본문 바로가기

한국 CCM 세계 3위 … 사이버 공간은 아직도 해커 놀이터

중앙선데이 2015.11.22 01:15 454호 12면 지면보기
“2000년대 초반, 한국은 해커의 놀이터였다.”



미래창조과학부 산하 국가보안기술연구소 관계자의 고백이다. 그런데 그 뒤엔 어떻게 됐을까. 사정이 좋아졌다고 보기 어렵다. 2007년 하반기~2014년에 한국은 최고 수준의 컴퓨터 악성코드 감염률(CCM)을 기록했다. 2010년, 2012년엔 세계 1위였다. CCM은 컴퓨터 1000대당 감염된 컴퓨터의 수를 가리키며 숫자가 클수록 상황이 악화돼 있음을 뜻한다.


커지는 사이버 테러 위험

마이크로소프트(MS)는 매년 상·하반기, 분기별로 보안 상황 보고서(SIR·Security Intelligence Report)를 공개하는데 여기에 세계 각국의 CCM이 발표된다. CCM의 기준은 모든 악성코드가 아니라 ‘국제적으로 빈도와 정도가 높은 악성코드 감염률’이다.



MS가 전 세계 6억여 대의 컴퓨터를 통해 추출한 자료 가운데 2007~2014년 지속적으로 CCM이 공개된 93개국의 상황을 종합한 결과 한국의 경우 소득과 인터넷 인프라 수준에서 최상위권임에도 CCM은 최악으로 나타났다. 25개 분기에 걸쳐 1~10위권에 들어간 국가들을 비교하면 한국은 알바니아·팔레스타인·파키스탄과 비슷한 빈도인 15회로 나타났다. 1위는 터키(21회), 공동 2위는 이집트·이라크(18회)이며 3위권에 한국이 속했다.



유럽은 인터넷 사용 많아도 감염률 낮아CCM 1위를 기록한 나라는 10개국으로 이라크(6회), 한국·파키스탄(4회), 터키(3회) 순이다. 이 중 최악의 기록을 낸 CCM을 순서대로 꼽으면 이라크(110.5, 2014년 1분기)-세르비아(97.2, 2009년 상반기)-한국(93, 2012년 1분기)-한국(70.4, 2012년 2분기)-카타르(61, 2011년 1분기) 순이다.



한국과 함께 감염률 1위에서 어깨를 나란히 하는 나라들은 소득과 인터넷 발전 수준이 우리보다 낮다. 2010~2014년 세계은행 기준으로 인구 100명당 인터넷 사용자는 이라크에선 2.5~11.3명이지만 한국에선 83.7~84.3명에 달했다. 최근 국가보안기술연구소(소장 김광호)와 사이버평화안보포럼(대표 이상호)이 공동 주최한 ‘사이버 공격, 새로운 평가와 대응’ 세미나에서도 인터넷 인프라 수준과 사이버 보안 수준의 괴리를 걱정하는 우려들이 쏟아져 나왔다.



인터넷 인구가 많으면 감염 가능성이 크겠지만 현실적으로 반드시 비례하진 않다. 2010~2014년 한국의 100명당 인터넷 사용자는 83~84명 수준이었다. 이보다 높은(90명 이상) 노르웨이·스웨덴·덴마크·네덜란드의 CCM은 한국보다 훨씬 낮은 10 이하였다.



한국의 높은 CCM을 기계적·기술적 요인으로 설명하기는 어렵다. 브로드밴드 가입률이나 인터넷 안전서버의 수와 같은 기계적·기술적 요소에서 한국은 전 세계에서 최고 수준이다. 하지만 이런 요소들에서 비슷한 수준의 선진국들과는 양상이 다르게 나타난다. 노르웨이·덴마크·핀란드·일본·스위스처럼 소득과 인터넷 인프라가 잘 갖춰진 선진국들의 감염률은 우리보다 낮다. 그 외에도 한국은 ▶2007년 하반기 원치 않는 소프트웨어 탐지 249.5% 증가 ▶2009년 웜(WORM) 감염 세계 1위 ▶2010년 상반기 좀비PC를 만드는 봇넷(Bot Net) 악성코드 감염 세계 1위 등의 불명예 기록을 세웠다.



