이래도 인터넷 강국이라고 할 수 있는가.’ 국가 주요기관과 대형 IT업체들이 바다 건너 해커들의 공격에 속수무책으로 당하고 있다. 세계 최고의 초고속인터넷 강국이라는 ‘벅찬’ 자부심이 무너지기 직전까지 왔다. 위기감이 고조되면서 ‘이대로는 안된다’는 각성이 곳곳에서 일고 있다. 국가기관, 금융권, 일반 기업, 대학과 연구소, 개인 PC 등 분야별로 보안실태를 집중 점검하고 대응책을 모색해 봤다.국가기관 - 잇따라 해킹당해 ‘충격’최근 주요 국가기관의 전산시스템이 잇따라 해킹당한 것은 충격적이다. 6월 중순 대덕 원자력연구소, 해양경찰청 등 국가 주요기관이 해킹당했다. 7월 중순께는 국가홍보처가 운영하는 해외홍보용 홈페이지가 해킹당해 1시간 가량 시작페이지가 바뀌는 어처구니없는 사건이 일어나기도 했다. 정부는 국가안보회의(NSC)를 중심으로 대책팀을 꾸릴 정도로 위기상황으로 받아들이고 있다.우리나라의 ‘보안방패’는 허술하기 짝이 없는 상황이다. 2000년 정보보호기술병이라는 특수병과를 신설, ‘사이버전쟁’에 대비하고 있으나 세계 최고 수준의 인터넷 인프라와는 달리 ‘인터넷 보안 최약국’이라는 평가를 받아온 것이 사실이다.실제로 국가기관의 해킹 발생건수는 줄어들지 않고 있다. 국가정보원에 따르면 국가ㆍ공공기관 등 공공분야의 해킹은 1,323건으로 전년 대비 8건이 증가했다. 이중 교육기관이 1,177건으로 전체 공공기관 해킹건수의 88%에 이를 정도로 가장 취약한 분야로 드러났다. 이는 보안관리 인프라가 중앙부처에 비해 상대적으로 취약한 상태에서 학생들이 게임 같은 각종 프로그램의 불법복제사용, P2P를 통한 전송 등을 무분별하게 사용하고 있기 때문이다.특히 교육기관의 경우 해커가 다른 나라의 기업이나 공공기관을 해킹하기 위한 경유지로 이용하는 것으로 분석되고 있어 ‘국제해커의 놀이터’라는 오명마저 듣고 있다.그렇다면 국가기관의 해킹 건수가 줄어들지 않는 이유는 뭘까. 전문가들은 정부의 적극성이 부족하다는 점을 꼬집었다. 이는 정보화 예산에서 정보보안 예산이 차지하는 비중을 보면 알 수 있다. 2001년 1.8%와 2002년 1.9%, 2003년 2.2%에 이어 올해 2.5%(414억원)로 전년도에 비해 겨우 0.3%포인트 늘어나는 데 그쳤다. 미국의 경우 지난해 정보보호 예산은 정보화 예산의 8.8%를 차지했다.따라서 해킹에 대해 국가안보 차원에서 접근해야 한다는 목소리도 높다. 해킹을 통한 정보유출은 이제 단순히 개인범죄 차원이 아니다. 개인정보에서 기업기밀, 국방정보 등 해킹 대상이 다양해지며 국가간 ‘전쟁’ 수준으로 확대되고 있기 때문이다.까다로운 공공입찰이 문제라는 소리도 있다. 시만텍, 체크포인트 등 세계적 보안업체들이 공공기관 입찰에 응할 수 있도록 조건을 완화해야 한다는 것이다. 민간기업은 국내외 보안업체의 제품을 공개입찰을 통해 구매하는 것이 관례이나 공공기관은 대다수가 국내업체들을 상대로 구매하고 있다. 2001년에 도입한 인증제도 ‘K4’ 때문으로 인증조건에는 원천코드 공개가 들어 있는데, 외국사들은 이를 공개하느니 차라리 응찰하지 않겠다는 입장인 것이다.보안의식도 문제다. 지난 6월 해킹사건의 경우도 ‘수상한 메일의 첨부파일을 클릭하지 말라’는 보안상의 보안수칙만 지켰어도 예방할 수 있었다. 가성호 해커스랩 컨설팅팀장은 “평소 바이러스 체크만 제대로 했어도 이토록 쉽게 뚫리지는 않았을 것”이라고 지적했다. 국가사이버안전센터 관계자도 “정보통신 보안을 생활화하는 것이 사고 예방의 지름길”이라고 강조했다.금융권 - 신종 해킹 ‘피싱’ 발등의 불최근 국내 주요기관의 해킹사건으로 금융권도 바짝 긴장하고 있다. 