목 차

Transcription

1 사이버테러와 IT 코리아현주소 DDoS 해킹대란의원인과현실적대안모색 -

2 목 차

3 표목차 그림목차

4 DDoS 해킹대란개요 DDoS는여러대의컴퓨터를일제히동작하게하여특정사이트를공격하는해킹방식의하나를말한다. 서비스거부 (DoS) 란해킹수법의하나로한명또는그이상의사용자가시스템의리소스를독점하거나, 파괴함으로써시스템이더이상정상적인서비스를할수없도록만드는공격방법이다. 특정컴퓨터에침투해자료를삭제하거나훔쳐가는것이아니라목표서버가다른정당한신호를받지못하게방해하는작용만하는것으로쉽게말해대량의접속을유발해해당컴퓨터를마비시키는수법이다. 분산서비스거부 (DDoS) 공격은여러대의컴퓨터를일제히동작하게하여특정사이트를공격하는방식으로특정사이트를공격하기위해해커가서비스공격을위한도구들을여러컴퓨터에심어놓고목표사이트의컴퓨터시스템이처리할수없는엄청난분량의패킷을동시에범람시키면네트워크의성능저하나시스템마비를가져온다. 시스템과부화로정상고객들이접속을할수없는상태가되는것. 한전화번호에집중적으로전화가걸려오면일시불통되는현상과같다고보면된다. 이용자의정상접속이불가능해지는것은물론심하면주컴퓨터기능에치명타를입힐수도있고수많은컴퓨터시스템이운영자도모르는사이에이방법에의해해킹의숙주 ( 좀비 PC) 로이용될수있다. 분산서비스거부공격의대표적인도구로는 ' 트리누 (Trinoo)' 와 ' 트리벌플러드 (TFN;Tribal Flood Network)', ' 슈타첼드라트 (Stacheldraht)' 등이있다. 최근에는빈발하는웜ㆍ바이러스에분산서비스거부 (DDoS) 공격프로그램이내장되어특정웹사이트를공격하기도한다. 1

5 사이버테러와 IT 코리아현주소 DDoS는 2000년 2월아마존, 이베이, 야후등전자상거래관련사이트들이 DDoS의공격을받아운영할수없는사건이발생하면서일반인들에게알려지기시작했다. 2001년 7월에는윈도2000과윈도NT 서버를경유해미국백악관의사이트를분산서비스거부 (DDoS) 공격방법으로마비시키는웜바이러스 코드레드 의변종인 코드레드Ⅱ 가등장해전세계를긴장시키기도했다. 코드레드바이러스는발견된지보름만에전세계적으로 30만대의시스템을감염시켰으며원형과변종코드레드의피해를본국내시스템도최소 3만여대에이르렀다. 2003년 1월에는 DDoS가 KT 전화국 DNS 서버를공격해공격 2시간만에일부전화국서버접속성공률을 10% 로떨어뜨렸다. 이후하나로통신, 두루넷등다른인터넷서비스공급자 (ISP) 들과 SK텔레콤, KTF, LG텔레콤등무선사업자들의망에도트래픽증가를유발시켜사실상인터넷대란이발생했었다 년 2월에는전세계 13개루트도메인네임서버 (DNS) 서버가해커들의 DDoS 공격을받았는데국내 PC가주요공격경유지로파악돼눈길을끌기도했다. 2009년 7월 7일 18시부터동년동월 10일 18시까지만 3일동안진행된 DDoS 공격으로우리나라의주요사이트의접속등을마비시킨사건이다. 이번대란으로금전적손실은최소 363억원에서최대 544억원 (2009년 7월 23일현대경제연구원에서추정 ) 으로과거 2003년 1 25 인터넷대란피해추정액인 1,675억원에비해상대적으로적은것으로평가되었다. 그러나소위 사이버조폭 들의 DDoS 공격과는다르게금전적요구가없었고, 좀비PC의데이터를파괴하는등의특징을나타내이번사태가단순해킹이아닌사이버테러의양상을보였다는점이주목된다. 여러문제점이노출됐고, 다양한대책이마련되고있는가운데자세한원인과경로가아직도미궁속에있는현재진행중인사이버테러사건이라할수있다. 2

6 DDoS 해킹대란개요 2009년상반기악성코드에감염된국내컴퓨터수가 92만4918대에달했다는기사가 2009년 7월 3일전자신문에기사화됐다. 백신프로그램중하나인 바이러스체이서 를설치한컴퓨터를기준으로산출된데이터로 콘피커웜 과 트로이목마 가여전히기승하는등보안에더욱신경써야한다는내용이었다. DDoS 사태가일어날수있는개연성이이미예견된셈이다. 보도기사 3

7 사이버테러와 IT 코리아현주소 대란이있기 2일전인 2009년 7월 5일미국의주요사이트 3곳 ( 백악관, 연방항공청, 국무부전자여권과등 ) 을대상으로 02시 ~14시까지 12시간동안공격이감행되었다. 미국의주요사이트 21곳 ( 백악관, 연방항공청, 재무부, 국토안전부, 국무부, 영사사업부, 교통부, 연방거래위원회, 국가안보국, 우정국, 미국의소리, 국방부, 뉴욕증권거래소, 나스닥, 사이트바이사이트, 마켓워치, 야후, 야후금융, 유에스옥션라이브, 유에스뱅크, 아마존닷컴등 ) 을대상으로 2009년 7월 5일 22시 ~ 동년동월 6일 18시까지공격이감행되었다. 이에우리나라정부에서이사실을알고있었으나, 특별한대책이나경계를하지는않은것으로나타났다. 2007년 7월 7일 18시를기점으로동년동월 8일 18시까지만 24시간동안우리나라의 11개사이트 ( 청와대, 국방부, 국회, 네이버메일 블로그, 농협, 신한은행, 외환은행, 한나라당, 조선일보, 옥션, 주한미군등 ) 를대상으로 1차공격이감행되었다. 해당사이트의접속이어려워졌다. 한국정보보호진흥원 (KISA) 은 7 월 7일 19시경부터대량유해트래픽을수반하는분산서비스거부공격 (DDoS) 으로인해국내일부사이트에대한인터넷접속이중단, 사용자주의가필요하다고밝혔다. 7월 7일 23시부터언론에서는 DDoS 공격추정보도가속출했으며, 청와대관계자는 비정상적인트래픽을발생시키는 디도스 (DDoS 분산서비스거부 ) 공격이있어홈페이지가다운이됐다 면서 어느나라로부터해킹시도가있었는지는좀더조사를해봐야알겠지만중국과북한등제3국해커들의소행일가능성이높다 고밝혀긴장감을높였다. 4

