개인정보 탈취를 목적으로 한 랜섬웨어 배포와 해킹이 기승을 부리면서 도서관, 박물관 등 지식기관도 비상이 걸렸다.

지난달 국립항공박물관의 온라인항공학습터가 해킹 당해 회원 1만여 명의 개인정보가 유출됐다. 해당 플랫폼을 개발·유지보수하는 외부 업체 온라인 서버가 해킹되면서 일어난 사태로 박물관 측은 즉각 대응에 나섰지만 유출 사고 후 항공박물관을 사칭한 스미싱이 돌기도 했다. 현재 박물관은 보안 강화를 마무리 할 때까지 모든 교육 프로그램을 현장 접수하기로 했다.

20일 IT업계에 따르면 해외에서 도서관, 박물관 등을 대상으로 한 해킹 범죄가 연달아 일어난 가운데, 지난달 한국에서도 국립항공박물관이 해킹되며 피해가 발생했다. 공공 도서관을 비롯해 박물관, 평생교육기관 등 다양한 공공 지식기관은 한국과 해외 모두 비슷한 문제를 안고 있다. 공공기관의 특성으로 모든 사람에게 접속 및 정보 접근을 장려하고, 기업에 비해 상대적으로 예산 배분과 집행에 제약을 받아 피해가 발생하기 쉽다. 오래된 프레임워크를 그대로 쓰고 관련 인력이 규모에 비해 부족한 기관은 더욱 해킹이 쉽다. 더불어 제3자 하청업체에 유지 보수를 전격 위임하는 기관이 많기 때문에 이 과정에서 보안 취약점이 무한히 늘어날 수 있다.

지난해 11월 다크웹에 해킹그룹 리시다(Rhysida)가 영국국립도서관의 직원과 이용자들의 이름 및 이메일 주소가 포함된 50만 건의 기밀파일을 20비트코인(당시 80만 달러)의 시작 입찰가로 경매에 등록하며 90%를 공개하는 사건이 벌어졌다. 앞서 10월 해킹그룹 리시다가 박물관의 전화시스템, 웹사이트, 디지털DB 전체를 먹통으로 만든 후 85만 달러를 요구했으나 박물관이 지불을 거절하자 일어난 일이었다. 12월 일부를 복구했으나 2월 현재도 완전 복구되지 않았고 도서관은 올해 예산 중 예비비의 40%를 복구 및 보안 강화에 쓰기로 했다. 이밖에도 지난해 베를린 자연사 박물관 등 다수의 지식 기관이 해킹 공격을 받았다.

해외에서는 해킹그룹이 해당 기관 시스템을 완전히 망가뜨린 후 '몸값'을 요구하는 방식이 대다수지만 국내는 다소 다르다. 국내는 IT 인프라의 발달로 빠른 복구가 가능한 만큼 시스템 파괴시 얻는 이익이 상대적으로 적어 스미싱 사기를 위한 용도로 주로 공격당하고 있다. 업계에서는 최근 생성형 인공지능(AI)의 발전으로 빠르게 보안 트렌드가 변화 중이지만 지식기관의 대응이 사기업에 비해 느릴 수밖에 없는 만큼 이를 주기적으로 확인할 수 있도록 명문화 해야한다고도 지적한다.

IT 업계 관계자 A씨는 "현재 국내 대기업은 빈발한 개인정보 유출 사건으로 인해 개인정보 보안과 보안 등급 수준 강화에 굉장히 크게 신경쓰고 있다"며 "많은 기업이 사내에 대규모 보안팀을 두고 정기적인 해킹을 통해 보안 취약점을 발견하기 위해 노력 중"이라고 말했다. 이어 "코로나19 이후 국내 많은 기관이 온라인을 통한 교육과 정보 서비스를 위해 디지털 전환이 돼 보안 수준이 단시간에 높은 수준에 이르긴 했으나 여전히 최신 보안 시스템 개발과 도입에는 다소 느리다"며 "개인정보 유출이 잦아 가볍게 생각할 수 있지만 실제로 스미싱 피해를 입고 심각한 문제가 발생하는 피해자들이 많은 점을 기억해야 한다"고 덧붙였다.

또 다른 IT 관계자는 최근 '서비스형 랜섬웨어(RaaS)'로 불리는 사이버 범죄 비즈니스 모델이 정착하기에 이른 만큼 준비가 필요하다고 지적했다. RaaS는 사이버 범죄자가 랜섬웨어 배포 및 관리에 필요한 툴과 서비스를 클라우드로 제공하는 새로운 랜섬웨어 비즈니스 모델이다. 이용자 주문에 따라 커스터마이징도 하는 만큼 해킹에 이용되는 소프트웨어와 서버를 정부가 차단해도 새로운 프로그램이 나타난다. 따라서 특정 지식기관의 특수한 정보를 목적으로 한 해킹 시도도 있을 수 있다고 지적했다.

한편, 개인정보보호위원회는 오는 3월 개인정보보호법 시행에 맞춰 전문 개인정보보호책임자(CPO) 제도를 도입, 운영하기로 했다. 과거 최고정보보호책임자(CISO)가 겸직을 하거나, 별 관계 없는 고위직이 맡던 CPO에 자격요건을 만들어 임명하도록 하기로 했다.