[청정 인터넷, 굿아이(Good-i)를 만들자] <2> 대한민국은 정보보호 후진국

[청정 인터넷, 굿아이(Good-i)를 만들자] 대한민국은 정보보호 후진국 청와대도, 정부도, 기업도 "뻥"··· '해킹 천국'작년 공공기관 해킹 7,588건으로 77%나 급증대형통신사등 민간은 거의 손을 놓고 있는 상태예산·인력 턱없이 부족··· 국가차원 대책 세워야 특별취재팀-송영규차장(팀장) 이규진 차장, 황정원ㆍ임지훈 우재용기자 skong@sed.co.kr 대규모 촛불문화제가 열렸던 지난 6월10일. 대한민국 정부조직의 심장부인 청와대 홈페이지가 먹통이 됐다. 청와대 측은 ‘접속자 폭주로 인한 일시적인 장애’라고 발표했지만 보안 전문가들의 시각은 달랐다. 단순한 홈페이지 다운이 아니라 정보유출을 노린 해킹이라는 것. 보안 전문가들은 청와대 홈페이지에 장애가 발생하기 전 ‘undefined’가 뜬 것에 주목했다. 이는 데이터베이스(DB)로부터 데이터를 연결하지 못했다는 표시로 DB서버 자체가 공격을 당했을 가능성이 있다는 의미다. ‘정보화 선진국’ 한국이 좀처럼 ‘정보보호 후진국’이라는 오명을 떨쳐버리지 못하고 있다. 정부의 보안투자 외면, 기업의 고객정보 방기, 개인의 무책임 등이 결합하면서 ‘정보보호 불감증’이 사회 전반에 만연하고 있다. 세계경제포럼(WEF)에 따르면 한국은 정보화수준이 세계 5위이지만 정보보호는 무려 51위로 크게 뒤처져 있다. 정경호 한국정보보호진흥원 정책개발단장은 “정보보호 수준이 점차 개선되고 있기는 하지만 모든 정보화 분야에서 세계 선두권인 데 비해 정보보호는 미약한 게 현실”이라고 말했다. 지난 10년 동안 한국의 정보기술(IT) 발전속도는 ‘빛의 속도’에 비견된다. 2007년 6월 현재 인터넷 이용자는 3,443만명, 초고속인터넷 가입자는 1,444만가구로 전체 가구 대비 초고속인터넷 보급률은 89.1%로 높아졌다. 그러나 이에 비례해 정보화의 그늘도 커졌다. 지난해 한국 중앙정부와 지방자치단체ㆍ공공기관 등에 대한 해킹 건수는 무려 7,588건에 달한다. 2006년에 비해 77%나 증가한 수치다. 실제로 지난해 6월에는 산림청, 과학기술부 산하단체, 모지역 선거관리위원회 등의 홈페이지가 연이어 뚫렸다. 게다가 통일부의 남북경협 문건도 빠져나갔다. 해킹이 국가 안보마저 뒤흔들고 있는 것이다. 임종인 고려대 정보보호대학원장은 “정부 기관들이 한 시간에 한 건 이상씩 해킹 등을 당하고 있지만 시스템이 공격을 받고 있다는 것조차 모르는 경우가 많다”고 밝혔다. 공공 부문뿐만 아니다. 3월 일단의 해커들이 KTㆍLG파워콤ㆍ온세통신 등 대형 통신업체의 홈페이지를 해킹, 100만여건의 개인정보를 빼내는 충격적인 사건이 발생했다. 사상 최악으로 기록된 옥션의 개인정보 유출사고도 해킹에 의한 것이었다. 그리고 이렇게 빠져나간 개인정보는 보이스피싱ㆍ스팸 등으로 악용돼 사회적 문제를 야기하고 있다. 그럼에도 불구하고 정보보호 역량과 투자는 정보화 발전 속도를 따라잡지 못하고 있다. 2008년 국가정보보호백서에 따르면 올해 미국 연방정부의 정보보호 관련 예산은 약 60억달러(약 6조원)로 전체 IT 예산의 9.2%를 차지했다. 하지만 우리나라의 정보보호 투자예산은 겨우 1,478억원으로 전체 정부 IT 예산의 4%에 그치고 있다. 임 원장은 “정부의 정보보호 예산이 턱없이 부족한 것은 물론이고 관련 전문인력을 양성하는 대학이나 대학원도 몇개 되지 않아 인재육성이 안되고 있다”고 비판했다. 더 큰 문제는 정보보호에 대한 낡은 인식이다. 이윤호 지식경제부 장관은 10일 ‘뉴 IT전략’을 발표하면서 1조원이 넘는 예산을 들여 IT융합산업 10개를 만들겠다고 강조했다. 이 전략에는 정보보호 관련 분야가 전혀 포함되지 않았다. 정부의 정보보호 산업 육성에 대한 진지한 고민과 실천의지가 없음을 단적으로 보여준다. 