문재인 대통령은 대선 기간에 국방 분야 공약을 내놓으며 사이버 안보 정책을 포함시켰다. 사이버 보안을 총괄할 ‘컨트롤타워’를 마련하고 사이버 보안 전문인력을 양성해 다가올 4차 산업혁명 시대에 대비하겠다는 강력한 의지를 드러냈다. 하지만 국내 사이버 보안 인식과 대응 태세는 여전히 후진국 수준을 벗어나지 못하고 있다. 개인은 물론 기업·정부에 이르기까지 사이버 보안을 책임질 3각 주체 모두 사이버 공격에 무방비로 노출돼 있어 ‘정보기술(IT) 강국’ 대한민국의 위상에 걸맞지 않은 낙후된 보안 인식을 여실히 보여주고 있다.
최근에는 기존 악성코드보다 훨씬 강력한 랜섬웨어를 앞세운 사이버 공격이 무차별적으로 이뤄지면서 개인이나 기업의 정보 관리는 물론 국가 안보도 통째로 흔들리고 있다. 실제로 한국인터넷진흥원(KISA)이 정보보호주간에 맞춰 9일 내놓은 통계에 따르면 올 들어 지난 5월까지 국내에서 발견된 랜섬웨어 공격 사례는 총 822건이다. KISA가 랜섬웨어 통계를 내기 시작한 2015년 4월부터 지난해 12월까지 1년8개월 동안 789건의 피해 사례가 확인됐다는 점을 고려하면 랜섬웨어를 통한 사이버 공격이 최근 더욱 기승을 부린 셈이다.
개인의 경우 평상시 중요한 파일을 백업하지 않는 것은 물론 회사 공용 PC에서 개인 e메일을 열어보고 불법 사이트에 접속해 동영상을 내려받는 일이 비일비재하다. 개별 기업들은 여전히 보안 투자를 ‘불필요한 비용’으로 인식해 백신 소프트웨어(SW)를 사용하지 않거나 인터넷망에서 해야 할 일과 업무망에서 해야 할 일을 전혀 구분하지 않고 처리하면서 사이버 공격에 무방비로 노출돼 있다. 정부 차원에서 ‘컨트롤타워’가 필요하다는 지적이 꾸준히 제기됐지만 아직도 정부 차원의 대응은 요원한 상황이다. 박춘식 서울여대 정보보호학과 교수는 “조직뿐만 아니라 개인도 사이버 보안 문제에 무관심한 상태에서 문제가 터졌을 때도 안이하게 대응하는 것이 피해를 확산하는 가장 큰 원인”이라고 말했다.
낙후된 사이버 보안 인식 수준은 공적 영역, 민간 영역을 가리지 않는다. 일반 기업체에서는 사이버 보안에 대한 투자를 ‘불필요한 비용’으로 인식해 최소화하려는 경향이 짙다. 기업의 규모가 작고 영세할수록 보안 체계를 ‘돈 먹는 하마’로 인식해 투자에 인색하다. KISA 관계자는 “그나마 대기업은 관련 조직이 ‘팀’이나 ‘실’급으로 구성됐지만 중소기업에서는 담당자 한 명이 회사 전체의 사이버 보안을 책임지는 경우가 많다”고 꼬집었다.
개인
회사 PC 불법사이트 접속 다반사
기업
인터넷·업무망 할 일 구분 안해
이러한 현실은 중소기업청이 2015년 실시한 조사에서 여실히 드러난다. 4만8,000개 중소기업을 대상으로 조사한 결과 사이버 보안 체계 구축의 가장 어려운 점으로 ‘인력 부족(40.3%)’이 꼽혔고 예산 부족(33.7%), 시설 부족(26.2%) 등이 뒤를 이었다.
투자가 제대로 이뤄지지 않다 보니 임직원의 보안 인식도 후진국 수준에 머물러 있다. 보안 업체에서 이미 업데이트 지원을 중단한 구 버전의 백신 SW를 계속 쓴다거나 사내 전산망인 인트라넷 대신 일반 네트워크를 사용하는 행태 등이 대표적이다. 중요한 업무 파일을 수시로 백업(예비 저장)하는 기업은 찾아보기 힘들 정도다.
지난해 5월 회원정보 2,660만건이 유출된 인터파크 해킹 사태는 안이한 대응 태세와 낙후된 인식이 가져올 수 있는 폐해를 단적으로 보여준다. 당시 인터파크는 해킹 피해 사실을 알리지 않고 자체적으로 처리하려다 사회적 지탄을 받았다. 3월에는 숙박 중개 애플리케이션 ‘여기어때’에서 341만건에 달하는 투숙 정보가 빠져나가 고객들에게 심각한 피해를 안겼다.
박수용 서강대 교수는 “기업이 보안을 강화하겠다면서 도리어 서버만 확충하는 등 적합하지 않은 조처를 하고 있다”며 “(만약 비용이 부담된다면) 정부에서 제공하는 교육 프로그램 등을 이용해 역량을 강화하는 것도 방법”이라고 제안했다.
일반 개인 사용자 역시 사이버 보안에 취약하기는 마찬가지다. 컴퓨터의 부팅(구동) 자체를 막아버리는 랜섬웨어 ‘페트야’가 유포된 지난달 27일 국내 한 인터넷 커뮤니티에는 피해를 봤다는 글이 올라왔다. 네티즌이 올린 컴퓨터 화면은 페트야에 감염된 것과 같은 증상을 보였다. 이어 다음날 새벽에는 소셜네트워크서비스(SNS)인 트위터에 또 다른 개인 사용자의 피해 사례가 등장하기도 했다.
문제는 민간 영역의 사이버 보안 문제를 총괄하는 미래창조과학부 산하 KISA의 ‘보호나라’에 공식적으로 접수된 사건은 단 한 건도 없었다는 점이다. 일반 개인 사용자가 사이버 공격을 신고와 알림의 대상으로 인식하지 못하고 있다는 것이 관계 당국의 판단이다.
올 국내 랜섬웨어 공격 822건
피해 갈수록 늘지만 속수무책
현행 법령상 사이버 공격 피해를 본 사용자가 관계 당국에 신고하지 않으면 분석 자체가 이뤄질 수 없다. 공격 표본을 확보할 수 없어 KISA와 민간 보안 업체가 해결 방안을 마련하는 데 시간이 오래 걸린다. 특히 악성코드의 최종 진화 형태인 랜섬웨어는 네트워크를 통해 마구잡이로 확산하기 때문에 이미 감염된 컴퓨터와 데이터를 확보해놓아야 추가 피해자 발생을 막을 수 있다.
백기승 KISA 원장은 “사이버 공격이 컴퓨터 SW와 네트워크의 취약점을 이용해 대량·무작위 확산 방식으로 바뀌면서 국가전 양상으로 확산하는 추세”라며 “보안 관련 기관과 민간 영역에서 긴밀하게 정보를 공유하는 시스템을 고민해야 할 시점”이라고 강조했다.
용어설명
◇랜섬웨어=몸값을 뜻하는 ‘랜섬’과 악성프로그램의 영문 ‘맬웨어’의 합성어로 공격자가 컴퓨터 전산망을 차단한 뒤 비트코인(가상화폐) 등 요구하는 사이버 공격 수단을 말한다. 네트워크를 타고 무분별하게 퍼지는 데다 컴퓨터 부팅(구동)을 아예 막거나 주요 데이터를 암호화하는 방식으로 피해를 줘 기존의 일반 악성코드보다 훨씬 강력하다.
