[ET단상] 사이버테러는 보이지 않는 독버섯

　공공기관 해킹과 악성코드 유포가 급증한다는 사실이 언론에서 최근 심심치 않게 보도되고 있다.

　웹 2.0 등 인터넷 환경이 급변하는 가운데, 우리나라는 국가정보화지수 세계 3위, 세계 최초 전자정부 도입, 인터넷 뱅킹 개인가입자 4000만명 등 강력한 인터넷 인프라 환경을 갖췄다.

　하지만 화려함 뒤에는 개인정보 유출, 피싱·웜바이러스, 사이버 공격 등 인터넷 관련 사건사고라는 그림자가 짙게 드리워 있다. 과거 범죄가 단순 홈페이지 위·변조나 해킹능력을 과시하기 위해서였다면 최근에는 이를 이용해 금전적인 이익을 노리는 이른바 ‘사이버 조폭’ 수준으로 심각성이 높아진 것이다.

　최신 해킹 기법 등 자동화된 도구가 발달해 전산 지식이 없는 비전문가도 쉽게 이 같은 악의적인 공격에 나설 수 있어 한국은 더 이상 사이버 안전지대가 아니다. 최근 몇 년간 정보보안 인식이 높아지기는 했지만, ‘당장 문제되지 않으면 괜찮다’는 안일한 생각에 젖어 보안에 적극적인 투자를 하지 않는 일도 왕왕 있다. 그러나 사이버 테러의 심각성을 깨달아 대비해야 미래에 닥칠지 모르는 재앙으로부터 안전할 수 있다.

　세계는 이미 눈에 보이지 않는 사이버전을 치르고 있다. 대규모 개인정보 유출사건으로 개인정보가 새어나가 사용자가 직접 금융 피해를 보는가 하면, 특정 정보를 빼가기 위해 중국·대만 해커들이 공공기관 웹사이트를 해킹하는 등 미래에 일어날 피해는 상상 이상이다. 사이버테러는 결코 영화 속 얘기만이 아니라 현실에서도 발생 가능한 일이다.

　그러나 공공기관의 보안 인식이 여전히 미약한 것은 지극히 우려스럽다. 정보보호SW 유지보수요율을 예로 들 수 있다. 기존에 7∼8% 수준의 정보보안 제품의 유지보수요율이 20∼25%로 상향이 임박했음이 알려졌을 때 업계는 이를 크게 반겼다.

　일반 SW와 달리 정보보안 제품은 납품 직후부터 버전 업그레이드, 버그 수정, 패치와 같은 기본적인 서비스와 신규 취약점을 연구개발, 서비스해야 하기 때문이다. 도입 후에도 지속적인 보안 취약점 패턴 업데이트나 새로운 패치 업그레이드가 필요한 제품이라면 턱없이 낮은 유지보수요율은 서비스 전체의 경쟁력 약화로 이어진다.

　또 새롭게 연구개발 비용을 확보하는 데도 어려움이 따른다. 즉 낮은 유지보수요율은 정보보안 업계의 발전을 저해하는 암초나 다름없다.

　전산 인력 부족 문제 해결과 정보보호 기술 전문성 고양도 시급한 과제다. 대부분 전산실에서는 매우 적은 인력으로 기획에서 운영에 이르는 모든 전산업무를 도맡아 진행한다. 이 때문에 보안기술의 전문성과 깊이를 기대하기 힘든 상황이다.

　보안시스템은 구축에서 끝나지 않는다. 정기적으로 보안정책 관리는 물론이고 새롭게 떠오르는 웹 취약점에 대비하기 위한 꾸준한 패치 업데이트 등 효율적인 운영이 필수적이다.

　고객사의 보안 담당자들은 정보보호 전문가가 되기 위해 끊임없이 노력해야 한다. 최신 해킹공격과 이를 탐지하고 차단하는 최신 솔루션에 끊임없이 관심을 갖고 공부해야 한다. 또 최신 보안솔루션을 빠르게 구매해 자사의 보안수준을 높이는 얼리어답터가 돼야 하는 것이다.

　정보보안 분야는 그간 꾸준히 발전해왔고 앞으로 더욱 속도가 붙을 것이다. 정보화라는 편리함을 추구하기에 앞서 이면에서 자라고 있는 독버섯을 제거하기 위해 차근차근 계획하고 투자하자. 각종 사이버 위협으로부터 전산시스템과 그 안에 담긴 소중한 개인정보를 보호하는 것은 모두의 몫이다.

　김진수 트리니티소프트 사장 jskim@trinitysoft.co.kr