[강은성의 안전한 IT세상]日 지진보며 우리나라 보안을 생각한다


뉴질랜드에서 발생한 지진의 충격이 채 가시기도 전인 지난 3월 11일 일본 혼슈 센다이 동쪽 179km 해역에서 규모 9.0의 대지진이 발생해 일본과 세계를 공포에 몰아 넣고 있다. 1900년 이후 세계에서 4번째 규모인 대지진과 그로 인한 지진해일(쓰나미)로 일본 동북부 해안 지역은 거의 폐허로 변해 버렸다.

게다가 지진의 충격으로 후쿠시마 원전이 잇따라 폭발해 일본의 피해와 지구촌의 불안이 계속되고 있다. 일본의 인명과 재산, 자연의 피해가 더 이상 확산되지 않고 하루빨리 복구되기를 기원한다.

엄청난 자연의 재앙 앞에서 어쩔 수 없는 인간의 한계를 절감하면서도, 도쿄에서 전해 오는 속보를 보면서 일본이 재난에 대해 비교적 잘 대비해 왔다는 생각이 들었다. 지진 발생 2시간 만에 총리를 본부장으로 하는 정부의 긴급 재해대책본부가 구성되어 피해상황 파악을 위해 자위대를 현장에 급파했고, 전화회사는 휴대전화 통신량이 급증하자 공중전화를 무료로 사용할 수 있도록 전환했다. 실내에 있던 시민과 학생들은 1차로 책상 밑으로 대피했다가 일부는 학교 운동장으로 이동하는 등 매우 불안하고 혼란스러웠을 상황에서도 질서정연하고 신속하게 움직였다.

일본 국민이 이처럼 지진에 대비해 온 이유는 지구상에서 발생하는 지진의 약 10%가 일본 주변에서 일어나고 있어서 잘못하면 지진으로 인한 피해가 막대하기 때문이다. 그래서 건축비가 올라감에도 불구하고 건물의 내진설계를 기본으로 하고 있고, 재해가 발생할 때를 대비해 정부가 매뉴얼을 작성하고 국민들이 꾸준히 준비해 온 것이다. 만일 이렇게 준비하지 않았다면 이번 대지진으로 도쿄는 매우 큰 피해와 혼란을 겪었을 것이다.

스페인의 보안업체인 판다시큐리티의 2010년 연례보고서에 따르면 지난 해 전 세계적으로 2천 만 개 이상의 새로운 악성코드가 나타났다고 한다. 한 달에 170만 개 이상의 새 악성코드가 생긴 셈이다.

안철수연구소의 2010년 악성코드 동향을 보면, 2010년에 사용자의 PC에서 받은 감염보고가 2천896만 건에 이른다. 국내에 보급된 다른 안티바이러스(백신) 솔루션 업체의 감염보고를 포함한다면 이보다 훨씬 많을 것이다. 우리가 인식하지 못한 사이에 인터넷 세상은 악성코드 세상이 되어 버렸다.

사회관계망서비스(SNS), 포털, 커뮤니케이션, 인터넷 뱅킹과 증권, 인터넷쇼핑몰, 초고속통신망서비스), 인터넷전화 등 우리 사회에서 쓰고 있는 다양한 인터넷서비스에는 연간 수천에서 수십 만 건의 악성(또는 의심) 트래픽이 드나든다. 이 트래픽들은 시스템의 취약점을 파악하기 위해 열린 포트를 검사하는 것부터 방비가 허술한 사이트를 침입하여 데이터를 훔쳐가거나 그 사이트에 다양한 악성코드를 설치하여 다른 사이트를 공격하는 악성행위를 수행하기도 한다.

또한 많은 인터넷서비스들이 링크로 연결되어 있어서 한 서비스에 대해 행해진 악성행위가 다른 서비스에도 영향을 미칠 수 있다. 예를 들어 업체 A의 서비스 사이트에 협력업체 B의 서비스가 링크되어 있는데, B의 서비스에 비밀번호 유출 악성코드가 삽입되어 있다면, 그로 인해 A 사이트 사용자의 아이디와 비밀번호가 유출될 수 있다.

