우리는 일상에서 이미 사이버 공간에 크게 의존하고 있다. 2016 인텔 개발자 포럼에 따르면 관련 업계는 2020년까지 기계 500억 대가 인터넷에 연결될 것으로 전망한다. 연관 분야도 국가 안보나 금융처럼 사회 전체 안전을 포괄하는 일부터 항공기나 선박 운항, 대형 병원 관리처럼 인명과 직결된 일, 그리고 지인끼리의 내밀한 대화나 스마트홈 관리처럼 사적인 일에 이르기까지 종류가 다양하다. 최근 다양해진 사이버 범죄의 모습과 현재 사이버보안의 실태에 대해 다룬다.

지난달 1일, 국회 국방위원회 소속 더불어민주당 김진표 의원은 국군 사이버사령부의 백신 중계 서버가 해킹당했다고 밝혔다. 또한, 지난해에는 한국보건복지인력개발원(이하 인력개발원)의 ‘자립지원 통합관리 시스템’도 최소 2013년 이전부터 해킹당했음이 뒤늦게 알려졌다. 국가 사이버보안 및 작전을 총괄하고 있는 국군 사이버사령부도, 67만여 건 이상의 개인정보를 보유하고 있는 인력개발원도 사이버 공격에 취약하다는 사실이 드러난 것이다.

 

국가 주요 기관을 상대로 한 사이버테러는 이번이 처음이 아니다. 2011년 농협 전산망 마비 사건, 2013년 방송·금융사 시스템 파괴, 2014년 한국수력원자력 해킹 등 철저한 보안 시스템을 갖춘 국가 기관도 사이버 공격의 피해를 입었다. 사회와 개인의 모든 정보와 시스템이 사이버 공간에서 연결되는 최근, 사이버보안은 국가적 차원과 개인적 차원 모두에서 의미가 크다. 

 

특히 발전소, 교통, 병원 등 국가 인프라 산업의 보안 위협은 개인정보 유출보다 훨씬 큰 사회적 파장을 일으킬 수 있다. 보안 구멍 하나가 국가적 재앙으로 이어질 수 있기 때문이다. 예를 들어 발전소가 해킹되면 정전, 병원 기록의 혼선, 의료 장비 전원 중단, 비행 항로 변경, 수력 발전 댐 통제 시스템 붕괴 등의 피해가 발생할 수 있다. 제너럴 일렉트릭의 사이버보안 기술 개발 자회사인 월드테크(Wurldtech) 총괄사장 폴 로저스는 “모든 산업 설비가 온라인에 연결되어 있다는 것은 이것이 사이버보안 위협에 노출되어 있음을 의미한다. 사람들이 그 사실을 모르고 있을 뿐이다”라고 말했다.

 

발전소, 공장 등 주요 산업 설비, 그리고 이를 통제하는 원격 감시와 제어 등의 기술을 운영기술(Operat-ional Technology, OT)이라 부른다. 기존 OT는 인터넷 또는 네트워크와 분리돼 사용됐지만 이제는 거의 모든 산업 분야가 인터넷을 통해 연결되어 있다. 이에 따라 원격으로도 시스템을 조작·감시할 수 있어 운영 효율성이 향상되지만, 네트워크를 통한 해킹 위협 또한 늘어나고 있다.

 

사이버보안 플랫폼 제공 업체인 파이어아이는 <2016 ICS 취약점 트렌드 보고서>를 통해 주요 기반 시설 시스템인 ICS(Industrial Control Sys-tem, 산업제어시스템)의 보안 취약점 관련 트렌드와 보안 패치 등을 집중 조명했다. 파이어아이는 1,600개에 달하는 ICS 취약점을 확인했으며, 이 중 3분의 1에 대한 보안 패치가 존재하지 않다고 밝혔다. 이에 파이어아이는 전력망, 상수도 등 주요 산업 기반 시설의 기술적 근간인 ICS가 사이버 공격 위협에 고스란히 노출되고 있다고 경고했다.

 

기업 역시 사이버 테러와 범죄의 손아귀에서 자유롭지 않다. 보고서에 따르면 세계적으로 조사된 기업 중 97%가 해킹 침해를 겪은 것으로 나타났다. 이 중 69%는 외부로부터 이 사실을 공지 받기 전까지 침해당했다는 것조차 인지하지 못했다. 위협 세력은 평균 205일 동안 대상 조직 내부에 머문 것으로 밝혀졌다. 정보보안 업체인 시만텍은 <시만텍 인터넷 보안 위협 보고서>에서 사이버  공격으로 인한 연간 손실 규모가 기업당 23억 원에 달한다고 밝혔다.

 

이에 더해 최근 사이버 범죄 집단 활동은 점점 전문화되어 하나의 기업처럼 움직이는 양상이 두드러진다. 전문 사이버 범죄 집단은 방대한 자원과 고급 인력을 보유하고 있으며, 업무 시간을 준수하는 등 효율적인 기업 형태를 띠고 있어 보다 전문적이고 광범위한 사이버 범죄에 대한 우려가 커지고 있다. 또한, 기업을 대상으로 한 암호화 랜섬웨어 공격 역시 지난해에 전년 대비 35% 증가했다. 랜섬웨어는 파일을 암호화해 이를 볼모로 돈을 요구하는 사이버 범죄 수단으로, 수익성이 높아 그 수가 점점 증가하는 추세다.

