정부가 발전소·지하철 등 사회기반시설 전산시스템을 마비시키는 악성코드 ‘스턱스넷’ 공격에 대응하기 위해 대학에 전문가 양성과정을 대거 개설키로 했다. 또 정보통신기반보호법에 따라 지정하는 정보통신기반시설과 별도로 주요 기반시설이나 공공기관을 준용시설로 지정, 정기적으로 외부 보안컨설팅을 받도록 했다.
정보통신기반보호위원회는 10일 이 같은 내용을 골자로 한 ‘범 정부 스턱스넷 대책’을 마련했다.
비공개로 진행된 이날 회의에는 국무총리실장을 위원장으로 행정안전부·방송통신위원회·지식경제부 등 10여개 관계기관 차관들이 참가했다.
위원회는 우선 매년 정보보호 계획 수립과 추진실적 평가가 의무화되는 정보통신기반시설 28개를 추가로 지정하는 한편 기존 126개 정보통신기반시설의 산업기반시설 보호 계획을 확정했다.
특히 이번 회의에서는 지난해 이란 원자력발전소를 공격해 공포의 대상인 된 ‘스턱스넷’ 대책으로 △전문가 양성 △보안관리시설 확충 △시스템 관리 인력 보안교육 강화 등을 보고 안건으로 채택했다.
이에 따라 올해부터 주요 대학 보안 관련학과에 산업기반시설 보안 전문가 과정 개설을 지원, 융합보안전문가를 대거 양성키로 했다.
또 정보통신기반시설과 별도로 준용 시설을 확대해 보안 가이드라인 준수를 권고해 나가기로 했다. 현재 보안의식이 낮은 시스템 관리자를 상대로 정기적인 교육도 실시할 방침이다.
위원회에 참여한 한 관계자는 “작년에 ‘스턱스넷’으로 인한 우리나라 산업시설의 피해는 없었지만 현재 산업기반시설 보안 전문가가 부재하고 보안 기술과 시스템도 미비해 산업시설은 일종의 ‘보안 사각지대’에 있다는데 공감했다”며 “정보통신기반시설에 지정되지 않더라도 준용 시설로 지정해 산업기반시설의 전반적인 보호체계를 마련하는데 합의했다”고 말했다.
한편 이날 위원회는 2001년 발족 이후 매년 서면으로 진행되던 회의와 달리 처음으로 오프라인 모임으로 진행돼 ‘스턱스넷’ 등 사회기반시설의 사이버테러에 대한 범 정부 차원의 위기의식을 반영했다는 평가다.
용어설명/스턱스넷
원자력발전소·송유관 등 국가기반시설 폐쇄망에 침투해 산업자동화 제어시스템을 공격하는 악성코드. 지난해 이란 부셰르 원자력발전소에 침투해 시스템 오작동을 일으키고, 중국의 600만대 PC도 감염돼 1000여개의 시설이 피해를 보면서 ‘슈퍼 사이버 무기’로 떠올랐다.
장지영기자 jyajang@etnews.co.kr