'다이하드4' 현실이 될 수 있다

#7월 4일 미국 독립기념일. 워싱턴의 교통시스템이 전면 교란되면서 시민들이 일대 혼란에 빠진다. 이어 미국 전체 통신망이 교란되기 시작했지만, 이때까지 정부는 원인도 배후도 밝혀내지 못한 채 속수무책 당한다. 가스, 수도, 전기, 원자력 등 모든 공공시설물에 대한 통제권이 해커조직 수중에 넘어간다.

지난 2007년 상영된 영화 '다이하드4.0'의 한 장면이다. 국가시스템 파괴를 노린 체계화된 3단계 사이버공격 '파이어세일'을 가상한 상황이다. 미국 독립기념일에 맞춰 공격이 시작됐다는 점과 체계화된 공격 시나리오를 갖추고 있다는 점에서 이번 분산서비스거부(DDoS) 대란을 지켜본 수많은 사람들이 이 영화를 떠올리며 공포에 떨어야 했다.

◇'파이어세일' 현실화되나

이번 DDoS 공격은 굳이 국가기반시설 전체의 통제권을 직접 얻지 않아도 한순간에 국가를 혼란에 빠뜨릴 수 있는 사이버테러가 얼마든지 현실화될 수 있다는 것을 보여줬다. 만일 이번 공격이 시중은행 인터넷뱅킹에 초점을 맞춰졌다면, 온라인뱅킹 업무가 전면 마비되는 사태로 이어졌을 것이다.

수십만~수백만대의 컴퓨터 정보가 유출되고, 어느 순간 모든 PC데이터가 파괴되는 끔찍한 일이 벌어졌을 수도 있다고 보안전문가들은 말한다. 그만큼 이번 공격은 사전에 치밀하게 계획적으로 이뤄졌다.

◇국가 사이버보안 컨트롤타워 시급

이에 비해 우리의 대응체계가 얼마나 허술한지도 증명했다. 보안전문가들이 하루빨리 사이버보안체계를 총괄하는 컨트롤타워를 신설해야 한다고 목소리를 높이는 이유도 언제 또다시 재발할지 모르기 때문이다.

사실 우리 정부의 보안체계가 허술할 수밖에 없는 이유가 있다. 국가안전보장회의(NSC) 사무처가 맡던 사이버테러 총괄조정기구가 현재 유명무실해있는 상태고, 새 정부 출범과정에서 정부조직이 개편되면서 정보보호 업무가 방송통신위원회와 행정안전부, 지식경제부로 분산돼 있다. 민간 사이버침해사고를 총괄하는 방통위 산하의 한국정보보호진흥원(KISA)마저 한국인터넷진흥원과 통합되면서 '본부'로 조직이 쪼그라들게 생겼다.

상황이 이렇다보니, 악성코드와 연결된 인터넷주소(IP)를 두고 방통위와 국정원이 서로 다른 정보를 내놓는가 하면 국정원과 방통위가 산발적으로 민간기업에게 관련정보를 요구하는 바람에 적잖은 업무지장을 초래했던 것으로 알려졌다.

임종인 고려대 정보경영대학원장은 "결국 이번 사태는 사이버 안보에 대한 정부의 안일한 대응체계가 불러온 측면이 적지않다"며 "이제부터라도 사이버보안 총괄기구를 신설하고, 국가 사이버안보 체계 강화를 위한 전면적인 검토작업이 있어야 할 것"이라고 지적했다.

◇미국·유럽 앞다퉈 신설

미국과 유럽 등지에서는 이미 국정 주요과제로 '사이버보안 코디네이터'를 앞다퉈 신설하고 있다.

미국 오바마 정부는 국정 최우선 과제로 정부부처의 사이버보안 업무를 총괄 조정하는 사이버 안보보좌관을 신설했다. 사전에 사이버테러 가능성을 염두에 두고 대응력을 높이고 유사시 일사분란한 사태수습 지휘하기 위해서다. 유럽연합(EU) 역시 각 국가간 사이버 보안업무를 총괄조정하는 '사이버 시큐리티 코디네이터'를 신설하는 방안을 추진 중이다.

그러나 사이버보안 업무를 특정기관에 일임하는 것은 금물이라고 보안전문가들은 입을 모은다. 특정기관에 사이버보안 업무가 쏠리게 되면 자칫 정보독점권으로 인한 정보침해같은 부작용이 따를 수 있다는 것이다. 한 보안전문가는 "현재 구조대로 정보보호 업무를 역할분담하면서 각 기관에서 담당하는 업무를 유기적으로 조정하고 총괄할 수 있는 조직을 신설하는 것이 바람직하다"고 조언했다.