美-中 사이버戰 확산 양상..한국 기업도 주의 필요

韓, 양국 모두 거래비중 높고 파트너도 다양해
협력업체 통한 해킹 공격 빈도 증가하는 추세
개인정보 유출에 대한 처벌 강화도 주의해야

등록 2018-12-26 오후 4:06:19

수정 2018-12-26 오후 4:06:19
가 가

[이데일리 이재운 기자] 미국과 중국 사이에 ‘사이버 전쟁’이 확전 양상을 보이면서 우리 기업에 대한 보안 위협도 높아지고 있다. 양국 모두 중요한 시장이고, 동시에 개인정보 유출 등에 대한 처벌도 강화되는 추세여서 더욱 주의할 필요가 있다는 지적이다.

26일 IT 보안 업계에 따르면 최근 세계 최강대국 두 나라간 대결이 심화되면서 한국 등 제3국의 기업이나 정부에 대한 보안 위협도 같이 높아지고 있다. 특히 한국 기업의 경우 양국 모두 거래 비중이 높고 현지에 협력 파트너도 많아 더욱 더 주의가 요구된다.

HP·IBM·매리어트..화웨이 논란에 美·中 갈등 고조

미국에 대한 중국 해커그룹의 공격은 거듭되고 있다. 주요 외신에 따르면 미국 법무부는 최근 중국인 해커 2명을 불법 해킹 혐의로 기소했다. 이들은 휴렛팩커드 엔터프라이즈(HPE), IBM 등 미국의 주요 IT 기업과 해군, 연방항공우주국(NASA) 등에 대한 해킹으로 최신 첨단 기술을 빼내려 한 혐의를 받고 있다.

지난달 30일에는 미국의 호텔 운영 체인인 매리어트 인터내셔널이 해킹을 통해 5억명의 호텔 예약 정보가 유출됐다. 이에 대해 미국 정부는 역시 배후에 중국 정부가 있다고 발표했다. 이에 대해 중국 정부와 매체는 “중국부터 의심하는 사고를 버리라”며 자신들은 무관한 일이라고 반발하고 나섰다.

로드 로젠스타인 미국 법무부 부장관이 지난 20일(현지시간) 미국 워싱턴DC 법무부 청사 브리핑실에서 기자회견을 열고 중국 정부가 배후에 있는 것으로 추정되는 해킹그룹 ‘APT10’이 미국을 비롯한 12개국에 대한 해킹 공격으로 기밀정보를 유출하는 등 불법해킹 범죄를 저질렀다며 두 명의 해커에 대한 기소 방침을 발표하고 있다. 사진=AFP

미국을 중심으로 제기되고 있는 ‘화웨이 갈등’도 역시 보안 문제에서 비롯됐다. 미국 등 서구권에서는 화웨이의 통신장비에 데이터를 빼돌리는 ‘스파이칩’이 있어 통신 데이터가 유출되고 있고, 이 배후에 중국 정부가 있어 도·감청에 이용되고 있다는 의심을 제기한다. 이에 대해 중국 정부와 화웨이는 관련성을 부인하며 명확한 증거를 대라고 요구하는 상황이다.

이 문제는 지난 2013년 한 차례 불거졌다가 잠잠해졌으나 올 들어 다시 불거졌고, 최근 화웨이 창업주의 딸이자 회사 최고재무책임자(CFO)인 멍완저우가 미국 정부의 요청으로 캐나다에서 체포되며 갈등의 골이 깊어지고 있다.

협력업체 통한 우회접근..개인정보 처벌 강화도 주의

이런 상황에서 보안 전문가들은 한국 등 제3국 기업에 대한 해킹 공격과 이로 인한 여파에 철저하게 대응해야 한다고 주문한다. 특히 한국 기업은 양국에 대한 수출·입 비중이 모두 높고, 유통은 물론 제조, 서비스, 인수 기업 등 각종 협력 대상이 많아 주의가 요구된다.

특히 최근 △해킹 공격이 협력사 등 공급망(Supply Chain)을 통해 우회접근을 해오는 점 △개인정보 유출 등에 따른 처벌 강화 등이 이어지고 있어 각별히 주의해야 한다. 최근 주요 보안업체가 발표한 올해·내년 주요 보안 화두에서도 이 두 가지는 대부분 공통적으로 제시된 사항들이다.

김병장 팔로알토네트웍스코리아 전무는 “아웃소싱이나 협업이 늘어나고, 의료기기처럼 외부 네트워크와 계속 연결되는 특성이 있을 경우 협력사를 통한 위협이 늘어날 것”이라며 “협력사를 위장해 (실제 공격 목표에) 악성코드를 침투시키는 공격이 내년에 유행할 전망”이라고 예상했다.

개인정보 유출에 대해 강력한 규제정책(GDPR)을 발표한 유럽연합(EU)이나 중국, 호주, 인도, 미국 캘리포니아주 등지에서 배상금을 확대하는 조치를 시행하는 흐름도 해킹 공격으로 개인정보 유출이 일어날 경우 무시할 수 없는 요소가 된다. 개인정보의 국외 이전 자체를 제한하는 기조 속에서 만일 유출로 인해 의도치 않은 국외 이전이 발생하면 징벌적 손해배상은 물론 평판에도 타격을 입을 수 있다.

보안 업체 시만텍은 내년도 보안 전망 보고서에서 EU는 물론 캐나다, 호주, 싱가포르, 인도, 미국 캘리포니아주 등지에서 개인정보보호 정책이 강화되고 있다며 “2019년 전세계적으로 GDPR이 가져올 영향이 더욱 분명하게 나타날 것”이라고 전망했다.