정부 부문의 사정은 그래도 나은 편이다. 국가정보원 국가사이버안전센터(NCSC)가 18부ㆍ4처ㆍ18청을 포함, 국가ㆍ공공기관의 1,848개 전산망을 연중무휴로 밤낮없이 감시하고 있어서다. 민간기업은 어떨까. 거의 손을 놓고 있는 상태다. 실제 기업의 50% 이상은 정보보호 예산을 아예 책정조차 받지 못했고 정보보호책임자(CSO)가 있거나 관련 교육을 하고 있는 업체도 4개 중 1곳에 불과하다. 더 나아가 수익 때문에 고객 정보를 의도적으로 유출하는 악덕 기업들도 적지 않는 게 현실이다. 개인들 역시 정보보호를 방치하고 있는 책임을 면하기 어렵다. 정보보호진흥원에 따르면 특별한 주의 없이 자신의 주민번호를 인터넷에 올리는 사람들이 하루 1,000명을 넘는다. 또 보안 패치를 업데이트하는 사람도 30%가 채 안된다. 스스로 정보보호 노력을 게을리하고 있는 것이다. 검증되지 않은 아무 사이트나 덥석 가입해놓고 나중에 개인정보가 유출됐다고 목소리를 높이는 건 앞뒤가 안 맞는 태도다. 김홍선 안철수연구소 최고기술책임자(CTO)는 “한 국가 안에서 한쪽이 허물어지면 IT를 활용하는 모든 정보체계가 일거에 무너질 수 있다”며 “국가적인 차원의 통일성 있는 대책이어야 하고 근본적으로 (보안) 기술자를 정책적으로 양성해야 한다”고 강조했다. 원유재 한국정보보호진흥원 IT기반보호단장도 “정보보호는 제품설치에서 끝나는 것이 아니라 일련의 프로세스”라며 “정부ㆍ기업ㆍ개인 등 각 사회 주체가 각자 역할에 맞는 정보보호에 대한 책임을 인식하고 지속적으로 실천하는 것만이 진정한 IT 강국으로 가는 길”이라고 지적했다. 2007년 에스토니아 사례 보면 정부·언론사등 공격받아 주요 전산망 3주간 마비 피해규모 수천만弗에 외교 분쟁도 사이버테러 무방비 한국과 닮은꼴 유럽에서 인터넷이 가장 발달했다는 에스토니아. 지난 2007년 4월 이 나라에서는 영화 ‘다이하드 4’에서 봤을 법한 일들이 실제 일어났다. 하루 이틀도 아닌 자그마치 3주 동안이나 정부ㆍ은행ㆍ언론사 등 국가의 주요 전산망이 해커들의 공격으로 완전히 마비된 것이다. 분산서비스거부(DDoS) 공격을 받아 모조리 다운됐다. DDos 형태로 이뤄진 당시 공격으로 에스토니아는 수천만달러가 넘는 직접적인 피해를 입었다. 여기에 사회적 혼란과 사이버공격의 배후로 러시아가 지목돼 촉발된 외교분쟁에 따른 비용까지 합친다면 피해규모는 가늠하기조차 힘들다는 게 전문가들의 평가다. 왜 이런 일이 발생했을까. 전문가들은 사이버공격에 대한 체계적인 대비책 미비를 주된 원인으로 꼽고 있다. 네트워크가 잘 발달되면 그만큼 막아야 할 포인트가 많아지기 때문에 사이버테러에 취약할 수밖에 없고 따라서 만약에 대비한 해킹방지대책에 힘을 쏟아야 하는데 그런 준비가 전혀 안돼 있었다는 것이다. 1년이 넘게 흐른 지금 에스토니아 사이버테러를 굳이 다시 언급하는 이유는 당시의 상황이 현재의 한국과 닮은꼴이라는 데 있다. 우리나라 역시 개인ㆍ기업ㆍ정부 모두 사이버공격에 전혀 신경을 쓰지 않고 있다. 김홍선 안철수연구소 최고기술책임자(CTO)는 “영세 소프트웨어 업체는 시간과 비용 때문에 보안 애플리케이션 개발을 안하고 개인은 악성코드의 가능성이 있는 불법 소프트웨어(SW)를 함부로 쓰고 있다”며 “정부 역시 대형 사고가 터져야만 관심을 가질 뿐 종합적인 가이드라인조차 갖추지 못하고 있다”고 말했다. 보안업계의 한 관계자는 “에스토니아 사례의 두 가지 시사점은 사이버공격이 불특정 다수가 아닌 특정 타깃의 시스템 무력화를 목적으로 삼았다는 것, 그리고 그 타깃은 개인ㆍ기업ㆍ정부를 가리지 않는다는 것”이라며 “국가적으로 통일성을 갖춘 2~3중의 보안대책을 세우고 이를 전문가들이 지속 관리해야 피해를 최소화할 수 있다”고 강조했다. 혼자 웃는 김대리~알고보니[2585+무선인터넷키]