두 차례에 걸친 분산서비스 거부(DDoS) 공격, 농협 전산망 마비 사건, 중앙일보 해킹 사건, 그리고 최근 주요 방송국과 금융기관 대상으로 발생한 동시 다발적 3·20 사이버테러 등…. 모두 북한 해커들의 소행이라고 의심받아 왔지만 우리 군이나 관련기관에서 이런 사이버 공격을 훌륭히 방어하거나, 되받아쳐서 적에게 막심한 피해를 줬다는 소식은 들은 바 없다. 사이버전에 대한 남북한 전략은 내막이야 어떻든 드러난 사실만 보면 우리가 완패 당하고 있는 셈이다. 북한의 인터넷이나 온라인 인프라가 석기 수준이나 다름없이 형편 없다고 알려진 상황에서 이 무슨 해괴한 일인가.
사이버 전쟁은 총탄이나 대포를 쏘는 재래식 전쟁이나 핵전쟁보다 더 무서운 전쟁이 될 수도 있다. 사전에 아무런 예고도 없이 전력망, 통신망, 교통망, 금융망, 송유관과 가스관, 상하수도 등 주요 국가 기반시설을 순식간에 초토화할 수 있기 때문이다. 최악의 경우 통신 체계와 미사일 발사 장치 및 육·해·공의 무인 전투 장비들에 대한 통제권까지 적에게 넘어갈 수도 있다.
최근 세계 각국에서는 사이버전쟁이 실제 전쟁보다 더 중요하다는 차원에서 사이버 부대를 잇달아 창설하고 있다. 중국은 오래전부터 해커부대에서 100만 명 이상의 고급 기술을 보유한 해커를 양성해 적국의 급소를 사이버전으로 타격하는 점혈전략을 수행 중이다. 미국 연구에 따르면, 중국 해커는 공격도 서슴지 않을 뿐 아니라 기타 국가의 두 배 이상의 공격 성향을 갖고 있다고 밝혔다. 북한도 `전자전부대`에서 1만2000여 명의 세계 최고 수준의 해커를 양성해 사이버상에서 활발한 게릴라 활동을 벌이고 있는 것으로 우리 정보당국은 파악하고 있다.
미국은 최근 사이버사령부 규모를 현재 900여명에서 향후 5년 내 군인·민간인 등 4900여명으로 다섯 배 이상 늘리는 계획을 승인했다. 매년 약 4조5000억원을 들여 사이버 전쟁 훈련을 하고 있다. 이스라엘도 `유닛8200`이라는 사이버 부대를 신설해 미국 사이버 부대와 견줄 만한 수준으로 화이트해커를 양성하고 있다.
한국의 현실은 어떠한가. 온라인 기반시설 및 인프라가 세계 최첨단 수준임에도 불구하고 북한의 공격에 전산망이 며칠씩 마비되고, 방송국 및 금융기관 등 국가 기간 시설의 안전까지 위협받는 사면초가 신세가 된 이유는 무엇일까. 보안전문가, 그 중에서도 실제 해킹에 대응할 수 있는 고도의 능력을 갖춘 화이트해커를 국가적 차원에서 제대로 양성하지 못한 탓이다.
화이트해커란 온라인상의 보안 취약점을 연구해 해킹을 방어하는 전문가다. 사이버 공간으로 침투해 중요 정보를 훔치거나, 국가 주요시설을 마비시키려는 블랙해커 및 크래커에 맞서 그들의 공격을 무력화시키는 사람들이다. 수단 방법을 가리지 않는 블랙해커의 침투를 막는 수준 높은 화이트해커를 기르려면 수준 높은 학문적, 이론적 기반은 물론이고 수십 년의 경험과 노하우가 필요하다.
몇 년 전부터 우리 정부도 화이트해커 양성을 위한 다양한 시도를 하고 있지만, 고작 국비 지원을 받아 보안전문 학원에서 초보적인 기술을 습득하는 수준에 불과하다. 이런 방식으로는 저급한 수준의 보안기술자 수만 늘릴 뿐, 국가의 명운이 걸린 사이버전쟁에서 결코 승리할 수 없다.
슬프게도 우리 현실은 화이트해커가 되고 싶으면 스스로 알아서 공부하는 방법 외에는 제도권에서 제대로 된 교육을 받을 곳이 없다. 인재 양성을 위한 전문 교육기관이나 제대로 된 프로그램이 전무하기 때문이다. 미국은 정부에서 컴퓨터와 온라인 보안전문가 양성과정을 지원하는 대학교들이 145개나 있다. 한국은 정보보호 분야에서 국가 지원을 받는 곳은 충남대와 고려대 두 곳뿐이다.
이이제이(以夷制夷)란 말이 있듯이 해커는 해커로 대응할 수 있고, 뚫어 본 자만이 막을 수 있다. 높은 기술 수준을 갖고 있는 화이트해커는 기업뿐 아니라 국가 차원에서 큰 자산이 될 수 있다. 지금이라도 정부는 하루빨리 국가 차원에서 화이트해커 양성 사관학교를 설립해 대대적으로 인재 양성에 나서주기를 간절히 바란다.
이순형 라온시큐어 대표 steve@raonsecure.com
