지난 2월 옥션의 보안 사고 이후 보안의 중요성이 새삼 부각됐다. 기업과 정부, 소비자들이 보다 철저한 보안 의식과 시스템 정비를 위해 나서야 한다는 분위기도 조성됐다. 하지만 뜨겁던 분위기도 이젠 잠잠해진 것 같다.우리나라가 정보기술(IT) 강국답게 인터넷 보안 수준도 발전시키려면 보안을 바라보는 기본적인 시각부터 달라져야 할 것이다. 오늘날과 같이 인터넷이 일상화된 시대에서 인터넷 보안은 더 이상 보안 업체, 인터넷 기업만의 과제일 수 없다. 정부는 물론 인터넷 사용자 개개인이 모두가 보안을 함께 해결해 나가야 할 공동 과제임을 분명히 직시해야 한다.‘제아무리 최상의 보안 규정으로 무장된 시스템도 사회공학적(Social Engineering) 해킹 앞에서는 맥없이 무너진다.’1980년대와 1990년대의 유명한 해커인 케빈 미트닉(Kevin Mitnick)이 자서전 ‘사기의 기술(The Art of Deception)’에서 고백한 내용이다. 자신의 경험에 비추어 볼 때 인터넷 환경 전반에 어느 곳 하나 취약한 부분이 있다면 그곳을 통해 손쉽게 해킹이 가능하다는 것이다.사회공학적 해킹이란 좁게는 보안의 기술적 허점이 아닌, 그것을 다루는 사람의 허점을 이용하는 해킹 방법을 지칭하며 넓게는 한 기업의 시스템을 해킹하기 위해 그와 관련된 다른 회사들의 시스템을 우회로로 사용해 침투하는 기법을 의미한다. 즉, 한 인터넷 사용자가 보안이 취약한 시스템을 활용하고 있다면 해커는 이를 해킹 통로로 사용하는 것이다.그 대표적인 예가 여러 대의 PC로 특정 사이트를 일제히 공격해 시스템의 정상적인 운영을 갑작스럽게 마비시키는 분산 서비스 거부(Distributed Denial of Services, 이하 DDoS) 공격 수법이다. DDoS는 공격에 참여하는 컴퓨터 이용자가 공격 의도가 없어도 외부의 악의를 가진 제3자, 즉 크래커(cracker)에 의해 조종을 당해 해킹에 참여하게 된다.이에 따라 해킹 배후에 있는 컴퓨터는 거의 찾아낼 수 없다. 이 때문에 DDoS 공격이 시작되면 인터넷 기업, 사이트들은 공격 주체도 제대로 파악하지 못한 채 서버 보안상의 취약점이나 관리상 약점이 없더라도 속수무책으로 피해를 보아야 하는 것이다.이렇듯 해킹 기술이 고도화되고 있는 만큼 안전한 인터넷 환경을 구축하기 위해 모두가 적극 나서야 한다. 보안 기업들은 보다 신속하게 안전한 정보 보안 기술 및 제품을 공급할 수 있도록 기술 개발 노력을 지속해야 할 것이다. 또 인터넷 기업은 물론 인터넷을 근간으로 비즈니스 혁신을 주도하고 일반 기업들은 보다 체계적이고 안전한 보안 대책 마련을 위해 투자를 아끼지 말아야 한다.외국 기업들은 통상 엄격한 보안 정책을 수립, 전 임직원이 이를 철저히 지킬 수 있도록 관리, 감독에도 노력을 집중한다. 또 전체 IT 투자비용의 상당 부분을 보안을 위해 지출하고 있다. 이에 비해 국내 기업들의 평균 보안 투자 비중은 전체 IT 투자의 1% 수준에 불과하다고 하니 시급히 개선이 필요한 상황이다. 정부도 적극 나서야 한다. 보다 강력한 정보 보호 법안을 마련, 시행함으로써 기업들의 보안 노력 및 투자를 독려해야 한다.인터넷 사용자 개개인의 보안 인식도 강화돼야 한다. 이와 함께 개인도 사용 중인 PC 보안을 위해 투자해야 하며 안전한 인터넷 사용 습관을 생활화해야 한다. 인터넷 세상은 네트워크 인프라를 기반으로 모두 연결돼 있는 세상이기에 우회로를 통한 ‘사회공학적’ 해킹 가능성이 항상 열려 있기 때문이다.오늘날 우리는 너나 할 것 없이 다양한 인터넷의 혜택을 누리고 산다. 그 혜택을 보다 풍성히, 또 지속적으로 누릴 수 있기 위해서는 우리 모두 ‘인터넷 보안’의 중요성을 직시, 안전한 인터넷 세상을 만들어가기 위한 각자의 역할에 충실해야 할 것이다.손영진시스코시스템즈코리아 대표약력: 1955년생. 78년 서울대 사범대 졸업. 95년굽타코리아 초대 지사장. 98년 한국데이터제너럴 사장. 99년 한국 BMC 소프트웨어 사장. 2004년 한국 마이크로소프트 대표이사. 2005년 시스코시스템즈 코리아 대표(현).