일단 금융권이 포함되지 않은 것에 안도하는 모습이지만, 늘 보안사고의 위험이 도사리고 있기 때문이다.IT전문매체인 C넷에 따르면 전세계 100대 금융기관의 보안책임자를 대상으로 조사한 결과 응답자의 83%가 자신들의 시스템이 지난 1년 동안 외부 공격으로 손상을 입은 경험이 있다고 시인했다.금융사고의 유형은 크게 두 가지로 나뉜다. 금융권 내부자가 고객의 비밀번호나 계좌를 도용해 사고를 저지르는 것이다. 다른 하나는 외부인이 온라인을 통해 해킹 등 지능화된 기술을 이용해 발생하는 경우다.대다수의 금융사고는 내부자가 연관되지 않고는 일어날 수 없다는 것이 기존의 시각이었다. 그러나 최근에는 오프라인에서 온라인과 모바일을 활용한 범죄로 옮아가고 있는 상황이다.최근 금융권이 우려하고 있는 유형은 피싱(Phishing)으로 인한 정보유출과 인터넷뱅킹 과정에서의 해킹이다.피싱은 신용정보를 악용한 사기가 인터넷으로 옮아간 신종 사기술이다. 일반적으로 은행관리자로 위장해 불특정 다수의 사용자에게 ‘고객의 계좌에 문제가 생겼으니 계좌번호와 주민번호를 다시 한 번 입력하라’는 등의 거짓 e메일을 발송해 관련 금융기관의 신용카드 정보나 계좌정보를 빼내는 신종 해킹 기법이다.정통부는 아직까지 국내 서비스 이용자를 대상으로 한 피싱사례는 보고되고 있지 않으나 일부 국내 웹사이트가 피싱 관련 위장 사이트로 악용되는 피해사례가 발생되고 있어 대비책이 필요하다는 입장이다.미국 시장조사기관인 가트너보고서에 따르면 피싱 메일을 받은 미국인 5,700만명 중 약 19%인 1,100만명 정도의 사람들이 메일이 유인한 가짜 웹사이트에 들어가 이중 약 3%(178만명)가 피싱메일 발송자에게 금융 및 개인정보를 제공한 것으로 나타났다.인터넷뱅킹에 대한 경각심도 높아지고 있다. 금융거래에서 인터넷뱅킹이 차지하는 비중은 8개 시중은행에서 30.4%, 전 은행 평균이 24% 달한다. 금융결제원 관계자는 “인터넷뱅킹의 경우 은행 내에서 사고가 일어날 여지는 거의 없지만, 외부고객과 만나는 접점에서 해킹에 의한 보안사고가 날 가능성이 높다”고 말했다.이에 금융권도 시스템을 보완하는 등 대책마련에 부심하고 있다. 국민은행은 8월 말까지 직원 PC마다 외부해킹용 바이러스 침투를 막는 ‘방어벽’ 설치작업을 벌이고 있다.우리은행은 은행 전체 보안 프로그램의 운용 상황을 한 서버에서 점검할 수 있는 통합보안관리시스템(ESM)을 구축해 10월부터 가동한다. 또 8월부터 은행 내 해킹시도를 24시간 감시할 수 있는 감시체제 운용도 병행하고 있다.조흥은행도 체계적이고 능동적 관리가 가능한 중앙집중형 통합관리 시스템 구축에 나섰다. 기존 침입방지시스템도 추가 보완해 이중방어 시스템을 갖출 계획이다. 금융권은 이밖에 고객들의 보안의식을 높이는 캠페인도 적극 전개하고 있다.일반기업 - 보안시스템 무신경기업들 역시 정보보안에 치명적 약점을 갖고 있기는 마찬가지다. 상당수 기업들이 기술개발이나 시스템 등의 투자에는 적극적이지만 보안에는 무신경한 실정이다. 기업들의 낮은 정보보호 의식수준과 미흡한 투자 등이 총체적으로 맞물려 빚어낸 결과다. 물론 이는 대기업이나 중소기업을 가리지 않고 광범위하게 퍼져 있다는 것이 전문가들의 한결같은 지적이다.이는 조사결과에서도 확연하게 드러난다. 정보통신부가 2000년 이후 해마다 주요 민간기업 30여곳을 대상으로 모의 사이버공격 대응훈련을 실시한 결과 110개의 기업 가운데 43.6%인 48개 기업이 보안시스템이 취약해 해킹침투가 가능한 것으로 나타났다. 해커들이 마음만 먹으면 이들 기업에 대해서는 언제든지 침투가 가능하다는 것이 정보통신부의 설명이다.전담조직도 허술하다. 