디지털세상 보이지않는 위험산적 "알고도 당한다"

지재권침해 시스템 무력화 등 범죄유형 다양
값비싼 솔루션-방화벽-암호기술 과신 금물

미리 예방할 줄 모르는 무신경함을 나무라는 '소 잃고 외양간 고친다'는 많은 사람들이 공감하는 속담이다. 그러나 디지털 보안 문제에 있어서 만큼은 보안 기술이 침해 기술을 앞지를 수 없다는 것이 일반적인 상식이다.
그러나 보안 전문가들이 보다 강한 정보보호 체계를 구축하기 위해서 무엇보다 강조하는 내용은 이와는 좀 다르다. 이들이 한결같이 주장하는 것은 정보보호의 중요성에 대한 인식 확대와 예방 조치, 적절한 관리 인력 배치 등 사전 준비의 중요성이다.
전문가들은 디지털 보안과 관련한 사고 발생 빈도가 급증하는 것은 당연한 현상이라고 말한다. 이는 인터넷 등 네트워크 기술이 발달하고 그 사용이 확산됨에 따라 위험에 노출될 가능성도 필연적으로 증가한다고 판단하기 때문. 어떤 네트워크 기술도 완벽할 수 없다는 것도 모든 전문가들이 동의하는 사실이다.
그러나 이들은 보안 사고가 날 때마다 보안기술이 형편없다고 소리치는 사람들을 향해 "같은 기술을 가지고 적절한 예방만 했어도 피해를 절반은 줄일 수 있었을 것"이라고 경고하고 있다. 즉 예방·탐지·대응 3요소 중 어느 한 가지도 다른 것보다 덜 중요하지 않다는 것.

디지털 공격에 대한 예방의 문제는 최근 들어 더욱 불거지고 있는 이슈다. 특히 코드레드 웜 바이러스 등 심각한 침해 사건 발생 시 보여졌던 국내 디지털 보안의 취약함은 문제의 심각성을 알 수 있게 한다. 심지어 코드레드 웜 바이러스의 경우에는 대부분의 첨단 기술기업과 주요 국가기관들마저도 맥없이 무너져 버려, 전자적 침해에 대해서 대책 없기는 대규모 기관이라도 마찬가지임을 알 수 있게 했다.
현재 우리나라는 2,000만 명 이상의 인터넷 이용자 수와 400만 이상의 초고속 인터넷 이용가구 수를 기록하는 등 세계 최고 수준의 인터넷 인프라 수준을 자랑하고 있다. 그러나 반면에 전자적 침해사고가 발생했을 경우, 그 피해 정도로도 둘째가라면 서러운 것이 한국이다. 최적의 인프라와 최악의 보안 체계·마인드가 침해자에겐 더할 나위 없이 좋은 환경이 되는 것은 당연한 일이다.
이 같은 상황에서 정부는 최근 뒤늦게나마 급하게 국가적 디지털 보안 체계를 강화하고 전문 인력 양성을 위한 교육 프로그램을 개설하는 등 대책 마련에 나서고 있다. 그러나 가장 시급한 것은 두말할 나위 없이 보안의 중요성에 대한 전 국민적 인식 확대와 정보 공유다.

