사이버 공격자는 크게 세 가지 부류로 나뉜다. 금전적 이득을 노리는 절도범, 시스템 파괴를 하는 상해·강도범, 핵티비즘을 근간으로 한 정치범이 그것이다.
그렇다면 이번 3·20 사태를 야기한 주체는 누구인가. 방송사와 금융사 전산망 마비 사태를 경험하면서 몇 가지 의문이 든다. 특히 `누가 왜 이 같은 공격을 했을까` `다른 방송, 금융사는 왜 공격 대상에서 빠졌을까` 등의 궁금증이다. 이와 함께 이 같은 사건이 터질 때마다 잠재적 공격자로 지목되는 북한 소행이 맞는지 하는 의구심도 든다.
과거에도 그랬지만, 사이버공격을 당하면 우리 사회는 엄청나게 요란을 떤다. 하지만 여론에서 멀어지면 정부 당국도 조용히 넘어가곤 한다. 지금까지 대형 사이버 테러 사건의 범인이 정확하게 검거된 적이 있는가. 누가, 왜 그 같은 공격을 했는지의 실체적 진실 규명을 공개적으로 들은 기억이 별로 없다. 사건이 발생하면 호떡집에 불난 듯이 호들갑을 떨다가, 이내 잊혀진다. 그만큼 휘발성이 강하다.
이제는 국가가 팔을 걷고 사이버 테러 공격 또는 배후자를 검거하는 데 나서야 한다. 사이버 공격의 특성상 검거가 힘든 건 사실이다. 하지만, 적을 검거하기 위한 더욱 많은 관심을 기울일 필요가 있다. 앞으로도 이 같은 해킹 공격은 늘어날 것이기 때문이다. 점차 지능화한 사이버 공격을 막지 못한다면 국가는 대혼란에 빠질 수 있다. 기업 역시 엄청난 위험에 처할 수 있다.
일반인은 통상 선택의 순간에 직면하면 `기회비용`을 생각한다. `어떤 것을 구매하는 게 더 만족스러운가`라는 기회비용을 고려한다. 그런데 특정 목적을 가진 사이버 테러를 방지하는 투자는 효용성 문제가 아니다. 국가의 안위와 국민의 행복과 직결된 문제다. 지능화되는 공격을 막는 데 실패한다면 20일 오후처럼 우리 사회는 혼란에 빠지고, 국민들은 불편해질 수밖에 없다. 엊그제 우리 국민은 이른바 사이버공격을 막지 못한 `실패비용`을 치렀다.
보안에 대한 투자와 관심은 이제 선택이 아니라 필수다. 보안 전문가들은 사고가 터질 때마다 긴급히 부르는 애프터서비스(AS) 기사가 아니다.
김원석 비즈니스IT부 차장 stone201@etnews.com
