[디지털데일리 이민형기자] “하루에도 수차례의 해킹공격이 발생하고 있음에도 불구하고 이를 인지하고 있는 기업은 많지 않습니다. ‘설마 우리가 해킹을 당하겠어?’라고 생각하는 안전불감증 때문이죠.”
23일 문종현 잉카인터넷 ISARC 대응팀장<사진>은 기업 보안담당자들의 안전불감증이 해킹피해를 불러온다고 주장했다.
실제 지난해 발생한 농협, SK컴즈 해킹사태는 직원들의 보안인식의 부족으로 일어난 ‘인재(人災)’였다. 인가받지 않은 소프트웨어를 사용하다가 해커의 공격대상이 됐다.
문 팀장은 “악성코드를 통해 해킹을 시도하는 사례가 점차 증가하고 있는 추세”라며 “언론에 보도되지 않았을 뿐, 실제 정보유출까지 진행된 해킹도 다수 있을 것으로 내다보고 있다”고 말했다.
이어 “최근 보안업계에서 이슈로 떠오른 APT(지능형지속가능위협) 공격 역시 그 빈도와 강도가 높아지고 있다”며 “해커들은 자신이 원하는 정보를 은밀하게 탈취하려고 하기 때문에 기업의 입장에서는 이를 찾아내기가 매우 어렵다”고 설명했다.
최근 보안업계에서는 ‘APT 공격’을 매우 빈번하게 사용하고 있다. 하지만 이러한 현상에 대해 부정적인 시각도 많다. 실체도 없는 ‘APT 공격’을 미끼로 마케팅에 활용한다는 주장이다.
지난 4월에 열린 ‘코드게이트 2012’에서 성 팅 짜이(Sung ting Tsai) 트렌드마이크로 연구소장 “보안업체들이 APT라는 단어를 상업적으로 포장해 남발하고 있다”며 “보안업체들은 APT 공격을 막기 힘들기 때문에 새로운 솔루션을 구축해야 한다고 말하고 있으나 어떤 방법으로 막는지에 대해서 고민하고 있는 업체들은 드물었다”고 지적했다.
이와 관련 문 팀장은 “APT 공격이 실체가 없다는 것에는 동의하지만, APT 공격이 확실히 증가하고 있다는 것에는 확언할 수 있다”고 강조했다.
그는 이어 “APT 공격에 대한 실체는 모래사장에서 바늘찾기처럼 매우 어려운 작업이다. 그러나 많은 정보와 DB를 바탕으로 접근하면 ‘정체는 알 수 없지만 위험한 요소’란 것은 알 수 있다”며 “이러한 것을 대외적으로 알려 경각심을 갖도록 하는 것이 필요하다”고 덧붙였다.
문 팀장은 APT 공격 역시 기업 임직원들의 보안인식 제고만으로도 상당수 막을 수 있을 것이라고 주장했다. 이미 많은 기업들이 다수의 보안솔루션을 도입한 상황이고, 그 사이사이 틈을 강력한 기업 보안정책과 임직원들의 보안인식 제고로 해결할 수 있다는 논리다.
문 팀장은 “‘우리도 언제든지 해킹당할 수 있고, 나도 모르는 새 정보를 탈취당할 수 있다’는 인식을 임직원 모두가 기억하고 있으면 대부분의 해킹사고는 막을 수 있을 것”이라고 전했다.