 사이버 공격에 대비한 실시간 대응을 해왔다. 

하지만 이러한 노력에도 불구하고 올림픽 개막식 당일에 파괴형 악성코드가 침투했다. 이 악성코드는 네트워크를 통해 스스로 전파되는 웜(worm)의 형태로, 감염된 컴퓨터에 저장된 아이디어와 패스워드를 훔쳐 네트워크를 타고 다른 컴퓨터로 악성코드를 전염시키는 특성을 갖는다. 다행히 재빠르게 대응한 덕분에 신속한 복구가 이뤄졌지만, 국내 모든 정보보호 기술을 총동원해 수년 전부터 대비했음에도 막아내지 못한 것은 그만큼 최근의 사이버 공격이 지능적으로 고도화되고 있음을 반증한다.  

더 큰 문제는 이것으로 끝날 일이 아니라는 점이다. 실제로 2018년 4월부터 한 달간 국내 외교·안보·통일 분야의 연구기관과 군 관련 사이트를 대상으로 기밀정보를 탈취하는 ‘워터링 홀(Watering Hole)’ 사이버 공격이 발생한 것으로 알려졌다. 워터링 홀이란 사자가 먹이를 습격하기 위해 물웅덩이(Watering Hole) 근처에 매복하는 것과 마찬가지로, 공객 대상이 방문할 가능성이 높은 합법적 사이트를 미리 악성코드에 감염시킨 뒤 잠복하면서 피해자의 컴퓨터에 악성코드를 추가로 설치하는 공격을 말한다. 

2017년 전 세계를 공포에 떨게 한 랜섬웨어(ransomeware)가 컴퓨터에 저장된 데이터를 인질로 삼아 돈을 요구하는 사이버 공격이라면, 워터링 홀은 공격 대상을 특정해 기밀정보를 빼내려는 목적이 강하다. 그만큼 대응이 쉽지 않은 데다 탈취 정보가 대부분 국가 기반시설에 관한 것이어서 피해 규모는 상상을 초월한다. 

그렇다면 남은 과제는 갈수록 지능화 고도화 되는 사이버 공격을 막아내기 위해 우리가 할 수 있는 일이 무엇이냐에 있다. 결론부터 말하면 정보보안의 기본을 지키는 것이다. 싱거운 소리로 들릴지 모르지만, 대다수 사이버 공격은 기본적인 정보보안 원칙을 지키지 않았기 때문에 발생했다. 거금을 투입해 최신의 보안 프로그램을 설치하는 것도 방법일 수 있겠으나, 그보다 우선해야 할 것은 정보보안의 기본 원칙을 충실히 지키는 일이다. 

정보보안을 위한 세 가지 기본 원칙  

정보보안의 기본 원칙은 크게 세 가지다. 컴퓨터에 백신을 설치하고, 모든 데이터는 암호화하며, 주기적으로 데이터를 백업하는 것이다. 큰돈이나 큰 수고를 들이지 않아도 조금만 신경 쓰면 누구나 지킬 수 있는 것들이다. 하지만 현실은 그렇지가 못하다. 
2016년에 환자 개인정보보호’를 주제로 한 토론회에 참석한 적이 있다. 그 자리에는 병의원 관계자들이 상당수 참석했는데 이들이 들려준 이야기는 상당히 심각했다. 

진료실 컴퓨터에 백신이 설치되지 않은 경우가 태반이었고, 환자 진료기록을 입력하는 진료실 컴퓨터로 인터넷 서핑을 하는 경우를 심심찮게 확인할 수 있었다. 진료 기록을 백업하는 병의원은 가뭄에 콩 나듯 드물었고, 성형외과와 피부과 등 비급여 진료과목 의원의 경우 외부에서 휴대전화로 서버에 접속해 진료 예약을 하는 시스템을 흔히 목격할 수 있었다. 
이 같은 조건은 모두 사이버 공격을 당하기에 몹시 쉬운 환경이자 모두 현행법 위반 행위들이다. 

진료 정보가 저장된 컴퓨터에서 개인 취미 목적의 인터넷 서핑을 하는 것은 마치 아무나 드나들어도 되는 동네 마을회관과 같은 환경이다. 랜섬웨어 등 사이버 공격이 들어오는 경로를 보면 인터넷과 이메일을 통하는 것이 99퍼센트 이상이기 때문이다. 
만약 진료용 컴퓨터로 인터넷 쇼핑을 계속하다가 해커가 병원 시스템에 침입해 진료 데이터가 모두 유출되면 해당 병의원은 영업정지 3개월의 행정처분을 받을 수 있고, 민사나 형사소송으로 법정에 서게 될 수 있다. 