그런데 침입탐지시스템이나 분산서비스거부(DDoS) 방어시스템을 쓰지 않으면 어떠한 악성 트래픽이 우리를 위협하고 있는지조차 알 수 없다. 자신의 서비스뿐 아니라 연계 서비스까지 점검해야 자신의 고객을 노리는 악성코드를 찾아 낼 수 있다. 인터넷서비스를 업으로 하는 회사라면 기본적인 장비나 솔루션을 가지고 항상 보안 위협을 감시하고 있어야 한다. 마치 작은 지진 활동도 늘 감시, 분석해야 더 큰 지진을 대비할 수 있는 것처럼 말이다.

지진의 피해처럼 눈에 잘 띄지는 않지만, 사실 보안 위협으로 인한 우리 사회의 피해도 만만치 않다. 한국인터넷진흥원(KISA)에 따르면 2003년 1.25 대란의 피해액은 2천234억 원으로 추정되고 , 2005년~2007년 3년간 침해사고로 인한 총 피해액은 1조 852억원에 이르러 국가 정보보호예산의 3배에 달했다고 한다. 또한 현대경제연구원은 2009년 7.7 분산서비스거부 공격의 피해액을 363억~544억원 정도가 될 것으로 추정했다. 일반적으로 취약한 보안 상태로 인해 피해를 당한 업체는 피해 상황을 가능하면 외부에 알리려고 하지 않으려고 할 것이기 때문에 실제 피해액은 더 늘어날 가능성이 높다.

지진의 피해가 지진 해일, 원전 방사능 누출 등 2차 피해로 더욱 커지는 것처럼 보안사고의 더 큰 피해는 보안사고로 유출된 개인정보가 악용될 때 생긴다. 보안사고의 2차 피해인 셈이다. 개인의 의사와 관계 없이 국민들이 의무 가입해야 하는 국민연금공단의 직원이 고객의 개인정보를 열람하여 강력 범죄를 저지른 사례도 있고, 2005년~2007년 3년간 개인정보 침해사고로 발생한 경제적인 피해액이 10조 7천억 원이라는 통계도 있다. 대규모 개인정보 유출사태가 발생하면 인터넷서비스들에서 제공하는 게임머니나 가상화폐 탈취 사고가 늘어나기도 한다.

개인정보를 보관하고 있는 우리 사회의 다양한 기관과 업체 중 어느 한 곳에서 개인정보가 유출되면 그 피해는 곧 다른 곳에도 영향을 미친다. 전화번호나 주소와 같이 개인에게 모두 동일한 정보뿐만 아니라 아이디나 비밀번호 등 서로 달리 설정할 수 있는 개인정보라 하더라도 사용자가 이를 모두 달리 만들어 쓸 가능성은 매우 낮기 때문이다. 결국 내 개인정보의 보안수준은 그것을 저장하고 있는 수많은 기관이나 업체들의 보안수준 중 가장 낮은 것으로 결정된다. 우리 사회의 전반적인 보안수준을 높여야 할 이유가 여기에 있다.

이제는 인터넷 기반의 서비스나 개인정보를 취급하는 업체들은 마치 지진에 대비해 건물에 내진설계를 하듯 기본적인 보안 인프라를 구축해야 한다는 발상의 전환을 해야 할 때가 되었다. 방화벽이나 안티바이러스, 외부에서의 사내 접속을 위한 가상사설망(VPN)은 기본으로 갖춰야 한다. 규모가 있는 서비스를 제공하는 업체라면 침입탐지시스템이나 분산서비스거부 공격 방어장비도 갖출 필요가 있다.

내부자 중 개인정보에 접근할 수 있는 사람을 제한하고, 그들이 개인정보를 별도의 저장장치나 외부로 유출하지 못하도록 시스템을 보완해야 한다. 주기적인 개인정보 취급자 교육도 필요하다. 무엇보다도 이러한 일들을 잘 처리할 수 있는 보안담당자를 두는 것이 매우 중요하다. 이러한 기본적인 방어 기제만 잘 갖춰도 보안 공격의 피해는 크게 줄일 수 있다. 외부에서의 해킹 시도나 내부자가 고객정보를 유출하는 행위와 같은 보안 공격은 비용 대 효과를 감안한 행위이기 때문이다.

일본에 대지진이 일어난 날, 국회에서는 업무를 목적으로 개인정보를 보관하는 모든 사업자와 단체, 기관, 개인의 의무를 규정한 개인정보보호법이 통과되었다. 적용 대상이 될 350만 ‘개인정보처리자’들의 적극적인 대응으로 우리 사회의 보안수준이 한 차원 높아지는 계기가 되길 바란다.

/강은성 (SK커뮤니케이션즈 PMO)








포토뉴스