8 DDoS 해킹대란개요 경찰청사이버테러대응센터는미국백악관과국무부의인터넷서비스역시원활하지않아전세계적인해킹으로추정된다는소식을전했다. 국가정보원은이번사태의원인파악과대책마련에나서는동시에해킹세력에대한추적에나섰다고관계자가밝히기도했다. 7월 8일새벽, 방송통신위원회 ( 위원장최시중 ) 과한국정보보호진흥원 ( 원장황중연, 이하 KISA) 은 7일오후 7시경부터대량유해트래픽을수반하는분산서비스거부공격 (DDoS) 으로인하여국내일부사이트에대한인터넷접속이지연되거나접속이되지않아, 사용자들의주의가필요하다 고발표해 DDoS 공격임을공식확인했다. 7월 8일아침부터모든언론에서 DDoS 공격에대한각종기사들이 1면을장식했고, 그피해상황, 주의보등다양한형태로기사화되면서일반인들의입에 DDoS' 가오르내리기시작했고, 검 경에서전담수사팀을꾸려수사에착수하기까지했다. 또한 2차공격가능성이점쳐짐에따라주가에도영향을미쳐소위 안보주 가상승하는현상을보였으며, 인터넷이용자에대해서도개인 PC가 DDoS 공격진원지가되지않도록백신프로그램을이용해줄것을당부하기시작했다. 5

9 사이버테러와 IT 코리아현주소 방송통신위원회는브리핑을통해 사고발생이후악성코드샘플을입수해분석한결과공격명령을내리는 CNC 서버없이 DDoS 공격을발생시키는것으로나타났다 고전하면서, 악성봇에감염된좀비PC에해커가별도명령을내려공격을시행했던지금까지 DDoS 공격과는다소다른양태라고설명했다. 또한 이번 DDoS 공격에쓰인악성봇에감염된 PC는약 1만8000대정도로추산된다 며 백신업체의원격업데이트및현장출동대응등다양한방안을실행에옮기고있다 고설명했다. 미국에서도 7월 7일 21시 ~ 동월 8일오전 7시 ( 한국시각 ) 까지 10시간동안백악관을포함한주요 13개사이트 ( 백악관, 연방항공청, 재무부, 국토안전부, 국무부, 미국의소리, 국방부, 뉴욕증권거래소, 나스닥, 야후금융, 유에스옥션라이브, 유에스뱅크, 워싱턴포스트등 ) 에공격이감행되었다. 2009년 7월 8일 18시부터동년동월 9일 18시까지만 24시간동안우리나라의 14개사이트 ( 청와대, 국방부, 국가사이버안전센터, 다음메일, 네이버메일, 파란메일, 기업은행, 하나은행, 우리은행, 옥션, 알툴, 안철수연구소, 전자정부, 주한미군등 ) 를대상으로 2차공격이진행됐다. 2차공격대상은 1차공격대상이주를이루었으나, 국가사이버안전센터, 안철수연구소등보안관련주요사이트들이포함된것이특징이었다. 6

10 DDoS 해킹대란개요 서울중앙지검첨단범죄수사2부는악성코드에감염된개인용컴퓨터 (PC) 가 2만 3000여대이고, 피해사이트에접속한인터넷주소 (IP) 의 90% 이상이국내라고밝혔다. 워싱턴포스트는 " 이번공격에 6만여대의컴퓨터가동원됐고, 상당수가한국에있는것으로추정된다 " 고전했다. 국가정보원은 " 해외 PC 8000여대가공격에이용됐다 " 고밝혔다. 2차공격때는네이버등일부포털사이트들은자체대응을통해큰피해를입지않았으나, 그렇지못한사이트들은여전히접속자체가되지않는상황에속수무책이었다. 2009년 7월 9일 18시부터동년동월 10일 18시까지만 24시간동안우리나라의 7개사이트 ( 다음메일, 네이버메일, 파란메일, 전자정부, 국민은행, 조선일보, 옥션등 ) 를대상으로 3차공격이이뤄졌다. 3차공격대상은 1차와 2차공격대상중추려졌다. 3차공격은 1차와 2차에비해큰피해를초래하지는않았으며, 숙주사이트를차단해악성코드의추가적인확산을막았다. 이용자들의개인 PC 보안업데이트가크게증가했으며, 공격받은사이트들의대응능력이강화되어소강국면에접어들었다. 또한방송통신위원회에서 "4차공격에대해아직정황이보이지않으나돌발상황에대비해예의주시하고있다 " 고말함으로써더이상의공격은없을것으로확인했다. 이가운데 ' 좀비PC' 손상신고접수가늘어 7월말기준 321건이신고된것으로나타났다. 7

