<경제인 산책>“디도스 등 사이버공격 갈수록 악랄… 보안의식은 걸음마 수준”

클릭하시면 더 큰이미지를 보실 수 있습니다 서종렬 한국인터넷진흥원(KISA) 원장이 서울 송파구 가락동 KISA 대동청사에서 사이버 정보보안의 중요성에 대해 설명하고 있다. 곽성호기자

지난 4일 서울 송파구 가락동 한국인터넷진흥원(KISA) 대동청사에서 한국의 사이버 보안을 현장에서 책임지고 있는 서종렬(52) KISA 원장을 만났을 때 그는 해외 출장을 앞두고 팀장들과 긴급 회의를 열고 있었다. 이명박 대통령의 아랍에미리트연합(UAE) 순방길에 ‘비공식 수행원’으로 동행하기 위해서라고 했다. 그는 “한국과 UAE가 10억배럴 이상 규모의 아부다비 대형 유전 개발에 참여할 수 있는 권리를 보장 받는 내용의 양해각서(MOU)를 체결하는 것을 계기로 UAE 측에서 원전 등 국가 기간시설에 대한 사이버 보안 경험과 노하우를 전수해 달라고 요청해 출국하게 됐다”고 말했다.서 원장이 비행기를 타기 직전까지 최근 발생한 ‘3·4 디도스(DDoS·분산서비스거부) 공격’의 교훈, 한국 사이버 보안의 현주소, 향후 제2, 제3의 디도스 대란을 막기 위한 방안 등에 대해 집중적으로 물었다.

#한국 정보보호 기술, 중동·아프리카로 진출한다

서 원장은 “UAE는 원전·유전·통신인프라 등 국가 기간 시설 중에서도 특히 원전이 사이버 테러에 노출돼 심각한 상황에 빠질 가능성에 대해 크게 우려하고 있다”고 말했다. 국가 기간시설이 사이버 공격을 받게 되면 국가적으로 심각한 상황을 발생시키지만 특히 원전의 경우 동일본 대지진에서도 나타났듯이 방사성 물질 누출이라는 치명적인 악영향을 끼치기 때문이다. 서 원장은 “이번 방문에서 UAE 측은 하루를 통째로 할애해 한국의 정보보호 정책과 활동 및 향후 계획, 한국의 정보보호 관리체계, 한국의 공인인증체계 이용현황 및 전망 등에 대해 자세하게 알려달라고 요청해왔다”며 “의례적으로 하는 세미나가 아니라 UAE 측 실무자들에게 한국의 실전 정보보호 노하우를 설명하고 전수하는 자리가 될 것”이라고 말했다.

이날 세미나의 실무 주제에 대한 설명은 KISA 팀장들이 나섰지만 한국 사이버 보안의 전체 상황에 대한 브리핑은 서 원장이 직접 맡았다. 서 원장은 “한국의 정보통신기술(ICT) 발전 상황과 정보보호 위협의 실태, 최근 디도스 공격의 내용 및 대응 상황, 한국의 인터넷 침해사고 대응을 위한 활동 상황 등을 상세히 설명할 것”이라고 말했다. 서 원장은 또 “이번 UAE 방문을 계기로 앞으로 중동과 아프리카 지역 등의 국가들과 정보보호 분야의 협력을 강화해나갈 것”이라며 “향후 정보보호 분야의 협력을 바탕으로 인터넷 진흥 및 발전 등을 위한 협력도 추진할 예정”이라고 포부를 밝혔다.

#3·4 디도스 공격의 교훈

UAE 출장을 앞두고 부산한 서 원장에게 최근 발생한 3·4 디도스 공격에 대한 의견을 물었다. 대뜸 “최근 발생한 3·4 디도스 공격은 2009년 발생한 ‘7·7 디도스 대란’ 때보다 강도는 다소 약했지만, 백신의 업데이트를 방해하고 PC 파괴 등 실시간으로 명령을 내리는 등 수법은 훨씬 지능화하고 악화됐다”는 답변이 돌아왔다.

