[포럼] 정보보호는 `보편적 서비스`다

입력: 2017-07-25 18:00

폰트

김태성 충북대 경영정보학과 교수

김태성 충북대 경영정보학과 교수

지난 6월 10일 웹 호스팅 서비스 업체인 인터넷나야나가 운영 중인 150여 대의 서버에 보관돼 있는 파일을 암호화하는 공격을 당했고 5000개 이상의 홈페이지가 작동을 멈추는 일이 발생했다. 한국인터넷진흥원(KISA)의 조사 결과에 의하면 이번 피해는 '지능형 지속 위협(APT, Advanced Persistent Threat)' 공격과 랜섬웨어(ransomware) 공격이 결합된 사건이다. 기존처럼 불특정 다수를 상대로 광범위하게 랜섬웨어를 배포한 게 아니라, 해커가 애초부터 인터넷나야나라는 업체를 노리고 공격해 랜섬웨어를 심었다는 얘기다. 해커가 백업 서버까지 암호화하면서 회사 측에서 암호화된 파일을 복구할 가능성은 매우 희박해졌다.

어느 라디오 뉴스 프로그램에서 랜섬웨어는 새로 나온 스포츠웨어가 아니라고 앵커가 농담을 할 정도로 인터넷나야나 사건 이전에 일반인들의 랜섬웨어에 대한 인식은 매우 낮은 수준이었다. 전문가들 사이에서도 랜섬웨어는 백업을 하는 것 이외에는 특별한 대책이 없다고 했지만, 상용 웹 호스팅 서비스를 제공하고 있는 기업이 랜섬웨어 피해를 보게 되면서 정보보호가 특정 개인이나 기업이 노력을 한다고 달성되는 것이 아니라는 인식이 높아지고 있다. 이제는 정보보호가 누구나 서비스 제공 비용에 상관없이 이용할 수 있는 기본권의 성격이 있다고 판단된다. 미국의 AT&T가 20세기 초에 유선전화서비스를 미국 국민 누구나 사용할 수 있는 보편적인 서비스(universal service)로 제공하겠다고 선언하면서 도입된 보편적 서비스의 개념이 정보보호에도 적용돼야 한다.

교통, 복지, 의료, 교육, 시내전화 등 보편적 서비스는 다양한 부문에 도입돼 기본적인 생활을 영위하기 위한 국민의 기본권처럼 인식되고 있다. IT 기술에 대한 지식이 충분하지 않은 정보약자는 본인의 개인정보나 업무를 위해 필요한 정보를 활용할 능력이 부족할 뿐만 아니라 타인으로부터 피해를 예방하거나 탐지하거나 복구하는 능력이 현저하게 부족하다.

정보 활용 능력의 부족은 부가가치를 적게 발생시키는데 그치지만 정보 보호 능력의 부족은 기 보유 자산의 감소 내지는 소멸을 초래할 수 있기 때문에 더욱 큰 문제다. 심지어는 본인의 의도와 상관없이 타인이나 타기관을 공격하는 도구로 활용돼 범죄에 가담하게 될 수도 있기 때문에 정보 활용 능력과 정보 보호 능력은 동시에 교육 및 훈련을 하는 것이 필요하다.

보편적 서비스로써의 정보보호에 대한 논의가 본격화되면 서비스 제공자의 범위 및 역할 등이 구체화 되겠지만, 정부 차원에서 생각해볼 수 있는 방안으로는 다음과 같은 것이 있다.

첫번째, 정규 및 비정규 교육과정에 포함돼있는 정보 활용 능력 관련 교육에 정보보호에 대한 내용을 의무적으로 반영하는 것이다. 정보 활용에 대한 교육을 받으면서 동시에 자신의 정보 뿐만 아니라 타인의 정보를 보호해야 한다는 인식과 보호 방법을 교육시키는 것이다. 정보 활용 능력에 비해 정보 보호 능력이 크게 부족한 초등학생부터 교육을 실시하는 것이 필요하다. 두 번째로, 사이버보험의 활용이다. 위협 발생 가능성과 피해 규모를 예측하기 어려운 사이버위협에 대비하기 위해서는 수백년 동안 위험을 관리해온 경험이 있는 보험을 활용하는 것이 필요하다. 전국민 대상으로 의무가입을 하게 해서 의료부문의 보편적 서비스를 구현한 건강보험의 성공사례를 참고함으로써 사이버보험이 정보보호 부문의 보편적 서비스를 구현하는 촉매가 될 수 있을 것으로 기대한다.

서울특별시 중구 새문안로22
☎ 02) 3701-5500
등록번호 : 서울 아01699
등록일자 : 2011.07.15
발행일 : 2000.03.03
발행인/편집인 : 박학용

[포럼] 정보보호는 `보편적 서비스`다

이 시간 핫클릭

핫 이슈!