택배 뒤에 감춰진 보안 위험

전 세계 쇼핑객들이 가장 기대하는 11월이 왔다. 우리나라의 코리아세일페스타를 시작으로 11일 중국 광군제(싱글데이), 10월말의 미국 블랙프라이데이, 사이버 먼데이 등이 줄줄이 이어지는 11월은 좋은 상품을 싸게 구입할 수 있는 최적의 쇼핑 시기로 자리잡았다. 과거 블랙프라이데이만 해도 미국 내 오프라인 상점에 한정된 행사였으나, 온라인 쇼핑 성장에 힘입어 전 세계 어디에서나 상품을 쇼핑하고 배송받을 수 있게 됐다.

개인적으로도 상대적으로 낮은 가격에 끌려 올해는 어떤 상품들이 싸게 나올지 기대하고 있다.

온라인 쇼핑이 급증하고 있는 최근 이에 따라 상품을 배송하는 택배물량 또한 급증할 수밖에 없다. 중국 국가우정국이 발표한 통계에 따르면 2018년 11월 중국의 택배 처리물량은 광군제 영향으로 무려 58억6000만건에 달했다. 이는 2012년 중국 전체 물량인 56억9000만건을 능가하는 수치로, 월별 기준 역대 최고 기록일 정도였다고 한다.

우리나라도 다르지 않다. 2018년 기준 국내 연간 택배 물동량은 25억4300만건으로, 전년 대비 약 10% 증가하며 성장세를 이어가고 있다. 개인적으로는 당일배송이나 새벽배송과 같이 편리하고 높은 수준의 택배시스템이 성장세를 이끌지 않았을까 생각된다.

그러나 이런 편리함이 치명적 위험으로 돌변할 수도 있다는 목소리가 있어 주의를 요한다. IBM 보안전문가로 구성된 IBM 시큐리티 엑스포스 레드는 최근 진행한 실험에서 택배를 통해 해킹을 할 수도 있다는 결과를 밝혔다. 이런 해킹은 개인에게도 타격이 크겠지만, 기업 입장에서는 막대한 피해를 초래할 수도 있어 직원들이 회사로 택배를 받을 경우 특히 주의해야 한다. 워시핑(Warshipping)으로 명명된 이 사이버 공격은 택배를 통해 기업의 IT시스템에 침입, 원하는 정보를 탈취한다. 좀 더 구체적으로는 원격조종이 가능한 초소형 전자기기를 택배에 부착, 배송 이후 기업의 전산시스템을 원격으로 해킹해 원하는 정보를 탈취하는 해킹 기법이다. 이 기법은 택배에 부착하는 해킹용 전자기기의 구성비용이 약 100달러 이하로 저렴한 편이며, 저전력으로도 구동할 수 있어 최근 주목받고 있다. 배송된 이후 원격으로 사내 무선인터넷을 지속적으로 스캔하거나 허위 무선인터넷을 개설, 이용자의 개인정보를 탈취한다.

IBM이 발간한 '2018 글로벌 기업 데이터 유출 현황' 보고서에 따르면 데이터 유출로 인한 국내 기업들의 피해액은 기업당 평균 약 31억원에 달했다. 특히 발견 시 대응시간은 평균 67일로, 평균 52일 걸리는 미국에 비해 약 2주가 더 소요됐다. 대응시간이 생명인 사이버 보안 분야에서 늦은 대응은 기업의 소중한 정보자산 유출 등 치명적 결과를 초래할 수 있다. 워시핑에 대응하기 위해서는 다음과 같은 방법을 권장한다.

우선 사내방문객에게 적용하는 보안절차를 소포나 택배와 같은 물품에도 적용하고, 빈 상자는 반드시 폐기해 초소형 기기를 통한 네트워크 침입 가능성을 원천 봉쇄해야 한다. 또한 직원 내부교육을 통해 불필요한 택배 배송을 자제하도록 독려하며, 물품 내 기기 탑재 여부 확인을 위해 금속탐지기 등 식별 가능한 장치를 구비할 수도 있다. 가짜 네트워크에 의한 피해를 방지하기 위해 신뢰할 수 있는 네트워크에만 접속하도록 하는 교육도 필요하다.

무선인터넷에 더 강력한 보안을 적용하기 위해 무선인터넷 보호접속(WPA2) 기능을 적용하거나 필요시 강력한 암호를 설정, 외부침입을 막을 수도 있다.

추가적 인증절차나 가상사설망(VPN)을 통한 방식도 활용할 수 있다. 아직 워시핑으로 인한 실제 피해 사례는 없다. 하지만 사례가 없다고 안심할 것이 아니라 점점 다양해지는 사이버 공격에 효과적으로 대응하기 위해서는 다양한 관점에서 보안을 점검하고 강화해야 한다.

김용태 한국IBM 보안사업부 총괄 상무