[열린세상] IT 강국에 어울리지 않는 사이버 보안/이성엽 서강대 ICT법경제연구소 부소장·교수

입력 : ㅣ 수정 : 2017-06-21 00:59

폰트 확대 폰트 축소 프린트하기
이성엽 서강대 ICT법경제연구소 부소장·교수
클릭하시면 원본 보기가 가능합니다.

▲ 이성엽 서강대 ICT법경제연구소 부소장·교수

누군가 우리가 살고 있는 집의 현관 비밀번호를 알아내어 침입한 뒤 가족 중 하나를 인질로 삼아 돈을 요구하는 경우 어떤 조치를 취할 수 있을까. 경찰에 신고해 범인을 잡거나 경찰에 신고하지 않고 범인과 협상을 통해 인질을 구출하는 방안이 있다. 만약 경찰이 범인을 잡을 가능성은 희박하고 인질의 생명이 위험한 경우 우리는 후자의 방법을 택할 것이다.

최근 한국의 웹 호스팅 업체 하나가 랜섬웨어에 감염돼 고객사 3400곳의 홈페이지가 마비되는 사고를 겪었다. 이 회사는 인질로 잡힌 데이터를 복구해 주는 조건으로 해커에게 13억원을 지불하기로 했는데 작년 랜섬웨어 범죄자들이 요구한 금액이 평균 1077달러 수준이었다는 점에서 이번 사이버 인질극의 몸값은 엄청난 것이었다. 협상을 비난하는 의견도 있지만, 경찰 등이 해커를 검거해 피해를 복구할 가능성이 없는 상황에서 기업만을 비난하기도 어렵다.

통상 사이버 공격은 국제적으로 이루어진다는 점에서 범인 색출은 사실상 어렵다. 결국 사이버 공격에 대한 사전 예방과 공격 직후 즉각적인 피해 확산 방지, 피해 복구가 중요하다. 한국의 정보통신기술(ICT) 발전 지수는 2015년 이후 1위를 기록하고 있고 인터넷 평균 접속 속도, 전자정부에서도 1위를 기록하는 등 ICT 인프라 구축 및 정보통신 서비스에서는 세계 최고 수준을 유지하고 있다. 그러나 역설적으로 한국의 악성코드 감염률도 세계 최고다. 최고 수준의 네트워크 인프라를 갖추었다는 것은 역으로 사이버 공격에도 그만큼 취약하다는 것이다.


그런데 사이버 공격에 대한 대응도 취약하기 짝이 없다. 먼저 사이버 보안에 대한 거버넌스 이슈를 지적하지 않을 수 없다. 종래 사이버 공격이 벌어지면 공공부문은 국가정보원, 민간은 미래창조과학부가 맡는 식으로 시스템이 이원화돼 있었다. 더욱이 공공부문은 대통령 훈령인 국가 사이버 안전관리 규정에 근거하고 있어 법적 근거마저 미흡하다.

비록 2015년부터 대통령실 내 국가안보실이 컨트롤타워 역할을 하고 있지만 아직 단일한 통합법에 의한 대응이 이루어지지 않고 있다. 미국이 2015년 사이버안보법을 제정했고, 일본도 2014년 사이버시큐리티기본법을 제정한 것과 비교된다.

우리도 국가 차원의 종합적인 사이버위협 대응 체계를 구축해 사이버 공격을 예방하고 사이버 공격 발생 때 국가의 역량을 결집해 신속히 대처하려면 조속히 사이버안보법을 제정할 필요가 있다. 새 정부가 들어선 만큼 사이버 안보 업무에 대한 국회 통제의 강화, 개인정보 침해의 방지, 주요 기관 간 역할 분담을 염두에 두고 법체계의 통합, 재정비에 나서야 할 것이다.

다음 아직도 국민과 기업의 사이버 보안에 대한 인식이 초보적 수준에 머무르고 있다. 랜섬웨어 사례에서와 같이 영세한 업체는 백업이나 물리적 망 분리를 하지 않고 있다. 이는 매출액 등이 일정 규모 이하인 업체에는 보안 조치를 의무화하지 않고 있는 법령 때문이다. 또 다른 사이버 공격의 특성은 메르스 같은 전염병처럼 악성 코드에 감염된 PC가 좀비처럼 다른 PC를 공격하는 것이다. 개인은 피해자인 동시에 가해자가 될 수 있기 때문에 누구든 사이버 보안의 책임과 의무를 다하지 않으면 안 된다. 결국 우리가 직장과 집의 안전을 위해 현관에 비밀번호를 걸어 두고 24시간 경비 시스템을 이용하고 있는 것처럼 사이버 보안을 위해서도 필요한 투자를 해야 한다. 더욱이 많은 고객이 있는 기업이나 공공기관은 더욱 강한 사이버 보안 조치를 하도록 규제를 강화할 필요가 있다.

지능화된 사이버 공격이 국경을 넘어 공공, 민간 부문 구분 없이 무차별적으로 이루어지고 있다. 이런 사이버 위협에 대비해 사이버 보안 대응 체계를 고도화하고 보안에 대한 투자를 강화해야 할 필요가 있다. 왜냐하면 물리적 보안이 국민 생존의 기본 조건인 것처럼 사이버 보안은 디지털 경제의 신뢰성과 4차 산업혁명의 핵심 기반이 되기 때문이다. 이제 사이버 보안은 단순한 컴퓨터 데이터의 파괴 문제가 아니라 국가 사회의 근간에 위해를 가할 수 있는 국가 안보 차원의 이슈가 되고 있다.

2017-06-21 30면
페이스북 트위터 카카오스토리 밴드 블로그

/

    건강나누리캠프

서울Eye - 포토더보기