부모님 세대에는 아침인사가 “밤새 안녕하셨습니까?”였던 적이 있다. 먹고살기 힘들 때 그리고 시국이 뒤숭숭하던 때 나누던 은유적 아침인사다. 요사이 자고 일어나면 터지는 사이버 공격과 그로 인한 피해뉴스로 보안업계를 포함한 관련 기관의 사람에게 밤새 안녕하지 못한 일이 늘고 있다.
지난 6일(현지시각) 이탈리아 밀라노에 있는 해킹 도구 제작·판매 업체인 ‘해킹팀’이라는 업체가 사이버공격을 받아 400기가바이트(GB) 분량의 내부자료가 공개되는 일이 발생했다. 남의 나라에서 발생한 사이버 공격이었건만, 이로 인해 해당 자료 내용이 분석되면서 국가정보원이 육군 5163부대라는 이름으로 중개업체를 내세워 도·감청이 가능한 해킹 프로그램을 사들인 것으로 드러났다.
이는 곧바로 해킹 프로그램을 이용한 민간 불법 사찰 의혹으로 번졌다. 현재 대북 해외 정보전을 위한 기술 분석 연구개발용으로 구입했다는 국정원장 주장과 민간 불법사찰용이란 의혹을 제기하는 쪽이 팽팽히 맞서고 있다. 진실이 어느 것이든 국정원장 주장이 진실이라면 불필요한 정보가 일반인에게 공개된 셈이다. 아울러 이제는 남의 나라 사이버 공격에서도 자유롭지 못하게 됐다. 명실상부하게 유무선으로 연결된 사이버 세계 국경은 존재하지 않기 때문이다.
이처럼 규모와 범위를 예측하기 어려운 사이버 공격과 그로 인한 피해는 점점 증가 추세다. 매년 마약, 차량사고로 인해 전 세계 GDP의 각각 0.9%, 1.0%의 사회적 비용이 발생하고 있는 반면에 사이버 범죄로 인한 경제적 손실은 연간 452조원으로 세계 GDP의 0.8%를 차지하고 있다.
우리나라도 사이버 공격 피해 규모가 커지고 있다. 3·20 사이버 테러를 통한 피해액은 8672억원으로 추산되고 있으며 카드3사의 개인정보 유출로 인한 피해액은 4892억원으로 추산되고 있다. 그 외에도 와이브로, 선박건조, 철강공정 등 산업계 자산 유출로 인한 피해액은 적게 2조8000억원에서 많게는 37조원에 이르는 것으로 추정되고 있다. 이처럼 대한민국에서 사이버공격으로 인한 피해액은 지난 10년간 피해액 평균을 계산 시 자연재해로 인한 1조7000억원보다 배가 넘는 3조6000억원에 이른다.
또 사고 빈도수도 점점 증가하고 있다. 작년 한해 국내에서 일어난 사이버 피해 사고를 돌아보자. 3월엔 KT 1200만명의 개인정보가 유출되는 사고가 발생했고 4월엔 공인인증서 6947건이 유출되는 사고가 있었다. 9월엔 금융권 DNS 서버에 분산서비스거부(DDoS) 공격이 있었고 10월에는 후이즈호스팅 DNS 서버에 DDoS 공격이 있었다. 11월에는 ISP(SKB, LGU+) DNS 서버에 DDoS 공격이 있었다. 12월에는 전국을 떠들썩하게 만들었던 한수원 해킹사고가 있었고 이 사건은 애석하게도 현재도 진행 중이다.
스마트 자동차, 스마트 헬스케어, 스마트 홈 등 앞으로 우리가 사는 일상은 하루하루 더 사이버 세계로 진화되고 변화될 것이다. 이에 이제 사이버 보안은 정부 기관이나 군부대 등 특별한 기관에만 해당되는 것이 아니라 우리 생활 곳곳에 자리해야 할 것이다.
대한민국은 아직도 정보보호를 투자가 아닌 비용으로 인식하고 있다. 그러나 다가올 사이버 세상에서 자국의 사이버 안보를 지키기 위해선 그리고 자국의 산업자산을 지키기 위해선 미약한 지금의 정보보호 분야에 집중적인 투자만이 답이다. 현재 기업 IT 예산 중 정보보호 분야에 한국은 평균 2.7%를 투자하고 있는 반면에 5% 이상 투자하고 있는 기업 수가 미국은 40%, 영국은 46%에 달하고 있다. 그럼 의미에서 지난 6월 22일 정보보호산업진흥법이 공포됨을 응원하며, 보안에 투자하고 그로 인해 대한민국의 보안 기술기업이 선진화된 기술 경쟁력을 연구개발(R&D)할 수 있는 그리고 이런 선순환을 바탕으로 가까운 미래에 선진화된 사이버 강국 대한민국을 만나기를 기대해 본다.
이영 테르텐 대표 young@teruten.com