3월20일 주요 방송사와 금융회사의 전산망을 마비시킨 악성코드가 당초 정부 발표와 달리 중국 인터넷프로토콜(IP)이 아닌 농협 내부의 컴퓨터를 거쳐 최종 전파된 것으로 드러났다고 한다. 어제 방송통신위원회는 “농협 내부 직원이 중국 IP(101.106.25.105)와 동일한 숫자로 이뤄진 사설 IP를 만들어 사용하고 있었는데 이 사설 IP를 중국 IP로 오인했다”고 번복 배경을 설명했다.

이번 사태로 주요 기관의 전산망이 보안에 극히 취약하다는 사실이 다시 확인됐다. 2004년 이후 굵직한 것만 따져도 12차례 이상 전산망 장애가 발생했다. 특정 세력이 집중적으로 공격을 시도한다면 언제든지 국내 주요 기관이 거의 무방비 상태로 당할 수밖에 없다는 점이 다시 한 번 드러났다.

인터넷진흥원의 자료에 따르면 최근 국내에서 악성코드 감염 피해가 늘었다. 2013년 1월의 신고는 2557건으로 2012년 12월보다 3.9% 증가했다. 한국 홈페이지가 악성코드 유포지로 이용되는 비중도 전월보다 10.7% 늘었고, 2012년 12월부터는 미국보다 한국이 유포지로 더 많이 활용된다. 유해 트래픽의 근원지를 IP별로 보면 중국이 52%로 압도적이며 미국은 2위인 27.6%였다.

고려대 정보보호대학원 임종인 원장도 “사이버 세계에선 상상할 수 있는 것은 다 이뤄질 수 있다”고 말했다. 임 원장은 특히 “금융기관이 전산망을 설치할 때 민간 업체에 맡기는데, 다시 더 작은 업체로 하청을 주면서 거기서 보안이 뚫린다”며 “공격을 당하고도 또 공격받는 것은 금융감독원이 정보기술(IT) 인력의 5%를 보안인력으로 채용하라고 해도 무늬만 보안인력으로 채용하기 때문”이라고 질타했다.

이상호 교수는 “최근엔 내부 인트라넷을 사용해도 이를 뚫는 ‘스턱스넷’이란 세계 최초의 정밀유도 사이버 무기가 등장해 정부의 내부 전산망도 안전지대가 아니다”고 지적했다. 스턱스넷은 인터넷에 연결되지 않은 시스템을 공격하는 사이버 무기로 악성코드에 감염된 USB 같은 개인장비가 인트라넷에 접속될 경우 감염된다.

현재 대한민국 PC는 개인용과 사무용으로 2800만대가 인터넷에 연결되어 있고 서버도 500만대가 넘어 약 3300만대 컴퓨터가 항상 인터넷 망에 연결되어 있다. 인터넷 해킹사고가 발생했는데 이때 보안업체가 정밀조사를 해 봤는데 총 접속 PC중에서 15%가 감염된 적이 있었다. 그건 뭘 의미하냐면 85%인 2805만대는 인터넷 사용자 PC가 보완패치를 했고 15%인 495만대가 보안패치를 안했다는 말이다.

2013년 3월20일 발생한 사건에도 디도스에 동원됐던 PC가 9만대로 추정되고 있다. 상당히 많은 PC가 아직도 보안 사각지대에 있다는 건 사실이다. 이것을 조치하는 게 급선무이다. 또 하나는 중소기업에서 운영하는 서버에 홈페이지라던가 인터넷관련 서버가 취약한 것이 사실이다. 지금 당장 취약점을 점검해 보면 상당한 높은 퍼센트 즉 80%이상 정도가 해커한테 침입을 당할 수 있는 보안취약점을 가지고 있다.

완벽하지 않는 인터넷에서는 안전한 방법에 대한 여러 가지 지침이나 가이드라인 설정으로 개인은 패스워드나 아이디를 제대로 관리하고 기업들은 암호화된 데이터를 전송하고 받으며 특히 금융기관은 거래의 안정성을 위한 여러 가지 다양한 솔루션을 접목한다던지 이런 기본적이면서 꼭 해야 되는 부분에서는 국가적인 차원에서 관심을 가지고 적극적인 투자를 하여야 한다. 이런 시스템을 다루는 이용하는 모든 사람들이 정보보안자체가 굉장히 중요하다는 인식을 다시 한 번 해야 한다.

2008년 이후 5년간 정부와 공공기관 등을 대상으로 한 사이버공격이 7만3030건에 이른다. 범정부 차원에서 사이버안보를 책임질 컨트롤타워를 만들어 사후 대응뿐 아니라 사전 방지에도 노력해야 한다. 지금처럼 공공 분야는 국정원, 군(軍) 관련 사안은 국방정보본부, 민간은 한국인터넷진흥원에서 대응하는 방식으로는 혼선이 불가피하다.

이번 일을 계기로 여기저기 흩어져 있는 사이버테러 대응 체계와 관련 법규도 일원화할 필요가 있다는 지적이 나온다. 조사는 서두르되 더는 같은 실수를 반복하지 않도록 유의해야 한다. 빠른 것이 늦을 때가 있듯이 때로는 늦는 것이 빠를 때도 있다.

현재 국가정보원과 경찰, 한국인터넷진흥원 등에서 근무하는 200명의 화이트 해커와 민간기업 등에서 일하고 있는 보안전문가들의 역량을 키우고 비상시에 조직적으로 운용할 수 있는 인력을 10만명까지 양성하는 체계를 갖춰야 한다.

18대 국회 때 발의했다 폐기된 사이버테러법을 처리해 국가사이버안전관리규정, 정보보호기반보호법, 정보통신망법 등에 흩어져 있는 관련 법체계를 정비해야 한다.