[기고]사이버 해킹, 기반시설도 안전지대 아니다

Photo Image
이건국 보험개발원 정보서비스부문장

원전 해킹사태가 일파만파 확대되고 있다. 해킹을 주도한 원전반대그룹이 한수원 내부자료인 고리·월성 원자력 발전소 일부 도면, 원전 안전 해석코드 등을 연이어 인터넷에 공개하면서 주요 기반시설을 노린 사이버 테러 위협이 수면 위로 급부상했다.

그럼에도 한수원은 “핵심기술이 아닌 일반 기술자료일 뿐”이라는 말만 되풀이하고 있고 정보 유출 경로나 잠재적인 위험요소 파악에 미숙함을 드러냈다.

해외에서도 미국이 소니픽처스엔터테인먼트에 대한 해킹 공격이 북한의 소행이라고 공식 발표한 뒤 ‘비례적 대응’을 천명했다. 이후 북한 인터넷망이 마비되는 사태가 발생하는 등 사이버 해킹으로 인한 보이지 않는 전쟁이 끊임없이 일어나고 있다.

전 세계적으로 사이버 테러에 대한 위기의식이 고조되고 있지만 우리 현실은 대응하기가 마땅찮다. 국민의 불안감은 커지고 있고 기반시설 관리에 대한 비난 여론만 거세지고 있다. 지금이야말로 무형의 사이버 위협에 어떻게 대처해야 할지 생각할 시점이다.

첫째, 주요 정보통신 기반시설의 관리체계를 재점검해야 한다. 전력·가스·공항이나 인터넷 뱅킹 등이 대표적이다. 기반시설은 보통 제어망·업무망·인터넷망 등으로 시스템과 PC를 망분리하고 자료이동을 위해 보안USB시스템을 운영한다. 해킹에 가장 효과적 대응방법으로 알려져 있지만 이런 망분리 PC들의 관리나 자료이동 관련 상세 지침은 자율이다.

원전 전용망 컴퓨터 두 대를 표본 점검한 한수원 자체 감사 결과, 개인 USB메모리 자동실행으로 악성코드에 감염된 사례가 확인됐다. 등록된 보안 USB를 사용한 대보다 일반 USB를 사용한 때가 4배나 많았다.

보안시스템 구축과 동시에 관리 체계와 보안 정책으로 이를 뒷받침해야 한다는 얘기다.

둘째, 지능형지속위협(APT) 공격에 대한 대비가 필요하다. 실제로 최근 한수원 등에 한글의 취약점을 이용한 APT공격이 있었다. 이 공격으로 일부 PC의 하드디스크가 파괴된 것으로 알려졌다. 지난해 3월 발생한 주요 방송사·금융기관 마비 사태와 유사한 공격 형태다. 우리가 통상 취해오던 보안시스템을 우회하는 이런 공격은 향후 지속적으로 행해질 것이므로 이에 대한 분석과 정부 차원의 대응이 필수다.

셋째, 정보 보안인력 양성이다. 해커가 한수원 제어망에 악성코드를 심어놨다고 알려왔지만 악성코드를 찾을 전문가가 부족하다. 검사해야 할 대상과 범위가 넓지만 전문가는 소수다 보니 미국에 요청해 전문가를 수혈해야 한다. 2만명에 가까운 한수원 인력 중 보안인력은 0.25% 정도인 50명에 그쳐 보안정책을 아무리 잘 세워도 제대로 실행할 수 있는 구조가 아니다.

금융권은 금융당국의 5·5·7 정책으로 회사 전체 인원 대비 IT 인원 5%, IT 인원 대비 보안 인원 5%, IT 예산 대비 보안 예산 7%의 비율을 의무화하고 있다. 국가 기반시설을 보유한 기관은 정부 주도로 보안인력을 양성할 수 있는 제도적 기반을 마련해야 할 것이다.

마지막으로 사후 대응절차 마련이다. 한수원이 국회에 제출한 ‘원전 사이버보안계획서 현황’에 따르면 국내 23개 원전 중 사이버 공격 발생 시 대응방안을 명시한 ‘사이버 공격 대응 매뉴얼’이 있는 곳은 단 한 곳도 없었다. 지난 2010년부터 올해 8월까지 한수원이 파악한 원전의 사이버공격 건수가 1785건에 달하지만 사실상 대비책은 없는 셈이다.

미국·일본 등에서는 ‘보안은 언제나 뚫릴 수 있다’는 전제로 정보보안 테두리 안에 사후 대응시스템까지 포함시켜 대비를 하고 있다. 우리도 보안을 막으려고만 하지 말고 사후처리에 대한 체계적인 절차 마련 및 실행의 접근방식이 필요하다.

정부는 사이버 해킹사고를 ‘공동체를 위협하는 중대 사건’으로 규정하고 최대한 역량을 투입해야 한다. 국가 안보를 담보하는 기반시설 등에 대해 엄중하고 정밀한 보안 점검을 실시하고 방지 대책을 마련해야 한다.

기반시설의 사이버 보안은 국민의 안전과 직결되는 중요한 사안이다. 핵심 자료가 유출된 것이 아니라고 스스로 위안하기보다는 이제부터라도 국가 기반시설 보안을 국민 사활이 걸린 문제로 인식해야 할 것이다.

이건국 보험개발원 정보서비스부문장 kklee@kidi.or.kr


브랜드 뉴스룸