11 사이버테러와 IT 코리아현주소 DDoS는표적이된사이트에계속접속할수있는바이러스성프로그램을유포시켜이프로그램에감염된 PC, 이른바좀비PC는표적사이트에반복적으로접속하게된다. 이번 DDoS 공격은 25개사이트를공격하도록설계된악성코드가각개인의 PC에심어진뒤공격이시작된것으로파악된다. 공격리스트가처음부터설정된셈이다. 25개사이트중국내것은청와대, 국회, 국방부, 한나라당, 조선일보, 외교통상부, 옥션, 농협, 신한은행, 외환은행, 네이버등 11개이고그외나머지는백악관등해외사이트이다. 중간명령제어서버가좀비PC에특정사이트에대한공격명령을내린뒤이뤄지는일반적인 DDoS 공격방식과는다르다. 지금까지 DDoS 공격은대개돈을목적으로이뤄졌다. 특정업체, 예를들면게임아이템거래업체라든지성인용사이트등공개적으로수사를의뢰하기곤란한업체를대상으로 DDoS 공격을가하고돈을요구하는경우가대부분이었다. 그러나이번에벌어진 DDoS 공격은사회적공공재를겨냥한테러성격을띠고있다. 또공격자체를널리알리려는목적이강했다. 그근거로는첫째, 금전적목적을찾아보기어려웠다는점이다. 둘째, 우리나라최대의포털업체인네이버를공격하면서그대상을일상적인도구인메일로했다는것도의미심장하다. 셋째, 공공기관을공격하면서업무가끝난시간인오후 6시를골라공격을개시했다. 충격적인업무마비자체가목적은아니라는해석이다. 넷째, 지속적으로공격을감행하는것이아니라일차공격을한다음, 일단중지했다가다음날같은시간대에재차공격을감행했다. 다섯째, 2차공격에서안철수연구소, 알약등의보안업체의홈페이지를대상에포함시켰다. 즉, 8

12 DDoS 해킹대란개요 자기자신의실력을널리알리고자하는해커의자만심이바탕에깔려있다. 여 섯째, 좀비 PC 의하드디스크와내부데이터를 2009 년 7 월 10 일 0 시부터파괴 하기시작했다. 7 7 DDoS 해킹대란이있기전인 2009년 7월 5일과 6일양일간미국의주요사이트를대상으로공격이있었다. 그러나우리나라에서는이에대한특별한대책이나경계없이 7월 7일을맞이했다. 사전징후가 2일에걸쳐나타났음에도아무런조치를취하지않아피해를더키우는고질적인안이한모습이또다시보였다. 사건발생당일, 청와대관계자를통해사실로확인되지도않은 북한배후설 이언론에유포됨에따라 사이버전쟁 으로비화되었다. 이로인해일반국민들의위협감은증폭되었고, 주요언론에서이를대서특필하면서각종추측이난무했다. 3차공격이끝나고, 미대변인의 북한이무관하다 는공식입장을밝힌후에야배후설은잦아들었다. 그러나증거나근거없이단지공격대상사이트, 주피해국가등을고려한추정을무책임하게드러내면서정부에대한신뢰와접근방식에큰흠집을남겼다. 사건발생후, 해당사안을주도적으로관장하는기관이없어관계기관들이모 여대응체계를수립하는모습을보였다. 주도적인담당기관이없다보니대응수 준에미숙함까지비춰졌고, 오히려보안업체들과포털사이트등민간기관들이 9

13 사이버테러와 IT 코리아현주소 해결책을제시하는모습을보이면서종합적인대응체계수립이시급하다는지적 이제기되었다. 국내는마이크로소프트윈도우즈와인터넷익스플로러의점유율이 90% 를상회할만큼마이크로소프트의점유율이높게나타나고있고, 해외와달리국내사이트들은플러그인방식인액티브엑스기반의보안접근이주류를이루고있다. 하지만이로인해국내사이버보안수준이크게저해되고있다는지적이끊이질않고있다. 악성코드는주로액티브엑스설치나웹하드를통해파일을내려받는행위를통해확산되기때문이다. 이번 DDoS 공격의숙주가된좀비 PC들은대부분이액티브엑스를통해악성코드에감염됐을것으로추산되고있다. 액티브엑스를별다른고민없이 Yes, Yes를눌러설치하는국내보안풍토는해커들에게최적의환경을제공하고있다고해도과언이아니다. 10

14 해킹 대란 긴급 설문 조사 결과 해킹 대란 긴급 설문 조사 결과 조사개요 전자신문 미래기술연구센터(ETRC)는 지난 2009년 7월 16일 전자신문사에서 개최한 한 여름밤의 사이버 전쟁 세미나 참석자 200여명을 대상으로 7 7 DDoS 사태의 원인과 피해, 대응 방안 등에 대해 전반적인 설문조사를 실시했다. 표 1> 조사개요 및 주요내용 내용 2009년 7월 16일 한 여름밤의 사이버 전쟁 세미나 참석자 650 여명 참석자 중 216명 (참여자의 약 33.2%) 구조화된 설문지를 이용한 자기기입식 조사방법 2009년 7월 16일 < 구분 조사대상 조사규모 조사방법 조사기간 분석도구 SPSS(Statistical Package for Social Science) 12.0k 큰 원인, 가장 크게 피해 본 곳 기관, IT 강국 이미지 점수, 원인과 피해 가장 피해 최소화를 위한 정보원 등 주요 대응조치 주체별 대응수준, 향후 기업들의 보안투자 변화 예상, 보안인식 변화, 내용 심각성 등 대응방안 주도적 대응 정부기관, 대책별 공간도 및 시급성 등 인구통계 성별, 연령, 소속기관, 행사 정보 인지 경로 등 성별 연령별 소속기관별 구분 전체 표 2> 응답자 특성 사례수(명) < 남 여 20대 30대 40대 50대 IT 기업 비 IT기업 정부 부처 기타 사례수가 30 미만인 경우는 결과의 일반화에 한계가 있어 분석에서 제외하였다. 11 비율(%)

