청와대가 웜 바이러스 감염은 참여정부 말기 국가안전보장회의(NSC) 사무처 전산장비에서 일어난 일이라고 발표했지만, 인수위원회 시절 PC에도 침입이 있었던 것으로 알려졌다.
이는 옥션 사태가 일파만파로 터지기 시작한 시점이 이미 새 정부도 침입의 심각성을 파악하고 있는 상황이었다는 점을 시사하고 있어, 사건 발생 후 3개월이 다 돼가도록 특별한 대책을 마련하지 않고 있다는 비판을 면하긴 어렵게 됐다.
22일 정부 한 관계자는 “인수위 PC 400대 중 300여 대가 바이러스에 감염됐고 이 중 33개 악성코드가 발견됐는데 그 중 북에서 심은 것도 있다고 보고된 것으로 안다”고 말했다.
이에 대해 업계에서는 국가 전반에 걸친 정보보호 대책을 마련하지 않는다면 보안 대란은 반복될 수 밖에 없다고 지적했다. 특히,IPTV나 VoIP등 결제를 동반하는 새로운 서비스에 보안 대책을 세우지 않으면 더 큰 대란이 터질 것이라고 우려했다.
◇“뚫릴 수 밖에 없었다” = 속수무책으로 당한 사태는 여러차례있었지만, 이번 옥션의 피해 발표 이후 보이스피싱과 명의 도용 등의 사고가 이어지기 전까지 정부의 대응은 지나치게 조용했다는 지적이다. 긴급회의를 소집하고 기업과 연구기관 정부가 일사분란하게 대책을 내놓았던 1.25 인터넷 대란 때와는 비교된다는 것이다. 옥션이 개인정보유출이 있었다는 것을 발표 했을 당시 대책을 내놓았다면 피해를 줄일 수 있었다는 설명이다.
개인정보가 유출됐을 때를 대비해 정부는 지난 12월 CEO에 책임을 묻겠다는 내용을 담은 ‘정보통신망법’ 개정안도 국회에 제출했지만, 아직 상임위조차 상정되지 않아 이 안은 자동폐기될 위기에 처했다.
이러한 사태가 일어났을 때 대응할 수 있는 체계가 명확하지 않다는 점도 문제가 되고 있다. 각 부처의 국민 DB는 늘 위협에 처해있지만 시스템 구축만으로는 이를 감당해내기 어렵다는 지적이다. 방화벽으로 외부침입은 막을 수 있지만 내부 직원들의 부주의에 의해 감염이 돼 그 경로를 타고 침입하는 것은 알아내기 힘들다. 대부분의 침입이 부실한 관리에 의한 것이기 때문에 이를 종합적으로 대응하고 책임질 수 있는 체계를 세워야 한다는 것이다.
◇더 큰 대란 올 것 = 이번 사태가 일파만파로 퍼지는 이유는 ‘돈’이 목적이라는 데 있다. 빼돌린 개인정보를 통해 결제를 하고 게임 아이템이 자기도 모르는 사이에 팔려버린 일을 당한 사람이 한 둘이 아니다. 이는 결제를 동반하는 새로운 서비스가 많아질 수록 공격이 더욱 확대될 것이라는 우려가 제기되고 있다. 이에 따라 서비스 확산 이전에 보안에 대한 철저한 대비책을 마련해야 한다고 지적했다.
안철수연구소 김홍선 CTO는 “IPTV나 VoIP 등 결제를 동반한 새로운 서비스에 보안 대책을 세우지 않으면 고민할 겨를도 없이 사건이 터질 것”이라며 “새로운 서비스는 과거의 단순한 정보 전달과 달리 상거래가 일어나는 경우가 많아 집중 대상의 될 여지가 많다”고 말했다.
그는 “최근 바이러스 동향을 보면 기하급수적으로 종류가 늘어나고 있는 것을 목격할 수 있다”며 “해킹 기술은 더욱 더 발달해 갈 것”이라고 덧붙였다.
◇로드맵을 세워야 = 정보보호 업계에서는 우선 국민 DB에 대해 유동적인 접근이 이뤄져야 한다고 강조했다.
정부와 기업이 지나치게 일관되게 주민등록번호와 같은 개인 정보를 요구하고 있다. 네이버와 같은 포털에서 주민등록번호를 요구하지 않더라고 해도 까페나 블로그는 대부분 주민등록번호를 요구하고 있어 실질적으로 서비스를 이용하기 위해서는 어디서든 개인정보를 제출해야 한다.
방어도 마찬가지다. 정보에 등급을 나눠 보호할 것은 철저하게 보호해야 하지만, 일괄되게 관리해 전체가 허술해지는 문제를 낳는다는 것이다. 이를 위해서는 정부와 각 기업이 정보보호에 대한 명확한 로드맵을 세워야 한다는 주장이 제기되고 있다.
세이퍼존 김대봉 부장은 “절대로 뚫리면 안된다고 하지만 100% 보안은 없다”며 “오히려 절대로 유출되어서는 안될 정보에 대한 보안을 강화하고 수집할 필요 없는 정보는 되도록 수집을 막는 것이 더 좋을 것”이라고 말했다.
문보경기자 okmun@