서 원장은 “특히 이번 3·4 디도스 공격은 2009년보다 공격 사이트 수도 40개로 더 많았고, 악성코드가 1개였던 7·7 디도스 대란 당시보다 많은 3개 이상의 변종 악성코드를 계속 배포했으며, 악성코드에 감염된 PC 하드디스크는 무조건 파괴하는 등 수법이 더욱 악랄해졌다”고 분석했다.

그렇다면 공격의 수법과 강도가 더욱 강화됐음에도 불구하고 2009년보다 피해 규모가 적었던 이유는 무엇일까. 서 원장은 “이번 디도스 공격의 피해가 7·7 디도스 대란 당시보다 적었던 이유는 2009년 디도스 대란을 겪은 뒤 ‘국가 사이버 안전체제’가 구축됐기 때문”이라고 말했다. 2009년 디도스 대란 이후 KISA를 중심으로 방송통신위원회, 국가정보원, 국방부 등 정부 기관과 백신·이동통신업에 등 민간 사업자들을 실시간으로 연결해주는 시스템이 구축돼 있었기 때문에 최악의 대란은 막을 수 있었다는 것이다. 그렇다면 앞으로도 디도스 대란은 걱정하지 않아도 되는 걸까. 서 원장은 “정부, 기업, 개인 소비자가 지금부터 대비하지 않으면 앞으로 제2, 제3의 디도스 대란 같은 심각한 사이버 재앙을 겪지 않는다고 단언하기는 어렵다”고 말했다.

#한국 사이버 보안의 현주소

서 원장은 지난해 11월 KISA 원장에 취임하자마자 조직 및 인력 개편을 서둘렀다. 한국 사이버 보안의 ‘중추 기관’인 KISA의 보안 체계가 사분오열로 나뉘어 있었기 때문이다. 기술개발팀·연구개발팀 등에 나뉘어 있던 보안 인력들을 모두 ‘인터넷 침해대응센터’로 통합, 인터넷 침해대응센터의 인원을 97명에서 131명으로 35%(34명)나 늘렸다. 당시 조직 내부에서 “일부 기능과 조직이 중복된다”는 비판도 있었지만, 서 원장은 “사이버 보안에 대해서는 선제적 예방이 가장 중요하다”며 조직 및 인력개편안을 밀어붙였다.

그러나 조직 및 인력 개편을 해놓고 보니 또 다른 문제가 있었다. 인터넷 침해대응센터 전체 인력 131명 중에서 29%만 정규직이었고, 71%가 비정규직이었던 것이다. 서 원장은 “국가 사이버 보안을 책임지고 있는 핵심 인력의 70% 이상이 비정규직인 상황에서 3·4 디도스 공격을 심각한 피해 없이 막은 것은 하늘이 도운 결과”라고 말했다. 그만큼 한국 사회는 위기가 닥쳤을 때는 법석을 떨지만 위기만 지나가고 나면 모든 것을 잊어버리는 ‘냄비 사회’라는 것을 또다시 보여준 것이다.

올해 해킹·바이러스 대응체계 고도화사업 예산은 173억원으로 지난해에 비해 212억원(55.1%)이나 감소했다. 국내 전체의 정보화예산에서 정보보호 예산이 차지하는 비율도 지난해 8.2%에서 올해는 6.2%로 줄었다. 정보보호 선진국인 미국의 경우 IT예산 대비 정보보호예산 비율이 2009년 이미 9.7%에 달했다. 한국과 비교하면 참으로 엄청난 격차다. 서 원장은 “정보보호 예산은 ‘비용’이 아닌 ‘투자’의 개념으로 봐야 한다”며 “안전한 인터넷과 사이버 공간 확보를 위해서는 정보보호 투자에 대한 지속적인 관심과 예산 확보가 절실하다”고 강조했다.

#기업과 국민 의식도 더욱 개선돼야

향후 제2, 제3의 디도스 공격을 막기 위해 기업과 국민의 의식이나 행동 중에서 개선할 부분은 없을까. 서 원장은 “2009년 7·7 디도스 대란을 겪으면서 한국 기업과 국민들의 사이버 보안에 대한 인식은 매우 높아졌다”며 “그러나 아직은 갈 길이 멀다”고 말했다. 그 말을 마치면서 서 원장은 흥미로운 통계를 하나 내놨다.