15 사이버테러와 IT 코리아현주소 이번사태의원인과책임소재를두고정부, IT기업, 일반기업은큰시각차를나타냈다. 정부와 IT기업응답자들은 7.7 대란의원인으로 사용자들의인식부족 과 보안솔루션투자미비 를으뜸으로꼽은반면일반기업들은 빠르게진화하는해킹기술 과 정부의대응미흡 을핵심원인으로지목했다. 특히앞서지적한대로여러가지징후가있었음에도사전예방하지못한정부에대한질타가이어지고있는가운데정작정부관계자들은그책임을사용자에게돌렸다는점에서심각한인식문제를나타냈다. 정부부처응답자들의 39.1% 가사용자에게책임이있다고답한반면정부대응미흡이라는응답은 17.4% 로크게낮았다. 보안업체들이다수포함된 IT기업응답자들도비율은정부보다다소낮았지만사용자책임 (29.5%) 을으뜸으로꼽았으며보안솔루션투자미흡과정부대응미흡이모두 25.4% 로그뒤를이었다. 시장플레이어인 IT업체의시각을그대로반영한것으로보인다. 이에반해사용자층이라고할수있는일반기업응답자들은진화하는해킹기술속도가빨리따라가지못한점이가장큰요인이라고답했다 (32.5%). 그다음이정부의대책미흡 (27.5%) 으로나타났다. 12

16 해킹 대란 긴급 설문 조사 결과 이 같은 시각차는 앞으로 전국가적인 보안대응 체계 구축에도 걸림돌이 될 것 으로 보인다. 민관이 효율적으로 해킹 사태에 대비하는 틀을 마련하기 위해서는 이 같은 공감대 마련이 시급하다는 지적이다. [ 그림 4] DDoS 사태의 가장 큰 원인(응답자 특성별) 자료 : ETRC 13

17 사이버테러와 IT 코리아현주소 이번대란의최대피해처로 정부기관 이라는응답이 35.6% 로가장많았으며, 전자상거래업체 (29.6%), 금융기관 (19.9%), 포털사이트 (11.6%) 순으로나타났다. 이번대란의최대피해처라는점은달리보면, 이번대란에대해부적절한대응을보였거나이와유사한사안에대한사전대비가미비했다고볼수있다. 이러한관점에서 정부부처 가가장큰피해자라는사실은다시한번정부의대응미숙이라는부분에대한아쉬움을남기는부분이라하겠다. 소속기관별로최대피해처에대해분석한결과를살펴보면, 정부기관 이라는응답은 IT기업에서상대적으로높았으며, 전자상거래업체 라는응답은정부부처에서상대적으로높게나타났다. 앞에서살펴본 대란의원인 에대한분석결과와연관지어해석해보면, 정부에서는이번대란의원인이사용자이며, 부적절한대응내지는사전대비미흡으로인한최대피해처는일반기업들의생각 ( 정부라고지목한 ) 과는다른 전자상거래업체 로판단함으로서이번대란에대한책임과피해를모두회피하는모습을보이는것으로해석된다. 14

18 해킹 대란 긴급 설문 조사 결과 [ 그림 6] DDoS 사태의 최대 피해처(응답자 특성별) 자료 : ETRC 15

19 사이버테러와 IT 코리아현주소 이번대란으로 IT 강국이미지가큰손상을입은것으로나타났다. 대란이전을 100점만점으로했을때이번사태이후무려 33.8점하락한 66.2점에그쳤다는결과가도출됐다. 국가이미지가기업경쟁력강화의바탕이되고이를통해국가경쟁력이강화된다는순환의사이클을생각한다면이번사태의피해는금전적차원을넘어국가브랜드에도큰손상을가져온셈이다. 특히국가브랜드위원회를만든이후각종연구결과들에서우리나라의국가브랜드는 70점을상회하고있는시점에서 IT 강국 이라는국가이미지가크게하락했다는점은간과해서는안되는대목이다. 소속기관별로는 IT기업에서 36.71점하락한 63.29점으로가장낮은점수를보인반면, 정부부처에서는 28.98점하락한 71.02점을주어유일하게 70점이상의점수를준것으로나타나국가이미지와이번대란을애써별개의것으로보고자노력하는모습이엿보인다. 16

20 해킹 대란 긴급 설문 조사 결과 2.5. 피해 최소화를 위해 민간 보안업체 를 주로 활용 피해 최소화를 위한 정보 출처로 보안업체 (38.4%)가 가장 많았고, 그 다음으 로는 포털사이트 (18.5%), KISA (18.1%) 순으로 나타났다. [ 그림 8] DDoS 피해최소화를 위한 정보 수집처 자료 : ETRC 소속기관별로는 IT기업의 경우 보안업체 에서 정보를 얻는 경우가 43.4%로 가 장 많았고, 비IT기업은 보안업체 (32.5%)와 포털사이트 (27.5%)에서, 정부부처도 보안업체 (28.3%)와 KISA(21.7%)에서 주로 얻은 것으로 나타났다. 민간기업의 보안을 담당하는 KISA 에서 기업들이 정보를 얻지 않고 보안업체 에서 주로 얻 고 있다는 점, 그리고 정부부처에서도 보안업체 에 주로 의존했다는 점은 국가차 원의 정보보호에 대한 정부의 이니셔티브가 크지 않다는 점을 보여준다. 17