지난해 10월 기준으로 111개 대기업 중 32%인 36개사만이 사이버 보안 전담조직을 구성해 운영 중인 것으로 조사됐다. 나머지 74개 기업은 별도의 조직을 두지 않고 전산팀에서 보안업무도 병행하는 것으로 나타났다.자연 바이러스 공격에 약하고 해킹에도 속수무책인 경우가 허다하다. 특히 전담팀을 두지 않고 있는 기업들의 경우 바이러스의 정체에 대해 파악조차 못하는 사례마저 나타나고 있는 것으로 보인다. 하루가 다르게 바이러스 수가 늘어나고 해킹수법이 다양화되고 있는 상황이라 큰 피해가 우려된다.한국정보보호진흥원의 한 관계자는 “경영진의 확고한 투자의지가 필요한 시점”이라며 “이제 정보보호는 기술개발 이상으로 중요하게 부각되고 있는 만큼 대기업들의 인식전환이 필요하다”고 강조했다.또 정보보안업체인 코코넛측은 “국내기업들은 웜바이러스나 해킹사고와 관련된 사후처리에는 신속한 편이지만 보안서비스를 통해 이러한 사고를 예방하겠다는 의식은 많이 부족하다”고 꼬집었다.중소기업의 사이버 보안체계는 더욱 취약하다. 대기업에 비해 상대적으로 투자여력이 부족한데다 사내에 전문가마저 거의 없어 무방비 상태로 노출돼 있는 것이다. 더구나 중소기업의 과반수가 바이러스를 막는 가장 초보적 방안인 백신프로그램조차 설치하지 않고 있어 정보보안에 대한 기본적인 개념도 이해하지 못하고 있는 것으로 파악된다.이를 입증하듯 올 들어서만 중소기업 10곳 가운데 8곳이 바이러스 피해를 본 것으로 나타났다. 대한상공회의소의 조사에서 나타난 결과로 지난해에 비해 2배 가까이 늘었다는 설명이다. 중소기업들의 정보보안 의식이 제고되기는커녕 뒷걸음질치고 있음을 단적으로 보여주는 사례다.허술한 보안체계에서 오는 직접적 피해도 적잖다. 최근 벤처기업협회와 시만텍코리아가 국내 109개 중소기업을 대상으로 조사한 것을 봐도 70%가 바이러스 침투로 인해 업무중단을 경험했다고 답했다. 특히 응답자의 26%는 3~12시간 가량, 심지어 24시간 이상 업무를 중단하는 등 기업활동에 막대한 손실을 본 것으로 드러났다.중소기업의 보안강화에는 정부도 더욱 적극 나서야 한다는 의견이 많다. 경제적으로 많은 부담감을 느끼는 만큼 정보보호 인증을 받는 기업들에 대해 세금감면 등의 혜택을 줘 정보보호에 대한 투자를 적극 유도해야 한다는 것이다.연구소·대학 - 기본적 방어망 조차 부실연구소와 대학은 국가의 주요한 싱크탱크다. 교수나 연구원의 연구자료가 가득 들어 있어 한번 뚫리면 겉잡을 수 없는 피해를 입을 수 있다. 특히 국가기관이 운영하는 연구소의 경우 핵심정보가 많고 연구자료 역시 기밀에 해당하는 것이 적잖아 그 피해는 상상을 초월할 수 있다.지난 7월 국방연구원, 국방과학연구소, 원자력연구소 등 10개의 주요 국가기관 연구소에 있는 컴퓨터가 해킹으로 인해 정보를 도난당한 사건이 발생했다. 당장 피해 정도에 대한 심각한 우려가 제기됐고, 해당 기관들은 발빠르게 수습책을 내놓았다.일각에서는 해킹치고는 초보적 수준인 만큼 너무 호들갑을 떠는 것이 아니냐는 의견을 내놓기도 했다. 사고 경위야 어쨌든 이를 계기로 다시 한 번 연구기관의 정보보안 수준이 형편없는 것으로 드러났다는 점에서 충격을 주고 있다.특히 이번 사건과 관련, 상당수 전문가들은 해킹 프로그램으로 지목받고 있는 변종 피프나 변종 리박의 경우 지극히 평범한 프로그램이라는 점에서 쉽게 막을 수 있는 데도 당했다는 것을 지적한다. 한 전문가는 “방화벽이나 백신 등 기초적인 보안제품만을 갖고도 문제가 된 두 가지 해킹프로그램을 막을 수 있었다”며 “연구소의 안일한 보안의식이 만들어낸 문제라고 본다”고 강조했다.바이러스나 해커가 연구소 컴퓨터를 공격한 사례는 물론 이번 뿐만은 아니다. 한국정보보호진흥원 조사에 따르면 지난해에 14건이 발생했고, 올 들어서도 몇 차례 더 이어졌다. 