지난 20일 영국 가디언 등 주요 매체를 통해 한국의 방송사와 은행망이 허망하게 마비된 소식이 세계로 전해졌다. `ICT강국 코리아`의 체면이 악성코드 공격으로 한순간에 구겨졌다. 인명 피해는 없었지만 수치화할 수 없는 무형의 피해와 복구비용은 가늠조차 할 수 없을 정도다. 3·20 전산망 마비 사태를 계기로 `보안강국`으로 도약하기 위한 과제와 대응방안을 다섯 차례에 걸쳐 살펴본다.
“변종에 의한 2·3차 공격 가능성은 남아 있다” “악성코드를 탐지하지 못한 것을 믿을 수 없다” 3·20 사태를 바라보는 보안전문가들의 대체적인 반응과 분석이다. 또 한 번 우리의 취약한 보안 수준을 적나라하게 보여줬다.
세계 최고의 ICT 인프라는 역으로 우리나라를 사이버공격에 취약한 구조로 만들었다. 게다가 과거 분산서비스거부(DDoS) 공격에서 백신을 무력화시키는 지능형지속위협(APT)으로 공격이 진화하면서 탐지가 쉽지 않다. 전수홍 파이어아이코리아 지사장은 “관리자 PC가 먼저 해킹을 당했을 가능성이 높다”며 “문제는 안티 바이러스 백신이 탐지를 못할 정도라는 것”이라고 경각심을 일깨웠다.
주목할 것은 지능형 위협이 지속적으로 일어난다는 점이다. 장기간 특정 타깃을 목표로 한 APT 공격과 제로데이 취약점 공격이 앞으로는 항공운항, 철도, 전력, 에너지 등 국가 기간시설망까지 타격할 수 있다.
◇대통령 소속 사이버안보수석 신설해야
학계와 보안 전문가들은 사이버안보에 체계적인 접근과 법제화가 필요하다고 강조한다. 골자는 대통령 직속으로 사이버안보 업무를 총괄할 `사이버안보수석` 신설과 사이버전쟁 발발시 대응할 사이버사령부 지원책 마련이다. 즉 컨트롤타워 신설과 사이버병력을 두기 위한 법적 근거를 마련하는 게 핵심이다. 지금 국방부 소속 사이버사령부는 독립된 법률이 아니라 `대통령령 국군사이버사령부령`에 근거를 뒀다.
보안전문가들이 구상하는 차세대 사이버사령부는 사이버공격이 발생하면 오프라인 전시 상황처럼 실시간으로 대처할 `5분대기조` 같은 기능을 수행한다. 사이버전사는 중·고교 때부터 유능한 학생을 발굴해 대학교, 군대와 연계시켜 실무인재를 키우는 방안이 요구된다.
유정복 안전행정부 장관과 변재일 민주통합당 의원 등을 중심으로 `(가칭)사이버국가안보법` 입법화가 진행 중이다. 각 부처로 흩어진 사이버안보 관련 법·제도를 이 법으로 묶는 작업이 필요하다. 현 규정은 전자정부법, 정보화촉진기본법, 국가사이버안전관리규정, 국가정보보안기본지침 등으로 분산됐다. 업무 역시 행안부, 국정원, 방통위, 지경부 등으로 나뉘었다. 범정부 차원의 즉각적인 대응이 쉽지 않다. 박대우 호서대 교수는 “사이버안보는 보이지 않는 분야라서 투자 우선순위에서 밀리는 게 현실”이라며 “법·제도 개선으로 ICT강국, 스마트강국을 넘어 사이버안보 강국으로 가야한다”고 강조했다.
◇사이버 안보, 글로벌 화두
지난달 13일 미국 오바마 대통령은 사이버 안보 관련 행정명령에 사인했다. 그는 서명 직후 “정보공유 확대로 우리의 사이버방어를 강화하고, 우리의 국가안보와 직장, 개인 프라이버시를 지킬 수 있도록 하겠다”고 강조했다.
미국은 앞서 지난 2008년부터 사이버전력을 통합했으며, 2010년 사이버사령부를 창설했다. 유럽 역시 유럽연합(EU) 국가의 사이버안보를 위한 `사이버안보법` 제정을 추진한다. EU디지털어젠다의 크루스 네일리 위원은 사이버안보법 마련을 주도적으로 추진한다. 연초 열린 세계 최대 국제보안전시회 `RSA 2013`에선 사이버안보가 APT, 클라우드, 빅데이터, 스마트폰 보안과 함께 핵심 키워드였다. 국제적인 움직임과 달리 우리나라는 여전히 사이버안보(Cyber Security)에 둔감하다는 평가에 직면한 게 현실이다.
김원석기자 stone201@etnews.com