21 사이버테러와 IT 코리아현주소 보안업체의대응수준이 100점만점중 63.43점으로 보통 수준인것으로평가된반면, 기업, 국민, 정부의대응수준은 50점미만으로낙제점수준인것으로나타났다. 앞에서살펴본바와같이, 피해최소화를위해주로 보안업체 를활용했다는점, 정부 의대응은가장부적절했지만, 보안업체 의대응은적절했다고평가하고있는점등을감안할때이번대란에서정부가주도적인역할을하지못했다는비판을벗어나기는어렵다하겠다. 응답자특성별로주체별대응수준을분석해보면, 보안업체 의대응이적절했다는응답은 56.5% 로응답자의과반수이상이긍정적으로평가하는것으로분석되었다. 점수로살펴보면, 보안업체 의대응점수는비IT기업에서 69.23점으로가장높게평가한반면, IT기업에서는 60.43점으로가장낮게평가했다. 한편, 정부 의대응이적절했다는응답은 12.1% 에불과했으며, 부적절했다는응답은 62.6% 에이른다. 점수로살펴보면, 정부 의대응점수는전반적으로낮게평가된가운데정부부처에서는상대적으로높게평가한반면 (38.04점), IT기업에서는낮게평가했다 (28.31점). 18

22 해킹 대란 긴급 설문 조사 결과 2.7. 향후 보안 투자가 증가 전망, IT기업 다소 유보적 향후 보안 투자가 증가 할 것이라는 응답이 80%를 넘는 가운데, IT기업은 60%대에 머물러 기업 및 정부의 보안투자에 다소 유보적인 의견을 보였다. 향후 보안 투자의 변화에 대해 응답자 특성별로 살펴보면, 증가 할 것이라는 의견은 소속기관별로는 정부부처와 비IT기업의 경우 각각 82.6%와 82.5%로 나 타난 반면, IT기업은 68.9%로 나타나, 보안 투자에 대한 전망을 유보적으로 판 단( 변화없음 25.4%)하는 것으로 분석되었다. [ 그림 10] 향후 기업들의 보안 투자 변화 방향(전체) 자료 : ETRC [ 그림 11] 향후 기업들의 보안 투자 변화 방향(응답자 특성별) 자료 : ETRC 19

23 사이버테러와 IT 코리아현주소 이번대란으로보안 인식이다소제고될것 이라는의견이 37.7% 로가장많았으며, 인식이크게제고될것 (26.0%), 시간이지나면예전상태로되돌아갈것 (23.7%), 별다른변화가없을것 (12.6%) 순으로나타나보안인식이개선될것이라는기대감을보였다. 응답자특성별로보안인식변화에대해살펴보면, 다소제고될것 이라는의견은연령이낮을수록높게나타난반면, 크게제고될것 이라는의견은연령이높을수록높게나타났다. 소속기관별로는 다소제고될것 이라는의견은 IT기업 (40.5%) 과비IT기업 (40.0%) 에서상대적으로높게나타났으며, 크게제고될것 이라는의견은정부부처 (41.3%) 와비IT기업 (32.5%) 에서상대적으로높았다. 한편, 예전상태로되돌아갈것 이라는의견과 변화없을것 이라는의견은 IT기업에서각각 26.4%, 14.9% 로다소높게나타나, 비IT기업, 정부부처와는다소다른양상을보였다. IT기업이다소유보적인입장을보이는것은지난 2003년 1 25 인터넷대란이후보안에대한관심이높아졌다가이후관심이낮아진사례가있기때문인것으로해석된다. 20

24 3. 문제제기 : 심각해지고있는사이버테러 우리나라사람 10명중 8명은인터넷에서생활하고있다. 만남, 취미등개인적활동은물론정치, 경제, 미디어등사회영역에이르기까지인터넷은우리삶에깊숙이들어와있다. 사회생활에필요한정보를획득하는통로로서인터넷의중요도와영향력은갈수록증대되고있는것이다. 하지만인터넷의영역이확대되고이용인구가증가하는만큼인터넷을활용한사이버테러 6) 의위험역시급속하게증대되고있다. 사이버테러는일시에전국적규모로국가의주요정보통신망을마비시키거나, 조직적인공격으로인해국가기밀및첨단기술유출과같은국가위기상황을초래할수있는파괴력을가지고있다. 보안전문가들은사이버공격이익명으로, 비교적적은비용으로, 그리고세계어디서나이뤄질수있다는점에주목하고있다. 국내에서발생한사이버테러건수를살펴보면, 2005년이후인터넷해킹, 바이러스침투등과같은건수는점차줄어들고있으나, 사회에미치는위협이나피해는점차대형화되고있는것으로분석된다. 최근발생한 7,7 DDoS 해킹대란이나 2003년전국을강타한 1.25 인터넷대란등은사이버테러의위협을잘 21

25 사이버테러와 IT 코리아현주소 보여주는대표적인사례라할수있다. 초창기사이버테러는주로호기심이나금전적이익을위해벌어졌으나, 점차 정치적의도에서자행되는사례가증가하고있고, 특정국가의암묵적인지원하 에국가간사이버전쟁 (Cyber 戰爭 ) 으로확대되는경우도빈번해지고있다. 22

