얼마 전 일이다. 평소 잘 알고 지내는 변호사로부터 부탁을 받아 필자가속한 연구소의 연구원 두 명과 함께 경기도에 소재한 모 중소기업의 생산 현장을 방문한 적이 있다.
이유는 그 회사에서 용역을 주어 도입한 공정 관련 소프트웨어에 「악의적인 의도」로 컴퓨터 바이러스가 내장돼 있는지 감정을 하기 위해서였다. 전세계적으로 불법적인 정보 이용 및 도용이 늘고 있고, 컴퓨터 바이러스로 인한 피해가 더욱 기승을 부리는 현실이라, 연구소로서는 꽤 흥미를 갖지 않을수 없었다. 외국의 경우 돈을 벌 목적으로 의도적으로 바이러스를 유포시킨행위가 문제 돼 구속까지 된 사례가 더러 있으므로 국내에서 이것이 사실이라면 그야말로 일간지 사회면을 장식하기에 충분했다. 또한 바이러스에 대한경각심을 고취시키고도 남을 충분한 일이므로 연구소로서 당연한 의무감이작용했음은 물론이다.
그 회사에서 처음 변호사에게 사건을 의뢰한 경위는 대강 이렇다. 용역을받아 납품 완료한 소프트웨어가 동작 자체가 불안한데다 갑자기 다운되는 등의 사례가 생겨 조사한 결과, 컴퓨터 바이러스가 2종 검출되었다는 것이다.
문제는 소프트웨어를 납품한 업체에서 주기적으로 높은 유지보수 비용을 받아낼 목적으로 바이러스를 프로그램에 의도적으로 내장했을 가능성이 매우높다는 것이었다.
여전히 이 사건의 송사가 진행 중인지 알 수 없으나, 그날 우리 연구소의분석 결과는 그곳 관계자들에게는 조금 실망스러웠을 것이다. 우선 시스템을누구도 사용하지 않았다고 했으나 검출된 바이러스가 이미 알려진 바이러스이고, 감염된 파일이 통신망을 통해 자주 유통되는 셰어웨어라는 점, 시스템이 몇 차례 다운되었다고 하는데, 그 이유는 프로그램의 문제라기 보다는 시스템 과부하 등 다른 원인일 경우가 더 많다는 것.
그리고 무엇보다 자기 자신의 감염 자체가 목적인 컴퓨터 바이러스를 고의적으로 내장해서 별 이득될 것이 없다는 점 등 그날의 분석 결과로는 고의성을 입증할 만한 요소가 별로 없었던 것이다. 한 가지 의심할 수 있는 것이라면, 컴퓨터 바이러스가 아닌 트로이목마(일종의 시한폭탄 프로그램)와 같은것을 고의적으로 프로그램에 내장할 수는 있다는 점인데, 그러나 이것은 프로그램의 소스를 일일이 뜯어보아야만 알 수 있는 것이어서 그날의 조사만으로는 역부족이었다.
결과가 어떻던지 그날 현장을 둘러보면서 그 회사의 억울한 심정을 충분히이해하고도 남음이 있었다. 새로 공장을 짓고 이의 자동화를 위해 수억원이넘는 개발비용을 들여 어렵게 도입한 소프트웨어 시스템을 제대로 써보지도못하고 수작업으로 가동해야 하는 억울함을 어디다 비교하겠는가. 모르긴 해도 지난 수개월 동안 손해 본 비용만도 엄청나다 보니, 부실한 소프트웨어를납품한 회사에 대해 순수성까지도 충분히 의심할 법 했다.
자라 보고 놀란 가슴 솥뚜껑 보고 놀란다고, 하루에도 수십건씩 바이러스감염에 따른 피해 상담 전화가 걸려오다 보니 오늘은 또 어떤 어처구니 없는일이 일어날까를 생각해 본다. 그날도 마찬가지였지만, 이번 사건이 또 하나의 컴퓨터 바이러스 악용 사례로 기록되어 악의적인 해커들에게 아이디어를 주는 케이스가 된다면 하는 상상에까지 이르니 가슴이 답답해진다.
사실 현장에서 접하는 컴퓨터 바이러스의 피해 규모는 상상을 초월한다.
특히 규모가 큰 회사일수록 바이러스로 인해 낭패를 당해도 회사의 대외 이미지 실추를 우려해 철저히 숨기려고 한다. 연구소에서는 전산 담당자의 다급한 목소리를 수도 없이 듣고 있지만, 이들 회사의 비밀을 보
장해 주기 위해 단지 연구 목적으로만 그 피해 유형을 분석하고 통계를 내고 있다. 이름만 들어도 다 아는 ○중공업, ○건설, ○증권 등 지난 해만도하루나 이틀 동안의 전산 시스템 마비로 인해 생산성에 엄청난 타격을 입은회사들이 부지기수다. 이 모두가 컴퓨터 바이러스, 넓게 보아 전산(정보) 보안에 대한 대비책에 소홀했기 때문이다.
컴퓨터 바이러스를 포함해 고도의 지능적인 해킹이나 불법 정보 이용사례가 늘고 있는 만큼 이에 대한 대비책이 현장에서부터 차근차근 마련되어야더 큰 피해를 사전에 방지할 수 있다. 소 잃고 외양간 고치는 격으로, 회사의 중요 자료가 파괴되어 이미 대처할 수 없는 상황에서 뒤늦게 소동을 벌여봐야 소용이 없다. 일례로 대개는 무분별한 소프트웨어 사용으로 도대체 어디서 어떻게 바이러스에 감염되었는지조차 모르며, 특히나 이 경우는 마땅한해결책조차 없어 더욱 안타까움을 불러 일으킨다.
지금에 와서는 전통적 이론인 소프트웨어 생명주기를 수정해야 하지 않을까 하는 색다른 생각을 해본다. 소프트웨어 개발에서 유지보수에 이르기까지그 생명주기를 따질 때, 그 주기 자체를 위협하는 위험 포인트도 한 사이클내에 포함시켜 그 `보험비용`을 계산해 넣어야 하지 않을까.
<컴퓨터 칼럼니스트 김현숙>