디지털 보안은 과연 무엇에 대한 보안인가? 디지털 공간에서의 위험이란 도대체 어떤 것인가? 전문가들은 물리적 공간에서 일어나는 일과 거의 똑같은 일들이 이곳에서도 일어난다고 말한다. 디지털 사회로 이동하면서 새롭게 등장한 위험 요소도 많지만 대부분의 경우는 전통적인 위험과 그다지 다를 게 없다. 단지 차이는 이 같은 범죄적 행위가 디지털 공간에서 일어난다는 것뿐이다. 디지털 공간에서는 공격자가 피해자에게 물리적으로 접근할 필요가 없어 범죄에 대한 부담이 적다. 때문에 많은 공격자들은 자신의 행동이 범죄적이라는 사실 자체를 인식하지 못한다고 한다. 최근에는 디지털 공격 수단이 점차 자동화 돼 가면서 공격자들간에 기술 전파 속도도 급격히 빨라지고 있다.
디지털 공간에서 발행하는 위험은 위조나 사기, 지적재산권 침해, 신원이나 브랜드 도용 외에도 바이러스, 네트워크나 시스템을 무력화시키는 파괴적인 공격 등이 있다. 이런 위험들은 대부분 사회에서 범죄적인 것으로 인식되고 있는 것이다. 그 외에, 네트워크 트래픽을 분석한다든지 첨단기기를 이용한 감시활동, 방대한 개인정보 DB 관리 등을 통한 프라이버시 침해 가능성은 사정이 좀 다르다. 개인 프라이버시의 침해는 분명히 범죄적인 행위임에도 불구하고 이 같은 감시기능은 범죄행위를 막기 위한 감시 기술의 발달 과정에서 이뤄진 것이기 때문이다. 그러나 최근에는 프라이버시 침해에 대한 문제제기도 많이 이뤄지고 있어, 프라이버시 침해가 디지털 공간의 분명한 위험요소로서 인식되고 있는 경향이다.

디지털 공간의 위험인물들은 또 어떤 사람들인가? 물론, 디지털 공간의 공격자들도 물리적 공간에서와 마찬가지로 나름의 목적들을 가지고 있다. 단 네트워크 상에서 이뤄지는 공격이라는 특성상, 이곳에서는 공격의 목적 중 큰 비중을 차지하는 한 가지가 단순한 호기심과 실력 과시라는 점이다.
'해커(hacker)'는 디지털 공간에서 공격자의 대명사처럼 여겨지고 있는 단어다. 그러나 60년대 미국 MIT 대학생들을 시작으로 전파되기 시작한 단어로, 초기에는 컴퓨터가 작동하는 방식을 이해하는 전문적인 시스템 관리자를 가리키는 좋은 의미로 사용됐다. 그러나 실력을 무기로 하는 윤리의식이 없는 해커들이 등장하기 시작하면서 나쁜 의미로 더 알려지게 됐으며, 현재는 실력을 갖춘 전문 시스템 관리자로부터 아무 컴퓨터에나 침입하고는 즐거워하는 철없는 10대를 일컫는 말로 광범위하게 사용됐다. 그래서 최근에는 해커라는 단어의 이 같은 가치 중립적인 성격에 불평하는 사람들에 의해 '크래커(cracker)'라는 말도 많이 사용되고 있다. 크래커는 윤리의식이 없는 '나쁜' 해커를 가리킨다.
다른 사람의 컴퓨터나 시스템에 침입해 공격을 가하는 해커들에 의해 많은 피해가 발생하는 것은 분명한 사실이다. 그러나 보안 전문가들은 악의적인 내부자가 더 위험한 존재라고 경고한다. 이들은 시스템 보호를 위해 마련한 방어벽을 뚫을 필요도 없고 수준 높은 시스템 접근 권한을 가지고 있는 경우가 대부분이다. 따라서 한 번 마음을 먹으면 그 범죄를 막는 다는 것은 거의 불가능한 일이다.
최근에는 정치적인 의도를 가지고 파괴적인 디지털 공격을 감행하는 사람들에게도 '테러리스트'라는 말을 사용한다. 이는 정보수집이나 금전적인 이윤 등의 목적이 아니라 목표 시스템에 피해를 주는 것 자체가 목적이 되는 경우다. 따라서 테러리스트들은 시스템을 무력화시키는 서비스 거부공격이나 공공연한 파괴 행위를 주로 선택한다.
또 하나, 대부분 디지털 보안에서 피해자나 해결자로서만 인식되기 쉬운 기업에서의 경영진이나 국가정보기관 등도 얼마든지 공격자가 될 수 있다. 보안 관리의 명목 하에 가장 높은 정보 접근권을 가지고 있는 이들은 한편으론 가장 강력한 공격자가 될 수 있는 것이다. 이들이 가지고 있는 풍부한 자금과 인력, 사회적 권한도 공격의 근거로 사용될 수 있다.

