사이버 공격에 가장 강한 나라는? 정답은 '인터넷이 발달하지 않은 아프리카 미개국'이다.인터넷에 연결돼 있는 한 사이버 공격을 받을 수밖에 없다는 점을 지적한 우스갯소리다.반대로 사이버 공격에 가장 약한 나라는? 정답은 '인터넷은 발달했는데 보안이 허술한 나라'이다.보안 전문가들에게 '한국은 어떠냐'고 물으면 후자에 속한다고 얘기한다.

한국정보보호진흥원(KISA)은 매월 개인방화벽이 없는 윈도 탑재 PC를 대상으로 'PC 생존기간'이란 것을 조사한다.이는 보안 패치 없이 인터넷에 연결된 PC가 악성코드에 감염되기까지 걸리는 시간을 말하는데 지난해 조사에서는 최단시간이 4초였다.연결하자마자 감염됐다는 얘기다.보안이 허술할 경우 인터넷이 얼마나 위험한지 단적으로 입증해주는 수치다.

우리나라 인터넷 이용자는 지난해 6월 말 현재 3443만명.영ㆍ유아와 노인을 제외하고는 대부분 이용한다고 보면 된다.가정 PC 보급률도 80%가 넘는다.김우한 KISA 침해사고대응지원센터장은 "공공기관,기업,가정 등에 있는 3000만대가 넘는 PC와 3443만 인터넷 이용자가 각국 해커의 표적"이라며 "누구든지 해킹을 당하거나 해킹 경로로 악용될 수 있다"고 경고했다.

인터넷은 '악성코드 지뢰밭'이다.보이진 않지만 악성코드라는 지뢰를 밟지 않고는 인터넷을 이용할 수 없다고 해도 과언이 아니다.악성코드는 이메일이나 인터넷 기사,사진,동영상,인터넷 게시판 등 어디든지 숨어 있다.인터넷 서핑을 하다 보면 자신도 모르는 사이에 악성코드를 만나게 되고 보안 시스템이 제대로 갖춰지지 않았다면 100% 악성코드가 침투하게 된다.

몰래 깔린 악성코드가 PC를 원격 조종해 다른 PC를 공격하게 하는 '봇'이라면 해당 PC는 '좀비(숙주)'가 되고 전 세계 좀비를 연결한 '봇넷'에 편입된다.이 봇넷을 이용해 특정 시스템에 데이터를 폭주시켜 마비를 일으키는 것이 DDoS(분산서비스거부) 공격이다.에스토니아는 지난해 세계 각국의 봇 감염 PC 2만여대로부터 공격을 받았다.

미국 국방부 해킹이나 독일 총리실 해킹은 이메일과 트로이목마 등 악성코드를 동원한 우회공격이다.A국 해커가 B국 정부 전산망을 공격할 때 A→B로 바로 침투하지 않고 A→C→D…→B 순으로 우회한다.추적을 피하기 위해서다.가령 B국 K병장이 인터넷에서 동영상을 즐기는 순간 트로이목마가 침투했다면 B국 군사기밀이 A국 해커에게 넘어갈 수 있다.

해킹을 막는 완벽한 방법은 인터넷을 쓰지 않는 것밖에 없다.실제적인 방법은 외부망(인터넷)과 내부망(인트라넷)을 분리하는 것이다.국내 공공기관 1848개 중 이 둘을 완전히 분리한 곳은 국방부 국가정보원 외교통상부 등 10여곳에 불과하다.국가정보원 국가사이버안전센터(NCSC)가 지난해 5월 '정부기관 대부분이 해킹에 무방비'라는 보고서를 낸 것은 이 때문이다.

한국은 '인터넷 강국'이라고 하지만 인프라가 잘 깔렸을 뿐 보안의식은 꼴찌수준이다.정보통신 시장에서 정보보호 부문이 차지하는 비중이 2006년 기준으로 세계 평균은 1.61%인 반면 한국은 0.30%에 불과하다.정보보호 분야에 제대로 투자하지 않는다는 뜻이다."정부 보안 프로젝트 입찰에서 가격을 후려치는 나라는 한국밖에 없다"는 말이 나올 정도다.

정보보호 업체는 영세하기 짝이 없다.NHN 매출은 1조원을 넘볼 정도로 커졌지만 국내 최대 정보보호 업체인 안철수연구소 매출은 600억원도 안된다.안철수연구소 매출은 세계 1위 정보보호 업체인 미국 시만텍(2007회계연도 52억달러)의 1%를 간신히 웃도는 수준이다.우리나라 전체 정보보호 시장(2006년 7348억원) 규모도 시만텍 매출의 7분의 1에 불과하다.

이 같은 결과는 보안의식 결핍에서 비롯됐다.정부든 기업이든 인터넷 보안 투자를 투자라고 생각하지 않는다는 게 보안업계 지적이다.개인도 보안 소프트웨어는 공짜만 찾는다.황중연 한국정보보호진흥원장은 "정보보호에 대한 인식이 너무 미흡하다"며 "인터넷이 발달한 상태에서 보안이 뒷받침되지 않으면 해커의 표적이 될 수 있다"고 지적했다.

이해성 기자 ihs@hankyung.com