커버스토리 제 68호 (1997년 03월 25일)

정보보안전쟁 대비하라

기사입력 2006.09.04 오전 11:59

「서기 2000년 5월 OPEC정상회담. 이란은 석유생산을 줄여 배럴당60달러선으로 유가를 올릴 것을 요구한다. 사우디아라비아측 대표는 「절대 불가」 입장을 밝힌다. 양국 석유장관들은 격론을 벌인뒤 회담장을 박차고 나간다. 2주후 이란과 동맹국들의 군대는 사우디아라비아의 전함을 공격한다. 이와 함께 이란측 동맹국들은 전혀새로운 형태의 공격을 감행한다. 사우디아라비아내 첨단 정유시설의 온도제어시스템을 망가뜨려 정유탱크가 폭발하게 한다. 소프트웨어 논리폭탄을 이용, 열차의 통제시스템을 망가뜨려 탈선사고도일으킨다. 사우디아라비아의 지원국인 미국과 영국의 은행에 스니퍼프로그램이라는 해킹도구로 잠입, 전자결제시스템을 마비시킨다.동시에 미국 국방성의 1급비밀이 저장된 데이터베이스의 파일들을컴퓨터벌레프로그램으로 감염시켜 시스템을 멈추게 한다.」공상과학영화에서나 봄직한 이 장면은 지난 95년 미국 국방대학이정보전쟁의 중요성을 알리기 위해 실시한 모의전쟁의 도입부분이다. 군전문가들은 『탱크나 전함 전투기보다 정보와 정보기술의 활용능력이 전쟁의 승패를 좌우하는 결정적 요인이 됐다』고 지적하며 정보전쟁의 중요성을 강조하고 있다.

◆ 미국 정보전쟁 대비비용 매년 10억달러

사실 정보는 이미 오래전부터 전쟁의 중요한 부분으로 자리잡아 왔다. 태평양전쟁의 승리는 결국 미국의 정보기술이 앞섰기 때문이라는 분석도 있다. 암호기술에서 일본보다 앞서 미군이 일본군의 통신내용을 도청할 수 있었기 때문이다. 그러나 최근들어 새삼스럽게정보전쟁이 강조되는 까닭은 일상생활에서 산업생산 국방에 이르기까지 컴퓨터의 활용이 광범위하게 확산되고 있기 때문이다. 대부분의 중요한 업무를 컴퓨터에 의존하고 있는 상황에서 컴퓨터시스템의 마비는 대혼란으로 이어질 수 있다. 실제로 미국의 통신서비스업체인 아메리카온라인이 통신량폭주로 캘리포니아지역의 서비스를48시간동안 중단했을 때 이 지역은 대혼란에 빠졌다.미국 국방대학의 마틴 리빅키 수석연구원은 그의 저서<정보전쟁 designtimesp=4683>(http://www.ndu.edu/ndu/inss/actpubs/act003/a003ch00.html)에서 『최근 미국군사학 연구기관내에서 인기있는 용어는 정보전쟁』이라며 『정보와 정보기술이 전쟁을 수행하는데 필수적인 요소로 자리잡아간다』고 지적하기도 했다. 즉 자동소총으로 무장한 특수요원을 적성국에투입하는 것보다 상대국의 컴퓨터시스템을 마비시키는 것이 훨씬효과적이라는 얘기다.리빅키 연구원은 『실제로 최근 발생한 크고 작은 전쟁은 정보시스템을 둘러싼 경쟁양상으로 바뀌고 있다』며 『정보기술에서 세계를이끌고 있는 미국은 다른 어떤 국가보다 우위를 지니고 있는 셈』이라고 주장했다. 이를 바꿔 해석하면 정보기술이 뒤떨어지는 나라는 아무리 다른 분야의 군사력이 뛰어나다고 해도 국방의 심각한취약점을 안게 됨을 의미한다.

◆ “국내 보안시스템 통제력 없다”

정보전쟁의 유력한 수단으로 꼽히는 것은 해킹이다. 해킹은 크게컴퓨터시스템에 불법적으로 침입하는 것과 공중망을 통해 통신중인자료를 불법적으로 빼내는 것으로 구분할 수 있다. 해킹을 막기위해 특정 통신망은 비정상적인 사용자의 접근을 막는 방화벽을 설치하기도 하고 중요한 문서는 암호문으로 바꿔 놓기도 한다. 그러나 튼튼한 자물쇠라도 전문가에게는 못당하듯 아무리 암호를 걸어놓고 방화벽으로 막아놓아도 뚫고 들어갈 수 있는 전문가는 있기마련이다.미 국방대학은 전쟁상황을 가정, 미국내 국방시스템에 실제로 침투해보기도 했는데 전문가들의 침투성공률은 65%였다. 더구나 이들이 사용한 해킹툴은 인터넷에서 무료로 구할 수 있는 것들이었다.미 뉴욕타임즈의 보도에 의하면 미 정부는 정보전쟁에 대비하기 위해 소프트웨어 등에 21세기까지 매년 10억달러씩 투자할 계획이다.이와함께 중앙정보부(CIA)는 정보전쟁센터를 개설하고국가안전국(NSA)은 1천여명을 정보전쟁전문요원으로 선발, 24시간대응토록했다.

