창비주간논평
싸이버보안의 총체적 부실을 보며
김인성 / IT칼럼니스트
최근 다수의 금융권이 해킹당하는 사건에 이어 대형포털 네이트에서 3500여만명의 사용자 정보가 유출되는 등 연일 보안사고가 터지고 있다. 인터넷싸이트 딴지일보는 백업서버까지 해킹당해 1년치의 데이터를 완전히 잃어버리는 황당한 일도 있었다.
IT 강국이라고 자부하는 한국에서 대형 인터넷업체들이 차례로 해킹을 당하고 있는 모습은 총체적으로 부실덩어리인 한국의 보안 현실을 그대로 보여주는 것이다. 근본 치유책에 대한 고민이 없는 관계당국은 확실한 근거도 없이 북한 탓을 하며 책임을 외부로 떠넘기는데 급급하고 있다. 하지만 안타깝게도 이 모든 잘못은 우리 내부에서 원인을 찾을 수밖에 없다.
국제표준 보안방식은 인터넷업체와 제3의 인증기관 그리고 웹브라우저가 함께 협력하여 사용자의 안전을 보장해준다. 하지만 한국의 보안방식은 접속시의 안정성 여부를 인터넷업체가 책임지지 않기 때문에 사용자가 스스로 일일이 확인해야 한다. 대부분의 사용자는 이 확인절차를 알지 못하므로 접속한 싸이트의 안전 여부를 운에 맡겨야 한다.
좀비PC를 양산하는 한국의 보안체계
우리의 보안체계는 또한 보안이 확립되지 않은 상황에서 내용을 확인할 수 없는 프로그램을 다운로드해야 하는 치명적 위험이 있다. 이것이 MS 윈도우-익스플로러-액티브엑스 전용의 한국적 보안방식이다. 국민과 기업을 무능력한 관리대상으로만 보는 정부 관료들이 만든 규정 때문에 오늘도 암호화 프로그램, 방화벽, 백신, 키보드 보안 프로그램들이 강제로 다운로드되고 있다.
외국의 해커들은 한국의 이런 보안 약점을 잘 알고 있다. 그들은 각종 게시판, 웹하드 등에 바이러스를 심은 쏘프트웨어를 올려놓고 사용자들을 유혹한다. 단순히 계좌조회만 할 때도 각종 보안 프로그램을 무조건 다운로드하도록 교육 받은 한국인들은 의심스러운 프로그램도 아무런 거리낌 없이 내려받는 경우가 많다. 이 때문에 한국의 개인용 컴퓨터들은 좀비PC가 되기 쉽다.
해커의 수중에 들어간 수백만의 좀비PC는 지시에 따라 특정 싸이트를 동시에 접속하여 써비스를 불가능하게 만드는 분산 써비스 거부 공격(DDOS, 여러 컴퓨터가 한 싸이트에 동시에 접속하는 것)에 쓰이거나 각각의 PC 내부에 저장된 공인인증서 등 개인정보를 해커에게 전송시켜주기도 하고 때로는 또다른 해킹의 경유지로 쓰이기도 한다. 이번에 해킹당한 네이트도 이런 방식으로 개인정보를 유출당했다.
해커는 언제나 존재했고 그들은 인터넷에서 끝없이 해킹을 시도한다. 일면 이들의 활동에 의해 보안 허점이 드러나 씨스템을 더 안전하게 만드는 효과도 있다. 쏘스가 공개된 프로그램이 안전한 것은 발생 가능한 문제점을 누구나 직접 확인할 수 있고 또 이런 문제를 모든 사람들이 동시에 고쳐가기 때문이다. 보안사고는 일어날 수 있다. 사고를 경험 삼아 재발하지 않도록 씨스템을 개선하면 된다. 문제는 한국에서는 이런 기술적 진화가 일어나지 않는 데 있다. 한국의 보안규정이 오히려 개선에 장애가 되고 있기 때문이다.
