오는 5일은 1·25 인터넷대란이 일어난 지 꼭 100일이 되는 날이다. 인터넷대란 이후 대구지하철참사와 이라크전쟁처럼 사회적 관심을 집중시킨 사건이 잇따라 일어났다고 해도 ‘사상 초유’나 ‘국가적 재난’이라는 표현을 쓰며 호들갑을 떨던 분위기는 냄비 근성으로 사라졌다. 아직도 현재진행형인 인터넷대란의 재발을 막기 위해 3회에 걸쳐 국내 보안시스템의 현황과 문제점을 살펴보고 효과적인 대안을 모색해본다. 편집자
인터넷대란은 끝나지 않았다. 인터넷대란을 거치며 보안에 대한 사회적 관심이 높아졌다고는 하지만 현실은 반대다. 인터넷대란 이후 정부는 이의 재발을 막기 위한 각종 정책을 제시했으나 실질적인 후속작업이 미뤄지면서 국내 보안인프라 수준이 개선됐다는 조짐은 보이지 않는다.
정통부는 인터넷대란 직후인 1월 28일 국회 과학기술정보통신위원회 현황보고를 통해 2월내에 정보통신기반 보호기구를 만들고 기간시스템에 상시적 백업시스템 구축을 의무화하는 제도를 마련, 공청회 등 여론수렴을 거쳐 결정할 것이라고 밝혔다. 또 2월 18일 가진 인터넷대란 원인발표 자리에서는 일정 규모 이상의 정보화사업을 추진할 경우 정보보호 요소를 필수적으로 반영하는 정보보호영향평가제를 도입하고 실시간으로 인터넷 상황을 분석해 신속히 알리는 조기경보시스템을 만들겠다는 계획도 내놓았다.
그러나 이러한 청사진은 정통부 인사이동에 따른 업무공백과 관련기관간의 불협화음으로 그 전망이 흐려졌다. 2월중에 정보통신기반 보호기구 설립 사전작업으로 개최한다는 공청회는 열리지 않았고 정보보호영향평가제 도입은 해당 기관의 준비부족을 이유로 답보상태다. 조기경보시스템 역시 인터넷서비스업체와 인터넷데이터센터, 보안업체 등의 의견수렴 수준에서 종료됐다. 그나마 정통부가 가시적인 사업으로 내세우는 정보보호 포털은 개설 하루 만에 해킹에 무방비인 것으로 밝혀져 생색내기식의 졸속사업이라는 오명을 뒤집어썼다.
정부정책이 답보상태를 면치 못하는 가운데 국내 보안수준은 뒷걸음질치고 있다. 보안시스템 개선에 앞장서야 할 공공기관은 여전히 보안 불감증 상태다. 인터넷대란 이후 국가정보원이 262개 공공기관의 보안시스템을 대상으로 취약점 분석을 해본 결과 28.6%에 해당하는 75개 기관의 보안시스템이 사고 가능성이 있는 것으로 나타났다. 특히 40개 중앙부처 가운데 바이러스나 해킹 등 외부 침입에 대해 보안 취약점이 발견된 곳은 15개(37.5%)로 이 중 약간 문제가 있는 부처는 2곳에 불과하며 12곳은 당장이라도 심각한 보안사고가 날 수 있는 상황이다. 기타 공공기관은 222곳 중에 60곳(27%)에서 보안 문제점이 발견됐다.
이에 대해 국가정보원 관계자는 “이는 인터넷대란 이후에도 공공기관 책임자의 보안의식이 부족하며 보안인프라 구축에만 치중하고 기관별로 상황에 맞는 구체적인 보안대책이 마련되지 않고 있다는 증거”라고 분석했다.
기업의 보안시스템은 공공기관보다도 심각하다. 특히 대기업에 비해 상대적으로 보안솔루션 투자예산이 부족한 중소기업은 보안의 사각지대로 방치돼있다.
한국정보보호산업협회가 최근 국내 88개 중소기업을 대상으로 조사한 ‘보안솔루션 도입 실태조사’에 의하면 57개 업체(64.7%)가 백신과 같은 기초적인 정보보호제품 1개만을 사용하고 있다고 답변했다. 특히 5.7%에 해당하는 5개 업체는 정보보호제품을 전혀 사용하지 않는 것으로 나타났다.
해킹 피해도 눈덩이처럼 불어나고 있다. 한국정보보호진흥원이 조사한 ‘해킹 바이러스 통계 및 분석’에 의하면 지난 3월에 발생한 국내 해킹 피해는 3400건으로 사상 최고를 기록했다.
인터넷대란이 일어난 1월 해킹 피해는 2563건으로 당시까지 최대치를 기록했다. 2월에 1826건으로 감소했지만 3월에는 3400건으로 늘어나 다시 최대치를 경신했다.
1분기 해킹 피해는 총 7789건으로 이미 작년 한해 동안의 피해인 1만5192건의 절반을 넘어섰다. 이러한 추세대로라면 올해는 작년에 비해 2배가 넘는 해킹 피해가 발생할 것으로 추정되고 있다.
안철수 한국정보보호산업협회장은 “인터넷대란 이후 정보보호 관련 정부조직이 확대될 움직임을 보이고 있지만 효율적인 운영이 전제되지 않으면 조직만 비대화될 우려가 있기 때문에 거시적인 차원에서 정책을 추진해야 한다”고 지적했다.
<장동준기자 djjang@etnews.co.kr>
<표> 40개 중앙부처 보안시스템 평가 결과
양호하다 25
약간 문제가 있다 3
심각한 문제가 있다 12
<표> 최근 6개월 해킹 피해 현황(단위:건)
2002년 10월 11월 12월 2003년 1월 2월 3월
해킹 1501 1660 2065 2563 1826 3400
관련 통계자료 다운로드 최근 6개월 해킹 피해 현황