인터넷만 제대로 통제해도 랜섬웨어 등의 사이버 공격을 대부분 차단할 수 있다. 기본은 업무용과 개인용 컴퓨터를 분리하는 것이다. 진료용 컴퓨터는 인터넷 접속을 제한하고 백신을 설치하면 악성코드 감염을 최소화할 수 있다. 백신은 무료 버전을 이용해도 괜찮지만 가능하다면 가장 저렴한 유료 버전을 사용하는 것이 좋다. 유료 백신은 업무와 관련한 사이트를 선정해 제한적으로 접속할 수 있는 시스템을 갖추고 있고, USB 등 이동식 저장장치를 이용한 자료 유출을 차단할 수 있다. 

가능하다면 병원 내 컴퓨터는 인터넷 접속을 아예 차단하는 것이 가장 효과적이다. 그리고 만약 이 같은 조치를 취할 경우에는 직원들의 사전 동의를 얻는 과정이 필요하다. 독단적으로 차단해버리면 처음에는 수긍하더라도 나중에 회피하는 방안을 찾아낼 것이기 때문이다. 
진료 데이터 암호화도 선택이 아닌 필수다. 아무리 백신을 설치하고 인터넷에 제한적으로 접속해도 사이버 공격을 완벽하게 차단하기는 어렵다. 그럴 때 데이터가 암호화되어 있으면 혹시 해킹을 당해도 해커가 읽을 수 없는 상태가 된다. 

그런데 만약 암호화 작업을 하지 않은 상태에서 환자의 개인정보가 유출되거나 훼손되면 해당 병의원은 개인정보보호법 제71조 1항 위반으로 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처할 수 있다. 외부 침입을 방어하려면 워드나 엑셀 등 오피스 프로그램에 암호화를 적용하고, 비밀번호도 번거롭더라도 특수문자를 섞어 8자리 이상으로 주기적으로 변경해야 한다.

데이터 백업도 주기적으로 해야 한다. 암호를 걸어두면 데이터가 유출돼도 환자의 개인정보는 지킬 수 있지만 원 데이터를 통째로 분실하게 된다. 이 경우도 개인정보보호법 위반에 해당돼 처벌을 피하기 어렵다. 따라서 진료 기록은 주기적으로 별도의 저장매체에 복사해둬야 한다. 만약 스마트폰을 이용한 원격 예약 시스템을 도입한 병의원이 있다면 지금 당장 폐기할 것을 권한다. 그 자체로 행정처분 대상에 해당하기 때문이다. 

외부에서 원격으로 병의원 서버에 접속하려면 아이디와 패스워드는 물론이고, 공인인증서나 아이핀 등으로 추가 인증을 거쳐야 한다. 하지만 대다수 병의원이 번거롭다는 이유로 이 과정을 생략하고 있다. 문제는 이 과정에서 해커가 환자의 아이디와 패스워드를 가로채기만 하면 얼마든지 병의원 서버에 접속해 개인정보를 빼내갈 수 있다는 것이다. 수만 명의 진료기록이 한 번에 털릴 수도 있다. 이 수준에 이르면 단순한 행정처분이 아니라 민·형사 처분도 가능하다. 

물론 시간이 지남에 따라 상당부분 개선되고는 있지만 상당수 병의원들이 여전히 정보보안에 허술할 수 있다는 의심을 지우기는 어렵다. 비단 의료기관만이 아니다. 공공기관이나 민간기업, 특히 중소기업이나 스타트업의 경우 비용이나 인력 부족을 이유로 정보보안에 소홀한 경우가 많다. 

설마 나는 피해가겠지’라는 안일한 생각은 접어두는 것이 좋겠다. 사이버 공격은 어느 순간 누구에게로 화살을 던질지 아무도 예측할 수 없다. 초연결 시대에는 정보보안이 기업의 생명을 유지하는 핵심 역량이다. 날로 지능화되고 빠른 속도로 확산되고 있는 사이버 공격의 위협으로부터 소중한 데이터를 확실하게 보호하기 위한 첫걸음은 정보보안의 기본 원칙부터 충실히 지키는 일일 것이다. 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • #1206, 36-4 Yeouido-dong, Yeongdeungpo-gu, Seoul, Korea(Postal Code 07331)
  • 서울특별시 영등포구 여의도동 36-4 (국제금융로8길 34) / 오륜빌딩 1206호
  • URL: www.koreaittimes.com / m.koreaittimes.com. Editorial Div. 02-578-0434 / 010-2442-9446. Email: info@koreaittimes.com.
  • Publisher: Monica Younsoo Chung. CEO: Lee Kap-soo. Editor: Jung Yeon-jin. Juvenile Protection Manager: Yeon Choul-woong.
  • IT Times Canada: Willow St. Vancouver BC, Canada / 070-7008-0005.
  • Copyright(C) Korea IT Times, Allrights reserved.
ND소프트