[기고] IT 강국으로 가는 길

한국정보보호산업협회(KISIA) 회장 오경수

[기고] IT 강국으로 가는 길

한국정보보호산업협회(KISIA) 회장 오경수

오경수 회장

국가기관의 보안망이 뚫렸다. 국방연구원ㆍ해양수산부 등 주요 국가기관 6곳의 PC가 해킹 프로그램인 변종 ‘핍(Peep)’ 바이러스에 감염되는 사태가 발생한 것이다. 정부의 정보보호 노력을 감안해볼 때 매우 안타까운 일이 아닐 수 없다.

국가기밀등 해킹 가능성

지난해 타이완 출신의 한 프로그래머에 의해 만들어진 변종 핍은 트로이목마 공격기법이 적용돼 e메일의 첨부파일을 통해 PC로 감염되는 바이러스다. 감염된 PC는 해커에 의해 자유롭게 조정돼 정보의 변경ㆍ유출 등이 가능하다. 이 바이러스가 국가기관의 PC에 침투한 것은 국가기밀에 해당하는 정보들이 외부로 유출될 수도 있음을 의미한다.

다행인 것은 지난해 1ㆍ25 인터넷 대란 이후 정부가 국가사이버안전센터ㆍ인터넷침해사고대응센터 등을 개설해 사이버상에서의 안전을 위한 노력을 지속적으로 수행해왔다는 점이다. 바이러스 감염 사실이 밝혀지자 정부는 즉시 해킹 경유지를 차단하고 자료 유출을 막는 등 적극적 대책으로 피해를 최소화할 수 있었다.

이제 해킹은 과거처럼 네트워크나 운영체제 프로그램의 취약점을 공격해 자신의 능력을 자랑하거나 이익을 취할 목적으로 이뤄지는 단순한 게임이 아니다. 이라크전쟁을 겪으며 전세계는 해킹이 여론 형성의 도구로, 국가나 단체에 대항하는 수단으로 사용되는 ‘핵티비즘(Hacktivism)’을 목격했다. 반전시위를 위한 슬로건이나 사진 등으로 수많은 웹사이트를 손상시킨 ‘사이버 테러’가 한 예다. 더 나아가 이런 해킹의 범위가 군사정보시스템이나 핵발전소 등 국가기밀을 다루는 정부기관으로 확산될 수도 있음을 이번 사태를 통해 다시 한번 확인했다.

변종 핍과 같은 바이러스에 대한 완벽한 대응은 사실상 불가능하다는 것이 전문가들의 의견이다. 방화벽은 외부에서 내부로의 침입이 불가능하도록 구성할 수 있으며 또한 내부 자료도 외부로 유출되지 않도록 할 수 있어 일반적인 해킹을 시도한다면 대부분 방화벽에서 차단할 수 있다. 그러나 e메일을 통해 들어오는 바이러스의 경우 안티바이러스 시스템으로 거를 수 있지만 개인 e메일을 일일이 체크하는 것이 불가능할 뿐 아니라 최근의 바이러스 은폐 기술은 나날이 고도화돼 이를 모두 찾아내기란 매우 어려운 실정이다.

결국 보안시스템을 통해 외부의 침입과 내부정보의 유출을 차단하는 것이 어느 정도는 가능하지만 개인 메일을 통해 침투하는 바이러스까지 모두 차단하는 것은 현실적으로 불가능하다고 볼 수 있다.

물론 방법이 아주 없는 것은 아니다. 예를 들어 공공기관과 기업의 내외부를 오가는 파일들을 중앙 시스템상에서 모두 통제하고 감시한다면 이 같은 바이러스 메일도 막을 수 있다. 그러나 이 같은 방안이 개인정보와 사생활 침해 논란을 유발할 것은 너무나도 당연하다.

그렇다면 남은 방법은 교육이다. 공사장에서 인부를 대상으로 안전교육을 실시하듯 정부ㆍ기업에서 모든 사무 직원들을 대상으로 하는 정보보호와 인터넷 위험사고 방지교육이 절실하다. 어떤 바이러스가 출현했는지, 현재 어떤 웜이 극성을 부리고 있는지를 최대한 신속히 알려줌으로써 사고의 절반은 예방할 수 있다. 또한 개인이 수행할 수 있는 대응책들을 제시해주는 것도 인터넷 안전사고 방지교육의 일환이 될 것이다.

더 나아가서 정보보호 분야에 대한 전국민의 의식 제고를 위한 교육 역시 필요하다. 개인의 e메일에서 바이러스 메일 한 두개 정도 발견돼도 대수롭지 않게 넘겨버리는 국민의식은 정보보호와 보안에 대한 불감증이 확산돼 있음을 반영한다. 정보보호에 대한 윤리의식 고취를 통해 작은 인터넷 사고라도 적극적으로 대응, 시정하려는 국민의식과 여론을 형성하는 것이 매우 중요하다.

사이버상의 안전을 위해 국가의 노력 또한 지속적으로 이뤄져야 할 것이다. 사고가 터졌을 때 단발적인 대책이 아니라 언제 어떤 상황이 발생하더라도 즉각적으로 대처할 수 있는 장기적인 노력이 필요하다.

정부ㆍ기업 보안교육 절실

마지막으로 정보보호 노력은 비단 국가기관만 담당해야 할 과제가 아니다. 각종 금융사고나 인터넷 사이트에서의 개인정보 침해사례 등은 정보보호 노력이 사이버 공간을 사용하는 모든 분야로 확산돼야 함을 명확하게 보여준다.

정보기술(IT) 강국이라는 말은 단순히 IT 기술의 발전만으로 얻어지는 쉬운 이름이 아니다. 우리가 쌓아 놓은 업적과 기술들을 안전하고 올바른 방향으로 지켜나갈 수 있을 때만 IT 강국이라는 이름 또한 빛을 발할 것이다.

입력시간 : 2004-06-25 15:56