정보전쟁을 착실하게 준비하는 미국도 걱정이 없는게 아니다. 해킹능력이 있는 1급 프로그래머를 고용하는 비용이 탱크 전함 전투기미사일과 같은 전통적인 전쟁무기를 구입하는 비용보다 저렴하다.아무리 가난한 나라라도 해킹능력을 보유할 수 있다는 얘기다. 최신 컴퓨터시스템이 아무리 비싸다해도 크루즈미사일보다는 싸다.암호전문가들에 의하면 40비트의 대칭형암호의 경우 1만달러만 들이면 12분안에 풀 수 있다고 한다.(표1 참조)그러나 정보전쟁시대를 맞아 심각한 위협을 느껴야 할 곳은 한국과같은 나라다. 컴퓨터시스템과 통신망에 대한 의존도는 갈수록 높아가는데도 불구하고 「사이버공격」에 자체적으로 대처할 능력을 갖추지 못하고 있기 때문이다.국내 컴퓨터시스템을 마음대로 넘나들었다는 한 해커는 『해킹한게아니라 열려있는 네트워크에 들어갔다 나온것 뿐』이라며 『그 네트워크를 뚫기 위해 한시간 정도라도 노력해야만 했다면 들어가지않았을 것』이라고 말할 정도로 국내의 시스템보안수준은 「바닥」이라해도 과언이 아니다.

국내 컴퓨터통신망의 보안성과 관련, 가장 큰 취약점은 보안제품의대부분을 미국에 절대적으로 의존하고 있다는 점이다. 국내에서 시판되는 방화벽중 2개사의 제품만이 국내에서 개발된 것이고 그나마도 한 제품은 미국에서 프로그램을 제작하는 도구를 수입해 만든일종의 조립품에 불과하다.인터넷을 이용할때 주로 사용하는 웹브라우저 역시 대부분 미국제품들이다. 미국이 외국에 배포하는 웹브라우저에 포함된 암호화기능은 대단히 미약하다. 미국은 암호기술을 탄약이나 탱크와 같은전쟁무기로 간주, 저급한 제품만을 수출할수 있도록 법으로 규제하고 있다.

보안제품의 미국 의존이 안고있는 또다른 문제점은 국내보안시스템의 통제력이 없다는데 있다. 해당 프로그램에 어떤 기능이 있는지알기 위해서는 소스코드가 확보돼야 하는데 미국을 비롯한 대부분의 외국업체들은 소스코드를 공개하려 하지 않는다.사용중인 소프트웨어에 비밀기능이 있을수 있는 가능성은 이미 여러차례 증명된 바 있다. 넷스케이프사의 브라우저인 내비게이터에「about:mozilla」라고 인터넷주소를 입력하면 다음과 같은 문장이나온다. 『짐승이 복수의 구름에 싸여 강림하리라. 불신자들은 모두 땅위에서 불태워 죽임을 당하리라. 그들의 꼬리표는 세상 끝날까지 반짝일 것이니라.-모질라경 12장 10절』(그림1 참조)이는 넷스케이프의 프로그래머들이 개발완료를 축하하면서 장난삼아 몰래 심어둔 기능으로 해명되긴 했지만 소프트웨어에는 소비자가 모르는 기능이 얼마든지 들어있을 수 있다는 사실을 극명하게드러낸 사건이다. 악의가 있다면 실제로 해를 끼치는 기능을 넣을수도 있다는 의미다.

최근 정부도 정보보호의 중요성을 인지, 「정보보호시스템 평가기준」을 마련해 민간기업에 적절한 제품을 선별할 수 있는 노하우를제공할 예정이다. 정보통신부 박정렬 정보보호과장은 『1차적으로국내유통중인 방화벽을 대상으로 제품의 성능 신뢰성 등 평가기준을 마련중』이라며 『조만간 모든 보안제품으로 확대할 예정』이라고 밝혔다.



당사의 허락 없이 본 글과 사진의 무단 전재 및 재배포를 금합니다.

입력일시 : 2006-09-04 11:59