한국의 감염률이 높은 이유로는 사이버 생태계의 오염률(감염 여부에 관계없이 악성코드에 접촉되는 비율)이 높고 이를 이용한 외부 공격도 심하기 때문으로 보인다. 미국 보안회사 팬더시큐리티가 자체 보안 프로그램으로 측정한 전 세계 오염률에서 2012년 한국은 중국에 이어 2위를 기록했다. 한국의 CCM이 가장 높았던 시기다.



그런데 외부 공격이 많을 것으로 추정되는 대만·이스라엘과 비교하면 한국의 상황은 특이하다. 대만은 중국과, 이스라엘은 아랍권과 대치하고 있어 사이버 공격이 많을 것으로 예상되는데 실제 CCM은 높지 않다. 한국에 대한 외부 공격의 강도가 더 세다는 추정이 나올 수 있다.



실제로 2012년 한국을 대거 공격한 악성코드 ‘Win32/pluzoks’는 MS가 백신을 풀어도 사라지지 않고 다시 살아나 2012년 하반기 한국의 CCM을 세계 최악으로 만드는 무서운 공격력을 발휘했다. 이 악성코드는 사용자 몰래 추가 악성코드를 다운로드시키는 트로이(Trojans)여서 더 큰 공격을 위한 첨병이 될 수 있다. 2012년에는 또 ‘Win32/Wipzop’ 악성코드에 감염된 컴퓨터의 90.4%가 한국에서만 나타났다.



사이버범죄 조약 가입 안 한 한국그러나 공격의 주체는 알 수 없다. MS는 이를 밝히지 않고 있다. 한 사이버 보안 전문가는 “한국에는 대형 악성코드를 만들 만한 해커들이 없다고 본다”고 말했다. 공격자를 추적하려 해도 힘들다. 해커들이 인터넷주소(IP) 추적을 어렵게 하기 위해 여러 국가를 경유해 접속하기 때문이다. 국내의 좀비PC를 찾아낸다고 해도 이와 연결된 해외의 좀비PC를 조사하려면 국가 간 사법 공조가 필요한데 한국은 사이버범죄 조약에 가입돼 있지 않다. 정부 관계자는 “북한·중국·러시아 같은 주요 공격 후보국들은 사이버범죄 조약에 가입돼 있지 않아 우리가 가입해도 실익이 없을 수 있다는 게 문제”라고 말했다.



악성코드 공격을 막기도 어렵다. 국가정보원 사이버안전센터의 상황판에는 일정한 시간 간격으로 정부 및 기반시설에 대한 사이버 공격 현황이 표시된다. 해킹 및 악성코드 공격이 하루 수십만 건 이상 나타난다. 그럴 때마다 정부가 자체 개발한 보안 프로그램이 가동된다. 민간이 원하거나, 필요하면 한국인터넷진흥원(KISA)을 통해 백신이나 보안 프로그램을 지원한다. KISA도 자체 프로그램으로 악성 오염을 차단한다. 그러나 모든 공격을 다 막을 수는 없다. 해커들이 백신이나 보안 프로그램을 집중 연구해 빠져나가는 구멍을 늘 만들기 때문이다.



그런데 오염률과 악성코드의 상관관계는 아직 연구되지 않았다. 한 사이버 보안 전문가는 “오염률이 높으면 공격 대상이 되기 쉽고, 공격을 받으면 오염률이 높아지는 상관관계가 있을 것으로 짐작한다”고 말했다.



그렇다면 앞으로는 ‘해커들의 놀이터’ 현상을 막을 수 있을까. 2014년 3분기에 반짝 오른(나빠진) CCM 지수가 전반적으로 떨어지긴 했으나 안랩이 발표한 2015년 한국의 악성코드 상황은 결코 안심할 수준이 아니라는 점을 보여준다. 안랩이 2009년 8월 이후 발표한 한국의 월별 악성코드 탐지 건수를 보면 2015년 1월에 전례 없는 최고 기록에 이른 뒤 여전히 높은 상태를 유지하고 있다. 국가보안기술연구소 관계자는 “상황을 주시하고 있다”고 말했다.



 



 



안성규 아산정책연구원 편집주간이상호 대전대 교수 askme930@naver.com

구독신청

공유하기
광고 닫기