사이버 보안이 비상이다. 3월20일 오후2시 주요 방송사와 금융사의 전산망이 일제히 마비됐다. 전무후무한 일로 2009년 7ㆍ7 디도스(DDosㆍ분산서비스거부) 공격, 2011년 3ㆍ4 디도스 공격 때와 달리 악성코드를 이용한 고도화된 방식이었다. 정부는 곧바로 사이버 위기 경보를 ‘주의’ 단계로 높였고 사이버 보안의 최전선에서 서 있는 한국인터넷진흥원은 눈코 뜰 새 없이 바빠졌다. 천재지변에 준하는 사이버공격으로 당초 약속보다 한 주 늦은 4일 오후 만난 이기주 한국인터넷진흥원장은 여전히 ‘비상근무 중’이었다.
이 원장은 인터뷰 내내 ‘사이버 보안’과 이를 통한‘창조경제’ 실현을 강조했다. 그는 “해킹 등의 문제를 꼭 부정적으로만 볼 필요가 없다”고 말했다. 해킹은 정보기술(IT) 선진국이라면 피할 수 없는 필요악이라는 설명이다. 문제는 IT 인프라 투자나 인식ㆍ관심에 비해 해킹 등 역기능에 대비한 투자가 부족했던 점이라고 지적한다. 이 원장은 “IT 인프라 확충과 기술개발을 통해 빠른 속도, 좋은 품질, 저렴한 요금의 서비스를 제공 받을 수 있도록 해야 하지만 동시에 IT 서비스를 안심하고 안전하게 이용할 수 있도록 투자도 해야 한다”며 “또 (사이버 보안에 대한) 물리적 투자도 중요하지만 마인드 설정도 중요하다”고 강조했다. IT가 발전하다 보면 해킹기술도 더 고도화될 수밖에 없는데 이를 막기 위한 관심과 투자가 이뤄지지 않으면 문제가 생길 수밖에 없다는 것이다.
그러면서 사이버테러 시도는 현재 진행형이라고 경고했다. 아직 병원과 발전소 등 공공시설과 사회간접자본(SOC)에 대한 해킹 시도가 성공한 적은 없지만 가능성이 높은 만큼 대비가 필요하다는 주장이다.
이 원장은 “3ㆍ20 전산망 마비 사태 이후에도 언제 어떤 식으로든 사이버테러가 일어날 수 있기 때문에 추가 공격에 대비한 비상근무를 하고 있다”며 “대규모 기간시설, SOC 등은 디도스 공격을 탐지하거나 네트워크상에 트래픽이 폭주해 장애를 일으키는 것들에 대한 대비는 잘돼 있지만 전문가들은 사이버공격이 있을 수 있다고 걱정한다”고 전했다.
그는 “일차적으로 법에 정보통신기반시설로 명시돼 있는 SOC는 시설을 구축한 기관에서 사이버공격에 대한 대비를 해야 한다”며 “그러나 이번에 공격을 받은 방송사ㆍ금융기관 등은 대규모 민간시설이지만 정보통신기반시설로 지정돼 있지 않아 정부의 사전점검도 안 받는 상태였다”고 지적했다. 이번 일을 계기로 주요 기간시설들은 사이버공격에 대비한 고도화된 방어책을 마련할 필요가 있다는 것이다. 인터넷진흥원도 주요 기간시설이 사전에 사이버공격을 받고 있는지 탐지하는 시스템을 구축하고 공격 받았을 때는 단기간에 복구할 수 있도록 기술지원을 해주는 체계를 갖춰야 한다고 말했다.
미래창조과학부와 인터넷진흥원은 이번 사태를 계기로 주요 민간 기반시설에 대한 종합검진에 나서기로 했다. 이 원장은 “사람이 살다가 감기에 걸리고 몸이 아프면 그 일을 계기로 종합검진을 받게 된다”며 “우리나라 인터넷 보안도 늘 재채기를 달고 사는데 이번 사이버공격을 계기로 정보 보안 전반에 대한 대대적인 종합검진이 필요하다”는 의견을 밝혔다. 그는 “조만간 정부 산하기관과 병원ㆍ발전소 등 주요 민간시설에 대한 일체 보안점검에 나설 예정”이라며 “부분별로 점검한 적은 있지만 전체 시설을 대상으로 한꺼번에 하는 것은 이번이 처음”이라고 전했다.
