전세계에 자랑하던 대한민국의 초고속인터넷 인프라가 일시에 혼란의 구덩이로 빠져들었던 `1ㆍ25 인터넷 대란`을 겪으면서 정보보호업계에 종사하는 사람으로서 일차적인 책임을 통감했다. 그러나 더욱더 개탄스러운 일은 이와 유사한 대란이 유독 이번뿐이었나 하는 점이다.
일부 언론에서는 이번 사태의 원인으로 정부나 업계, 일반 소비자에 만연한 정보보호 의식의 일천함을 거론하며 마치 정보보호업계의 입장을 대변하듯 예산과 인력의 부족, 정보보호에 대한 투자 우선순위에서의 배려부재로 결론을 내리고 있다.
그렇다면 정보보호에서 시스템이란 무엇일까. 지난 1월25일 이후 많은 언론에서는 이번 사태의 원인과 해결방안에 대해 소위 전문가들을 동원해 진단과 처방을 내리고 있는데 그들은 한결같이 침입차단시스템(Firewall)과 침입탐지시스템(IDSㆍIntrusion Detection System)의 도입을 이야기하고 있다. 물론 방화벽도 없고, 침입탐지시스템도 없는 기업도 있을 것이기 때문에 100% 틀린 말은 아니다.
문제는 정보보호에서 `시스템`은 이러한 물리적인 장비를 뜻하는 것이 아니란 점이다. 진정한 의미의 정보보호 시스템은 예방과 감시, 탐지와 대응과 보완이 순환적으로 작동하는 관리프로세스의 구축과 운용이다.
이번 사태를 유발한 MS-SQL의 보안취약점은 이미 지난해 6월28일 처음 보고된 후 7월26일 정식으로 등록됐다. 정보보호와 관련한 제반의 서비스를 제공하는 주체들은 이러한 사실을 자신의 고객들에게 주지시키고 보완하도록 하는 책무가 있는 것이며 이에 대해 항상 감시ㆍ대비하고 있어야 한다.
정보통신기반보호법에 의하면 국가기간통신 인프라를 운영하는 각 주체들은 정보통신 시설에 대한 보안위협 및 사이버 테러 등에 대비하기 위한 정보공유 및 분석센터(ISACㆍInformation Sharing and Analysis Center)를 운영할 수 있게 돼 있다. 이는 바로 앞서 언급한 진정한 의미의 정보보호 시스템을 조직화한 실체인 것이다.
금융 ISAC, 통신 ISAC, 행정 ISAC 등의 이름을 가진 이러한 정보보호 `시스템`들이 제대로 기능하고 작동하고 있었다면 인터넷 대란 발생 초기 3~4시간 동안의 혼란은 없었을 것이며 신속한 복구 역시 가능했을 것으로 생각한다. 필자는 정보보안은 관리(management)와 절차(process)라고 정의한다. 관리되지 않는 보안장비는 무용지물이며 돌지 않는 프로세스는 무의미한 것이다.
<천성훈(해커스랩 이사) >
