정부통합전산센터가 최근 실시한 자체 모의 해킹방어훈련에서 정부통합전산망이 손쉽게 해킹 당했다. 대학의 연구소와 해커 동아리 회원들이 해킹 공격을 하자 중앙부처의 정보자원을 통합 운영하는 전산망에서 일부 사용자의 암호화되지 않은 비밀번호가 유출됐다. 2007년 모의 해킹에서도 67개 정부기관 가운데 57곳이 보안의 허점을 드러냈다.
그제 검찰은 농협에 대한 사이버테러가 북한 정찰총국 소행이라고 발표했다. 다른 금융기관이나 한국거래소, 지급결제 시스템을 운영하는 금융결제원 전산망도 북한의 사이버 공격 대상이 될 수 있다. 원자력발전소, 군사장비, 교통시스템 등의 전산망도 마찬가지다. 4년 전 개봉된 영화 다이하드4.0은 테러리스트들이 미국의 국가기간전산망을 해킹해 교통과 금융 전력 가스 등의 제어시스템이 마비되고 미국 전체가 공황상태에 빠지는 가공할 스토리를 담고 있다. 이런 상황이 이젠 영화 속의 이야기에 그치지 않는다.
사이버 공격은 과거 시스템의 취약점을 공략해 악성코드를 유입시키고 인터넷에 장애를 유발하는 방식이었다. 최근에는 금융정보 해킹 또는 게임사이트 공격처럼 목적과 대상이 명확한 조직범죄형이 늘고 있다. 보안이 잘 돼 있는 기관이나 기업에 대해서는 고객 등 개인들의 PC를 좀비PC로 만들어 공격한다. 악성코드나 공격기법의 탐지 분석을 어렵게 하는 스텔스 기법이 활용되기도 한다.
국가 기간시설을 공격하는 악성코드 스턱스넷은 더 위험하다. 국가기관의 통합제어시스템에 침투해 오작동을 일으켜 시스템을 마비시킨다. 스턱스넷이 작년 이란의 한 원전에서 원심분리기 가운데 20%의 가동을 중단시켰다. 중국의 산샤 댐과 고속철도의 자동제어시스템도 이 악성코드에 당했다. 스턱스넷은 일반 PC를 옮겨 다니다 USB(이동식 저장장치)를 통해 산업시설 내 컴퓨터로 침투할 수 있다. 검찰은 국내 PC 1300여대가 스턱스넷에 감염돼 있다고 밝혔다.
정부는 2009년 디도스(DDoS분산서비스 거부) 공격을 받은 뒤 보안인력 양성 등 사이버 위기 대응 체제를 정비했다. 그러나 농협 사태에서 보듯이 전문가조차 보안의식이 약하고 하청, 재하청 방식으로 전산시스템을 운영해 사이버 테러의 경로도 파악하기 어려운 상황이다. 지금은 정보 보안이 고속도로나 철도 같은 사회간접자본(SOC)의 하나다. 4대강 정비처럼 눈에 보이는 사업만 중요한 것이 아니다. 국가 전체가 마비될 수도 있는 정보 보안 위기를 사전에 예방하기 위한 전면적 재점검이 더 중요하다.
About Dong-A Ilbo