정보화 사회 선진화로 역기능도 점차 급증하고 있다. 스팸메일과 개인정보 유출, 금전적 이익을 목적으로 하는 피싱이나 파밍에 따른 개인적 피해가 증가하고 있다. 또 불건전 정보 유통, 개인 사생활 침해와 같은 부작용이 심각한 사회 문제로 떠올랐다.
네트워크 확대 보급에 따른 정보의 교환과 공유로 정보에 불법적인 접근이 가능해졌다. 이에 따라 산업과 국가 기밀의 유출 가능성도 커졌다. 정보화 사회의 역기능은 국경을 초월하고 있으며 국내의 발전한 IT인프라는 해킹과 악성코드 유포를 위한 경유지로 악용되고 있다.
◇보안 위협은 계속 증가=국내 최대 정보보안 기업인 안철수연구소(대표 오석주 www.ahnlab.com)는 웹2.0 흐름에 맞춰 악성코드 역시 그에 편승해 지능화하고 있다고 밝혔다. 올해 상반기에 새로 발견된 악성코드는 3306개로 지난해 상반기 1531개와 비교, 2배 이상 급증했다. 스파이웨어는 1070개로 작년 동기 3160개에 비해 3분의 1로 줄었다. 신종 발견 숫자는 줄었지만 UCC를 이용한 스파이웨어 유포가 급증했으며 스파이웨어와 허위 안티스파이웨어 기승 등 위협은 확대되고 있는 상황이다.
연초부터 메신저로 유포되는 악성코드가 자주 출현하고 있다. 메신저 관련 악성코드는 특정 인터넷 주소를 클릭하도록 유도하는 스트레이션. 젠 웜을 필두로 photo album.zip 파일과 photos.zip 파일을 전송하는 셰도봇(ShadoBot) 웜 변종이 잇달아 발견됐다.
윈도비스타와 인터넷 익스플로러 7에도 존재하는 ANI(Animated Cursor) 파일의 취약점을 노린 제로 데이 공격도 등장했다. ANI 취약점은 윈도 애니메이션 커서와 아이콘 파일에 존재하며, 이 취약점을 공격하는 코드가 알려지자마자 국내 웹사이트에서 악성코드를 전파하는 데 악용됐다.
뱅키(Banki) 트로이목마는 국내 최초로 PC에 있는 호스트(hosts) 파일을 변조해 가짜 금융권 웹사이트로 사용자를 유도하는 파밍 공격을 했다. 이로 인해 일부 사용자가 개인정보는 물론이고 공인 인증서까지 탈취당했다. 파밍 공격은 피싱 공격보다 사용자가 알아차리기 더욱 어렵다는 점에서 사용자와 해당 기관의 주의가 필요하다.
올해 상반기에 ARP(Address Resolution Protocol, 주소결정 프로토콜) 스푸핑(Spoofing, 위장) 공격을 이용한 악성코드 유포 기법이 처음 나타났다. 과거에 해커는 유명한 웹 서버 자체를 공격해 악성코드 경유지로 활용했다. 그러나 웹 서버 보안을 강화하자, 네트워크의 서브넷(subnetwork) 내에 침투해 ARP 위장으로 해당 서브넷 내의 PC를 감염시키는 기법을 쓰고 있다. 어떤 시스템에 ARP 위장 기능을 가진 악성코드가 설치되면 약간의 조작으로 동일 구역 내의 다른 시스템에 쉽게 악성코드가 설치될 수 있다. 이는 종전과 달리 사용자가 해킹된 웹사이트를 방문하지 않더라도 악성코드에 감염될 수 있다는 것을 의미한다.
◇정보보호 투자, 후진국=이렇게 보안 위협은 날로 높아지고 있지만 공공기관과 민간 기업의 정보보호 투자는 여전히 매우 낮은 상황이다.
2007 국가정보보호백서에 따르면 기업의 정보화 투자 대비 정보보호 투자 비율은 종사자 수 5명 이상이고 네트워크로 연결된 PC가 1대 이상 있는 사업체 중 42.1%가 ‘정보보호 지출이 없다’고 응답했다. 또 정보화 투자 대비 정보보호 지출이 ‘1% 미만’인 사업체가 32.2%로 나타나 아직까지 대부분의 기업이 정보보호 투자에 미진한 것으로 나타났다.
기업들의 정보보호 수준 저하 원인은 ‘정보보호에 대한 직원의 인식 부족’이 29.2%로 가장 많은 응답을 보였다. 다음으로는 ‘정보보호에 대한 경영진의 인식부족’ 18.6%, ‘정보보호 관련 기술 인력 부족’ 14.2% 순으로 나타났다.
공공 부문 역시 정보보호에 대한 투자가 매우 낮다. 국가 공공기관의 정보화 예산 대비 정보보호 예산을 알아보면 2005년은 정보화 예산대비 정보보호 집행 예산이 1.93%를 차지했다.
2006년에는 2.89%를 차지했으며 2007년에 정보보호 관련 예산은 정보화 예산 대비 5.97%를 차지해 상당히 올라섰다. 하지만 선진국이 8∼10% 수준인 것을 감안하면 여전히 낮은 수치다.
김인순기자@전자신문, insoon@