26 3. 문제제기 : 심각해지고있는사이버테러 2007년 6월발트 3국의하나인에스토니아는러시아해커에의해대대적인사이버테러를당했다. 에스토니아는 2007년 4월부터러시아전몰장병동상철거를둘러싸고러시아와갈등을빚고있었고, 동상철거가이뤄진직후에스토니아주요정부사이트와은행들은 DDoS 공격을받아마비됐다. 7) 당시에스토니아는인구 134만명의비교적작은국가임에도불구하고, 인구의절반이상이인터넷뱅킹을이용하고, 무선인터넷이용이보편화되는등인터넷강국이었다. 또한전자정부관련평가에서도매년수위를차지할정도로정보화된나라였다. 하지만에스토니아는러시아해커의공격으로대통령궁, 의회, 정부기관, 은행, 이동통신네트워크등국가시스템이 3주간마비되는대대적인피해를겪어야했다. 8) 러시아해커들은초기에는정부, 방송, 은행등의시스템을주로공격했으나, 점차봇넷이설치된전세계의좀비 PC를동원해공격대상을확대해가는공격수법을선보였다. 당시전세계 100만대이상의컴퓨터가사용된것으로알려졌고, 에스토니아가 IT강국이어서피해규모가더욱커던것으로분석됐다. 러시아는 2008 년 8 월그루지야와남오세티야공화국의통합문제를둘러싸고 오프라인전쟁을벌였으며, 이전쟁이사이버전쟁으로확대됐다. 당시사이버 전쟁은러시아해커 9) 들이주도했고, 이들은그루지야의주요정부사이트, e 메 일, 통신서비스등을대상으로공격을감행했다. 그결과그루지야대통령홈페 이지를비롯해약 20 개금융 방송사이트가다운됐다. 당시러시아해커들은미카일사카슈빌리그루지아대통령과관련된신문 방송 의헤드라인뉴스처럼위장된스팸메시지를이용해공격네트워크 ( 봇넷 ) 를만드 는수법을동원했다. 10) 사이버공격으로인해그루지야는대통령홈페이지, 의 23

27 사이버테러와 IT 코리아현주소 회 국방부 외교부사이트등을해외서버로옮기는것으로대응했다. 한편, 러시아는이외에도중앙아시아지역키르기즈스탄을겨냥한사이버공격을단행하기도했다. 러시아해커들은키르기즈스탄의 2개의대형인터넷서비스사업자 (ISP) 들을상대로대규모 DDoS 공격을단행해인터넷서비스를마비시킨바있다. 한동안러시아해커들이사이버테러로악명을떨쳤으나, 최근들어서는중국해커들이급부상하고있다. 중국은일찍부터사이버전쟁의중요성을인시하고, 1985년국방과학기술정보센터를설립했고, 2003년에는베이징, 광저우등 4대군구산하에 전자전부대 를창설하는등지속적으로사이버전력을강화해왔다. 중국의전자전부대는미국매사추세츠공대유학생등의고급인력 2,000여명이배치돼해킹기술개발과함께외국정부기관해킹임무를수행하는것으로알려지고있다. 24

28 3. 문제제기 : 심각해지고있는사이버테러 하지만서방국가들이두려워하는것은중국의사이버부대만이아니다. 일명 홍커 (Red Hacker) 로불리는중국민간해커들에의한위협이커지고있다. 이들은정부의통제를받지않아, 매우공격적이고무차별적인해킹을시도하고있으며, 맹목적인애국심으로미국, 일본, 대만등의정부기관, 군, 기업사이트를수시로공격하고있다. 중국인터넷정보센터 (CNNIN) 자료에따르면, 중국홍커의수는대략 100만명에달하는것으로추정되고있다. 실제중국홍커들은 2001년 5월 DDoS 공격으로백악관을마비시킨바있으며, 2004년에는국내의한국국방연구소, 원자력연구소, 외교부, 언론사등 10여개사이트를공격하기도했다. 2007년에도미국방부와동아시아 / 태평양국가들을대상으로사이버테러를감행하는등지속적인활동을보이고있다. 한편한국정보보호진흥원이 08년 3월한달동안의인터넷해킹및해킹시도사례 2,121만건을분석한결과중국으로추정되는해킹사례가 53.6% 에달해중국이국내사이버안전을가장위협하는국가인것으로나타났다. 11) 중국에이어미국 (14.3%), 일본 (5.2%), 브라질 (4.9%), 대만 (2.7%) 순으로나타났다. 7.7 해킹대란은매우정교하게설계된악성코드에의해자행된것으로평가된다. 7월 7일 1차공격에이어 2, 3차공격으로일사분란한공격이이어졌으며, 그과정에서기존스파이코드삭제와특정사이트공격을위한코드전환등지능화된수법으로공격이이뤄졌다. 1,2,3차에걸쳐공격이연이어발생한점, 3차례의공격을 24시간으로나눠서공격한점, 1,2차공격에서공격경로를사전에삭제한점, 3차공격에서좀비 PC 하드웨어를손상시킨점등이매우지능화된수법으로평가됐다. 또한과거 1.25 인터넷대란의경우공격대상이서버였고, 서버는데이터를모아놓는인터넷데이터센터에집중되어있어, 피해양상이네트워크망에부하를 25

