[1·25 인터넷 대란 1주년]정보보호 현황과 대책

　인터넷대란은 정보통신 선진국이라는 국민적 자존심을 무너뜨렸지만 얻은 교훈도 적지 않다. 1년이 지난 지금 정보보호 취약 분야에 대한 점검이 필요하다는 지적이다.

　인터넷대란 이후 우리 사회의 정보보호 인프라는 한 단계 업그레이드됐다. 반면 아직도 해킹이나 바이러스 등 인터넷침해사고에 상당부분 노출된 경우도 쉽게 찾아볼 수 있다. 이제 관건은 갖춰진 정보보호 인프라가 그 효과를 낼 수 있도록 소프트웨어적인 솔루션을 제시하는 것이다. 또한 아직도 정보보호 취약점으로 남아 있는 분야에 눈을 돌리는 것도 중요하다. 그래야 제2의 인터넷대란을 막을 수 있다.

　◇해킹 피해 5년 만에 160배 증가= 최근 한국정보보호진흥원이 발표한 ‘2003년 해킹 바이러스 동향’에 따르면 2003년에는 총 2만6179건의 해킹 피해가 국내에서 발생했다. 이는 지난 98년의 158건과 비교하면 5년 만에 무려 165.7배나 증가한 수치다.

　98년 158건에서 99년 해킹 피해는 572건으로 3.6배 정도 늘어났다. 다시 2000년에는 1943건으로 3.4배 가량 증가했다. 이러한 피해 증가 추세는 계속 이어져 2001년 5333건으로 2.7배, 2002년 1만5192건으로 2.8배 많아졌으며 2003년에도 1.7배 정도 증가했다.

　2002년에 한풀 꺾였던 바이러스 피해도 2003년에는 다시 2배 이상 증가했다. 국내에서 발생한 바이러스 피해는 2001년 6만5033건을 기록한 후 2002년에는 3만8677건으로 줄어들었지만 2003년에는 8만5023건으로 다시 급증했다. 코드레드나 님다 등 메가톤급 바이러스가 기승을 부린 2001년의 피해도 컸지만 2003년은 블래스터나 소빅 등 더 많은 피해를 양산한 바이러스가 속속 등장했다.

　◇공공기관의 구멍은 ‘교육기관’=기업에 비해 상대적으로 공공기관의 정보보호 수준은 낮다. 특히 교육기관의 현실은 매우 심각하다.

　최근 국가정보원이 발표한 ‘국가기관 침해사고 대응현황’에 따르면 작년 11월 말까지 일선 학교를 포함한 국내 공공기관에서 총 1259건의 해킹사고가 일어났다. 이 가운데 초·중·고교와 대학, 교육청에서 1131건이 발생, 공공기관 전체 해킹건수의 90%에 육박했다.

　이는 공공기관 가운데 교육기관이 해킹에 가장 취약하다는 증거다. 교육청과 대학의 경우 개강이나 시험 등 학사일정에 따라 월별 해킹 발생 변동이 심해 각별한 주의가 필요한 것으로 나타났다. 특히 대부분의 교육기관은 해외 해커가 다른 나라의 기업이나 공공기관을 해킹하기 위해 경유지로 이용하는 것으로 나타나 우리나라가 ‘국제 해커의 놀이터’라는 오명을 뒤집어 쓴 원인으로 지적된다.

　물론 다른 공공기관도 실태는 마찬가지다. 국정원이 300개 공공기관을 대상으로 설문 조사한 결과를 보면 응답기관의 3%만이 보안 전담조직을 보유하고 있으며 전담인력을 보유하고 있는 기관은 16%에 불과했다. 정보화예산 대비 정보보호 예산은 2001년 1.8%와 2002년 1.9%에 이어 2003년에는 2.2%로 증가했으나 선진국의 8% 수준에 비해서는 여전히 크게 미흡한 상황이다.

　◇SO는 또 다른 시한폭탄=인터넷침해사고의 확산은 기하급수적이다. 따라서 인터넷서비스를 제공하는 업체에서 이를 효과적으로 차단해야 한다.

　많은 인터넷서비스업체(ISP)는 인터넷대란 이후 많은 투자를 통해 정보보호 시스템을 정비했지만 지역별로 적지 않은 가입자를 갖고 있는 지역케이블TV업체(SO)는 정보보호의 사각지대로 남아 있다. 정보보호 업계에 따르면 초고속인터넷을 서비스하는 데 필요한 기가비트 보안솔루션은 고사하고 일부 SO는 가장 기본적인 백신조차 구비하지 않은 경우도 상당한 것으로 확인됐다.

　이처럼 SO의 정보보호 수준이 낮은 이유는 대형 ISP에 비해 상대적으로 초고속인터넷서비스 요금이 낮기 때문에 서비스 제공 이외에는 관심을 가질 여력이 없기 때문으로 풀이된다.

　김우한 인터넷침해사고대응지원센터 본부장은 “대형 ISP에 비해 SO의 정보보호 시스템 수준은 매우 낮은 수준”이라며 “여기서 사고가 일어나면 대형 사고로 번질 가능성이 높기 때문에 조만간 실태 조사에 나설 방침”이라고 말했다.