“한국의 민간 기업 중에서 정보보호에 대한 투자가 아예 없는 기업이 전체의 64%에 달합니다. 그나마 있더라도 정보화예산 중에서 정보보호 예산이 차지하는 비율이 1% 미만인 기업도 15%입니다. 결국 한국 기업 중에서 정보화예산 가운데 정보보호 예산을 1% 미만으로 투자하고 있는 기업이 전체의 80%에 육박한다는 의미입니다. 기업이 정보보호에 대한 투자를 늘리고, 최고정보보호책임자(CISO)를 임명하는 등 기업의 최고경영진부터 보안에 대한 인식을 강화해야 합니다.”

서 원장은 “3·4 디도스 공격을 심각한 피해없이 넘길 수 있었던 것은 불과 이틀 만에 PC를 보유한 전체 국민 1700만명 중에서 1100만명이 백신을 다운로드 받아 자신의 PC를 지켰기 때문”이라며 “이같은 수치는 한국 역사상 전무후무한 기록”라고 말했다. 그는 “그러나 평상시에 PC의 패스워드(암호)를 6개월에 한 번씩 바꾸고, 자동보안 패치를 실행하는 등 국민들의 보안 의식을 더욱 높여야 앞으로 일어날 수도 있는 사이버 테러를 막을 수 있을 것”이라고 말했다.

#디도스 공격, 북한이 배후일 가능성 높아

한국의 사어버 보안 문제를 본격적으로 다루는 김에 보안 전문가들이 말을 아끼는 디도스 공격의 배후에 대해서도 슬쩍 물어봤다. 서 원장은 “한국에 디도스 공격을 하고 있는 감염된 PC를 조종하고 명령하는 서버가 대부분 외국에 있고, 흔적을 남기지 않기 위해 다단계를 거쳐 접속한 뒤 접속 로그를 삭제하기 때문에 추적이 쉽지 않다”고 신중론을 폈다.

그러나 여러 차례의 채근 끝에 “이번 3·4 디도스 공격은 2009년 7·7 디도스 대란과 공격 수법 등이 유사하고, 한·미 합동군사훈련인 ‘키 리졸브’ 훈련 시기와 겹치는 데다 여러 가지 정황 등을 종합적으로 고려할 때 북한이 배후일 가능성이 크다고 생각한다”는 답변이 돌아왔다.

구체적인 ‘물증’을 찾지 못해서 확실하게 말하기는 어렵지만 한국 사이버 보안의 실무 최고책임자가 이번 3·4 디도스 공격의 배후가 북한이라는 상당한 심증을 갖고 있다고 털어놓은 셈이다.

#“KISA를 세계 최고의 인터넷 및 정보보호 전문기관으로 키우겠다”

서 원장은 자타가 공인하는 정보통신 분야 전문가다. 한국전자통신연구원(ETRI) 연구원으로 출발해 옛 쌍용경제연구소 IT정보통신 수석연구원, SK텔레콤 커머스사업본부 상무, 연세대 IT정책 전략연구소 연구위원, KT 미디어본부장(전무) 등을 두루 거치면서 IT와 정보통신 분야 전문가로서 명성을 떨쳤다. 특히 그는 1980년대 한국이 아직 정보통신에 눈뜨기 이전에 한국 경제의 차세대 신수종 산업으로서 정보통신 분야의 중요성을 알려왔으며, 국내 이동통신·케이블TV·인터넷TV(IPTV)·모바일 커머스 등 새로운 분야가 나올 때마다 앞장서서 개척한 선구자 역할을 해왔다.

올해 서 원장의 목표는 “KISA를 세계 최고의 인터넷 전문기관, 정보보호 전문기관으로 키우겠다”는 것이다. 그는 이를 위해 “전문지식을 포함한 직원들의 실력을 향상시키고 국가를 위해 일한다는 보람을 가질 수 있도록 하겠다”며 “조직 전체를 인터넷 침해대응, 개인정보보호, 인터넷 윤리운동을 중심으로 ‘학습 조직’으로 만들어 창의적으로 일하는 한편 즐거움도 느낄 수 있는 ‘해피 경영’을 펼쳐나갈 것”이라고 말했다.

인터뷰 = 조해동 차장 (경제산업부) haedong@munhwa.com