아직까지 조직적인 해킹 등 큰 피해는 없었지만 사고 가능성은 도처에 도사리고 있는 것으로 분석된다. 한국정보보호원측은 “백신 업데이트와 방화벽의 이상징후를 탐지하는 작업만 철저히 해도 침해사고의 50% 이상을 줄일 수 있다”고 설명했다,대학 등 학교 역시 문제가 많기는 연구소와 크게 다르지 않다. 특히 공공기관 컴퓨터 침해사고의 82%가 교육기관에서 발생한다는 통계도 나와 있다. 이유는 방화벽 등 기본적인 방어막조차 설치돼 있지 않은 곳이 수두룩하기 때문이다.상당수 학교는 이미 해킹이나 바이러스 피해를 경험한 것으로 분석된다. 심지어 국내 최고의 이공계 교육기관인 카이스트나 포항공대도 피해를 본 경험을 갖고 있다.특히 몇몇 대학은 지나친 라이벌 의식이 발동해 서로 상대 학교를 공격하는 일까지 일어났다. 몇 년 전 카이스트 학생이 포항공대 시스템을 해킹, 연구자료와 학생들의 과제물 등을 삭제해 학사행정을 마비시킨 사건이 대표적이다.최근 들어 대학의 컴퓨터가 공격받는 일은 많이 줄었다. 하지만 아직도 미흡하다는 것이 대체적인 분석이다. 이미 올 들어 대학에서만 97건의 침해사고가 발생했기 때문이다. 정보보안 전문가들은 “대학들이 대외 홍보효과가 큰 홈페이지 제작 등에는 큰돈을 들이면서 보안에는 신경을 덜 쓰는 것 같다”며 “이제는 정보보호가 더 중요하다는 인식을 가져야 한다”고 강조했다.개인PC - 해킹·바이러스에 완전 노출MS의 운영체계에 보안문제가 있으니 패치를 적용해야 한다는 보도를 접한 P씨. 필요성을 인식하고 있던 차에 때마침 MS사로부터 한 통의 메일을 받았다.보낸 사람은 ‘마이크로소프트’(Microsoft). 제목은 ‘Use this patch immediately!’였다. ‘Dear friend…’로 시작되는 메시지의 친절함에 감복한 P씨는 바로 첨부파일을 클릭했다. 그후 P씨 컴퓨터는 바이러스에 감염됐다. 결국 MS를 사칭해 유포된 ‘두마루 웜’으로 밝혀졌다.개인 PC가 매우 위험하다. 바이러스ㆍ해킹을 비롯한 인터넷 보안사고는 터졌다 하면 진원지가 대부분 개인 PC다. 수치를 보면 보다 적나라해진다. 한국정보보호진흥원에 따르면 올 6월까지의 스캔(바이러스ㆍ해킹 등의 공격시도) 건수 1만750건 중 개인 PC 비중이 9,733건(91%)을 차지한다. 개인 PC이기 때문에 잡히지 않는 통계까지 감안하면 그 수는 훨씬 늘어난다.개인 PC는 보안사고의 사각지대에 놓여 있다. 보안솔루션ㆍ내부방화벽을 갖춘 공공기관ㆍ기업과는 차원이 다르다. 때문에 공격세력은 마음만 먹으면 언제 어디서나 개인 PC를 유린할 수 있다. 한명국 하우리 바이러스대응센터 차장은 “사실상 해커의 먹잇감으로는 개인 PC만한 게 없다”며 “보안인식 부재와 부주의가 치명적인 피해를 안겨줄 수 있음을 명심해야 한다”고 전했다.문제는 앞으로다. 공격루트ㆍ기술이 나날이 진화되고 있어서다. 불과 얼마 전만 해도 보안침해사범은 몇몇 전문그룹에 한정됐다. 그러던 게 최근에는 불특정 다수로 공격기술이 전파되고 있다. 검색 한 번으로 해킹 프로그램까지 손에 넣을 수 있다. 활동무대라고 할 수 있는 인터넷 기반도 확충되는 추세다. 일례로 6월 말 현재 초고속인터넷 가입자수는 1,162만명에 육박한다.그럼에도 불구, 보안인식은 미흡하다. 무료로 설치 가능한 단순한 안전장치조차 깔려 있지 않은 개인 PC가 수두룩하다. 하물며 주기적 보안패치 설치는 기대하기 어렵다는 게 업계의 설명. 지난해 1월에 있었던 인터넷 대란사태도 반짝 위기감에 그쳤다. 백신 이용률(2003년 말 기준)만 해도 38%에 불과하다. 일본(74%)이나 미국(71%)의 절반에도 못미치는 수준이다.