“우리 정보훔치러 들어오는 게 아니에요. 그냥 거쳐가는 거죠. 우리나라만큼 정보기관의 추적을 따돌리기에 좋은 환경이 없다더군요.”

인터넷 업체 P사의C(28) 사장은 매일 사이트에 들어와 사이트 접속 정보파일(로그파일)까지 지우고 사라지던 해커가 최근에야 발길을 끊었다며 안도의 한숨이다. 사이트운영에 중요한 로그파일이 시도때도 없이 지워져 버렸지만 중소 업체로서 문단속(?)하는 일이 쉽지 않았다는 것.

지푸라기라도 잡는 심정으로 한국정보보호진흥원(KISA)과 경찰청에 신고해 봤지만 허사였다. 자신이 왔다간 흔적까지 지워버리는 실력의 해커를 잡을 국내 기관은 찾아보기 힘들었다.

결국 C 사장은 400여만원을 들여 방화벽(파이어월)을 설치하고 나서야 해킹의 공포에서 벗어날 수 있었다.

한반도가 해커들의 놀이터로 전락하고 있지만 국가적 대응책 마련은 답보 상태다. KISA의 보고서에 따르면 국내 해킹 피해 접수 건수는 매년 평균 300%씩 급증하고있다.

미ㆍ중 사이버 전쟁이 벌어졌던 올해는 5월말까지 KISA에 접수된 피해만 2,287건으로 지난해 전체 수치를 훌쩍 뛰어넘어 버렸다.

특히 국내 피해 기관의 절반 정도가 대학이라는 점은 한국을 찾는 해커들의 노림수를 짐작케 해준다. 훔쳐갈 정보가 부족한 대학은 해외 해커들의 종착역이 아니라 경유지에 불과하다는 것.

대학 뿐 아니라 초ㆍ중ㆍ고의 홈페이지 피해도 같은 이유로 늘어나고 있다. 지난해 말에는 해외 공공기관을 노리는 해커가 P여고의 홈페이지를 경유지로 사용, 충격을 던져줬다.

국내기관 사후약방문 처방

국내 유관 기관은 늘어나는 정보침해 사고에 ‘땜질식 처방’으로 일관하고 있다. 해킹 사건이 발생할 때마다 KISA는 해외 정보기관의 경고 메시지를 전달받고 나서야 국내 피해를 어렴풋이 짐작하는 수준이다. 크고 작은 바이러스에 대한 백신 프로그램 마련도 해외 기관과 백신 업체의 도움이 없으면 거의 불가능하다.

최근 기승을 부린 코드레드 웜에 대한 정보통신부와 KISA의 대응은 이 같은 현실을 극명하게 보여주었다.

정보통신부와 KISA는 코드레드가 기승을 부리던 7월 한달동안 뒷짐만 지고 있다가 7월말에야 치료서비스를 제공했다. 치료서비스 이전의 해법은 기업체 시스템 관리자에게 보내주는 경고 메시지가 고작이었다.

그러다 일부 언론이 정통부ㆍKISA에 대한 비난의 수위를 높이자 부랴부랴 업계 관계자들을 소집하고 종합대책을 마련하는 등 한바탕 소란을 피웠다.

정부의 장기 비전 부재도 정보보호 정책의 수립과 집행에 걸림돌이 되고 있다. 올초 가까스로 통과된 정보통신기반보호법의 시행 시기가 부처간 힘겨루기로 인해 계속 미뤄져온 게 단적인 예다.

국가보안이라는 대계 마련이 부처이기주의로 희생되고 있는 것이다. 덕분에 국내 정보통신 기반시설은 올해말까지 보안 사각지대로 남아있어야 할 형편이다.

정부ㆍ공공기관의 보안 시스템 구축 작업도 같은 이유로 겉돌고 있다. 방화벽 이후의 보안시스템으로 부각된 침입탐지시스템(IDS)에 대한 인증작업이 계속 늦어지고 있어 한동안 국내 주요 기관의 사이트는 ‘방화벽 외줄타기’로 해커의 침입을 막아내야 한다.

전문가들은 겉도는 국내 보안정책의 가장 큰 원인으로 전문인력 부족과 통일된 기구의 부재를 꼽는다.

벤처 열풍에 기인한 인력 이탈로 KISA 등 유관기관에는 실무를 담당할 박사급 연구원이 태부족인 실정이다. 특히 정통부와 국방부, 국가정보원 등 유관기관이 한 자리에 모여 정보보안에 대한 비전을 마련할 창구가 없다는 것.

