◆김귀남(한국사이버테러정보전학회장·경기대 교수) harap123@hanmail.net
가해자는 없고 피해자인 국민의 보안의식 부재만을 탓하면서 1·25 인터넷대란이 일어난 지 4개월이 지났다. 최근 웹 해킹이 기승을 부리고 있지만 정부는 인터넷대란과 마찬가지로 아무런 조처나 대책에 대한 제시를 하지 않고 침묵으로 일관한다.
연일 언론이 웹 해킹의 구체적 피해사례를 들고 나와 심각한 수준임을 경고하고 있는 상황에서 관계당국의 적극적인 대처가 있어야 한다. 월드컵 1주년의 함성을 떠올리는 요즘 웹 해킹 사고가 거의 사이버테러 수준에 이르고 있는데도 관계당국 가운데 누구 하나 나서지 않는 현실은 국가안보를 생각할 때 심히 걱정스럽지 않을 수 없다.
웹 해킹으로 결혼정보업체 데이터베이스가 유출되고 국내 최대 포털사이트의 고객정보가 공개적으로 해킹을 당했는데도 누구의 책임인지, 앞으로의 대책은 무엇인지 도무지 알 수가 없다. 개별 업체가 알아서 하라는 말인가.
정부 감독 산하기관의 취약점이 드러나고 정부기관이 해킹을 당해도 어떻게 조처했다는 아무런 말이 없고 그저 덮어두고 넘어가려는 듯한 느낌이다. 인터넷대란에 대한 정확한 진상규명이 없었듯이 정부는 최근의 잇단 웹 해킹 사건도 침묵 속에서 유야무야 넘어가려 하는 것이 아닌가 생각이 든다.
원인규명은 둘째치고 차후에 발생 가능한 유사사건에 대처할 수 있는 안이 나오지 않는다면 인터넷대란은 재발할 것이다. 사이버테러 수준에 이르고 있다고 말할 수 있을 정도로 보안사고가 연이어 터지는 상황에서 시급한 대처가 이루어지지 않는다면 차후 유사한 보안사고가 빈번하게 일어날 것임은 자명하다는 것을 강조하고 싶다.
최근의 연이은 해킹사건의 공통점은 해커들이 과거와 같은 공격기법보다는 공격이 쉽고 편리하며 각종 보안솔루션을 우회할 수 있는 웹 애플리케이션 해킹 기법을 이용하고 있다는 점이다. 과거의 공격기법들은 직접 시스템을 공격하는 방식으로 일정한 공격패턴이 있어 공격에 대해 방화벽을 이용해 차단하거나 침입탐지시스템을 이용해 손쉽게 탐지가 가능했으나 웹 애플리케이션 해킹 기법은 워낙 다양한데다 정상적인 접속과 구분하기 어려워 보안장비들을 이용해서 방어나 탐지가 거의 불가능한 상황이다. 게다가 웹 애플리케이션 해킹 기법을 이용한 경우 로그를 분석해도 사실상 공격자를 발견해내기가 거의 불가능하다는 데 문제점이 있다.
이러한 웹 애플리케이션 해킹을 효과적으로 차단하기 위해서는 첫째, 근본적으로 개발단계에서부터 보안을 고려하여 보안전문가들과 공동으로 프로그램을 설계 및 구현해야 하며 보안 요구사항을 적절히 만족하고 있는지 점검하고 이러한 요구사항에 대해 법제화가 돼야 한다. 둘째, 현실적으로 이러한 작업이 어렵다면 웹 애플리케이션 보안도구의 사용을 의무화, 웹 해킹에 대처하는 것이다. 셋째, 대중적인 보안인력 양성과 더불어 보안만을 담당할 수 있는 보안전문가를 고용하는 것을 의무화해야 한다.
국내 전자정부시스템의 안전성과 신뢰성을 높이기 위해 정부는 100억원을 투자해 정보보호시스템과 컨설팅을 지원한다고 한다. 다행스러운 일이기는 하나 무분별한 투자가 되지 않기 위해서는 웹 애플리케이션에 대한 보안분야의 투자가 선행돼야 할 것이다. 이는 최근의 해킹이 웹 해킹기법을 주로 동원하고 이에 대한 적절한 대응책이 현재로서는 없기 때문이다. 장기적인 관점에서는 웹 애플리케이션 보안도구를 개발하는데 정부의 투자가 절실하다.
사이버테러가 발생할 때마다 적극적이고 효과적인 대응이 이뤄지지 않는 것은 범국가적 대응체계의 부재가 원인이다. 국가안보를 책임지는 기관이 중심이 돼 어떠한 사건이 발생하더라도 신속하고 효율적으로 대처할 수 있는 범국가적인 대응체계 구축이 시급하다. 사이버테러는 물리적인 테러와는 달리 순식간에 국가의 재난으로까지 비화될 수 있다는 점을 우리 모두 명심해야 한다. 물리적인 피해가 현재까지는 없었다고 사이버테러에 대처하는 자세가 허술하다면 인터넷대란에서 보는 것처럼 상상을 초월하는 피해를 맞이할 것이다.