- 사용자들의 보안인식 제고 필요

[디지털데일리 이민형기자] 지난 2009년 7월7일 저녁, 국내 주요 포털사이트를 비롯해 국가기관 웹사이트, 금융권 웹사이트의 서비스 이용이 중단되는 사건이 발생했다.

얼마 지나지 않아 이 사건은 대량 유해 트래픽을 수반하는 디도스(분산서비스거부, DDoS) 공격으로 밝혀졌다. 악성코드에 감염된 개인PC 5만여대가 일제히 특정사이트에 접속하도록 조작한 사이버공격으로 규정됐다.

3일간에 걸친 사이버공격으로 국내 대표격 웹사이트들은 한차례, 혹은 그 이상 피해를 입었고, 개인사용자들 중 일부는 3차 디도스 공격으로 인해 PC에 저장된 데이터가 손상되는 피해도 발생했다.

어느 정도의 신뢰성을 부여할 것인지는 논란의 여지가 있지만 당시 정부에서 발표한 피해액은 신고되지 않은 수치를 포함해 최대 544억원으로, 역대 최대규모였다.

이후 이 사건은 ‘7.7 디도스’로 불리며 사이버공격을 넘어선 사이버테러의 첫 사례로 기록됐다. 이 사건이후 정보보안 의식이 다소 높아지는 긍정적인 변화가 있었다. 그러나 7.7 디도스 사태가 국내의 보안수준을 정말로 일정 수준이상 끌여올려는지는 논란의 여지가 있다.  오히려 국내 기업들의 보안투자는 지난해 4월초 농협 전산 마비사태이후 금융 당국이 금융회사의 보안 투자를 대폭 강화시키면서 비로소 활발하게 전개되는 양상이다.  

한편 7.7 디도스 사건 이후에도 국내 주요 웹사이트를 대상으로 한 사이버 공격은 끊임없이 일어났다. 그리고 더 치밀하고 정교해졌다.

단순히 웹사이트를 공격해 서비스를 중단케 하는 디도스 공격은 2011년  3월 한차례 더 있었으나 그간 경험으로 인해 큰 피해는 없었다.

오히려 이후에는 디도스를 능가하는 훨씬 고도화된 사이버 공격이 이어졌고 실질적인 피해로 이어졌다. 현대캐피탈, SK커뮤니케이션즈, 넥슨, 한국교육방송공사(EBS) 등이 해킹당해 국민들의 개인정보가 유출되는 사고가 발생한 것이다.

사이버테러를 경험했음에도 이러한 사건이 지속적으로 발생하는 이유는 무엇일까.

구태언 행복마루 변호사는 “7.7 디도스 사건 이후 보안에 대한 인식이 높아진 것은 사실이지만, 실제 보안에 대해 꾸준한 고민을 해왔던 기업은 많지 않았다고 본다. 디도스 공격이 늘상 들어오는 것도 아니고, 자신들이 타깃이 될 것이라고는 전혀 생각하지 않고 있기 때문”이라고 지적했다. 그는 이어 “비용적인 측면에서도 고가의 보안장비를 도입하지 못하는 경우가 많다고 들은바 있다. 이는 중소기업만의 문제는 아니다”고 강조했다.

해커들의 공격기법이 은밀하고 정교해진 것도 끊임없는 보안사고의 이유라는 주장도 나왔다.

문종현 잉카인터넷 ISARC(시큐리티대응센터) 팀장은 “최근 알려지지 않은 취약점을 악용한 제로데이 공격이 끊임없이 발생하고 있다. 대규모의 디도스공격은 단순히 이목을 집중시키기 위한 것임에 반해, 지능형지속가능위협(APT) 공격은 특정기관, 기업의 기밀을 캐내 금전적인 이득을 추구할 수 있기 때문”이라고 주장했다.

실제 지난해에 발생한 사이버공격은 농협을 제외한 모든 경우가 개인정보를 탈취하기 위한 목적으로 수행됐다.

보안업계, 법조계 보안전문가들은 사고가 지속적으로 발생하는 또 다른 이유로 사용자들의 보안인식은 그리 크게 성장하지 않았다는 것에 주목했다. 기본적인 컴플라이언스조차 지키지 못하는 상황에 고가의 보안솔루션은 제 역할을 못한다. 즉, 사용자들의 보안인식 제고가 최우선이라는 의미.

구 변호사는 “업무용 PC는 업무용으로만 사용할 수 있는 문화가 제일 우선적으로 필요하다고 본다. 대부분의 사고는 업무용 PC를 가지고 개인적인 일을 하다가 발생한 경우가 많기 때문”이라며 “APT 공격은 가장 우선적으로 최종사용자가 조심해야 막을 수 있다”고 말했다.

이어 “사이버보안교육을 국가차원에서 강제하는 것도 사고를 예방하는데 도움이 될 것이라고 생각한다. 교육의 부재는 보안사고를 불러온다”고 강조했다.

보안사고를 막기위한 기본적인 전제는 사용자들의 보안인식이지만, 그 기저에는 튼튼한 보안인프라가 필요하다. 이는 철저한 보안인프라 구축이 보안사고를 막을 수 있다는 의미로 해석할 수 있다.

최근 디도스 공격이 뜸해진 것은 사실이지만, 앞으로도 없을 것이라는 보장은 없다. 단시간에 가장 높은 효과를 볼 수 있는 기법이기 때문이다.

윤광택 시만텍코리아 이사는 “우리가 구축한 보안인프라가 어떤 공격을 막을 수 있고, 어떤 공격은 막을 수 없는지를 파악하는 것이 필요하다”고 운을 뗐다.

그는 이어 “최근 금전적인 목적으로 표적공격, 악성코드 배포를 하고 있어 기관이나 기업이 대응하기가 쉽진 않다. 특히 과거에 비해서 정교한 공격이 가능하고 수준이 올라갔기 때문”이라며 “공격자는 방어자보다 민첩하게 움직인다. 그만큼 보안인프라 준비를 더 철저하게 해야한다는 의미로 그물망을 촘촘히 가져가야한다”고 말했다.

<이민형 기자>kiku@ddaily.co.kr