 

사이버보안은 개인 차원에서도 점점 더 심각한 문제가 되고 있다. 앞서 말한 랜섬웨어를 포함해 많은 사이버 공격이 개인 PC 사용자들을 위협하고 있다. 지난해 발견된 제로데이 취약점은 54개로, 전년 대비 두 배 이상 늘어난 수치다. 제로데이 공격이란 운영체제나 네트워크 장비 등 핵심 시스템의 보안 취약점이 발견된 뒤, 이를 막을 패치가 발표되기 전에 이를 이용한 악성코드나 프로그램으로 공격하는 수법이다. 제로데이 공격은 인터넷 익스플로러나 어도비 플래시와 같이 널리 사용되는 소프트웨어에서 가장 많이 나타나므로 짧은 시간 동안 수백만 명이 공격을 받고 수십만 명이 감염된다.

 

인기 웹사이트 또한 개인 사용자에게 안전하지 못하다. 많은 사람들이 잘 알려진 합법적인 사이트만 방문한다면 사이버 범죄로부터 안전할 것이라 생각한다. 하지만 사이버 범죄집단은 이를 노리고 끊임없이 인기 웹사이트의 취약점을 노린다. <시만텍 인터넷 위협 보고서>는 합법적인 웹사이트 중 75%가 취약점에 대한 패치가 적용되지 않았으며, 이 중 16%는 심각한 취약점을 갖고 있다고 밝혔다.

 

이와 같은 사이버 범죄로 인한 개인정보 유출 역시 심각한 문제다. 2015년 말에는 자그마치 1억9100만 건의 개인정보가 유출된 사건이 일어났다. 이 외에도 2015년 한 해 동안 천만 건 이상의 개인정보가 유출된 대형 보안 사고가 9차례나 발생했다. 또한, 최근에는 사물인터넷(IoT)이 발달함에 따라 사용자의 생활반경 내의 모든 정보가 사이버 공간에 저장된다. 사용자가 집에 있는지. 어디를 방문했는지 등의 개인적인 정보가 유출된다면 각종 범죄에 악용될 가능성이 매우 높다.

 

이처럼 사이버 안보 문제의 중요성과 관련 전문가의 필요성이 커지고 있다. 하지만 우리 사회의 사이버보안 전문가 수는 수요를 따라가기엔 아직 많이 부족하다. 인텔 시큐리티는 보고서 <Hacking the Skills Shortage>에서 IT 의사 결정권자 900여 명을 조사했다. 그 결과 82%가 보안 인력 부족을 인정했으며, 71%가 해커로부터 직접적인 피해를 입을 가능성을 인정했다고 밝혔다. 

 

비영리 정보보안 전문단체 CISSP에서 발표한 국제정보보안인력조사에 따르면 국제적인 정보보안 전문가 부족은 국가 경제에 다양한 영향을 미치고 있다. 맥아피와 국제전략연구소가 발간한 <글로벌 사이버 범죄에 관한 비용 추정>에서는, 세계적으로 사이버 범죄로 인한 경제적 손실을 연간 약 452조 원으로 추산하고 있다. 또한, 사이버 범죄가 전 세계 GDP의 약 0.8% 수준의 사회적 비용을 유발한다고 밝혔다.

 

보고서에 따르면 지난해에는 미국에서만 20만9천여 개의 사이버보안 직업종에서 전문가가 부족했다. 전문가들은 정보보안 전문가 부족 현상의 원인으로 ▲사업 조건 ▲보안 필요성을 제대로 인식하지 못하는 간부 ▲자격을 갖춘 정보보안 전문가를 충분히 배치하지 못하는 무능력 등을 지목했다. 조사 대상 중 4분의 1이 넘는 조직이 사이버보안 기술 격차로 인한 데이터 손실을 인지하고 있지만 부족 현상을 줄이기 위한 조치를 취하지 않고 있다. 

 

인텔 시큐리티 그룹의 크리스 영 수석 부사장 겸 제너럴 매니저는 “기업은 사이버보안 인력의 부족을 해결하기 위한 충분한 위기의식을 갖지 않는다”라고 꼬집었다. 그는 새로운 사이버보안 전문가 교육 모델이 필요하며, 훈련을 위한 기회를 충분히 제공해야 한다고 주장한다. 또한 최전선에 최고의 인력을 배치하기 위한 체계가 마련되어야 한다며, 전문성을 강화하는 것이 최우선이라고 강조했다.

 

이 밖에도 조사에 응한 전문가들은 정부가 보안 인력을 충원하는데 더 많이 투자해야 한다고 주장했다. 실제로 이번 달 초 영국은 오는 2020년까지 총 19억 파운드(약 2조7200억 원)를 투입해 방어와 억제, 보복 능력을 강화하는 내용의 국가 사이버보안 전략을 공개했다. 미국, 이스라엘, 호주 등에서도 보안 인력 부족 현상이 정부 정책 이슈로 떠올라 이를 위한 지원을 늘린 바 있다.

 

사이버보안은 더 이상 일부 전문가를 위한 선택사항이 아니다. ‘개인 정보는 공공재다’라는 우스갯소리도 있지만, 사이버 범죄자들이 국가 안보를 위협하고 사적인 공간까지 침범하게 허용해서는 안 될 것이다. 전문가들은 이를 위해서는 개개인은 물론, 정부의 정책 담당자와 기업의 책임자들이 사이버보안의 필요성을 직시하고 전문가 육성을 위한 적극적인 지원을 아끼지 말아야 한다고 주장한다.

 

보안은 조직 전체의 책임이다. 정보보안 전문가들은 모든 사업 영역에서 보안이 왜 그리고 얼마나 중요한지 국가 및 기업 리더들에게 교육시켜야 하는 위치에 서 있다. 하루가 다르게 발전하는 사이버 공격에 대처하는 체계적인 시스템을 구축한다면, 다가올 미래에 많은 개인과 조직들이 서로 신뢰를 가지고 사이버 공간에서 소통할 수 있을 것이라 기대해본다.