34명의 목숨을 앗아간 1970년 와우아파트 붕괴 사고와 1500여명의 사상자를 낸 1995년 6월 삼풍백화점의 비극은 무리하게 건축비를 아끼려는 어리석음과 관련자의 부정부패가 더해진 결과였다. 예산과 건설 기간 부족을 이유로 시멘트와 철근을 줄였고, 사업자와 공무원의 결탁이 돌이킬 수 없는 화를 자초했다. 사고로 유명을 달리한 피해자와 가족들에게 어떤 보상이 의미가 있을까. 이유 여하를 불문하고 안전을 최우선으로 해야 한다.
마이크로소프트(MS) 데이터베이스(DB) 서버의 취약점을 악용한 분산서비스거부공격(DDoS, 디도스)으로 우리나라 인터넷의 상당 부분을 중단시킨 2003년 1·25 대란은 불행 속에서도 그나마 다행이었다. 주말이 아닌 평일에 발생했으면 얼마나 큰 피해를 가져왔을지 생각만 해도 끔찍하다. 대비하지 못한 사이버 부실 공사에 경종을 울린 사건으로 기억된다.
1·25 인터넷 대란을 계기로 우리나라 정보 보호는 괄목할 정도로 발전했다. 정부는 특단의 대책을 마련해서 정보보호 산업을 육성하고, 전문가 양성을 위해 10여개 대학의 정보보호학과 신설을 지원했다. 기업들은 방화벽·백신·접근제어·인증제품 등 다양한 보안 솔루션을 개발하고, 한국인터넷진흥원(KISA)은 전국에 정보보호지역센터를 설립해 중소기업을 지원하고 있다. 기업과 기관도 정보 보호 인프라를 구축하고 관리 체계를 갖추기 위해 노력하고, ISMS 등 정보보호 인증제도도 정착시키는 등 산·학·민·관의 공동 노력으로 정보 보호 환경은 많이 발전했다.
그러나 해킹 기법 발전이나 데이터와 개인 정보의 중요성을 감안하면 갈 길이 멀다. 중소기업은 70% 이상이 정보 보호 전문가는 차치하고 보안 환경 기초조차도 구비하지 못하고 있다. 중요성과 필요성은 공감하지만 여유 부족 때문이다. 2009년 디도스 당시 해킹 당한 10만개 이상의 좀비PC가 동원됐다. 랜섬웨어와 피싱, 지능형지속공격(APT) 등에 의한 피해는 계속 증가하고 있다. 방치하면 국가와 사회가 붕괴할 수도 있는 수준이다. 정부는 모든 기업이 정보 보호의 기본 지식을 쌓은 인력이라도 보유할 수 있도록 지원해야 한다.
2019년 국제전기통신연합(ITU)이 발표한 우리나라의 세계사이버안전지수(CGI)는 2단계 하락해 175개국 가운데 15위를 차지했다. 지수가 전부는 아니지만 낮은 지수는 어딘가에 심각한 허점이 있고, 결국 피해로 나타날 것을 예보한다. 개인 정보 유출이 인터넷 사기로 연계되는 현 시점에서 지수는 중요한 지표다. 지료를 꾸준히 관리하지 않으면 새로운 기법의 해킹에 당하기 마련이기 때문에 지수 하락은 간과할 사항이 아니다.
국내 정보 보호 산업 육성이 시급하다. 국내 기술의 정보 보호 제품이 점차 감소하고, 외국 제품이 득세하고 있기 때문이다. 이대로라면 국내 보안 제품은 씨도 찾아보기 어려워질 수 있다. 정보 보호 기술은 산업 경쟁력 확보를 위해서도 중요하지만 안보 유지 기틀 마련을 위해 필수다. 우리 스스로 개발한 정보 보호 제품이 없으면 경제 속국으로 전락할 수도 있기 때문이다.
7월은 정보보호의달이다. 얼마나 성장한 것인가에 도취해 있기보다 우리가 서 있는 위치가 얼마나 안전한가를 점검해야 한다. 집을 지을 때 기초를 확인하듯 기업과 개인의 정보 보호 상태를 곱씹어 보고 관리함으로써 사이버 국가 붕괴의 아픔을 피해야 한다. '정보보호의달'은 행사가 주인공이 아닌 현재의 안전과 미래의 안전을 엮는 기회가 되기를 바란다.
정태명 성균관대 소프트웨어학과 교수 tmchung@skku.edu