매일경제

◆ 보안없이 국가도 없다① ◆지난 20일 방송사와 은행 전산망을 마비시킨 사이버테러는 보안용 백신으로 위장한 트로이목마 방식의 공격이었다. 컴퓨터 이용자가 보안을 위해 내려받은 백신에 악성코드가 숨겨져 있었던 것이다.

이렇게 위장하는 한 개인으로서는 악성코드를 막을 방법이 없어진 것이다. 전문가들은 "사이버 보안의 패러다임을 바꿀 때"라고 입을 모은다. 우리나라의 사이버 보안은 기본적으로 개인PC에 책임을 전가하고 있다. 전체 전산망이나 기업 중앙서버의 보안을 높이기보다는 개인PC의 백신 프로그램으로 사이버 테러를 막으려는 것이다. 이에 대해 전문가들은 "휴전선을 지키지 않고 각 집 대문을 지키는 것으로 안보를 대신하는 꼴"이라고 말했다. 이는 기본적으로 기업들이 사이버 보안에 대한 투자를 소홀히 하기 때문이다.

보안전문업체인 터보테크 박치민 대표는 "정보를 만들고 지식산업기반을 발전시키는 것만이 능사가 아니다"며 "보안 없이는 정보통신기술(ICT) 창조경제는 사상누각이나 마찬가지"라고 말했다. ICT가 기본적으로 정보통신기술을 활용해 여러 영역을 이어주는 것인 만큼 보안 강화가 초석이 되어야 한다는 것이다.

국가안보실 차원에서 '해킹 비상 대응체계'를 상시 마련해야 한다는 말이 나오는 이유다.

그러나 현실에서 ICT에 대한 인식은 여전히 "한번 터지면 큰 피해인데 대비는 어떻게 하느냐"는 수준에 머문다. 박 대표는 "지금의 상황은 국가 전산망이 병을 앓아도 이를 치료할 수 있는 의사가 전무하고 감기 수준을 예방할 수 있는 약(백신)만 존재하는 상태"라고 평가했다.

큰 해킹 사건 이후 매번 나오는 얘기가 보안프로그램으로 피해 확인하기와 보안 엔진 업데이트일 정도로 해킹에 대한 대응은 '사후약방문'이나 마찬가지다.

해킹 프로그램이 패치관리시스템(PMS)에 침투해 해당 기업의 관리자 계정을 빼낸 뒤 전산망을 자유자재로 휘두르는 수준인 것과 상반된다.

일반적으로 사용자들이 해킹을 막기 위해 이용하는 보안 업데이트가 해킹의 통로가 되는 셈이다. 이번 방송사와 금융사 전산망 마비도 이 같은 방식으로 이뤄졌다.

보안성이 낮은 액티브X가 아직 널리 쓰이는 것도 문제다.

액티브X는 일반 응용프로그램과 인터넷 웹을 연결시키기 위해 마이크로소프트(MS)가 만든 기술이다. 이 액티브X는 분산서비스거부(DDoS) 등에 좀비PC 악성코드의 주 감염경로로 이용되기 쉽다.

그러나 아직까지 국내 금융회사 등은 이 액티브X를 이용해 개인 사용자에게 정보보안 기술을 제공한다.

실제로 한국인터넷진흥원(KISA)에 따르면 국내 주요 민간 웹사이트 100곳 가운데 액티브X를 사용하는 비율이 2010년 말 73%에서 지난해 6월에는 80%로 증가했다. 선진국에서 주요 사이트 20곳 중 1곳에서만 액티브X를 사용하는 것과 대조적이다.

비슷한 이유에서 국내 전산망에 사용되는 컴퓨터들이 윈도 과거 버전 일색이라는 것도 문제점으로 지적된다. 국내 주요 전산망이 2000년대에 이뤄졌다는 이유로 출시된 지 10년이 넘는 '윈도XP'를 고집하고 있기 때문이다. 윈도XP는 MS가 2014년에 보안 업데이트를 포기하기로 한 컴퓨터 운영체제(OS)다.

[김기철 기자 / 김명환 기자] [ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]