[한반도는 정보보안 사각지대]<上>한국은 해커들 놀이터

모두가 보안불감증 사후약방문 대책만대한민국이 컴퓨터 바이러스와 해킹의 사각지대로 전세계에 각인되고 있다. 크고 작은 바이러스가 등장할 때마다 한국은 정보기술(IT) 선진국인 미국과 1, 2위를 다투는 피해국가로 분류되기 일쑤다.

전세계 해커들은 한국을 최고의 해킹 경유지로 '즐겨찾기' 목록에 추가했다.

한국정보보호진흥원(KISA)에는 시도때도 없이 외국계 정보기관의 해킹 경보가 도착한다. IT 강국의 이미지에 걸맞지 않게 한국은 해외 전문가들에게 '해커들의 놀이터'로 치부되고 있는 것이다.

인터넷 붐과 함께 수도 없이 생겨난 인터넷 데이터센터(IDC)는 전세계 해커들의 따뜻한(?) 보금자리로 자리잡았다. 공공기관과 대학의 홈페이지도 무방비 상태나 마찬가지다.

최근 출현한 코드레드의 최고 희생물이 된 것도 예건된 재앙에 불과하다.

이러한 현상이 발생한 데에는 국민들의 정보보안 불감증이 가장 큰 원인으로 자리한다. 특히 정보보안을 책임져야 할 정보통신부 등 관련기관의 대비책이 미비한 것도 한몫 했다는 지적이다.

정보통신부와 KISA는 바이러스와 해킹 사고가 발생할 때마다 '사후약방문'식 처방을 내놓고 있다. 국내 정보보호기관들의 해킹 관련 조사는 해외기관들의 경고 메시지가 도달하고 나서야 시작되는 경우가 많다.

KISA는 코드레드가 기승을 부리던 지난 7월까지 뒷짐만 지고 있다가 치료 서비스를 8월 초에야 제공했다.

이들은 "어차피 바이러스ㆍ해킹에 대한 방어는 공격 후에 이루어질 수밖에 없다"는 원칙론만 거듭한다. 특히 국내가 아닌 해외에서 제작된 바이러스는 외국기관과 백신 업체에 의존할 수밖에 없다는 주장에는 어느 정도 공감이 간다.

하지만 정작 문제는 정부의 정보보안에 대한 근본적인 정책이 수립돼 있지 않고 이를 뒷받침할 만한 인력과 비용 또한 부족하다는 데 있다. 최근 가까스로 통과된 정보통신기반보호법도 부처간 밀고당기는 힘겨루기로 시행시기가 계속 늦춰져왔다.

일러야 올해 말에나 될 것으로 예상되는 정보보호전문업체 출현 전까지 국내 주요시설의 정보 시스템은 보안의 사각지대로 남아 있어야 할 형편이다.

방화벽 이후의 보안 시스템으로 부각된 침입탐지 시스템(IDS)에 대한 인증작업도 겉돌고 있다.

정부ㆍ공공기관에 공급될 제품의 최저기준을 마련하기 위해 올초부터 실시된 인증작업이 계속 늦어져 한동안 국내 주요기관의 사이트는 방화벽에만 의존해야 하는 실정이다.

세계적인 방화벽도 일정 수준 이상의 해커에게는 거추장스러운 장애물에 불과할 뿐이다.

특히 국내 정보보안 문제를 책임지고 있는 KISA가 정작 전문인력 부족으로 허덕이고 있다는 사실은 충격을 더한다. 국내에서 활동하고 있는 정보보안업체만 해도 어림잡아 200개를 넘어섰고 각 업체의 주축 멤버는 KISA 출신이다.

오죽했으면 지난해 국정감사에서 KISA의 잦은 인력이동 문제가 도마 위에 오를 정도였다.

특히 인증작업을 위해 소프트웨어 소스코드 분석작업에 투입됐던 연구원들이 이 정보를 보유한 채 벤처로 갈 수 있다는 '모럴 해저드'문제까지 제기됐다.