<장동준기자 djjang@etnews.co.kr>

◆ 올해부터 달라지는 정보보호 관련 제도

　최근 정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안이 국회를 통과하면서 정보보호와 관련해 많은 변화가 예상된다.

　우선 정당한 권한이 없거나 허용된 권한을 초과해 부정한 목적으로 다른 사람의 정보통신망에 침입을 시도했거나 시도하려 한 사람은 3년 이하 징역이나 3000만원 이하 벌금의 형사처벌을 받게 된다.

　또 기존 인터넷데이터센터(IDC)에만 적용되던 보안컨설팅 의무화가 KT, 하나로통신, 두루넷, 온세통신 등 인터넷서비스업체(ISP)는 물론 대형 온라인쇼핑몰 등으로 확대된다. IDC는 중대한 인터넷 침해사고 발생시 건물 내에 있는 각종 서버 등에 대해 이를 막을 수 있는 긴급조치를 취할 수 있는 권한이 부여된다.

　ISP나 IDC는 의무적으로 인터넷침해사고 관련 정보를 제공해야 하며 인터넷 이용자들의 정보보호를 위해 1개월에 2회 이상 보안패치 정보를 반드시 고지해야 한다.

　정통부 장관에게 대국민 인터넷 침해사고 예·경보권과 긴급 조치권이 부여되고 인터넷 침해사고 원인분석 등을 위한 통신망 접속기록 보전명령제, 현장조사권, 자료제출 요구권을 명문화했다. 정부는 또 정보통신부 본부에 과장급을 팀장으로 하는 ‘정보통신기반보호대응팀’을 설치했다. 사이버 테러가 국가 기간망을 직접 위협한다는 점을 고려, 작년 7월에는 국가안전보장회의, 국가정보원, 정통부가 범국가적 공동 대응방안을 협의하고 정보를 공유할 수 있는 기반도 마련했다.

　아울러 마이크로소프트 및 시스코와 보안 향상 및 사이버공격 공동대응 양해각서를 체결했는가 하면 카네기멜론대학과도 침해사고 발생시 공동 대응키로 했다.

　황철증 정통부 정보보호기획과장은 “1·25 인터넷 침해사고 이후 네트워크 보호에 대한 인식이 확산되면서 인터넷 침해사고 대응체계 강화, 정보통신망 보호를 위한 법 및 제도 개선 등 다각적인 방안을 추진 중”이라고 말했다. 황 과장은 특히 “앞으로 홈네트워크 구축 등 정보화가 고도화될수록 가정의 모든 가전기기도 네트워크로 통제되므로 이제 사이버 공격은 단순한 경제손실을 넘어 국가기반과 국민의 재산을 위협하게 될 것”이라며 “다시는 1·25인터넷 침해사고와 같은 일이 발생하지 않도록 최선을 다할 것”이라고 강조했다.

<장동준기자 djjang@etnews.co.kr>

◆ 안철수연구소가 제시하는 네티즌 정보보호 지침

　인터넷침해사고의 위험은 평소의 대비에 따라 달라진다. 이를 위해 안철수연구소는 네티즌 정보보호 지침을 제시하고 있다. 일상 생활과 업무 과정에 적용해 지키면 인터넷침해사고의 위험이 90% 이상 줄어들 수 있다.

- 보안 업데이트

△윈도 사용자는 마이크로소프트가 제공하는 최신 보안패치를 모두 적용한다.

△백신은 주당 1회 이상 최신 버전의 엔진으로 업데이트하고 PC를 검사한다.

△백신의 시스템 감시 기능을 항상 켜두고 시스템 부팅 후 백신이 자동 업데이트되도록 설정한다.

△파일공유 프로그램으로 내려받은 파일은 반드시 백신으로 검사한다.

- 평상시 대비책

△중요한 데이터는 별도 저장장치에 정기적으로 백업한다.

△비상사태에 대비해 부팅용 디스켓을 준비한다.

△외부로부터의 비정상적인 침입을 막아주는 개인 방화벽 제품을 사용한다.

△키보드 입력 정보를 보호하는 키보드보안솔루션을 사용한다.

- 정보보안 생활화

△출처가 불분명한 메일이나 수상한 첨부 파일이 있는 메일은 모두 삭제한다.

△메신저 프로그램을 사용할 때 메시지를 통해 파일이나 링크가 첨부돼 올 경우 메시지를 보낸 이가 직접 보낸 것인지 먼저 확인하고 실행한다.

△웹사이트를 방문할 때 ‘보안경고’ 창이 뜰 경우 신뢰할 수 있는 기관의 인증이나 서명이 있는 경우에만 프로그램 설치에 동의하는 ‘예’ 버튼을 누른다.

△정품이 아닌 프로그램은 절대 설치하지 말고 이미 설치한 불법복제 프로그램은 모두 삭제한다.

- 계정관리 요령

△외부 침입자가 개인 시스템을 불법적으로 사용하지 못하도록 공유 권한은 ‘ 읽기’ 이하로만 설정해 놓고 사용한 후에는 공유권한 부여를 해제한다.

△시스템 로그인 계정의 암호는 다른 사람에게 알려주지 말고 아이디와 암호를 똑같이 하지 않는다.

△시스템 로그인 아이디와 암호는 영문과 숫자를 섞어 6자리 이상으로 설정하고 적어도 2개월마다 변경한다.