본문 바로가기

[시론] 사이버 보안 전담부처 설치하자

중앙일보 2011.05.05 00:19 종합 33면 지면보기






정경원
시만텍코리아 대표이사




최근 잇따른 금융권의 보안 사고는 오늘날의 ‘정보경제’ 환경에서 사이버 공격이 얼마나 큰 사회적 혼란과 금전적 손실을 야기할 수 있는지 여실히 보여준다. 특히 대부분 온라인을 통해 이뤄지는 금융 업무의 경우 한 치의 틈만 있어도 국가재난 사태에 버금가는 일이 일어날 수 있다는 점에서 문제가 심각하다.



 비단 금융권뿐만이 아니다. 스마트 그리드, 모바일, 클라우드 컴퓨팅 등으로 변화하는 과정에서 보안이 뒷받침되지 못한다면 정치·경제·사회적 혼란은 불을 보듯 뻔하다. 이제 해커가 침입해 국가 핵심 망을 순식간에 마비시키는 상황은 더 이상 ‘다이하드4’ 같은 영화에서나 볼 수 있는 가상의 스토리가 아니라 현실인 셈이다.



 시만텍 조사 결과도 이를 뒷받침한다. 시만텍이 한국을 포함한 전 세계 15개국 1580개 기간산업 관련 기업을 대상으로 조사한 ‘2010 핵심 기간산업 인프라 보호현황 보고서’에 따르면 절반이 넘는 53%가 정치적 목적의 사이버 공격을 받은 적이 있다고 답했다. 또 지난 5년간 정치적 의도로 감행된 사이버 공격으로 인한 피해 규모는 기업당 평균 85만 달러(한화 9억8000만원)에 달하는 것으로 조사됐다. 실제 작년 7월에는 전 세계 에너지 회사들을 대상으로 한 표적 공격용 웜 바이러스가 발견돼 충격을 주기도 했다. ‘스턱스넷(Stuxnet)’으로 명명된 이 바이러스는 폐쇄망으로 운용되는 원자력·전기·철강 등 기간산업의 제어시스템에 침투해 작동 교란을 유도함으로써 물리적 타격을 입히는 ‘사이버 미사일’이었다.



 이처럼 표적 공격을 포함하는 ‘지능적 지속위협(APT:Advanced Persistent Threats)’이 갈수록 지능화·정교화함에 따라 세계 각국은 정부 조직 산하에 사이버 보안 전담부서를 두고 IT 분야의 최고 인력을 모아 국가 차원에서 전폭적으로 ‘총성 없는 전쟁’에 맞서고 있다. 미국의 경우 자국의 컴퓨터망을 해커 공격으로부터 보호하기 위해 ‘사이버 보안 차르(책임자)’를 백악관 내에 두고 정부기관들의 사이버 보안 업무를 총괄하고 있다. 사이버 테러, 대규모 침해사고 발생 시에는 미국 국방부, 국가안전보장회의, 국토안보부 등과의 협력을 바탕으로 총지휘관 역할을 수행한다. 일본의 경우에는 내각 관방장관 산하에 IT전략본부가 있고, 영국은 국가사이버안전센터가 있다. 프랑스에도 총리실에 통합기구가 있으며, 캐나다는 보안정보부가 사이버보안을 맡고 있고, 노르웨이의 경우 국가보안국이 사이버전을 수행하고 있다.



 그렇다면 우리의 경우는 어떠한가? 이미 수차례 지적된 바와 같이 아직 우리나라는 IT 인프라에 비해 보안 투자는 턱없이 낮다. 국내 대부분의 기업은 최고정보관리책임자(CIO)가 최고정보보안책임자(CISO)를 겸하고 있으며, 보안 관련 전문 전담부서조차 설치돼 있지 않은 경우가 허다하다. 국가정보원에 따르면 정부 전산망에 대한 공격 시도는 하루 1억 건에 달할 정도로 국내외에서의 해킹 사례가 매년 크게 증가하고 있는 현실에서 이 같은 국내 보안 투자의 현주소는 초라하기만 하다. 더구나 사이버 공격이 국경을 초월해 이루어지고 있는 만큼 국내에 한정된 대응방안은 한계를 가질 수밖에 없다.



 보다 강력하고 체계적인 정보 보안 환경을 확립하기 위해서는 정보 보안에 대한 시각과 접근 방법을 근본적으로 변화시켜야 한다. 더불어 민·관 합동 사이버 보안 대응체계를 구축하기 위한 정부 차원의 다각적인 노력과 지원도 뒷받침돼야 한다. 국가 안보 차원의 총체적이고 항구적인 사이버 보안 대책은 지속적인 투자가 필요하고 이를 위한 정부의 정책들이 유기적으로 어우러지며 추진돼야 한다.



정경원 시만텍코리아 대표이사
공유하기
광고 닫기