지능정보사회가 도래하며 사이버 침해 위협이 증대되는 가운데, 정부가 단순 처방식 대응에만 나서고 있다는 지적이 제기됐다. 안일한 대응보다는 근본적인 대책을 마련해야 한다는 목소리가 높아지고 있다.
7일 송희경 국회 미래창조과학방송통신위원회 소속(새누리당) 의원이 미래창조과학부와 인터넷진흥원으로부터 제출받은 자료를 분석한 결과, 최근 2년간 랜섬웨어 피해 상담신고 건수는 1,400여건에 이르는 것으로 나타났다. 신고하지 않은 건수 등을 합하면 그 피해규모는 더욱 클 것으로 전망된다.
랜섬웨어는 사용자의 컴퓨터에 잠입해 데이터·문서 등을 무단 암호화하고 돈을 요구하는 악성 프로그램이다. 특히 ‘말 하는 랜섬웨어’로 불리는 ‘케르베르(Cerber)’ 랜섬웨어 공격 조직은 한 해 230만 달러(약 25억 8,000만원)의 수익을 올리는 것으로 분석됐다.
송 의원은 “지난 10년 간 우리나라의 태풍, 해일, 홍수 등 자연 재난으로 인한 경제 손실이 1조7,000억 원인데 비해 개인정보유출, 사이버범죄, 사이버테러 등 사이버 공격으로 인한 경제적 손실은 3조6,000억 원에 달한다”며 “해킹, 악성코드 유포 등 사이버공격이 PC에서 모바일기기로 확산하면서, 매일 우리나라의 스마트폰 4만2,000대가 공격을 받고 있는 것으로 나타났으며, 이는 세계 8위 수준에 해당한다”고 설명했다.
송 의원은 정부가 사이버 침해에 대한 심각성은 인지하고 있지만, 손을 놓고 제대로 된 단속을 하지 않고 있다고 꼬집었다. 한국인터넷진흥원 인터넷 침해 대응센터에 ‘랜섬웨어’ 코너를 따로 마련했지만, 제재권한을 갖고 있는 미래창조과학부·방송통신위원회 등의 관리감독이 허술하다는 것이다. 송 의원은 “랜섬웨어가 실제 거래되고 있는 다크웹(일반적인 검색 엔진으로는 찾을 수 없어 주로 불법적인 정보가 거래되는 심층 웹)의 실태 파악 조차 안 되고 있어 모니터링제도 사실상 유명무실하게 운영되고 있는 실정”이라며 “감염자들에게 비트코인 가상지갑 만들기를 안내 하는 등 대응은커녕 사실상 해커와 감염자들 사이의 브로커 노릇을 하고 있다”고 지적했다.
또 개인·기업들의 다양한 데이터들이 모이는 데이터센터의 ‘정보보호관리체계인증(ISMS)’ 부재도 문제점으로 지목했다. 대학 및 금융권을 중심으로 가속화되는 ISMS 의무대상을 데이터센터를 보유하고 있는 곳으로 확대해야한다는 것이다.
송 의원이 미래부로부터 제출받은 자료에 따르면 국내 데이터센터 136곳 중 ISMS을 받은 곳은 30곳(22%)에 불과했다. 4차 산업혁명 시대에 접어들면서 빅데이터의 중요성이 높아지고 있지만, 막대한 데이터가 보관되어 있는 ‘데이터센터’의 보안은 취약할 수 밖에 없다는 것이다.
인증을 받지 않은 106곳의 데이터센터를 살펴보면 국방부, 대법원, 서울시, 서울시교육청 등 중앙행정부처와 지방자치단체, 금융권, 병원, 학교 등이 속해 있다. 이는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제46조에 ‘타인’의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영 관리하는 사업자에 해당하지 않기 때문인데 이들 기관이 사실상 대국민 서비스업에 종사하고 다수의 개인정보를 보유하고 있는만큼 보다 촘촘한 관리 감독이 필요하다는 지적이다.
송 의원은 “갈수록 다양화·고도화되는 사이버침해에 대응하고, 데이터센터의 활용도를 높이기 위해서는 보안이 먼저 담보돼야 한다”며 “보안은 곧 ‘국방력’의 척도”라고 강조했다.
한편 국내에서는 정부와 공공기관, 기업의 데이터 센터 136여 곳이 운영되고 있지만 관련 건축법 용도 규정은 없어 마구잡이로 지어지고 있었다. 데이터센터는 대규모 건축물임에도 불구하고 건축법상 건축물 용도 분류가 없어 업무시설,방송통신시설,교육연구시설, 공장 등으로 제각각 허가를 받고 있는 실정인데, 건물용도 허가가 해당 지자체 공무원의 임의 잣대 및 유권해석을 통해 결정되다 보니 불필요한 주차장,승강기,공개공지 등이 들어서는 등 많은 건립예산이 소요되고 내진설계 같은 기타 기준도 용도에 따라 상이하게 적용되고 있는 상황이다.
송 의원은 “미래의 핵심성장 산업인 ICBM(IoT,Cloud,Big Data,Mobile) 및 인공지능(AI)사업의 수행을 위해서는 대규모의 데이터를 수집 및 분석, 관리 기술이 필수적”이라면서 “그러기 위해서는 IT시스템을 안정적으로 운영할 수 있는 신뢰성 높고, 고성능의 데이터 센터가 요구되는데 적합한 규정이 없어 규제가 되고 있어 개선이 시급하다”고 말했다.