미래 정보전 대응 답보상태

겉도는 정보보안 정책은 미래 사이버 전쟁에 대한 위기감마저 낳고 있다. 지난 4월 미국 정찰기와 중국 전투기의 충돌로 야기된 사이버 전쟁이 생생한 사례. 미국과 중국 해커들의 치열한 전쟁 속에애꿎은 국내 170여 사이트가 해킹의 제물이 됐다.

하지만 정부는 별다른 방어책을 마련하지 못했다.

다른 나라들은 조직적인 사이버 전쟁 인력 양성으로 미래 정보전에 대비하고 있다. 중국은 국가적 차원에서 해커부대(네트포스)를 양성하고 있으며 북한도 정보기술(IT) 인력들을 동구권에 보내 해킹 내공을 키우고 있다.

미국과 일본 등은 국방부와 정보기관을 중심으로 고급 해킹기법을 갖춘 특공대를 양성하고 있다.

우리나라도 몇몇 기관에서 ‘타이거팀’ 창설 등을 시도는 해보았지만 가시적인 성과는 거두지 못하고 있다.

이는 국제 역학관계로 인해 ‘내놓고’ 인력을 양성할 수 없다는 한계와 전문인력 확보의 어려움에서 비롯된 일이다. 특히 “해킹은 무조건 나쁘다”는 인식이 바뀌지 않는 한 국민 여론의 뒷받침도 기대하기 힘든 상황이다.

전문인력 양성이 선결과제

국가 정보보호 새판을 짜기 위해 가장 시급한 과제는 전문인력을 키울 수 있는 제도의 확립이다. 경기대 최운호 교수는 이를 위해 실업고에 정보보호과를 설립하는 방안을 내놓는 한편 ‘사이버 ROTC’ 제도의 조기 도입을 촉구했다.

실업고에 정보보호과를 신설하는 방안은 조기교육을 통해 보안 영재를 길러내자는 포석이다.

특히 대학 진학률이 취업률에 육박하고 있는 실업고의 파행 운영에 대한 타개책으로도 효과적이라는 것.

‘사이버ROTC’는 미국에서 먼저 탄생한 제도다. 네트워크와 프로그래밍에 통달한 보안장교 육성을 위해 대학교 첫학기부터 관련 지식을 습득하도록 만들어 사이버 방위체계에 투입하자는 컨셉이다.

이는 상대적으로 적은 임금으로 고급 두뇌를 공공기관에서 써먹을 수 있다는 점에서도 환영할 만하다.

최 교수는 “수도권 대학에 정보보호과를 신설해 인력을 양성하겠다는 정부의 발표 이후에도 실제 증설된 과는 거의 없는 상황”이라며 “보다 실효성 있는 제도의 정비가 절실한 시점”이라고 설명했다.

또 공공기관의 인력 확보를 위한 특별 임금체계의 도입도 검토해볼 만하다. 정통부정보보호기획과 고광섭 과장은 “정보보호 관련 공무원의 임금 수준을 높이려는 몇가지 방안을 마련했지만 기획예산처의 협조 없이는 불가능한 상황”이라고 말했다.

KISA의 위상재정립과 ‘사이버 워룸’의 신설

또 하나의 해묵은 과제는KISA의 위상 재정립. KISA는 본연의 연구 기능을 뒷전으로 미루고 인증 작업 등 부수적인 업무로 눈코뜰새 없는 상황이다.

미국의 경우 국가컴퓨터안전국(NCSC)이 정보화에 대한 기획과 수행을 전담하고 정보보호 전략의 종합적 비전을 제시하는 연구사업을 진행한다.

이러한 미국의 사례를 본보기 삼아 국가 정보화에 대한 큰 그림을 그리는 역할을 KISA에 맡기고 인증작업등 부수적인 일은 외부 기관에 맡겨야 한다는 것.

또 모든 유관 기관을 총체적으로 연결하는 핫라인의 개설도 유력한 대안이다. 경찰청 사이버테러대응센터 하옥현 단장은 “국가정보원과 경찰청, ETRI, 국가보안연구소 등으로 흩어져 있는 정보보호 기능을 하나로 묶어낼 수 있는 통일 창구를 마련해야 한다”고 지적했다.

사이버 전쟁과 관련해 유관기관이 협력하는 ‘사이버 전황실’(워룸, War Room)을 만드는 것도 한 방법이다. 최운호 교수는 “이미 사이버 전쟁은 미래의 일이 아닌 현실”이라며 “미국ㆍ일본 등 선진국도 사이버 워룸을 개설해 국가적 차원에서 정보전에 대비하고 있다”고 설명했다.

김한진 서울경제신문기자