날로 진화하는 해킹을 막기 위해서는 든든한 방패가 필요한 상황이다. 이 원장은 “사이버공격은 갈수록 고도화ㆍ지능화되고 전세계적으로 사이버전 양상이 심화되고 있는데 국내 정보보호 투자와 인식은 낮은 편”이라며 “사이버테러나 공격에 대비한 시설 확충과 방어기술 개발, 인력 확충도 시급하다”고 강조했다.
실제로 미국은 정부 연구개발(R&D) 예산의 2.2%인 33억달러를 사이버 보안 분야에 투자하고 있지만 우리나라는 0.3%, 5,000만달러 수준에 불과하다. 또 인터넷 이용자의 98.7%가 사이버 보안이 중요하다고 인식하고 있는데도 불구하고 실제로 암호를 설정하거나 보안패치를 설치하는 비중은 38.9%로 절반에도 못 미친다. 기업들 중에도 정보화 예산의 5% 이상을 보안에 투자하는 기업은 3.1%에 불과하다.
그는 “나름대로 대응을 하고 있지만 새로운 공격에 대비하기 위한 기술개발과 시설 확충, 전문인력 양성, 관련 법 규정 개선 등이 시급하다”며 “정보보호와 관련된 법 규정 중 미흡한 부분들에 대해 조만간 개선 의견을 정부에 전달할 예정”이라고 말했다.
인터넷 보안 관련 정부기관과 민간기업의 유기적인 협조 체계도 강조했다. 이 원장은 “과거에는 해킹공격이 일방통행이었다면 요즘에는 여러 나라를 거쳐 오기도 하고 IP 자체를 변조해서 보내기도 하기 때문에 단순한 분석으로는 원인을 찾을 수 없다”며 “안보기관ㆍ수사기관ㆍ군 등 공공 부문과 보안업체ㆍ통신ㆍ학계 등이 서로 정보를 공유하고 협조 체계를 유지해야 한다”고 말했다. 이어 “한국인터넷진흥원이 공공 부문과 민간 부문의 가교 역할을 할 수 있다”며 “현재 안보기관ㆍ수사기관ㆍ군 등 공공 부문뿐만 아니라 보안업체ㆍ통신ㆍ학계 등과도 연계하고 있다”고 덧붙였다.
사이버 보안산업 육성이 곧 창조경제, 일자리 창출이라는 게 이 원장의 지론이다. 정보보호산업이 성장하면 시장이 커지는 것은 물론 새로운 시장 발굴과 주변 산업에도 긍정적인 영향을 미쳐 일자리가 생겨난다는 것이다. 현재 국내 보안기업의 92%가량이 중소기업이고 내수시장 규모는 4조6,000억원으로 전세계 시장의 2%에 불과할 정도로 영세하다. 하지만 뒤집어보면 그만큼 성장잠재력이 큰 분야다.
그는 “정보보호산업 육성을 위해 새로운 서비스를 발굴해 보급하고 있다”며 “전자상거래에서 사용되는 공인인증서 관련 규제를 완화하거나 HTML5와 같은 웹 표준을 보급해 외국인들이 국내 웹사이트에서 물건을 쉽게 구매할 수 있는 방안 등을 추진 중”이라고 말했다. 이어 “창의적인 아이디어가 새로운 비즈니스로 탄생할 수 있게 스타트업을 육성하는 것도 중요하다”며 “글로벌 K스타트업 프로그램을 통해 대학생과 일반인들의 혁신적인 아이디어를 비즈니스화하고 해외 진출을 지원하고 있다”고 설명했다.
