경고등이 켜졌다. 보안 위협이 빠르게 늘어나면서 대규모 사이버테러가 발생할 가능성이 높아졌다. 관련 업계는 지난해 3·20 사이버테러가 발생했을 당시 수준을 뛰어넘은 것으로 보고 있다.
웹사이트만 방문해도 좀비PC로 만들어버리는 공격이 늘어난 데다 백신이나 패치를 무용지물로 만들어 분산서비스 거부(DDoS) 공격을 유발하는 악성코드도 빠르게 늘었다. 특히 국내에서 많이 사용되는 백신을 우회하는 공격이 다량 발견되면서 국내를 겨냥한 공격이 시도되고 있다는 분석이다.
이미 방송국을 노리는 것으로 추정되는 악성코드가 급증했으며 에너지와 교통 등 사회 기반 시설을 겨냥한 공격 징후도 사방에서 드러난다. 특정기관 PC를 파괴하거나 대규모 DDoS 공격으로 사회 혼란을 일으킬 가능성이 높다. 일부 전문가들은 ‘공격 날짜만 남았다’고 단언할 정도로 위험 수위가 높다.
시기도 불안하다. 그동안 북한 소행으로 추정된 사이버 테러들이 벌어질 때마다 대부분 정치적 이슈와 맞물려있다. 오늘은 북한 최대 명절로 꼽히는 김일성 주석 생일인 ‘태양절’이다. 게다가 북한은 미사일 추가 발사 계획을 내놨고 이번 주에는 한미군사 훈련이 종료된다. 지난해 3·20 사이버테러와 같이 동시 다발적인 공격이 이뤄질 수도 있다.
최근 악성코드가 확산되면서 유력 보안 업계들은 보안 경보 단계를 상위 경고 상태인 3단계로 높였다. 대규모 사이버 테러가 발생하기에 앞서 보안 업계들이 일제히 경보를 울렸던 것을 감안할 때 최근 보안 경보는 분명히 경각심을 가져야 한다.
반면에 정부 보안 기관은 일상적인 상태인 1단계로 유지하고 있다. 사회 혼란을 우려한 것이라도 해도 업계와 체감 온도차가 너무 크다.
위험 수위가 높아진 것에 비해 대응 태세가 너무 허술하다. 3·20 테러 당시 공격을 당한 일부 방송사나 공공기관들의 대비 태세가 이전과 크게 달라지지 않았다는게 보안 업계 전문가들의 평가다. 똑같은 공격에 동일한 피해를 당할 수 있다는 뜻이다. 지난해부터 1년 내내 개인정보 유출이니 시스템 해킹 등으로 혼쭐이 났던 금융권도 여전히 안심할 수 없다는 게 내부 진단이다.
문제는 보안 불감증이다. 사건이 터질 때만 호들갑을 떨다가 잠잠해지면 언제 그랬냐는 듯이 지나간다. 국가적인 보안 위협이 될 수 있는 윈도XP 서비스 지원 중단에 따른 정부와 금융권의 대응 태도만 봐도 불감증은 심각한 상태다. 2년 전부터 지원 중단에 따른 위험성을 경고해왔지만 그동안 수수방관해오다 뒤늦게 상황실을 꾸리는 등 난리를 쳤다.
최근 해외 보안 업체가 발견한 오픈 SSL의 보안 결함 ‘하트블리드’를 그동안 발견하지 못한 것도 불감증의 연장선상이다. 국내 보안 업계가 개발한 보안 장비는 대부분 오픈 SSL 기술이 적용돼 있다. 문제는 국내 보안 제품들은 다양한 보안 검사를 거쳐 CC인증 등 받았지만 그동안 하트블리드 결함은 전혀 발견하지 못했다.
이 결함을 악용하면 정보 유출을 차단하기 위해 설치한 보안 장비가 정보 유출의 통로가 될 수 있다. 중소 기업이 찾아낸 결함을 십수년째 보안 인증을 해온 정부 기관은 감지조차 못했다. 앞으로는 인증받은 보안 제품까지 믿지 못할 판이다.
3·20 사태 이후 정부 보안 컨트롤타워 부재를 여러 차례 지적해왔지만 더 근본적인 원인은 불감증에 있다. 보안 불감증이 더 큰 재앙의 진원지가 될 수 있다는 말과 일맥상통한다. ‘설마’ 하는 안이한 생각이 대형 사고를 불렀다는 사실을 명심하란 얘기다.
서동규 SW산업부장 dkseo@etnews.com