지난해 3월 20일 오후 2시. 주요 은행 전산망이 마비됐다. 사건을 보도해야 할 주요 방송사 전산망도 먹통이 됐다. 지난해 봄 대한민국은 홍역을 앓았다. 이른바 ‘3·20 사태’다. 사이버 공격의 위력과 취약한 정보보안 실태가 그대로 드러났다. ‘정보통신 미래를 생각하는 모임’은 지난 19일 서울 역삼동 삼정호텔에서 3월 정례 토론회를 열고 사태 1주년을 맞아 현 상황을 점검했다. 이경호 고려대 정보보호학부 교수를 비롯한 각계 전문가들이 참여해 열띤 토론을 펼쳤다.
참석자
이경호 고려대학교 정보보호학부 교수
구태언 테크앤로 대표변호사
이규정 한국정보화진흥원 개인정보보호단장
노병규 한국인터넷진흥원 정보보호본부장
사회=손승원 한국전자통신연구원 창의미래연구소장
3·20 사이버테러 이후 1년이 지났지만 우리나라 정보보호는 여전히 취약하고 위험한 것으로 지적됐다. 주제 강연을 맡은 이경호 교수는 날로 지능화하는 기술적 위협과 부족한 예산 투자를 꼬집었다.
이 교수는 최근 잇따라 터진 개인정보 유출 사건을 언급했다. 특히 신용카드 3사에서 터진 정보 유출 사건은 세계적 초대형 사건이다. 그는 “정보의 민감성까지 반영하면 이번 사건은 세계 최대 수준”이라며 “우리나라에서 사용하는 본인 인증 체계가 완전히 붕괴됐다고 해도 과언이 아니다”라고 진단했다. 규모도 문제지만 18종이나 유출된 만큼 민감도 측면에서 최대 사건이라는 주장이다.
사이버범죄 위협도 계속된다. 이 교수는 “사이버범죄 규모가 일반 경제사범을 넘어섰다”고 분석했다. 2012년 경찰청 통계에 따르면 국내 사이버범죄 검거 건수는 연간 8만4932건, 주요 경제범죄 검거 건수는 연간 21만199건이다. 사기를 제외한 주요 경제범죄 검거 건수는 약 5만 건으로, 사이버범죄보다 적다.
기술적으로도 곳곳이 지뢰밭이다. 이 교수는 “애플리케이션에 대한 공격은 오히려 줄어든 반면 운용체계(OS) 쪽을 노린 공격이 늘고 있는데, 우리나라는 보안이 취약한 윈도XP 사용 비중이 높다”고 지적했다. 윈도XP는 윈도8(64비트 기준)에 비해 10배 정도 보안에 취약한 것으로 알려졌다. 내달 8일 기술지원이 종료되면 취약점이 더 늘어날 것으로 우려된다.
스미싱 등에 악용되는 스팸 메시지 수신도 비정상적으로 높다. 스팸 발송이 가장 많은 곳은 미국과 중국인데, 한국 수신 비율은 이들 국가보다 월등히 높다. 이 교수는 “미국이나 프랑스에선 1년에 3~4건 정도 받는 스팸 메시지를 우리나라에선 하루에도 4~5건씩 받는다”며 “해외에 비해 처벌이 약하기 때문”이라고 지적했다.
악성코드 감염 비율도 세계 최고다. 대개 6~7%인 악성 코드 감염 비율이 한국에서는 30~40%대에 달한다. 3·20 사태 직후 조금 줄었지만 여전히 30%대다. 국가 별 순위로 따지면 2013년 1분기 1위, 같은 해 2분기 2위다. 사태 직후 조금 나아졌지만 여전히 심각한 수준이다.
정보보호 예산 투자는 제자리걸음이거나 줄어들었다. 정보화 예산이 소폭 증감을 거듭하는 가운데 정보화 예산 대비 정보보호 예산 비율은 여전히 8%선에 멈춰 있다. 안전행정부 관련 예산은 지난해에 비해 121억원가량이 줄었다. 정보보호 예산을 확보하지 않은 기업 비율은 95.9%에 달했다.
이 교수는 특히 금융권에서 문제가 심각하다고 지적했다. 그는 “작년 3월부터 금융권 비대면 거래 비중이 90%를 넘어섰지만, 그에 걸맞은 투자는 이뤄지지 않았다”고 말했다. 지난해 기업 IT 예산 중 정보보호 예산이 차지하는 비중은 평균 10%에 불과했다. 특히 정보유출 사태를 빚은 3개 카드사의 투자 비중은 이를 밑돈다. 짠물 투자가 화를 키운 셈이다.
이 교수는 보안 투자 방향과 대응 체계 변화를 촉구했다. 그는 “알려지지 않은 공격이 문제”라며 “기술이 아닌 사람에 대한 투자로 막아야 한다”고 주문했다. 솔루션으로 대처할 수 없는, 알려지지 않은 취약점을 노린 공격에서 더 큰 피해가 발생하기 때문이다.
대응은 거꾸로 간다. 2013년도 금융권 정보보호 예산은 전년보다 대체로 줄었는데, 보안인력 수는 오히려 늘거나 그대로였다. ‘싼 인력’으로 땜질했다는 유추가 가능하다. 이 교수는 “보안 투자의 90% 이상이 시스템이나 하드웨어에 집중되고, 지속적인 감시·분석을 수행할 전문 인력에 대한 투자는 없다”고 지적했다.
김준형 경희대 교수는 “과거 우리는 정보화의 장점만 앞세워 단점이나 보완책에 대한 대비가 부족했다”며 “이제 정보보안 인력을 정보화 인력의 핵심 축으로 봐야 한다”고 말했다.
우려도 이어졌다. 임규관 스마트윌 대표는 “교통사고 막으려면 자동차를 타고 다니지 말아야 하나”고 반문하며 “정보 습득에 제한을 두는 것보다 순기능을 살리는 방향으로 가야 한다”고 주장했다.
이에 이 교수는 “자동차 엔진 성능에 걸맞은 브레이크도 개발하자는 것”이라며 “보안을 잘하면서 성장 동력까지 키워나가는 것이 진짜 창조경제”라고 답했다.
정리=
김인순기자 insoon@etnews.com