[인터뷰]'천재 화이트해커' CEO가 본 KT·롯데카드 해킹사태

(서울=뉴스1) 김민석 기자

"해킹 사고 탐지·신고가 늦어지는 이유요? 대부분은 로그 관리 부족과 알람 무시, 야간 대응 공백 때문입니다."

10대 때부터 독학으로 화이트해커로 활동한 김준엽 라바웨이브 대표가 KT·롯데카드 등이 늦장 대응으로 피해를 키웠다는 논란에 구조적 문제점을 지적했다.

김 대표는 22일 뉴스1과 인터뷰에서 "(랜섬웨어 등은) 공격 발생 72시간 내 통신 차단·계정 초기화·DB 접근을 통제해야 피해를 줄일 수 있지만 이를 수행할 인력에 돌아가는 보상은 턱없이 부족하다"며 "각종 글로벌 해커 대회 우승 등 인력 면면의 실력은 뛰어나지만 현업 적응형 교육과 보상체계가 부족한 게 현실"이라고 진단했다.

롯데카드는 8월 14일 공격을 받았지만 12일 후인 26일에야 전체 점검을 통해 3개 서버에서 2종의 악성코드와 5종의 웹셸을 발견했다. KT는 소액결제 피해 사건 통지에도 내부(서버 등) 해킹 정황은 없다고 부인하다 9월 15일 오후 2시 서버 침해 사실을 인지했고 3일 후인 18일에야 한국인터넷진흥원(KISA)에 신고했다.

김 대표는 롯데카드 사태와 관련 "한국의 기업은 시스템 중단 우려와 외주 구조에 패치가 늦다"며 "위험도에 따라 우선순위를 정하고, 테스트·롤백 체계를 마련해 신속히 적용해야 한다"고 말했다

김 대표는 웹셸 등을 통한 APT(지능형지속위협)과 관련 "웹셸은 파일만 보지 말고 행위를 봐야 한다"며 "웹 서버에서 비정상 프로세스·외부 통신을 잡아내고 발견 시 즉시 격리 후 클린 빌드로 재배포하는 게 원칙"이라고 설명했다.

이어 "최근 랜섬웨어를 비롯한 사이버 공격은 오래 숨어서 권한을 키우는 방식을 택하고 있다"며 " 예방만으론 부족하다. 평소 위협 헌팅과 행위 기반 탐지가 필수"라고 강조했다.

김 대표는 특히 화이트해커 활동과 관련 법률 개선이 시급하다고 제언했다.

그는 "특정 기업의 사이트를 방문해 이용하다가 취약점을 확인해 이를 제보해도 무시되는 경우가 많다"며 "정보통신망 이용촉진 및 정보보호에 관한 법률 위반으로 (화이트해커가 신고를 당해) 처벌받는 경우도 있었다"며 안타까움을 토로했다.

김 대표는 기업의 보안 투자 전략과 관련 "ID·권한 관리, EDR/XDR 탐지, 패치 자동화, 백업·복구, 사고 대응 체계가 최우선"이라며 "중소기업은 MDR(관리형보안 서비스) 등 경제적인 아웃소싱부터 시작하면 된다"고 제안했다.

개인정보 유출에 따른 2차 피해 우려 관련해선 "유출 데이터의 악용을 막으려면 즉각적인 카드 재발급·한도제한·실시간 결제 모니터링이 수반돼야 한다"며 "휴대전화 번호도 변경하는 게 낫다"고 전했다.

국제 공조 중요성도 언급했다. 김 대표는 "사이버범죄는 국경이 없는 만큼 국가 간 위협 정보 실시간 공유, 가상자산 추적, 불법 도메인·호스팅 퇴출 등 다자 협력을 강화해야 한다"며 "해킹에는 반드시 네트워크 이용이 수반되므로 국가별 통신사 간 협력도 필요하다"고 했다.

김 대표는 한국에 해킹 관련 교육 인프라 구축되기 전인 초등학교 때부터 해킹 관련 서적과 해외 해커들과의 교류를 통해 실력을 키우고 다양한 이슈에 참여하면서 '천재 해커'로 유명해졌다. 이후 사회적 문제 해결에 기여하는 화이트해커가 되는 길을 선택하고 2014년부터 디지털 범죄 대응사업을 시작해 2019년 라바웨이브를 설립했다.

ideaed@news1.kr