<시리즈> 신국가대동맥 정보고속도로 (42)정보유출 (상)

최근들어 "초고속 정보통신기반" 등 정보화사회를 위한 대규모 역사가 구체적으로 추진되면서 세계규모의 정보유통이 가능해질 전망이다. 하지만 이러한 대형 정보화사업은 더욱 풍요로운 다음세기를 준비한다는 점에서 긍정 적이지만 관리에 소홀하게 될 경우 대형 정보사고로 이어질 가능성이 크다.

우리가 가지고 있는 정보의 유출문제는 대략 세 가지로 나눠서 생각할 수있다. 크게는 국가 기밀정보의 유출부터 기업체의 산업스파이 사고、 그리고작게는 개인의 사생활 침해이다. 이 세가지 문제는 각기 따로 따로 신문지상 에서 거론되고 있으나 결국은 같은 유형의 사건들이며 비슷한 처방을 갖고있다고 할 수 있다.

심심치 않게 보도되는 일련의 해킹사건들로 인해 컴퓨터범죄에 대한 국민 들의 관심은 높아졌다. 과거 군사정부 시절에는 일반국민들이 이 문제에 대하여 관심을 표명하는 것조차 쉽지 않았던 점을 생각하면 커다란 변화라고 할수 있다. 이것은 국가 기밀정보의 안전관리에 있어서 커다란 진전이다. 그러나 컴퓨터범죄는 현행 법규상 범죄로 인정하기 힘든 이유로 무죄 또는 가벼운 처벌만으로 끝나는 경우가 매우 많다. 이는 처벌에 대한 두려움을 경감 시켜서 컴퓨터범죄를 더욱 조장하는 결과로 이어지고 있다. 아직까지 이렇다할 컴퓨터범죄 관련형법이 없어 저지른 범죄에 합당한 처벌을 할 수 있는규정이 없기 때문이다.

사회문제로 부각된 해킹사건은 93년초 새정권 출범 직전 김모씨가 저지른 청와대 컴퓨터 해킹 사건이라고 할 수 있다. 하지만 예상외로 많은 해킹이 일반에 공개되지 않은 채 우리나라에서도 발생하고 있다. 그리고 젊은 컴퓨터광들이 많은 대학 전산실의 통신망을 통해 다른 대학의 컴퓨터에 침입한 다던가 외국의 시스템에 침입하는 사례들이 적지 않다.

정작 심각한 문제는 해커들의 해킹기술이 날로 고도화하는 데 반해 이들을 막아야 하는 시스템 관리자는 거의 손을 못쓰고 있는 상황이다. 관리자들은 많은 업무량 때문에 이 문제에 신경을 쓸 겨를도 없을 뿐만 아니라 시스템의 안전관리를 담당하는 전담요원을 따로 둘 만한 여유도 없다. 특히 정보화의 큰 걸음을 내딛고 있는 현시점에서 해커들의 도덕성에 기대는 수밖에 없는실정이다. 정보보호에 가장 신경을 기울여야 할 부분은 국가에서 비밀로 분류한 자료 의보호라고 할 수 있다. 국가 기밀정보는 국가의 안전을 위해 취득이 허락되어있는 사람에 한하여 제공되어야 한다.

국방.공안.행정.금융.교육연구 전산망 등 5대 기간전산망이 일부가동에 들어갔다. 전산망에 수많은 정보가 입력되고 있다는 것은 그만큼 정보 보호의 필요성이 커지고 있다는 반증이다.

문제는 해커들이 기간전산망에 침투해 정보를 훼손하는 과정에서 국가기밀 이적성국가 등 경쟁상대에 알려지는 경우 국가안보에 치명적인 문제가 초래될소지가 있다는 점이다. 현재로서는 우리가 축적.유통하고 있는 정보나 자료들을 안전하게 관리할 수 없는 상황이다.

5대 국가기간전산망 가운데 주민등록망.부동산망을 포함하는 행정전산망의 경우는 해당가입자끼리만 사용할 수 있는 CUG(폐쇄사용자그룹)로 운영되고 있어서 외부의 해커침입사고가 발생할 가능성은 거의 없다. 국방.공안 전산 망도 자체망으로 독립구성、 외부의 호스트와 접속되어 있지 않기 때문에 외 부해커가 침입하는 것은 사실상 불가능하다.

그러나 은행담당자와 고객이 동시에 사용하는 금융망、 일반 PC사용자들에 게공개되면서 국내 92개 기관이 접속된 교육.연구망은 외부해커의 공략대상 으로 남아 있다. 특히 "X.25"프로토콜을 사용하는 금융망은 TCP IP프로토콜 을사용하는 교육.연구망의 경우와 달리 응용프로그램에 대한 해킹기법이 국내에 알려진 바 없어서 기술보안대책이 전무한 실정이다.

지난해말 외국의 해커가 침입해 세인의 관심을 끈 원자력연구소(KAERI)의 경우 연구전산망에 접속되어 있고、 연구전산망은 최근 이용이 급증하고 있는인터네트에 연결돼 있다. 인터네트는 학술.연구자료를 공유하기 위해 TCP, IP(전송제어 프로토콜/인터네트 프로토콜)를 이용할 수 있도록 상호 접속되어 있다. 그리고 인터네트에서 사용하고 있는 유닉스 운용체계 및 응용프로 그램의 소스는 널리 공개된 것이기 때문에 인터네트 보안은 근본적인 취약성 을 안고 있다.

전산망은 하드웨어(HW)、 소프트웨어(SW) 그리고 사용자 및 관리자 등으로 구성되어 있기 때문에 정보보호의 문제는 매우 복합적 성격을 띤다. HW나 SW를 통한 기술적인 대책뿐 아니라 사용자나 관리자에 대한 경영관리적 대책과 정보보호에 대한 의식교육、 법률적 제재 등 매우 다각적인 관점에서 이문제 에 접근해야 할 필요가 있다. 아무리 첨단 정보보호기술을 도입한다 하더라도 개별대책들간의 상호조화가 이루어지지 않는다면 아무런 쓸모가 없는것이다. 네트워크 범죄에 대한 완벽하고도 극단적인 대응방안은 자신의 시스템을 외부세계와 완전히 단절시키는 것이다. 그러나 첨단의 통신망을 통해서 수많은컴퓨터들이 유형.무형으로 상호 접속되는 요즘의 상황을 고려해 본다면 이것은 사실상 불가능한 일이다. 컴퓨터 범죄에 대한 완벽한 대응이란 현실적 으로 불가능하고 이로 인한 피해는 불가피하다. 단지 피해를 최소화시키는 노력이 필요하다고 볼 수 있다.

한편 선진 각국에서는 부정한 방법으로 정보에 접근하려는 사람들의 접근 을막을 수 있는 효율적인 수단으로 "암호키" 등의 도입을 검토하고 있어 국가가 직접 "정보의 위기"를 관리하는 단계로 접어들고 있다.

<정영태기자>