29 사이버테러와 IT 코리아현주소 준것이었다. 당시에는서버의취약점을차단하는방법을통해사실상 8시간만에마무리됐다. 하지만이번 7.7 해킹대란의경우 3차례의총 72시간가량공격이지속됐고, 피해의대상역시일반 PC를통해서사이트를공격하고, 공격하던 PC까지손상시키는형태로진행돼과거와달리해킹기법이융합되는모습을보였다. 최근사이버테러는금전적목적을위한개인차원의은밀한행동에서벗어나해킹자체가상업화되는추세를보이고있다. 동시에그룹화, 조직화되는모습까지나타나고있다. 현재온라인공간에서는사이버테러와관련해맬웨어의판매, DDoS 공격툴, 스팸메일발송툴과같은각종해킹용도구가판매되고있으며, 패키지화된상업적서비스로도제공되는있는실정이다. 실제전자신문기사 12) 에따르면, 중국내 DDoS 공격용악성코드, 바이러스등을최소 30만원만정도에손쉽게구입할수있는이른바 인터넷악성코드쇼핑몰 이최소 20 30개존재하는것으로나타났다. 대표적사이트중하나인 해커스카이 ( 에서는 DDoS용악성코드를포함악성바이러스등이대량으로거래되고있다. 보안전문업체인트렌드마이크로의 2008 보고서에의하면, PC 1만대공격에 1,000달러가량이소요되며, 전자메일 100만통발송이 8달러, 1시간공격키드대여가 $0.99~$1에불과한것으로조사됐다. 또한맬웨어패키지가 1,000~2,000달러에거래되고있어사이버테러의상업회를더욱부채질하고있다. 점차특별한해킹지식이없더라도해킹서비스나해킹암시장을통해봇넷사용권, 해킹툴킷, 피싱툴킷, DDoS 공격권등을구매하면누구나해킹이가능해지고있는것이다. 실제지난 2008년 7월에는국내포털사이트카페에서탈퇴당한 10대네티즌이해당카페에보복을결심하고, 중국사이트에서공격툴을구입해실제보복공격에나선사건이일어나기도했다. 암시장을통해툴을확보한해커들가운데일부는세계각국의정부, 기업, 연구소를실제공격해정보를빼내고, 이를정보구매자나해킹정보암시장에판매하는등암거래에나서는것으로알려지고있다. 26

30 3. 문제제기 : 심각해지고있는사이버테러 초창기사이버테러는호기심이나금전적이익을목적으로주로자행됐다. 해외의경우정치적인목적을가진사이버시위등이예전부터있었으나, 국내의경우 7.7 DDoS 해킹대란이전까지는주로금전적이익을목적으로한해킹이대부분이었다. 즉국내의해킹사례들은대부분온라인영업을주로하는사이트, 가령아이템거래사이트나채팅사이트를대상으로해킹한좀비 PC를가지고공격하는방식이통상적이었다. 하지만이번 7.7 DDoS 해킹대란은대규모좀비 PC가동원된치밀한공격에도불구하고, 국가나기업의정보유출시도가없었던점에서뚜렷한목적성을파악하기힘든사례로평가하고있다. 이런이유로이번사태가대대적인공격에앞선테스트였다는분석도제기되고있는실정이다. 분명한것은개인적차원에서금전적인목적으로이뤄지던해킹이점차불특정다수를볼모로한사이버테러로서의성격이강해지고있다는점이다. 27

31 사이버테러와 IT 코리아현주소 28

32 3. 문제제기 : 심각해지고있는사이버테러 세계각국은날로심각해져가는국가사이버테러발생에대비한대응체계정비및강화에나서고있다. 대규모해킹공격읕통해전산망이마비될경우극심한사회적혼란과함께전력, 상하수도, 교통등각사회간접자본시스템마비가능성도제기되고있기때문이다. 이에따라세계각국은군이나정보조직산하에사이버전담부대를설립하거나, IT 분야의최고전문인력을모아국가차원에서전폭적으로지원하며사이버테러, 또는사이버전쟁에대비하고있다. 사이버테러에대한범국가적협력체계의중요성을인식해국가간사이버테러에대한공동대응체계를강화하는모습도나타나고있다. 미국은사이버보안능력부문에서가장앞선국가로평가되고있다. 세계최고수준의 IT 기술력을보유하고있으며, 정부의전폭적인지원하에각국에서몰려드는고급인력인력등을적극적으로활용한결과다. 하지만동시에미국은세계에서가장빈번한사이버테러대상국이되고있다. 미국은국방부, 국토안보부, 항공우주국등을대상으로한해킹공격이빈번해짐에따라전담팀설립및사이버부대창설등으로적극대응하고있다. 특히지난 5월버락오바마미국대통령은정부기관과주요민간기관을목표로하는해킹등사이버공격을방어하기위해전담팀을만들고, 이를관리하는 사이버차르 를임명할것이라는계획을밝히기도했다. 오바마대통령의사어버차르임명발표이전에도미국은사이버안보담당특별보좌관과중앙부처수준의대응조직을설립해사이버보안태세를꾸준히강화해왔다. 미국의사이버보안은 2001년 9.11 테러이후대폭강화됐다. 미정부는 9.11 테러이후사이버공격의위력을핵무기와동일시하면서대통령사이버안보담당특별보좌관을신설했고, 2003년 9월에는국토안보부산하기관으로국가사이 29

33 사이버테러와 IT 코리아현주소 버보안부를창설해, 미국전역의사이버테러방지, 경고, 대응을통합지휘토록했다. 국토안보부의주관하에매년사이버전쟁모의훈련이실시되고있으며, 국토안보부산하의사이버보안및통신실을통해사이버공격위협분석, 취약점보완, 사이버위협경고전파, 사이버공격대응활동조정등이이뤄지고있다. 미국은올 10월에국방부를중심으로사이버테러로부터국가방어임무를수행하고사이버전쟁을수행하기위한사이버사령부를창설할계획에있는것으로전해지고있다. 중국, 러시아, 북한등에도사이버전전담부대가존재하고있지만개별부대차원이아닌사이버사령부를창설하는것은미국이처음이다. 또한최근미국방부사이버범죄예방센터는국가전반의사이버보안을담당할전문가 1만명을선발키로하고, 전국대학과싱크탱크, 민간기업등에구인광고를내기도했다. 아울러국토안보부는사이버보안분야의예산규모를올해보다크게늘리기로하는등사이버테러에대비한오바마정부의행보는갈수록빨라지고있다. EU 는정보보안에대한유럽각국의초국가적협력을위해 2004 년유럽네트 워크정보보안청 (ENISA) 을설립해공동대응체계를갖추고있다. ENISA 는보 30

