2003년 1월 25일, 우리나라는 슬래머 웜이라는 악성코드에 감염돼 전국적으로 온라인 쇼핑, 인터넷 뱅킹, 항공권 예약 등 인터넷 서비스가 약 5시간 동안 마비되는 사상 초유의 사태를 경험했다.
‘1·25 인터넷 대란’으로 불리는 이 사고로 인한 피해 규모가 전 세계적으로 약 1조원에 이르렀다고 하니 실로 엄청난 사회적 손실이 아닐 수 없다. 하지만 같은 시각 이 슬래머 웜으로 인해 미국 오하이오주에 있는 한 원자력 발전소의 안전모니터링 시스템이 5시간 동안이나 정지됐던 사실을 아는 이는 거의 없을 것이다.
사이버 공격으로 인해 국가의 주요 인프라가 마비되는 실로 영화에서나 있을 법한 상황이 현실에서 발생한 것이다. 특히 이 시스템은 발전소의 냉각시스템, 외부 방열센서 등의 안전 상태를 감시하는 시스템이라 하니 만의 하나 원자력 사고로 전이됐다면 그 피해가 어땠을지 상상만 해도 끔찍한 일이다.
미국 원자력 발전소의 사이버 침해사고 사례는 전 세계 어느 국가의 기반 시설도 네트워크를 통한 사이버 공격으로부터 안전할 수 없다는 교훈을 주고 있다. 주요 정보통신 기반 시설의 보호를 위해서는 전 세계 여러 국가가 체계적으로 대응해야 할 뿐만 아니라 국가 간 상호 공동의 노력을 기울여야 하는 사안임을 보여주고 있다.
디지털 컨버전스 사회로 진입하면서 방송통신, 행정, 금융, 에너지, 물류 등 국민 기초생활과 밀접하게 관련된 국가 기반서비스가 정보시스템 및 통신네트워크를 바탕으로 상호 의존적 형태로 진화하고 있다. 이는 자칫 하나의 기반서비스에 사이버 침해사고가 발생했을 때 신경망과도 같은 네트워크를 통해 피해가 급속히 퍼져 국가 기반구조 전반의 장애를 초래할 수도 있음을 의미하는 것이다.
즉, 하나의 네트워크로 모든 서비스를 이용한다는 것은 하나가 뚫리면 연쇄적으로 모든 것이 무너질 여지를 남기는 것이다. 결국, 컨버전스 환경하에서 주요 정보통신 인프라는 컨피던스(confidence) 역할을 하는 정보보호가 필수인 것이다.
다행히 우리나라의 정보통신 인프라 보호체계는 2006년 10월 헝가리에서 열린 제21차 OECD 정보보호작업반에서 모범사례로 소개될 정도로 일찍부터 체계적으로 대응하고 있는 상태다.
2001년도에 제정된 정보통신기반보호법 시행 이후 지금까지, 체계적인 보호대책의 시행으로 국내 주요 정보통신기반시설에 대한 ‘침해사고 발생률 제로’를 지속적으로 유지하고 있는 것이 이를 입증해 주고 있다. 이는 기반시설 보호를 위한 정보보호시스템 도입이 법 시행 초기에 비해 다섯 배 이상 증대하는 등 꾸준한 노력을 했기에 가능한 일이었다.
OECD는 이후 구체적인 모범사례 발굴을 위해 한국·미국·영국·호주·캐나다·포르투갈·일본 7개국의 주요 정보통신 기반시설 보호정책을 비교·분석해 ‘주요 정보통신 기반시설의 보호에 관한 이사회 권고사항’을 마련했고, 이를 올 6월 서울에서 개최될 OECD IT장관회의에서 주요 의제 중 하나로 논의할 예정이다.
이번 회의에서는 효과적으로 정보통신 기반시설을 보호하기 위해서 각종 대응방안 및 최신 전문기술을 국제적으로 공유하고 지원하는 체계 마련도 논의되길 기대한다.
무엇보다 중요한 건 이런 성과에 자만하지 말고 우리나라가 정보통신 인프라 강국의 선도 역할을 할 수 있도록 지속적으로 기반을 공고히 다지는 것이다.
맹자는 ‘창업이수성란(創業易守成難)’이라고 말했다. ‘왕조를 세우는 것보다, 그 뜻을 잘 계승해 지속적으로 발전시키는 것이 더 어렵다’는 뜻이다. 마찬가지로 명성을 얻는 것보다 그 명성을 오래도록 유지하는 일에는 더 많은 노력과 투자가 필요하다. 이러한 관점에서 이번 OECD IT장관 회의가 ‘주요 정보통신 인프라 보호의 선도국, 대한민국’으로서의 입지를 강화하고 이를 지속적으로 유지할 수 있는 계기가 되기 기대해 본다.
한국정보보호진흥원장 황중연(jyhwang@kisa.or.kr)
