3.20 사이버테러 '그후 1년'…"나아진 게 없다"

개인정보 유출사고 빈번ㆍ악성코드 범람 '근본적 대책 마련 시급'

2013년도 비정상적으로 늘어났던 악성링크 현황과 2014년도 비정상적으로 대폭 늘어나고 있는 악성링크의 발생상황, 3.20 사이버테러당시와 비슷한 곡선을 그리고 있다

아주경제 장윤정 기자 = 대한민국을 뒤흔들었던 3.20 사이버테러가 발생한 지 딱 일년이 지났다.

3.20 사이버테러 이후 정부는 각종 대책을 내놓으며 같은 사고가 되풀이되지 않도록 하겠다고 공언했지만 사고는 재발하고 공격은 갈수록 진화하고 있다. 

◇잇따른 개인정보 유출ㆍ보안예산은 오히려 감소 
지난 2013년 3월 20일 오후 2시. 신한은행, NH농협은행을 비롯한 제주은행 등 금융권과 KBS, MBC, YTN 등 주요 방송사 전산망이 일시에 마비됐다.

인터넷뱅킹과 ATM은 물론이고 모바일뱅킹, 일선창구에서 업무까지 전면 중단됐다. 방송사 홈페이지 접속이 막히고 사무실 PC가 다운된 뒤 다시 켜지지 않아 혼란을 겪었다.

서둘러 정부는 사이버테러에 대비하기 위해 청와대를 컨트롤타워로 하고, 국가정보원을 실무총괄로 하는 대응체계를 확립한다는 내용의 '국가 사이버안보 종합대책'을 시행한다고 밝혔다. 하지만 3.20 테러 이후 경각심이 요구된 상황에서도 6월 25일 청와대 홈페이지가 해킹당하는 상황까지 발생했다. 

여기에 국가정보원마저 지난 연말부터 소위 '댓글사건' 등에 연루돼 사이버안보 콘트롤타워로서의 역할을 수행할 여력이 없다. 

올초에는 KB국민, 롯데카드, 농협 등 3사의 1억건 이상 대규모 카드사 개인정보 유출사고가 발생하고 연이어 KT 고객정보 1억9000건 이상 유출사고가 터지는 등 대한민국은 대형 보안사고의 잇따른 충격에서 헤어나오지 못하고 있다. 

개인정보유출 사고를 사이버테러와 같은 연장선상에 놓고 보면 안된다는 시선도 있으나 '사이버위기관리능력'의 부제로 발생했다는 점, 해킹이든 내부자 유출이든 보안체계 미비로 국민 생활에 큰 혼란을 초래했다는 점에서는 변명의 여지가 없다. 

상황이 이런데도 불구하고 지난해에 이어 올해도 정부 보안 예산은 제자리다.  

미래부가 공공기관, 지방자치단체 등으로부터 취합한 시행계획을 모아 발표한 국가정보화 예산은 총 4조9,186억원으로 이 중 2,460억원이 정보보안 예산으로 배정됐다.

각 시도, 시군구 등 전국 지방자치단체에 배정된 예산은 9,782억원. 해당 예산을 제외하면 51개 중앙행정기관이 3조9,404억원 예산 중 정보보호가 차지하는 비중은 6% 수준이다. 미국의 경우 2007년 이후 정보화예산 대비 9% 이상을 보안 분야에 투자하고 있다. 2013년에는 이례적으로 전년대비 6배가 늘어난 47억달러 예산을 투입했다.

금융권도 상황은 비슷하다. 전체 예산이 한정돼 있는데 그중 보안예산만 특별 증액할 수 없다는 입장이다. 

심종헌 지식정보보안산업협회 회장은 "2010년 이후 통계를 보더라도 약 4년~5년 동안 정보보안 관련 예산은 큰 변화가 없었다"며 "사건사고가 발생했을 때 예산을 늘리기보다 지속적으로 보안 예산을 확보, 실제 현장에 반영되도록 정부가 나서서 솔선수범해야한다"고 지적했다.

◇ 근본적 대안 시급 '악성코드 방지법' 제정ㆍ전문 인력양성해야  
지난해 3.20 사이버테러는 국내외 다수의 좀비PC에서 악성코드가 잠복했다가 공격을 개시, 특정 기관 서비스에 장애를 일으키거나 PC를 파괴하는 등 피해를 일으켰다. 이에 따라 악성코드가 늘어나고 있다는 것은 심상치 않은 전조다.

전상훈 빛스캔 이사는 "지난 2월부터 인터넷상에서 악성코드가 급증하는 등 비정상적인 움직임이 관측되고 있다"며 "지난해 3월 6월 8월 11월에도 이처럼 악성코드 등이 급증해 경고한 바 있다. 실제 3월 6월 경고 후 3.20과 6.25 사이버테러가 발생했다"고 말했다.

이어 그는 "올해도 2월부터 늘어난 악성코드가 반드시 사이버테러로 이어진다는 보장은 없지만 인터넷상에서의 움직임이 심상치 않은 만큼 철저한 대비가 필요하다"고 경고했다.  

염흥열 순천향대학교 정보보호학과 교수는 "악성코드 확산을 근본적으로 막을 '악성코드 방지법'이 필요하다"며 "일정규모 이상 악성코드를 쏟아내는 사이트는 한국인터넷진흥원 등에서 악성코드 오염 여부 검출을 주고 통보해서 각사이트가 일정 시간내에 이를 제거하게 만드는 법제도적 장치가 시급하다"고 제언했다. 

또 염 교수는 "현재 보안 대책의 대부분이 사후 대응에 초점이 맞춰져 있다. 따라서 근본적으로 보안 공격을 차단할 수 있는 선제적 대응에 대한 논의도 필요하다. 보다 효과적인 보안대책 수립을 위해서는 논의의 수준이 선제적 대응 단계로 끌어올려져야 할 것"이라고 강조했다. 

이용균 이글루시큐리티 부사장은 " 3.20 전산대란을 겪으며 아무리 많은 보안 장비도 관리되지 않으면 완벽한 보안 능력을 발휘하기 어렵다는 점을 확인했다"며 "보안 관리자와 실무자 모두 보안을 관리의 대상으로 보고 온ㆍ오프라인에서 전문인력이 체계적이고 꾸준한 관리를 해야만 사고를 미연에 방지할 수 있을 것"이라고 말했다.  

덧붙여 그는 "보안전문인력을 양성하기 위한 실질적인 노력이 필요하다. 해킹대회를 열고 화이트해커를 공무원으로 채용하겠다는 보여주기식 행정이 아니라 장기적이고 지속적인 인력양성을 위한 투자가 선행되야한다"고 말했다. 

임종인 고려대학교 정보보호대학원 교수는 정부, 기업, 개인 3자의 보안에 대한 인식제고를 지적했다.

임 교수는 "정부 기관과 기업, 개인 모두 보안을 생활화하고 점검을 소흘히해서는 안된다. 셋중의 하나라도 균형이 깨지면 그 틈을 공격자가 파고들어 올 것"이라고 경고했다.