법적 ·외교적 대응력 미비
처벌도 솜방망이…구글 8억 7000만원 과징금
[헤럴드경제=박지영·유동현 기자] 지난 달 15일 버락 오바마 전 미국 대통령, 민주당 대선 후보 조 바이든 전 부통령, 빌 게이츠 마이크로소프트(MS) 창업자 등 유명 인사들의 트위터 계정이 대거 해킹 당했다. 아직까지 국내 피해는 없는 것으로 알려졌다.
하지만 한국에서 같은 일이 발생한다면 어떨까? 헤럴드경제 [헤븐]팀은 관계자들을 만나 국내에 서비스 중인 해외 정보통신(IT)기업에서 해킹 사건이 발생할 경우 대응책에 대해 들었다. 결론은 ‘속수무책’이다. 크게 대응할 수 있는 방법이 없다는 것이다. ‘트위터’처럼 해외에 본사를 둔 경우 조사·수사 협조를 구하는 것이 쉽지 않기 때문이다. 글로벌 해킹 사건이 점점 늘어나고 있지만 처벌은 커녕 원인 분석, 조기 대응도 어렵다. 사실상 ‘속수무책’ 이다.
국내 해킹 사고 대응 기구는 과학기술정보통신부 산하 한국인터넷진흥원(KISA)이다. 해킹사고 조기대응을 위해서는 공격시스템에 대한 분석이 반드시 필요하다. 하지만 KISA 관계자는 “KISA는 해외 업체를 대상으로 조사를 할 수 있는 조사권을 가지고 있지 않다”며 “사실상 해킹에 대응하기 어려운 상황”이라고 말했다.
조사권이 없는 KISA는 해킹사고 대응을 위해 기업으로부터 ‘협조’를 구해야 한다. ‘하늘의 별 따기’다. 사고가 발생한 기업이 해킹으로 인한 이미지 타격, 정부 과징금, 고객의 손해배상 소송 등을 우려해 소극적이기 때문이다. 해외 업체는 물론 국내 민간기업에 대해서도 강제 조치를 취하기 힘들다.
[헤븐:헤럴드경제 젊은 기자들의 따끈따끈 2030이슈] |
실제로 지난 2018년 인텔의 컴퓨터 반도체 칩에 해킹에 취약한 결함이 수년 간 방치돼 있던 것으로 드러난 후, KISA가 인텔 측에 조사 협조를 요청했지만 제대로 된 답변조차 받지 못했다. 국내 PC의 90% 가량이 인텔의 중앙처리장치(CPU)를 사용함에도, KISA가 한 조치는 ‘업데이트’를 권고하는 선에서 끝났다.
어렵사리 처벌까지 이어진다 해도 경각심을 줄 조치를 기대하기는 어렵다. 정부가 해외 IT업체의 위법 행위에 ‘솜방망이’ 처벌로 일관하고 있기 때문이다. 일각에서는 해외 IT기업들이 한국 정부를 무시한다는 비판마저 나온다.
지난 달 17일 중국의 동영상 플랫폼 ‘틱톡(TikTok)’은 방송통신위원회로부터 과징금 1억8000만원, 과태료 600만원의 시정조치를 받았다. 정보통신망법 위반 혐의였다. 방통위에 따르면 틱톡은 만 14세 미만 아동의 개인정보를 법정대리인의 동의없이 최소 6000건 이상 수집했다. 글로벌 월평균 이용자(MAU)만 8억명에, 780억달러(94조5000억원)의 기업가치를 지닌 바이트댄스(틱톡 운영사)에게는 경각심을 주기에는 턱없이 부족한 액수다.
구글은 지난 1월 정보통신망법 위반 혐의로 방송통신위원회로부터 처벌을 받았다. 유료 동영상 서비스 ‘유튜브 프리미엄’을 선보이며 1개월 무료 체험 이후 유료 전환을 고지하지 않았다. 중도 해지를 제한하고 요금을 제대로 환불해주지도 않았다. 방통위는 8억7000만원의 과징금과 함께 해당 사실을 소비자에게 고지하라는 시정조치를 취했다.
틱톡은 과징금 조치 이후 가수 비와 트와이스의 계정을 중국 내에서 차단시켰다. 일각에서는 방통위에 대한 불만을 드러낸 것이라 보고 있다.
구글은 5개월이 지난 후에야 ‘팝업창’을 통해 “유튜브 프리미엄을 운영하는 구글 LCC는 전기통신사업법 위반을 이유로 시정명령을 받은 사실이 있음”이라는 공고를 띄웠다. 구체적인 내용을 알기 위해서는 ‘더 알아보기’ 버튼을 눌러야 했다.