그렇다면, 이 같은 위험과 공격자들이 존재하는 디지털 공간에서 '안전'을 보장받기 위해서는 무엇을 해야 하나? 대게 '보안'이라는 말과 함께 값비싼 보안 솔루션들을 떠올리며, 주머니가 빈약한 기관이나 기업, 개개인은 속수무책으로 당할 수밖에 없다는 자포자기에 빠지기 쉽다. 그러나 과연 그것이 진실일까? 그렇다면 고가의 보안 솔루션들을 이중 삼중으로 도입하고 큰소리치던 기업들이 단 한번의 공격에 맥없이 무너진 것은 무슨 이유에서인가?

보안도 이젠 기본 인프라... 적극구축 서둘 때
예방-탐지-대응 3요소 유기적 결합 필수적

보안 솔루션은 그저 솔루션일 뿐이다. 도둑은 허술한 뒷문을 노리고 있는데 앞문에만 자물쇠를 서너 개 다는 것만큼 어리석은 일도 없다. 또, 도둑을 막겠다고 CCTV를 장착해도, 정작 그것을 관리하는 사람이 없는데 CCTV 혼자서 도둑을 잡는 것도 아니다.
제대로 된 보안을 위해서는 우선 현재 처해 있는 상황과 가능한 위험을 제대로 파악하고, 그것에 따른 적절한 보안 설계를 하는 게 중요하다. 물론 그러기 위해서는 자신의 시스템 취약점과 최근 디지털 공격·방어 기법 등에 대해 일상적인 관심을 기울일 필요가 있다. 바이러스와 같은 위험에 대비해서는 백신을 구할 수 있는 경로를 미리 알아두는 것이 좋다. PKI를 포함한 암호기술, 생체인증, 방화벽이나 IDS 등 디지털 위험을 최소화하기 위한 기술들이 계속해서 나오고 있지만, 이를 100% 신뢰하는 것도 금물이다. 즉, 능동적인 '관리'가 필요하다는 뜻이다. 키워드 방식으로 개인정보를 관리하고 있는 개인들은 정기적으로 키워드를 바꿔줄 필요도 있고, 피시방 등 많은 사람이 이용하는 공공장소의 컴퓨터 등 기기를 사용할 때는 가능하면 중요한 정보가 유출되지 않도록 한다. 기업에서는 보안 솔루션을 통해 나온 자료들을 분석해 공격의 경향을 파악하고, 차후의 보안 정책을 수립하는 데 이용할 수 있도록 해야 한다.
또 네트워크나 고급 시스템의 도입이 기본 인프라로서 여겨지고 있는 것처럼, 보안도 기본적으로 이와 병행돼야 할 인프라라는 인식이 필요하다. 현재까지 대부분의 기업이나 기관은 보안을 여유 있을 때 하면 되는 '투자' 정도로 생각해 온 게 사실이다. 고가의 보안 솔루션을 도입한 곳에서조차 비상시에나 필요할 것 같은 보안 전담 인력을 두는 것은 손해라고 생각하는 경향이 지배적이다.

마지막으로 정부 차원에서 디지털 보안을 위한 사회적 부담을 덜어줄 필요가 있다. 물리적 공간에서의 위험이 디지털 공간으로 넘어온 것이며, 또 그 디지털 공간이 현대 사회의 경제활동과 생활공간의 많은 부분을 차지하고 있기 때문이다. 물리적 공간에서의 보안을 위해서 거대한 국가조직이 운영되고 있는데, 디지털 보안을 위한 부담은 당사자의 몫이 가장 큰 것이 현실이다. 최근 보안 전문가 육성과 공공기관의 보안체계 강화를 위해서 투자하겠다는 정부의 발표가 환영받고 있는 것도 이런 이유에서다. 그러나 아직은 대부분의 전문가와 일반인들이 국가가 거대 감시조직으로 기능하지 않는 방식으로, 보다 적극적으로 디지털 보안 인프라 구축을 위해 나설 것을 요구하고 있다.