KOSEN 한인과학기술자네트워크

필자는 불란서에서 7년간의 학위기간을 마친 후 한국의 한 SI 전문업체에서 시스템보안기술 연구와 보안 진단컨설팅을 수행해왔다. 다행히 그간 갈고 닦았던(?) 분야가 암호학(Cryptography)이고, 보안과는 밀접한 학문이어서 그런지 정보 보안업무를 무척이나 재미있게 시작했었다. 인터넷 대란 어느 토요일 오후 가족과 즐거운 시간을 지내던 중 한 통의 전화를 받게 되었다. "변 책임님, 여기 정보보안센터입니다. 지금 바로 부서로 복귀하셔야 될 것 같은데요." 도착 즉시 상황을 알아보자 사내 이메일 뿐 아니라 인터넷 검색, 금융, 예약, 쇼핑, 게임, 커뮤니티 등이 모두 정지되어 있었다. 그토록 편리하던 인터넷이 이렇게 쉽게 기능을 상실할 수 있다는 사실에 새삼 놀라지 않을 수 없었다. 그것도 376바이트에 포함된 웜 때문에 웜감염과는 전혀 상관없어 보이는 네임서버가 다운되어 네트워크가 두절되는 현상이 발생했던 것이다. 소련의 핵 공격에도 네트워크 연결이 두절되지 않도록 서버를 분산시켜 고안된 개념이 인터넷이건만, 외부로부터 명령어를 수행시킬 수 있도록 시스템에 침입한 후, 376 바이트의 웜 코드를 불특정 IP 주소로 반복적으로 발송하도록 하는 단순한 공격으로 인해 우리가 그토록 의존하던 인터넷이 무력화되다니! 더욱 놀라운 것은 이번 사태가 사이버테러로 인한 "인터넷 대란"이라는 점이란다. 이번 사태가 과연 사이버 테러인가를 곰곰히 생각해보았으나, 필자는 이번 사이버 테러로 인해 한 사람이라도 사망했다는 소식을 들어본 적이 없다. 실제 테러리스트는 레바논의 미 해병대 병영을 폭파했고 U.S.S.콜 구축함을 공격하고 또한 세계 무역센터와 펜타곤에 자폭 테러를 가했다. 이것이 테러이다. 그저 컴퓨터에 능숙할 뿐인 해커들이 이런 사건들과 무슨 관계가 있단 말인가. 실제로 해커가 컴퓨터로 침입, 실제 테러와 같은 피해를 입히는 것은 거의 불가능한 일이다. 해킹 자체에도 라우터, 스위치, 통신프로토콜을 비롯한 네트워킹기술, 코딩기술 등 상당한 전문지식을 필요로 하지만, 그러한 기술을 모두 지닌 해커라 하더라도 방화벽, 침입탐지시스템(IDS)과 같은 보안장비들을 뚫어야 하기 때문에 기업 전산망에 대한 해킹 피해는 실제로 미비하다고 할 수 있다.

사이버테러리즘

정부나 시민들에게 자기네 요구를 강요하거나 위협할 목적으로 국가의 핵심 인프라(에너지와 운송 수단, 혹은 정부기관)를 폐쇄시키는데 사이버 도구를 사용한다는 의미

하루이틀 이메일을 보지 못한다면 짜증은 나겠지만 이를 '테러' 라고 표현하기에는 무리가 있다. 사이버 테러리즘의 남용 그리 놀랄 일도 아니지만 해킹을 당하기 쉬운 인프라는 인터넷 그 자체에 있다. 즉 인터넷이 주는 가장 큰 위협은 국가간의 통신이 너무 손쉽다는 것과 엄청난 양의 트래픽 속에 해킹의 위험성이 항상 숨어 있다는 것이다. 즉 "지금 당장 문제가 되는 것은 On-Line 사이버테러리즘에 대한 위험성보다는 테러리스트들이 인터넷을 사용해서 Off-Line 테러 공격을 계획하는 경우라고 할 수 있다" 문제는 최근까지 IT정보보호 솔루션 판매나 혹은 필자가 하고 있는 정보보안 컨설팅에서 가장 손쉬운 마케팅전략은 위협요소와 그로 인한 시스템의 취약성을 과대포장하는 것이었다는 것을 솔직히 부인할 수는 없다. 물론 이 과정에서 정보 보호 전문가가 제시하는 각 비즈니스의 특성에 맞는 정보보호 정책이나 적절한 솔루션 도입이라는 원칙은 배제된 채 말이다. 하지만 이미 충분히 입증되었듯이, 이렇게 소비자의 공포심을 자극하는 마케팅 전략이 올바른 정보보호의 최선책이 되지 못할 뿐 아니라, 사용자가 원하는 최소한의 정보보호 효과도 보장할 수 없게 된다는 것이다. 더욱이 사이버 테러리즘이라는 이슈를 등에 업은 정보보호 솔루션의 마케팅이나 컨설팅방식이 점점 고객들로부터 외면 당하고 있는 것이 현재 상황이라 할 수 있다. 물론 사이버테러에 대한 위협요소는 오늘 날 분명히 존재하고 있다. 현재까지는 이러한 행위들이 자주 나타나지는 않았지만, 이들의 공격 결과는 최소한 우리 생활에 적잖은 불편함을 안겨줄 수 있으며, 심각한 경우 지금까지 우리가 만들어 놓은 사회 전체를 마비시킬 수 있음을 쉽게 짐작할 수 있다. 때문에 우리에게 보다 중요한 것은 보이지도 않는 가상의 적들에 대한 해킹능력을 과대평가하는 것보다는, 알 카에다와 같은 테러 조직에 의해 사이버 테러가 가능하고 그것이 더욱 더 무서운 결과를 초래할 수 있다는 점이다. 물론 이러한 주장의 배경에는 이들이 사이버 공격에 대한 충분한 능력이 있다는 근거가 있다. 사이버 테러리즘은 쉽게, 그리고 비싼 비용을 투자하지 않더라고 소기의 성과를 달성할 수 있다. 그렇다면 누가 우리의 정보를 보호할 수 있을까? 기본적으로 다른 IT 정보보호의 측면처럼 올바른 정보보호는 시스템 가치의 이해와 이들 시스템이 보호하고 있는 정보자산의 가치, 그리고 심각한 해킹침해사고 대응책에 대한 올바른 판단에서 출발하는 것이다. 그러나 궁극적인 정보보호는 사용자라는 관점에서 정보 보호를 위한 법과 제도의 개선과 함께 사용자 개개인의 정보 보호의식의 제고를 위한 노력이 계속되어야 한다는 점이다. 사용자 개개인은 “내 PC는 내가 지킨다”라는 철저한 보안의식이 없으면 정부의 노력도 정보보호시스템도, 정보보호관리체계도 무용지물이 될 뿐이다. 그러나 아쉽게도 우리의 보안의식은 거의 제로에 가깝다. 우선 기본적으로 정보보호의 중요성을 인식하는 일과 비밀번호나 자신의 개인신상정보를 보호하는 일부터 시작해서, 나아가서는 신용정보나 기업의 비밀까지도 보호할 수 있는데까지 발전할 수 있도록 노력해야 한다.