한국은 세계 최고의 인터넷 강국이면서도 정보보안은 후진국에 속한다. 인터넷 이용 인구 2천5백만명, 온라인 주식거래 비중 67%, 초고속인터넷 1천만명 돌파 등 화려한 기록을 갖고 있지만 보안 시스템이나 의식은 극히 취약하다. 지난 1월25일 한 웜바이러스가 전세계를 강타했지만 전국적인 인터넷 마비 사태가 일어난 유일한 나라는 한국이었다. 개인 정보와 전자상거래 금융거래 등이 인터넷으로 집중되고 있는 상황에서 정보 보안은 선택이 아닌 필수다. 지금과 같은 보안수준으론 인터넷 강국은 한 순간 모래성이 될 수 있다. ◆ 부실한 보안 시스템 정보통신부가 최근 전국의 인터넷 서비스 제공업체(ISP), 전자상거래 사이트, 일반 기업 등 1천여곳을 대상으로 실시한 정보보호 실태조사 결과는 충격적이다. 정보보안 전담조직을 설치한 전자상거래 업체는 12.9%에 불과했으며 대학 16.7%, 기업은 9.2% 수준에 머물렀다. 정보보안의 기본 솔루션인 침입탐지시스템(IDS)을 설치한 전자상거래 업체는 12.6%에 그쳤다. 기업은 6.1%만 IDS를 갖추고 있었다. IDS는 네트워크를 통한 불법 침입을 실시간으로 감시하고 차단하는 역할을 하는 기본 솔루션이다. 또 우리나라의 인터넷 서비스 제공업체들은 사고 발생시에만 로그 분석을 하고 있는 것으로 나타났다. 해외 유수의 통신사업자들이 상시적으로 로그 분석을 하면서 침입 시도를 감지하고 있는 것과 크게 차이가 난다. 로그 분석이란 특정 기관의 컴퓨터 시스템에 접속한 기록을 데이터베이스로 저장, 관리자가 쉽게 분석할 수 있도록 하는 것이다. 이와 함께 국내 ISP들은 주요 네트워크와 연결된 컴퓨터(노드)에 대한 상시 모니터링도 실시하지 않고 있었다. 세계적 ISP들은 상시적으로 주요 노드를 모니터링해 사고 발생시 신속하게 대처하고 있다. 정통부 황의환 정보보호산업과장은 "중소기업이나 소규모 인터넷 사이트의 경우 전담조직은 물론 기초적인 보안 시스템도 갖춰놓지 않고 있다"고 말했다. ◆ 보안의식도 문제 보안업체인 시큐아이닷컴 윤덕상 팀장은 "대부분의 기업에서 정보보안에 대한 투자비는 우선순위로 볼 때 최하위권에 머물고 있다"며 "연초에 보안 예산이 잡혔더라도 경기하락으로 투자비를 조정하게 되면 가장 먼저 보안 예산이 축소된다"고 지적했다. 보안은 돈이 남거나 시간이 남았을 때 투자하는 분야로 여기는 인식이 팽배해 있다. 보안전문가들은 특히 방화벽이나 IDS같은 기초적인 솔루션만 갖춰 놓고 의무를 다했다고 생각하는 것도 심각한 문제를 야기할 수 있다고 설명한다. 보안을 강화하기 위해서는 회사의 정책이나 업무를 보안 목표에 맞게 변화시켜야 하기 때문에 정보보안은 '솔루션'이 아니라 '프로세스'에 초점이 맞춰져야 한다고 전문가들은 주장한다. 그러나 방화벽 하나 설치해놓고 아직까지 아무런 조치를 취하지 않는 기업이 많은 실정이다. 인젠 임병동 사장은 "보안시스템을 제대로 갖추기 위해서는 주기적으로 취약점을 분석하고 기업에서 운영하는 서비스와 정보를 기능별로 방어할 수 있는 시스템을 갖춰야 한다"며 "상시적인 예방 점검만이 보안사고를 막을 수 있는 유일한 방안"이라고 강조했다. 김남국 기자 nkkim@hankyung.com