오는 25일은 2003년 1월 25일 인터넷 대란을 겪은지, 6주년이 되는 날이다. 노무현 전 정부는 대통령 훈령으로 국가 위기 관리 기본 지침과 사이버안전분야 위기 대응 매뉴얼을 제정해 사이버 위협으로부터 국가를 지키겠다고 공언했다. 주요 실천사항 중 하나가 국정원과 행정안전부가 공공기관의 사이버보안체계를 점검하는 ‘사이버위기대응 통합훈련’이다.
그럼에도 국가기관이 해킹 당한 사례는 갈수록 증가하고 있다. 국정원 자료에 따르면 2004년부터 지난해 8월까지 국가기관과 공공기관이 해킹당한 사례는 총 2만5000여건으로 △2004년 3900여건 △2005년 4500여건 △2006년 4200여건 △2007년 7500여건으로 급증하고 있는 것으로 나타났다.
지난해 2월에는 청와대 옛 국가안전보장회의 사무처 전산장비가 해킹으로 의심되는 웜바이러스의 공격을 받아 자료가 유출된 사건이 발생하기도 했다. 조사결과 이 같은 ‘사이버위협’에 대처하기 위해 기획된 사이버위기대응통합훈련(이하 사이버위기훈련)과정이 지극히 허술한 것으로 밝혀졌다.
22일 주요 정부부처와 관련기관에 따르면 사이버위기대응통합훈련은 해킹대응 상황을 메일로만 주고 받는 이른바 ‘도상훈련’ 위주로 진행된 것으로 나타났다.
◇메일로만 ‘공격’과 ‘수비’=정부 고위 관계자는 “2006년부터 진행한 사이버위기훈련이 을지연습 기간에만 연 1회 실시돼, 여타 을지연습과 마찬가지로 도상훈련 중심으로 진행된다”며 “실제 정부 시스템에 대한 모의해킹 공격으로 대응훈련을 펼쳐야 하지만 문서로만 훈련해 실효성이 떨어진다”고 아쉬움을 토로했다.
예컨대, 현재 훈련을 주관하고 있는 행정안전부와 국가정보원이 A부처에 “지금 A부처의 B산하기관 홈페이지가 분산서비스거부(DDos) 공격을 받고 있으니, 파악해 30분 내에 보고하시오”라고 e메일을 보내면, A부처는 “확인 결과 B산하기관에 악성코드로 인한 DDos공격은 언제부터 시작됐는데 보안솔루션으로 몇 분에 해결했다”는 식의 답장을 보내는 형식적인 수준에 머물고 있다.
메일에 바이러스를 담아 특정기관에 배포하는 경우도 있지만, ‘예고제’로 시행하는 경우가 대부분이다.
◇ 조직격하, 예산 ‘0’ = 지난해에는 아예 훈련을 실시하지 않았다. 이에 대해 국정원 관계자는 “신정부 출범 이후 훈련주관 조직인 NSC· 비상기획위원회 등이 폐지되거나 축소됐다”며 “주요 기관들이 누락돼 구체적인 훈련계획을 마련할 수 없었다”고 말했다.
MB정부 출범 이후 상당수의 위원회 조직이 없어지면서 청와대 산하 비상기획위원회는 현재 행정안전부 재난안전실이 담당하는 것으로 조직위상이 낮아졌다.
참여정부 시절 NSC 상임위와 사무처 산하에 1급 비선관을 센터장으로 하는 ‘위기관리센터’를 설치했다. 이명박 정부는 이를 위기정보상황팀으로 개편하고 팀장을 2급 선임행정관으로 낮췄다.
이후 금강산 피살 사건 등으로 다시 센터로 승격하고 센터장의 직책도 1급으로 복귀했다. 그러나 사이버 보안과 관련한 정부차원의 대책은 전무한 상태다. 예산도 전무하다. 확인결과 사이버위기훈련 관련 예산은 2006년부터 단 한 차례도 편성되지 않았다.
◇대책마련 ‘한 목소리’=전문가와 관계자들은 을지연습에서 사이버위기훈련을 분리해 별도로 시행하는 게 바람직하다고 지적했다.
서상기 한나라당 의원은 미리 훈련기간을 예고한 상태에서 시행하다보니, 일부 공공기관은 아예 서버 자체를 꺼버렸다”며 “서버를 끄고 나서 해킹을 안당했다는 식으로 답하는 경우도 있다”고 지적했다.
임종인 고려대학교 정보보호학과 교수는 “해킹 대응은 순간적으로 누가 더 기민하게 대처하느냐는 시간과의 싸움이다”며 “특정훈련기간을 정해놓고 사전에 공격하겠다고 예고한 뒤 훈련을 진행하기 때문에 실효성이 없다”고 비판했다. 그는 이어 “도상훈련으로 진행하는 경우, 실제 상황 대응력을 측정할 수 없다”며 “훈련을 위해 별도의 훈련용 DB센터를 구축해 예고없이 해킹공격을 진행하는 게 바람직하다”고 주문했다.
◇ 미국 ‘사이버스톰’ 주목=미국은 9.11 테러이후 국토안전부(DHS) 주관으로 ‘사이버스톰(Cyber Storm)’훈련을 한다.
민·관·군이 참여해 전력·통신·교통 등 주요 국가기반 시설이 공격당했을 때 공공기관이나 기업에서 얼마나 신속하게 대응할 수 있는지를 확인하는 것이다. 2006년 2월6일에 실시한 1차 훈련은 115개의 정부기관, 민간단체와 영국 등 4개국이 참가해 에너지·운송·통신분야를 점검했다.
지난해 3월 한 2차 훈련에서는 100여개 기관과 마이크로소프트, 맥아피 등 40여개 기업 등이 참여해 IT·교통·화학분야에서 훈련했다. AP통신 등 주요 외신에 따르면 지난해 훈련 당시 대규모 해킹 공격은 물론, 참여자들을 교란시키는 정보를 의도적으로 배포해 훈련의 질을 높였다. 또 민간이 참여해 정보보호산업 발전의 계기가 된다는 평가다.
정진욱기자 coolj@