주대준 KAIST 사이버보안연구센터 센터장
이것이 단순히 공상 속의 일만이 아님을 지난해 말 발생한 한국수력원자력(한수원) 원전 해킹 사고와 소니 픽처스 해킹 사건이 잘 보여주었다.
사건 발생 한 달이 지나고 해가 바뀌었지만, 전 국민을 원전 공포로 몰고 간 한수원의 해킹 사고는 아직도 유출 규모와 공격자 실체 등 피해와 원인 규명이 제대로 이뤄지지 않고 있다. 다만, 해킹 수법과 도구 등 여러 면에서 과거 북한이 공격한 방식과 유사성이 있어 관련성을 분석 중이다.
지금까지 해킹은 금융기관, 방송사, 정부기관을 개별적으로 공격하는 수준이었다. 그러나 날로 고도화, 지능화해 가는 해킹 사례들을 보면 다이하드 4.0처럼 전력, 가스, 교통, 국방 등 국가기반 시스템이 동시 다발적으로 해킹을 당하는 이른바 ‘파이어 세일(fire sale)’ 상황도 배제할 수 없다. 이는 지금까지 경험한 해킹 사고와는 비교할 수 없는 엄청난 사회 혼란과 국가 위기를 초래할 수 있다.
자칫 사이버 세상에서도 세월호와 같은 재앙이 닥칠 수 있음을 경고하며 국가 사이버 안보 강화를 위한 방안을 몇 가지 제언하고자 한다.
첫째, 임기응변적 처방이 아니라 장기적 안목의 대책이 필요하다.
신기술 연구개발(R&D)과 정보보호 산업 육성이 그것이다. 사이버 세상에도 마치 ‘에볼라’처럼 백신이 개발되지 않은 신․변종 ‘해킹 바이러스’가 존재한다. 해킹을 당하고도 모르고 있을 뿐이다. 사물인터넷 등 인터넷이 급속히 발전하면 할수록 모르고 당하는 해킹 기술은 늘어날 것이다. 여기에 대비해 지속적 연구개발이 병행돼야 한다. 현 정부 출범 이후 다양한 산업 분야에 창조경제의 효과가 드러나고 있지만, 정보 보호 분야는 상대적으로 예산 지원이 미흡하고 관심이 적어 아직 가시적 효과가 나타나지 않고 있다.
사이버보안 전문 인력도 양성해야 한다. 해킹 사고가 발생하고 사회적 관심이 고조될 때 일과성으로 외치고 말 것이 아니라 지속적으로 전문 인력을 양성해 유관 기관에 안정적으로 공급해야 한다.
둘째, 진정한 의미에서 국가 사이버안보 컨트롤타워를 구축해야 한다. 정부, 공공기관, 산업체 등 국가 전체 차원에서 사이버안보 정책과 운영을 컨트롤 하고, 유사시 사이버 사고 상황을 실시간으로 지휘 통제할 수 있는 전문 조직과 시스템을 갖추어야 한다. 최근 청와대 안보 특보가 임명되기는 했으나, 직책 하나로 그 큰일을 막기엔 역부족이다. 오히려 사이버보안 비서관실 신설이 더 효율적이다. 또 청와대와 국회 등 국가 주요 정책 입안 기관에 사이버보안 전문가가 진출해야 한다.
셋째, 법제도 정비다. 사이버범죄에 대한 솜방망이식 처벌이 사이버 범죄를 부추기고 있는 형편인데, 사이버테러법이 정쟁에 휘말려 1년이 넘도록 논의조차 하지 못한 채 계류 중이다. 그 피해는 고스란히 국민의 몫이다.
이와 함께 국민들을 대상으로 한 사이버보안 기본 교육과 의식 제고가 필요하다. 내 가정과 직장의 컴퓨터가 해커의 지령을 받는 좀비 PC가 되어 나도 모르게 사이버 공격에 가담하는 것을 예방해야 한다.
사람들은 잘 모르고 있지만, 지금 사이버 세계는 전시 상황이다. 2011년 아프간 국경지대에서 정찰 활동을 하던 미군 무인정찰기(드론)가 이란군에 해킹을 당해 이란 영토에 불시착 한 일도 있었다. 전시에 준하는 관심을 갖고 대응책을 서둘러야 한다.
Tnews 인터넷보도팀
t-news@daum.net
기자의 다른기사