정보통신부가 최근 금융·통신 등 국내 31개 주요기관을 대상으로 사이버테러 훈련을 실시한 결과 상당수 기관들이 해커 침입사실조차 제대로 파악하지 못한 것으로 나타났다고 한다. 이같은 결과는 우리 기업들의 정보보호 능력이 얼마나 취약한지를 여실히 보여주는 단적인 사례라는 점에서 대책마련이 시급하다. 만약 이번 사이버테러가 훈련이 아니고 실전이었다면 어떤 사태가 벌어졌을지 생각만 해도 무섭다. 국가안보나 국가경제에 미치는 악영향이 엄청났을 것은 불을 보듯 뻔하다.
더욱이 이번 훈련은 통신사업자·금융기관·대기업 등 정보기술의 활용능력이나 보안의식 측면에서 다른 기관보다 상대적으로 훨씬 나은 기관들을 중심으로 실시했음에도 이들 중 상당수가 해커의 침입사실조차 제대로 파악하지 못했다는 사실은 정보시스템 보안에 문제가 적지 않다는 점은 보여주는 것이다. 이번 사이버테러 대응훈련의 실시 결과는 차라리 ‘수준이하’라고 해도 틀리지 않을 듯 싶다.
정통부에 따르면 이번 사이버테러 대응훈련에서 해킹을 위한 취약점 탐색공격을 여섯 차례 실시한 결과 단 한 번도 공격을 탐지하지 못한 업체는 5개사(16%)에 불과했고 1∼3번 탐지해낸 업체는 11개사(35%), 4∼5번은 7개사(23%)였다. 해킹을 위한 취약점 탐색공격을 모두 탐지한 업체는 8개사에 그쳤다. 훈련대상 업체 가운데 해킹공격을 탐지해내는 데 걸린 시간이 1시간 이내인 업체는 18개사(58%)였고 1시간 이상인 업체와 대응조차 하지 못한 기업은 각각 8개사(26%), 5개사(16%)로 나타났다. 또한 31개 업체 가운데 9개사의 경우 내부 공유네트워크나 홈페이지용 데이터베이스, 웹 서버 등에 접근해 내부자료의 변조나 삭제가 가능한 것으로 나타났다.
사전에 훈련대상 기관에 모의 사이버 공격계획이 통지됐고, 공격시 대응요령 등을 교육했음에도 불구하고 9개 업체의 정보접근이 가능하다는 것은 이들 업체가 정보보호에 관해서는 사실상 무방비 상태라고 해도 할 말이 없을 것이다.
컴퓨터 바이러스 유포실험도 별반 다를 게 없었다. 바이러스에 감염된 ‘미스월드컵 성형전 모습’ 등 수신자의 호기심을 자극하는 제목으로 총 310통을 발송한 결과 전체의 15.2%에 해당하는 47대의 PC가 바이러스에 감염됐다. 감염 이후 사내 안내 백신검사, 바이러스 월을 실시한 기업은 훈련기업의 40%에 그쳤다. 인터넷을 통한 각종 바이러스가 극성을 부리고 있는 것을 고려할 때 업체들의 바이러스에 대한 대응책은 엉성하기 짝이 없다.
이뿐 아니다. 대기업들이 기업정보화·e비즈니스 등은 활발히 추진하고 있으나 아직까지 정보보호 분야에 대한 투자는 미흡한 실정이다. 사정이 이렇다보니 기업의 사이버테러에 대한 방비책은 기초수준에 머물고 ‘사후 약방문’식으로 문제가 생긴 후에 처리하는 경우가 대부분이다.
따라서 우리는 이번 훈련결과를 반면교사로 삼아 근본적인 사이버테러 대책을 수립해야 한다.
우선 주요 기관들이 해킹·바이러스의 위험성을 인식하고 바이러스 예방 수칙을 준수하는 정보보호마인드를 확산해야 한다. 또 서버시스템 관리 및 대응업무 등을 실시하는 조직차원의 정보보호도 크게 강화해야 한다. 이를 위해 기업은 정보보안에 대한 투자를 확대하고 보안기술 개발에 나서는 한편 전문인력을 양성해야 한다. 정부도 민간업체의 체계적인 수립을 지원하기 위해 맞춤형 정보보호 가이드라인을 보급하고 사이버테러 규제를 강화해야 한다.