또 정보 보안과 인터넷을 융합하면 창조경제의 문도 넓게 열린다고 그는 강조했다. 이 원장은 “성장이 정체된 기존 산업 분야와 인터넷 융합을 통해 신성장동력을 발굴할 수 있다”며 “교통ㆍ쇼핑 등 사회 기반 서비스와 근접통신기술(NFC)을 융합시키고 교육 콘텐츠와 소셜네트워크서비스(SNS)가 융합된 ‘소셜교육’, 클라우드와 위치정보의 활용 등이 그중 한 가지”라고 말했다. 기존 사업이 인터넷과 연결되면서 자연스럽게 보안담당자에 대한 수요가 생겨 일자리가 창출될 수 있다는 설명이다.
이 원장은 ‘전자정부’에 이어 ‘정보보호’도 공공 분야의 대표 수출품목이 될 수 있다고 생각한다. 그는 “임상경험이 많은 의사가 훌륭한 의사가 되는 것처럼 우리도 여러 가지 종류의 침해사고를 겪다 보니 해킹에 대응하고 치료할 수 있는 기술이 고도화됐다”며 “이를 개발도상국에 수출해 국내 중소기업들의 해외시장 진출을 지원할 수 있을 것”이라고 말했다. 인터넷 보안 관련 컨설팅을 통해 제도 마련을 지원하고 우리나라 통신회사나 보안업체들과 함께 계약을 진행해 해당 국가에 보안시스템을 구축하고 솔루션을 제공하는 방식이다.
인터넷진흥원은 이미 해외 진출의 전초기지 역할을 맡고 있다. 이 원장은 “지난해 12월 220억원 규모의 르완다 국가 정보보호 구축 프로젝트를 수주했다”며 “동아프리카공동체(EAC), 코스타리카, 방글라데시 등 개도국에 대한 정보보호 자문활동도 지속적으로 추진 중”이라고 말했다. 그는 “3일 13개 개도국의 보안담당자들이 미래부와 인터넷진흥원이 주최하는 연수 프로그램에 참가하기 위해 방문했다”며 “그동안은 우리나라의 유무선 인프라에 대해 관심이 많았는데 요즘에는 인터넷 보안에 대한 관심이 엄청나게 커져 직접 자기네 나라에 방문해달라고 부탁하기도 했다”고 전했다.
선진국도 우리나라 정보보호기술에 관심이 많다. 세계은행(월드뱅크), 유럽연합(EU)과 같은 국제기구와 일본ㆍ영국 등 12개국 79명의 보안전문가들이 지난해 한국인터넷진흥원을 방문했고 인터넷진흥원이 주최하는 해외 방송통신전문가 초청연수에 96개국 349명의 국외 보안전문가들이 참여했다. 이 원장은 “경제협력개발기구(OECD)에 정보보호 전문가로 우리 직원을 파견하고 있다”며 “월드뱅크와 양해각서(MOU)를 체결해 늦어도 내년 초 서울에 글로벌정보보호센터가 설립된다”고 말했다.
인터넷상의 악성 댓글과 사이버폭력도 큰 문제다. 이 원장은 “새로운 인터넷 서비스를 개발하고 보급하는 것도 중요하지만 불건전 콘텐츠 유통, 인터넷 중독, 스마트폰 중독처럼 사회적인 역기능들에 대한 교육도 필요하다”고 강조했다. 이어 “도덕이나 윤리 가르치듯 딱딱한 강의는 효과가 없다”며 “보이스카우트처럼 활동을 통해 스스로 깨우칠 수 있도록 전국 400개 학교에 ‘한국 인터넷 드림단’을 운영하고 있다”고 덧붙였다. 또 “젊은 사람들의 가치 변화, 문화 변화 등이 끊임없이 일어나고 있어 일방적인 교육으로 문제가 해결되지 않는다”며 “무엇보다 건전하게 인터넷을 이용하자는 문화의 확산이 가장 중요하다”고 말했다.
부드러운 카리스마 갖춘 방통융합 전문가… IPTV 산파 역할 우승호기자 derrida@sed.co.kr |