한국수력원자력 원전도면 유출사고 이후 망 분리와 무선랜 사용금지 등 인터넷 격리 중심의 보안정책이 도마에 올랐다. 업무망과 인터넷망 분리에 대규모 투자를 했지만 정보보호 수준은 크게 향상되지 않은 탓이다.
전문가들은 망 분리 맹신이 오히려 정보보호 투자를 줄이는 결과를 초래해 피해를 키웠다고 입을 모은다. 지난해부터 많은 금융기업과 공공기관이 망 분리에 집중했지만 이를 우회하는 지능형 사이버공격이 잇따라 발생했다. 이메일과 이동식저장장치(USB), 망연계 시스템, 망간자료전송 시스템 등에서 내부 망으로 들어오는 악성코드 침투를 완벽하게 막을 수 없기 때문이다.
원유재 미래창조과학부 정보보호CP는 “기업이 보안수준을 높이는 데 예산을 투자해야 하지만 오히려 망 분리 등 인터넷 격리에 대부분을 투자하고 있다”며 “망 분리만 되면 보안에 투자를 안 해도 되는 것처럼 이해하는 잘못된 인식이 확산됐다”고 지적했다.
실제로 이번에 원전 도면을 유출한 한수원도 지난 3년간 망 분리 등 인터넷 격리에만 300억원을 쏟아 부었다. 대부분 정보보호 예산을 망 분리에 쓰고 인력 확충이나 총체적인 정보보호 체계 마련은 미흡했다. 국가전력망을 책임지는 곳이지만 정보보호 전담인력은 9명에 불과했다. 정보보호 의식은 매우 낮았고 이메일을 통한 지능형지속위협(APT) 공격에 속수무책으로 당했다.
김승주 고려대 교수는 “우리는 업무망 자체를 인터넷과 단절시키기 때문에 백신 업데이트 등이 쉽지 않다”며 “어떤 경로로든 악성코드가 일단 업무망에 침투하면 이에 대한 탐지나 치료가 쉽지 않아 피해는 더욱 커진다”고 말했다.
공공기관 무선랜 사용금지 역시 격리 위주의 후진적 보안정책으로 꼽힌다. 보안을 강화해 무선랜 사용을 막으면서 부작용이 속출했다. 무선랜 사용이 안 되는 곳에서도 자료 유출과 악성코드 감염 사례는 꾸준히 발생하고 있다.
공공기관 대부분은 무선랜 사용을 금지했기 때문에 별도의 무선보안 대책이 없어도 된다고 생각하고 있다. 직원들이 휴대한 스마트폰은 테더링이 되고 가정용 무선공유기를 내부망 PC에 연결해 사용하는 상황은 간과했다. 폐쇄망 내 비인가된 무선랜 사용을 파악하고 차단하는 ‘무선침입방지 시스템’ 등을 도입한 곳은 많지 않다.
이상준 유넷시스템 연구소장은 “무선랜 사용을 금지해도 무선보안 정책과 솔루션 설치가 필수”라며 “무선랜만 안 쓰면 정보보호를 안 해도 된다는 생각이 만연하다”고 말했다. 이 연구소장은 “세상에 완벽히 격리된 환경은 없다”며 “오히려 이런 환경에 해커가 침투하면 더 많은 피해를 입힌다”고 덧붙였다.
김인순기자 insoon@etnews.com