7·7 사이버테러가 남긴 교훈
지난 7일부터 시작돼 온 나라를 긴장으로 몰아넣었던 분산서비스거부(DDoS) 형태의 사이버테러가 3차례 걸친 공격을 끝으로 사실상 일단락됐다. 다행히 우려했던 인터넷 대란이나 뱅킹 대란 등은 발생하지 않았다. 악성코드로 인한 PC 하드디스크손상도 10일 자정부터 12일 저녁 9시까지 약 1000건 수준에 그치는 등 예상보다는 피해 규모가 적은 편이었다.
하지만 이번 사태에서 한국은 물리적 피해보다 훨씬 더큰 정신적 피해를 겪어야만 했다. 사태가 발생한 직후 유관부처들이정보를 공유하지 못한 채 늑장대응으로 피해를 키웠다.이번 사태는 그동안 정보보호 분야에 대해 대비가 소홀했음을 반증하는 계기가 됐다. 정부와 기업의 정보보호 분야 투자는 선진국의 10분의 1에도 못 미치는 수준이었으며 개인 PC 관리도 엉망이라는 사실이 드러났기 때문이다.
업계는 먼저 정부와 기업의 정보보호 투자가 확대돼야 한다는 주장을 펴고 있다. 보안업계 관계자들은 수년 전부터 문제점으로 지적해온 투자 규모 축소가 나라의 보안 기반을 흔들고 있다고 목소리를 높이고 있다.
한국정보보호진흥원에 따르면 국내 기업의 50% 이상이 정보보호 지출에 돈을 전혀 사용하지 않고 있다. 국가 차원에서 보더라도 선진국이 전체 예산의 10% 이상을 정보보안에 투자해 온 것과 달리 우리는 1% 수준에도 못 미친다는 것이다. 특히 사이버 공격을 1차로 막아주는 방화벽조차 설치되지 않은 기업도 부지기수다.아울러 이번 DDoS 공격과 같은 사이버테러에 대응할 수 있는 일원화된 콘트롤 타워가 절실히 필요하다. 방송통신위원회가 주무부처이지만 부처통합 탓인지 사이버테러와 같은 전문적 영역에는 제대로 대처하지 못했다는 평가를 듣고 있다.
또한 경찰청 사이버테러대응센터도 수사전담팀을 꾸렸음에도 악성코드의 근원지조차 곧바로 추적하지 못한 것으로 전해졌다. 이번 사건을 먼저 인식한 것도 민간 보안업체들이었으며 악성코드를 분석해 인터넷 프로토콜(IP)을 찾아내고, 사전예고된 공격을 밝혀낸 것도, PC 하드디스크 손상 명령을 찾아낸 것도 모두 민간보안업체들이었다.
무엇보다 국민 개개인의 PC 관리도 보다 강화돼야한다. DDoS 공격에 사용될 '좀비PC'가 없다면 DDoS 공격은 의미가 없다. 개개인의 의식변화와 함께 국민들의 PC가 좀 더 철저하게 관리될 수 있도록 하는 정부의 노력도 병행돼야 한다.
또한 한국 인터넷 환경의 가장 큰 약점으로 지적된 '액티브X' 의존도를 낮추는 방안도 정부 차원에서 추진돼야 한다. 국내 보안업계 최고 전문가중 한 사람인 안철수 교수는 "이번 사태는 대책없이 있다가 본보기로 당한 사례"라며 "우리가 자초한 측면이 있으니 이제부터 고쳐야 할 것"이라고 경고했다.
함정선 기자 mint@asiae.co.kr
김철현 기자 kch@asiae.co.kr
<ⓒ세계를 보는 창 경제를 보는 눈, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>