우리 나라의 대표적인 포털사이트와 전자상거래사이트,그리고 금융기관이 해킹에 취약한 것으로 나타났다. 최근 언론 보도에 의하면 단순한 클릭 몇번으로 주요 사이트의 데이터베이스(DB)에 접근하여 회원 아이디(User ID)와 패스워드(Password)를 비롯한 개인정보를 어렵지 않게 알아낼 수 있다고 한다. 지난 1월25일 9시간 동안 벌어졌던 사상 초유의 인터넷 불통사고는 우리 경제 및 사회 전반에 막대한 비용을 유발시킨 바 있다. 신종 웜바이러스에 의한 전 세계적인 공격이었는데,미국 일본보다 유독 우리의 피해가 커 정보시스템 보안수준의 취약성을 보여줬다. 물론 그러한 정보보안사고가 발생할 때마다 다양한 대응책이 제시됐다. 하지만 이러한 대책은,기업이나 단체 기관 모두 적지 않은 보안비용 때문에 처방대로 시행이 되지 않거나 임시적 대응에 그칠 뿐,장기적이고 근본적인 개선은 이루어지지 않고 있다. 정보시스템 보안이 지켜지기 위해서는 예방과 적발 두 가지 방법이 있다. 그러나 이 둘 모두 인터넷대란 등 사고 뒤 사후약방문식으로 논의되다 시일이 지나면 뒷전으로 미루어져 유야무야돼 왔다. 이런 상황에서 주요 사이트들에 대한 해킹 가능성이 확인된 것은 대형범죄를 예방케 하는 것으로서 의미가 매우 크다. 이제 해당 기업 조직들은 파악된 문제의 원인을 분석,△위협요인 △내부통제의 취약점 △가능손실 등을 계산하고 보안수준을 높이기 위한 보안테스트 및 내부통제의 보완을 취해야 한다. 이번에 파악된 문제 외에도 정보시스템 전반에 도사리고 있는 위협 요인에 대해 지속적인 보안점검과 감사활동을 실시해서 사고를 미리 막아야 한다. 이를 위해선 지금까지의 정보시스템 개발 투자 못지 않게 정보보안부문의 비중을 높여나가야 할 일이다. 우리 나라는 경제의 여러 부문에서 글로벌 스탠더드를 지향하고 있다. 그러나 명실공히 초고속 인터넷 보급률 세계 1위인 우리 나라가 정보보안측면에서는 한참 후순위다. 이 같은 정보보안 수준을 인터넷 강국에 걸맞도록 선진화하기 위해서는 정보시스템비용을 확충하지 않으면 안된다. 기업 단체 및 정부는 무엇보다도 먼저 정보 관련 예산·자원의 10%를 보안과 감사체계에 과감하게 투자해야 한다. 뿐만 아니라 포털 전자상거래업체 금융기관 등 정보보안의 중요성이 높은 조직들은 보안수준을 객관적으로 점검하고,그 결과를 자발적으로 공시하는 것도 한 방법이다. 객관적 보안수준에 대한 공시는 해당 조직에 대한 보안인식도를 높여 해당 사이트를 신뢰하고 보다 많이 이용하게 할 것이다. 예방이 가장 효과적이고 바람직하나 모든 컴퓨터범죄를 완벽하게 차단하기란 불가능하다. 그러므로 컴퓨터범죄를 신속하게 적발하여 보완할 수 있는 적발시스템의 수준을 높여 나가야 한다. 즉 해킹을 보다 신속히 적발할 수 있는 차세대 '침입탐지시스템(Intrusion Detection System)'을 하루빨리 개발,주요 사이트에 적용하여 실시간으로 해킹을 파악하고 수정 보완할 수 있는 체제를 갖춰야 한다. 이미 개발되어 사용되고 있는 침입탐지시스템의 적발 효과에 대한 객관적 검증도 이루어져야 한다. 아울러 침입탐지시스템의 고도화를 위해 보안업계 및 학계에서는 인공지능기술 등 글로벌 수준의 기술과 지식을 활용,보다 효율적인 시스템을 개발해야 한다. 기업은 이러한 침입탐지시스템을 적극 이용하여 예방시스템 침입자들을 실시간으로 적발하는 노력을 지속해야 할 것이다. 정보보안에 왕도는 없다. 철저한 준비와 지속적인 연구개발 투자만이 인터넷강국인 우리나라를 정보보안대국으로 만들 수 있다. 뿐만 아니라 정보시스템에 대한 보안점검을 체계적으로 실시해서 문제점을 보완해 나가는 '상시 보안감사체계'를 운영함으로써 기업 단체 및 국가의 보안수준을 지속적으로 강화해 나가야 한다. 축구에서 아무리 공격을 잘하여 득점을 많이 했더라도,골키퍼가 부실하여 실점을 더 많이 하면 질 수밖에 없다. 우수 골키퍼 양성에 힘써 글로벌 수준의 보안을 달성해야 한다. 그렇지 않으면 골대를 유린하는 해커들에게 우리 사회 곳곳이 해킹 위협에 노출될 것이다. ighan@kgsm.kaist.ac.kr