KISA의 K연구원은 "정보보안에 대한 정책이 쏟아져나오지만 실제로 일할 수 있는 팀장급 이상의 연구원이 태부족"이라며 "인원을 보강하려고 채용공고를 내도 알맞은 사람을 찾기 힘들다"고 하소연했다.

정부도 나름대로 정보보호정책 새판짜기에 열중하고 있다. 최근 한국정보보호센터를 한국정보보호진흥원으로 승격시키고 신규인력을 충원한 것도 이러한 노력의 일환이다.

하지만 KISA의 위상변화가 벤처로 가는 연구원들의 발길을 돌리기에는 미흡하다는 지적이다. 인력을 대폭 늘려 업무부담을 줄이고 연봉체계를 혁신적으로 개선하지 않는 한 고급인력 유치는 먼 얘기일 뿐이다.

이에 대해 고광섭 정통부 정보보호기획과 과장은 "인력확대는 기획예산처의 권한이라 우리로서는 어쩔 수 없는 일"이라며 "올초 연구원들에게 연봉을 인상하고 특별수당을 지급하는 등의 조치를 취했다"고 말했다. 구체적인 인상수준과 수당의 액수는 알려지지 않았지만 일반기업의 인센티브에는 크게 못 미치는 것으로 알려졌다.

관련 정보보호기관의 업무중복도 효율적인 정책집행에 걸림돌이 되고 있다.

정통부 산하의 KISA와 '국가보안기술연구소(국보연)' 및 '정보보호기술본부' 등 세 곳이 각자 정보보호 업무를 수행, 일부분에서 중복 양상을 보이고 있다. 학계와 정계를 중심으로 끊임없이 제기되는 '세 기관 통합론'도 이러한 배경에서 나온 것.

김효석 민주당 의원은 지난해 국감에서 "급증하는 사이버 테러에 대비하기 위해 범정부 차원의 대책이 요구되며 기관별로 누가 무엇을 어떻게 수행할 것인가에 대해 명확한 역할분담이 이뤄져야 한다"고 강조했다.

업계에서는 정보보안대계를 마련하기 위해 KISA의 역할을 재정립해나가는 게 첫번째 과제라고 입을 모은다.

미국의 경우 국가컴퓨터안전국(NCSC)이 국가 정보화에 대한 기획과 수행을 담당하고 정보보호전략의 종합적 비전을 제시하는 연구사업을 진행한다.

이러한 미국의 사례를 본보기 삼아 국가 정보화에 대한 큰 그림을 마련하는 역할을 KISA에 맡기고 인증작업 등 부수적인 일은 외부기관이 하게 해야 한다는 것.

한마디로 KISA는 연구에만 몰두할 수 있는 기관으로 거듭 나야 한다는 지적이다.

업계의 한 관계자는 "KISA의 위상 재정립을 바탕으로 국가정보원과 경찰청ㆍETRIㆍ국가보안연구소 등에 흩어져 있는 정보보호 기능을 하나로 묶어낼 수 있는 통일된 창구를 마련해야 한다"고 지적했다.

무엇보다 국민들에게 만연한 보안불감증을 개선할 수 있는 정책방향을 제시하는 게 시급한 상황이다. 한국민 특유의 '냄비근성'은 유독 정보보안에서만은 찾아보기 힘들다.

이번 코드레드의 확산 역시 정부의 대응에 손발을 맞춰주지 않은 기업들의 방관에서도 원인을 찾을 수 있다.

고 과장은 "지난 7월19일부터 기업 전산담당자에게 코드레드 관련 경고메일을 보내는 등 나름대로 노력했지만 기업들이 따라주지 않았다"고 말했다.

거듭되는 바이러스 경고에도 불구하고 "나에게는 별일 없겠지"하는 안이한 태도가 결국 자신에게 피해로 돌아왔다는 지적이다.

김한진기자