“한국은 해커들의 놀이터다.” 방송사와 금융기관, 대북 관련 사이트에 대한 사이버테러 ‘3.20 전산 대란’이 일어나자 이 같은 탄식이 지속되고 있다. 3월 26일엔 지방자치단체 7곳의 인터넷망이 마비되고, 기획재정부와 이미 한 번 공격당했던 YTN 홈페이지가 멈추는 사건이 잇따라 일어났다. 악성코드는 지금도 변종을 거듭하며 진화하고 있다. 이번 해킹의 경로로써 소프트웨어 업데이트 서버인 패치관리서버(PMS, Patch Management Server)가 지목됐다. 이는 업데이트 파일을 악성코드로 대체해 감염시키는 ‘지능형 지속 위협(APT, Advanced Persistent Threat)’형에 속한다. 한 마디로 누구나 마시는 상하수도를 오염시키는 셈이다. 일부는 이메일을 통해 유입됐다는 분석도 28일 나왔다.

디지털시대의 진화하는 크래커들 특히 이번 사이버테러는 지난 2009년 디도스(DDoS, Distributed Denial of Service) 공격과 성격이 다르다. 접속 폭주를 통해 시스템을 마비시키는 디도스와 달리, APT는 지능적이다. 안랩은 지난 27일, 2차 공격에 대비해 후속 조치를 발표했고, 변종 악성코드로 발생할 수 있는 부팅 장애나 데이터 손상을 막기 위한 ‘MBR 프로텍터(Master Boot Record Protector)’ 프로그램을 고객사에 개별 제공한다. ‘해커(Hacker)’라는 말은 1950년대 중반 MIT에서 정보가 공개돼야 한다는 진보적 의미에서 유래했다. 안랩 보안 용어사전은 해커를 “원래는 하드웨어와 소프트웨어에 능숙하고, 순수한 의도로 이를 실험하길 좋아하는 사람을 지칭”한다며, 하지만 “지금은 컴퓨터 시스템에 대한 인증되지 않은 권한을 얻거나 얻으려 노력하는 사람들을 의미”한다고 정의했다. ‘크래커’는 그 중에서도 악의적인 해커들을 일컫는다.

근래에는 정치·사회적 목적의 해킹을 뜻하는 핵티비즘(hacktivism)이라는 용어도 등장했다. 사이버테러에 대한 해답은 결국 사람을 통해 찾을 수밖에 없다. 지능적인 크래커를 뛰어넘는 실력있는 프로그래머가 필요하다는 뜻이다. 하지만 현실은 그렇지 못하다. 국가미래연구원의 ‘소프트웨어 인력양성 전략’을 보면, 주요 5개 대학의 2011년 SW전공 재학생 수는 2009년에 비해 24.7% 감소한 것으로 나타났다.

류재철 충남대 교수(컴퓨터공학과)가 사이버보안 전문인력 양성 관련 한 세미나에서 발표한 내용에 따르면, 2011년 20개 정보보호학과에서 978명이 배출됐다. 2012년은 국내 지식정보보안산업 실태조사(한국인터넷진흥원)을 통해 알 수 있다. 정보보안 관련 종사자 수는 전체 9천244명이다. 2013년 정보보호 전공자는 363명일 것으로 예상되나, 신규 수요는 2천130명이어서 많은 차이가 난다.

갈수록 이 격차는 늘어나 2017년에는 3천660명이 부족할 것으로 전망된다. 사람이 끌어올리는 기술 수준에 대한 결과 역시 기대에 미치지 못한다. 지식정보보안 기업들이 자신의 기술 수준을 자체 평가한 결과, 100%를 기준으로 약 75∼76% 수준인 것으로 조사됐다. 국가미래연구원은 사이버 보안산업 정책을 위해 ▲ 통합 컨트롤타워 구축/강화 ▲ 평상시 훈련을 통한 해킹대응능력 제고 ▲ 사이버보안산업 육성 및 보안관련 기술개발 여건 조성 ▲ 사이버 안전기금 설치 ▲ 사이버 전력화(10만 해커 양성계획 아래 우수인재 확보)를 제언했다.

사이버 전문인력 10만 해커 양성 주장 인터넷 강국이라는 이름에 걸맞지 않게 사이버테러가 끊이지 않는 이유는 무엇일까. 김인성 한양대 교수(ERICA 공대 컴퓨터공학과)는 한 기고문에서 정보 공개와 한국식 보안 인증 체계를 꼬집었다. 그는 “추가의 해킹 피해를 막을 수 있는 최선의 대책은 사실을 있는 그대로 알리는 것”이라며 “한국식 공인인증체계를 폐지하고 국제 표준 보안 방식을 채택해야 한다”라고 강조했다. 또한, 정부의 사이버 대응 콘트롤 타워가 부재해 문제가 발생한다는 지적이 한편에서 제기되고 있다. 왜냐하면 사이버 대응 기능이 국가정보원, 국방부, 경찰청 등에 분산돼 있기 때문이다.

이를 일원화하기 위한 움직임이 진행되고 있다. 정보보안 관련 예산은 2010년도 769억 원에서 2012년 527억 원으로 줄었다. 오바마 정부의 2013년 연방 IT투자 예산 방향성은 투자 대비 효과는 극대화하면서 ‘기반으로서의 사이버 보안 강화’가 포함돼 있다.(‘스마트 클라우드 캄퓨팅 시대의 IT정책지원 체계’ 중 참고자료. 서울대 행정대학원, 2012) 이번 사건을 계기로 정부 차원에서 사이버 대응 전문인력을 양성해야 한다는 목소리에 힘이 실리고 있다. 한편, 개인적 차원에서도 정보보안의 중요성은 갈수록 늘어나고 있다.

김석우 한국정보보호학회장(한세대 정보통신공학과 교수)은 IT전문 매체와 인터뷰에서 “개인이 통제하거나 방어할 방법은 알려주지 않고 정부나 기업 대책 중심으로만 골몰하고 있다”라고 지적한 바 있다. 스마트폰 이용자 3천 만 시대에 개인적 보안의 중요성 역시 갈수록 증대하고 있다. 프랭크 웹스터는 『정보사회이론』에서 정보사회의 도래에 의문을 제기한 바 있다. 외형적 변화만을 갖고 질적인 사회변동을 측정하는 방식을 거부한 것이다. 과학기술의 발현이 IT기술로 극대화해 생활에 더욱 깊숙이 접목했다. 그럴수록 사이버테러로 인해 사회 근간이 흔들리고 있다. 과학의 지향점이 어디인지 다시 고민해볼 대목이다.

김재호 학술객원기자 kimyital@empas.com

교수신문 다른기사 보기