보안기술의 진화 막는 '규정 중심'의 사고
외국의 경우는 국가가 데이터 안전에 관한 포괄적 규정만 두고 궁극적 책임은 기업과 개인에게 맡긴다. 어떤 보안방식을 쓸 것인지는 전적으로 기업과 개인이 알아서 할 문제인 것이다. 때문에 다양한 보안방식이 출현하고 서로 경쟁하면서 안전한 방향으로 진화해갈 수 있다. 보안사고가 났을 때 국가는 사용자들이 어떤 피해를 입었는지에 대해 책임을 묻고 강력한 처벌을 한다. 때문에 기업들은 자발적으로 안전에 관심을 가지고 비용을 들여 보안대책을 마련한다.
한국의 보안규정은 지나치게 세세한 규칙을 지시하는 데 치우쳐 있다. 이로 인해 기업은 데이터 안전에 관한 고민 대신 보안규정 준수 여부만을 따지게 되었다. 특히 사법부가 천만명 이상의 개인정보를 유출한 옥션에 대해 "통상적인 보안 조치를 했"음을 근거로 무죄 판결을 내림으로써 이런 경향이 강화되었다.
3500여만명의 개인정보를 유출한 네이트가 큰 동요 없이 일상 업무를 하고 있는 것은 규정에 따른 보안조치를 하고 있었음을 증명할 수 있다고 자신하기 때문일 것이다. 이것은 시속 60Km 제한 도로에서 50Km로 달리다가 사람을 치었기 때문에 무죄라고 말하는 것과 같이 어처구니 없는 일이지만 IT에 대한 무지 때문에 가능하게 되었다.
해커들은 이미 유출된 여러 업체의 개인정보를 교차 체크함으로써 거의 완벽해진 개인정보 파일을 손에 쥐게 되었다. 이미 비밀번호도 노출되었을 가능성이 크다. 대부분의 사람들은 동일한 비밀번호를 사용한다. 해킹된 좀비PC에서 공인인증서를 빼가는 것은 거의 자동화 수준이다. 추가 해킹에 필요한 모든 정보가 갖추어진 것이다. 그러나 보안 불감증으로 인해, 이런 것을 걱정하는 목소리는 들리지 않는다.
한국식 보안체계 개선에 필요한 것들
앞으로 명의도용 방법을 통한 인터넷 피씽, 대규모 불법 예금이체 등 엄청난 보안사고가 터지거나, 보안에 신경쓰지 않는 싸이트의 자료가 한순간에 완전히 사라지는 일이 일상적으로 일어날 수도 있다. 문제를 해결하려면 현재의 보안 씨스템을 완전히 바꾸는 '싸이버혁명' 수준의 작업이 필요할지 모른다.
하지만 하루아침에 이렇게 바꿀 수는 없다. 현실적인 대안으로 구멍나 있는 한국식 보안방식을 개선하고, 기업과 개인이 스스로 보안을 책임질 수 있도록 관련 규정을 고치는 일부터 시작해야 한다. 세세한 보안절차는 기업의 판단에 맡기고 국가는 실제적인 피해에 대해 책임을 묻도록 해야 한다.
한편 인터넷뱅킹 규모가 1경원을 돌파한 지금, 온라인의 안전을 위해서는 싸이버범죄를 수사하는 전문조직이 요구된다. 현재와 같이 개인정보를 전적으로 기업이 관리하는 현실에서는 이런 정보들이 기업측에 의해 악용될 소지가 크다. 언론자유를 침해하고 단속 위주의 정책을 펴고 있는 현존 싸이버경찰의 행태가 조직의 필요성까지 없애지는 못한다. 그것은 올바른 원칙을 확립하고 운영의 투명성을 확보하는 제도로 개선함으로써 해결해야 할 문제다. 현실의 범죄를 막고 피해자를 보호할 경찰이 필요하듯이, 해커의 범죄와 기업의 이익 앞에서 희생될 가능성이 높은 개개인의 권익은 공익을 위해 봉사하는 조직만이 보호해줄 수 있다.
또한 해킹 방지책을 공유하고 인터넷싸이트들과 공조하여 문제를 해결할 보안관 역할도 필요하다. 대규모 싸이버공격을 방어할 실력도 자금도 없는 중소 인터넷업체를 긴급하게 도와줄 119 구조대 같은 곳도 요구된다. 개인의 피해 또한 마찬가지이다. 이런 여러가지를 감안한다면 결국 싸이버경찰에 필요한 인력과 자금은 현존하는 경찰 수준에 맞먹게 될지도 모를 일이다.
2011.8.10 ⓒ 창비주간논평
