[사설] 7.7 디도스 3년, 보안 여전히 취약하다

오는 7일이면 국가 전체를 혼란에 빠뜨린 7.7 디도스(DDoS, 분산서비스거부) 대란이 발생한 지 만 3년이 된다. 2009년 7월7일 수십곳의 정부기관과 은행 업무를 마비시킨 이 사건을 계기로 우리 사회의 정보보안 의식이 크게 달라졌다.

7.7 디도스 대란 당시 악성코드에 감염된 수십만대의 좀비PC 공격으로 국가기관, 금융기관, 포털의 접속이 차단되는 등 큰 혼란이 발생했다. 7.7 디도스 대란은 우리 정부의 사이버방어 시스템의 현주소를 여실히 노출시켰고 피해액만 최대 544억원에 달할 것으로 분석됐다.

이후에도 비슷한 유형의 공격은 끊임없이 이어졌으며, 지난해에는 서울시장 선거 당일 선관위 홈페이지를 디도스로 공격하는 일까지 벌어졌다. 또한 2011년 3.4 디도스 공격, 현대캐피탈 해킹, SK컴즈와 넥슨 개인정보 유출사고, 사상 최악의 전산사고로 기록된 농협 전산망 해킹 사건 등 굵직한 보안사고 등이 연이어 터졌다.

올 들어서도 이같은 사고는 계속 이어져 EBS가 해킹 당해 정보가 밖으로 새 나갔고, 모 언론사가 해킹 공격으로 업무 차질을 겪었다. 지난달에는 기획재정부 영문 홈페이지가 해킹 당하는 사상 초유의 일이 벌어져, 정부가 조롱거리가 되기도 했다.

특히 최근에는 전력ㆍ수도ㆍ철도 등 국가기간시설의 제어시스템을 일컫는 스카다(SCADA) 망에 대한 위협이 이슈가 되고 있다. 이란 핵시설에 대한 사이버공격을 감행한 것이 미국과 이스라엘이라는 주장이 나오면서, 스카다망이 사이버테러의 표적물이 될 수 있다는 우려가 커지고 있다. 실제 국내 상수도사업본부와 태양광발전소 제어시스템이 해킹을 당했을 수 있다는 소식이 나오면서 스카다망에 대한 보안대책 수립도 시급하게 대두되고 있다.

정부는 7.7 디도스 사건을 계기로 정보보호 체계를 새롭게 수립하고, 통합 보안망을 구축하는 등 분주하게 움직였다. 지난해 3.4 디도스 공격 때는 큰 피해 없이 이를 막아내기도 했다. 정부는 정보보안의 중요성을 각인시키기 위해 7월을 `정보보호의 달'로 지정하고, 7월 둘째주 수요일을 `정보보호의 날'로 제정했다. 또 정보보호의 날을 법정기념일로 제정하려는 움직임도 보이고 있다.

하지만 정보보호와 관련해 여전히 곳곳에서 허점이 노출되고 있다. 감사원은 최근 정부부처를 대상으로 대대적인 보안 SW감사에 나섰다고 한다. 전자정부 보안 등에 많은 예산을 투입했음에도 불구하고 해킹, 디도스, 개인정보 유출 등이 끊임없이 발생하고 있기 때문이다.

여기에 대기업이나 대형 금융기관과 달리 중소기업이나 저축은행 등은 여전히 보안 시스템이 미비한 것은 물론 보안의식도 아직 제자리걸음을 하고 있다. 보안 전문가들은 저축은행의 경우 일정 수준 이상의 공격에는 속수무책이라고 진단한다.

정부는 7.7 디도스 대란이라는 큰 홍역을 치르면서 기본적인 보안 장비나 공조시스템은 구축했다고 자평하고 있다. 하지만 여전히 숙련된 보안인력과 관련 법ㆍ제도 등은 큰 진척이 없다는 것이 시장의 일반적인 평가다.

사이버보안 사고는 매번 유형을 달리하며 진화하고 있다. 100% 막는 것은 사실상 불가능하다고 해도 과언이 아니다. 보안사고에 대비한 시스템 구축과 함께 새로운 공격에 발빠르게 대처할 수 있는 보안 전문 보안인력 양성이 시급하다.