행정안전부 관계자는 “정부 역시 글로벌 IT기업에 대한 적극적인 조치가 아쉽다는 국민 여론에 공감하고 있다”면서도 “해당 문제는 기업과 정부 차원이 아니라 ‘외교적’ 문제가 엮여있는 만큼 해결이 쉽지 않다”고 말했다.
김승주 고려대 정보보호대학원 교수 또한 “글로벌 해킹은 외교력이 동반돼야 해결될 수 있는 문제”라고 했다. 글로벌 IT기업 입장에서 한국은 시장이 작아 철수하면 그만인데다, 해외 수사 기관과 국제 공조를 진행한다 해도 ‘우선 순위’에 밀려 신속성이 떨어진다는 설명이다.
김 교수는 단순히 ‘국제 공조 강화’를 외칠게 아니라, 정확한 ‘파트너’를 설정해야 한다고 지적하며 유럽연합(EU), 파이브 아이즈(Five Eyes) 등을 예시로 들었다. 파이브 아이즈는 미국, 영국, 캐나다, 호주, 뉴질랜드 5개 국이 맺고 있는 상호 첩보 동맹이다. 개별 국가로 대응하기 보다 국가 간 연합 형태로 글로벌 IT기업에 대응해야 한다는 의미다.
실제 유럽연합(EU)은 미국의 IT기업 구글에 수 차례 거액의 벌금을 부과해왔다. EU집행위원회는 지난 해 3월 구글에 대해 경쟁 업체의 광고 노출을 제한한 혐의(반독점법 위반)로 14억9000만 유로(1조9218억원)의 벌금을 부과했다. 2017년 6월, 2018년 7월에 이어 세 번째다.
특히 2018년에는 안드로이드 운영체제(OS)에 구글의 검색엔진을 연동시켜, 구글 상품을 먼저 탑재했다는 이유로 43억 유로(약 5조7000억원)라는 ‘역대급’ 벌금을 부과했다.
한편, 전 세계적으로 해킹 공격은 증가하고 있다. 특히 신종 코로나바이러스 감염증(코로나19) 이후 언택트(비대면)이 보편화 하면서 급물살을 탔다.
지난 4월 코로나19 확산으로 주목받던 화상회의 플랫폼(Zoom)에서 대량 개인정보가 유출됐다. 줌 가입자의 이메일 주소, 패스워드, 회의 URL 등 계정 정보 53만건이 유출돼 인터넷 추적이 어려운 다크 웹과 해커포럼을 통해 거래됐다.
소셜네트워크서비스(SNS)에서는 줌을 사용하던 중 갑자기 포르노 영상이나 인종 차별적 이미지가 나타났다면서 ‘zoombombed’(줌 공격)라는 해시태그를 단 게시물이 급증했다.
국내도 예외는 아니다. 보안업체 SK인포섹에 따르면 올해 1~5월 자사 시큐디움 보안관제센터에서 탐지·대응한 사이버 공격이 310만건으로 집계됐다. 지난해 같은 기간(260만건)보다 19% 증가한 수치다.
특히, 코로나19를 악용한 공격이 많았다. ‘MASK’(마스크), ‘COVID19’, ‘WHO’(세계보건기구) 등 표현이 담긴 이메일 공격과 긴급재난지원금 지급을 미끼로 한 스미싱 공격이 대다수다.
보안업계 관계자는 “악성 문서 파일을 미끼로 주요 기업과 기관의 종사자들을 노리고 있고, 최근 위협 활동이 눈에 띄게 증가하고 있어 각별한 주의가 요구된다”고 말했다.
유출된 개인정보를 이용한 해킹 공격도 증가했다. 올해 발생한 해킹 사고 중 약 40%가 ‘크리덴셜 스터핑’ 공격으로 비롯됐다. 크리덴셜 스터핑은 유출된 개인정보를 여러 웹사이트에 무작위 대입해 로그인하는 해킹 방식이다. 지난달 토스에서 발생한 938만원 부정결제도 이 같은 수법으로 이뤄진 것으로 추정된다.
거세지는 해킹을 예방하기 위해 무엇보다 필요한 건 이용자의 주의라는 게 업계 설명이다. 한창규 안랩 시큐리티대응센터(ASEC) 센터장은 “완벽한 보안 시스템이란 없다”며 “아무리 시스템이 잘 갖춰져 있다고 하더라도 개인이 보안수칙을 지키지 않는다면 전체 보안 수준이 내려간다”고 말했다.
Heaven@heraldcorp.com