[시론] '사이버 진주만 공습' 방어막이 없다

"국가 기반시설 내부망 직접 테러
과거 DDoS공격 등과 차원 달라
범인 밝히고 대응체제 구축해야"

임종인 고려대 정보보호대학원장
2003년 1·25 인터넷 대란, 2008년 2월 옥션 개인정보 유출사건, 2009년 7·7 DDoS 대란, 2011년 4월 농협 전산망 마비 사태, 2011년 7월 SK컴즈 네이트 개인정보 유출사건….

대한민국에서 발생한 정보보안 사고의 대표적 사례들이다. 이런 정보보안 사고가 발생할 때마다, 범정부 차원에서 민·관·군 합동대응팀을 구성해 원인분석, 공격주체 식별, 그리고 피해복구에 심혈을 기울이는 한편 인터넷 정보보호 종합대책, 국가 사이버위기 종합대책 수립 등 다양한 정책들을 생산해 내기도 했다. 그러나 이번에 소위 3·20 사이버테러라 불리는 사고가 발생했다. 국내 주요 방송국과 금융회사 전산망이 동시다발로 마비되는 초유의 사태가 발생한 것이다. 이로 인해 방송국에서는 내부 업무가 불가능해졌고, 은행은 지점에서의 창구업무와 전자금융거래도 일시 중단되는 사태가 벌어졌다. 개인 PC에서는 하드디스크가 포맷돼 정보가 사라지는 심각한 사례가 발생하기도 했다. 이번 3·20 사이버테러는 방송사나 은행 같은 국가 주요기관의 내부망에 대한 직접적인 공격이라는 점과 이로 인해 개인 PC 내에 저장된 주요 정보의 소실이라는 점에서 과거의 DDoS 공격이나 개인정보 유출사고 등과는 분명하고도 심각한 차이를 보여주었다.

결과론적으로 보자면 지난 5년간 사이버보안을 위한 일련의 정책적 수단과 노력들이 제대로 작동하지 않았거나 실패했다는 인식을 심어줄 여지가 매우 커졌으며, 이는 우리의 국가 사이버안보에 대한 국민의 불안감과 위기감을 더욱 고조시키게 만드는 결과로 이어지게 될 것이다. 그런데 아이로니컬하게도 이런 불안감과 위기감의 지속이 오히려 사이버안보 측면에서 필요하다고 느껴지는 것은 무엇 때문일까?

이런 생각에 힘을 실어주는 재미있는(?) 사실은 정보보호 예산배정과 관련, 국가적 차원의 대형 정보보안 사고가 발생할 때마다, 정보보호 예산은 증액됐다가 조금이라도 안전한 환경이 조성됐다고 판단되면 곧 예산이 삭감된다는 것이다. 2009년 7·7 DDoS 공격이 발생한 다음 연도에 대폭 늘었던 예산이 1년 만에 반대로 대폭 줄어든 게 대표적인 사례다.필자를 비롯해 수많은 전문가들이 사이버공격이 발생할 때마다 사이버안보 컨트롤 타워의 설치, 정보보호 전담조직의 확대, 정보보호 예산의 안정적 확보, 정보보호 전문인력의 양성 확대 등 사이버안보 정책의 기본적인 사항을 지속적으로 주장해 왔다. 그러나 여전히 국가적 불안감과 위기감을 근시안적이고 일시적인 것으로 판단한 나머지 국가 사이버안보 체계가 제대로 구성되지 않았거나 작동하지 않아서 지속적인 사이버공격의 피해를 입고 있다.

우리의 국가안보 환경을 고려할 때, 이번 3·20 사이버테러의 공격주체가 누구인지 밝혀내는 것도 중요하다. 그러나 국가기반시설이 사이버테러의 주요 목표가 되는 이상 더욱 중요한 것은 사이버테러에 대응하는 예산, 조직, 인력 등 핵심요소를 포함하는 안정적인 국가대응시스템의 구축이다.

그런 측면에서 미국의 사례를 충분하고 적극적으로 벤치마킹해야 할 필요가 있다. 국가사이버안보 총괄·조정기능을 담당하는 백악관의 사이버안보보좌관, 전담조직으로서의 국토안보부, 육·해·공군과 대응한 제4군으로서의 사이버사령부(사령관은 4성장군), 사이버 공격과 방어를 연습해볼 수 있는 ‘내셔널 사이버 레인지’ 구축 및 사이버게놈 프로젝트 등 사이버안보 강화를 위한 조직, 인력, 예산의 정책 핵심요소에 국가적 투자가 이뤄지고 있다. 그럼에도 불구하고 미국은 사이버안보에 지속적으로 우려하고 있다. 전 미 국방장관인 페네타는 “미국이 사이버 진주만 공격 위협에 직면해 있다”고 하면서, 국가 기반시설에 대한 사이버테러의 심각성을 경고하기도 했다. 사이버안보를 강건하게 하는 것은 결국 민·관·군 최고정책결정자들의 과감한 인식전환에 있으며, 그것이 곧 출발점이라는 사실을 명심해야 한다. 새 정부 출발과 함께 발생한 3·20 사이버테러의 경험을 바탕으로 국가 사이버안보에 대한 과감한 인식전환을 기대해 본다.

임종인 < 고려대 정보보호대학원장 >