34 3. 문제제기 : 심각해지고있는사이버테러 안사고처리를위한데이터수집프레임워크및신뢰지수측정방안개발, 보안정보공유및경고시스템의실행가능성검토등의역할을수행하고있다. 이외에도 EU는유럽각국에컴퓨터비상대응팀 (CERT) 구축지원, 각국수준에맞는컨설팅제공, 우수 CERT 활동사례전파등의활동을통해사이버테러에대응하고있다. 컴퓨터비상대응팀지원결과가 2005년 9개국에서 2008년 6월에는 15개국으로증가하는등가시적인성과역시나타나고있다. EU는유럽을대상으로한대규모사이버테러가능성이있다는판단에서, 지난해부터사이버테러위협완화를위한 3개년프로젝트에착수했다. 유럽지역의사이버테러를방지하기위해 NATO( 북대서양조약기구 ) 도적극나서고있다. 2008년 5월 NATO( 북대서양조약기구 ) 주도하에독일, 이탈리아, 라트비아, 리투아니아, 슬로바키아, 스페인등 7개국이참여해 사이버테러방어센터 (The Cooperative Cyber Defence Centreof Excellence) 를설립하는협정을맺었다. 에스토니아수도탈린에설립된사이버방어센터는러시아의에스토니아사이버테러가자행된직후, 사이버테러의위협에대해공동대응하기위해설립됐고, 사이버테러방어와관련된연구와협의, 훈련등의프로젝트를수행할계획이다. 7개국참여국들이사이버테러방어센터운영에필요한자금과전문요원들을지원하고있으며, 미국도옵저버자격으로동참하고있다. 사이버테러방어센터는 30명가량의직원으로운영되고있다. 중국은선진국들이가장위협을느끼는사이버전쟁가상국으로거론되고있다. 중국은이미세계적인경제대국으로성장했고, 유인우주선을쏘아올릴정도의 과학기술력까지보유하고있어이미강력한사이버전쟁수행능력을지닌것 으로평가되고있다. 중국역시사이버전쟁에대한준비를일찍부터시작해왔다 년국방과학 기술정보센터를설립해정보전을연구해왔고, 1997 년에는중앙군사위원회직속 의컴퓨터바이러스부대가설립됐다. 13) 31

35 사이버테러와 IT 코리아현주소 2000년에는사이버공격및정보교란모의훈련을임무로하는전담부대를만들었고, 2003년에는베이징, 광저우등 4대군구산하에 전자전부대 를창설해운영하고있다. 전자전부대는미국명문매사추세츠공대유학생등 2천여명이배치돼해킹기술개발과함께외국정부기관의자료를빼내는임무를맡고있다. 이들부대는미국방부전산망에침입해일부전산망을 1개월간마비시키고독일정부의주요부처전산망을해킹하는등의전과를거둔것으로알려지고있다. 이외에도중국은 100만명에달해는민간해거 ( 일명, 홍커 ) 를보유하고있어더욱강력한사이버강국으로평가된다. 무분별한애국심으로무장한홍커는매우공격적이고무차별적인해킹을감행하고있으나, 중국정부는홍커가자국내사이트를공격하지않는한처벌하지않는다는태도를보여세계각국의우려를높이고있다. 러시아는옛소련의국가보안위원회후신으로국내외안보문제를총괄하는연방보안국에사이버전전담부서를두고있다. 전담부서는컴퓨터바이러스와논리폭탄과같은사이버무기개발과전문가양성등을주로담당하고있다. 특히 1990년대초반보리스옐친당시대통령의지시로사이버무기로적국의 C4ISR 체계를무력화하는방안을연구해왔으며, 현재상당한수준에이른것으로알려지고있다. 실제러시아는우수한사이버전쟁수행능력을수차례실제로입증하고있다. 에스토니아, 그루지아에사이버테러를감행해상대국의주요사이트와전산망을완전마비시키는위력을뽐냈다. 당시러시아정부는사이버테러개입사실을완강하게부인했지만, 전세계보안전문가들은정부개입없이그같은대규모사이버공격이이뤄지기는어렵다고평가했다. 러시아는최근정보보안을위해통신및네트워크시스템의국산화에도주력하는모습을보이고있다. 32

36 3. 문제제기 : 심각해지고있는사이버테러 일본정부는 1998년자국내컴퓨터를경유한이스라엘해커가미해군전산망에침입한사건을계기로국토방위의개념을오프라인에서온라인으로확대해국가전산망보호에나섰다. 1999년부터사이버테러관련법과제도에대한연구를시작했으며, 이때부터정보보안관계부처회의를운영하고있다. 2000년 1 월에는과학기술국등 16개일본정부기관사이트가중국해커들에게해킹당하는사건이발생해사이버테러에대한국가적경각심이크게강화됐다. 2000년 10월육 해 항공자위대통합으로사이버테러대응조직을창설했으며, 이듬해에는사이버테러를방어하기위한첨단전자장비확보및기술개발비를방위예산에특별편성하기도했다. 일본은방위청을중심으로 2001년사이버전투부대창설에나서는등사이버보안능력강화에발벗고나섰다. 우리나라는비교적이른시기부터사이버테러에대한국제공조에관심을기울여왔다. 2000년이후국가간사이버테러사례및대응경험을공유하고대응방안을모색하는국제사이버테러대응심포지엄에참여하고있다. 또한 2002 년부터는아시아지역에사이버범죄교관양성프로그램을마련해한국의수사사례, 기법, 사이버테러방지법등을강의하는등의활동을전개하고있다. 하지만우수한 IT 인프라로인해사이버테러에취약할수있는점은여전한약점으로지적되고있다. 실제 1.25 인터넷대란을겪은이후에야정보통신망법개정과대응지원센터가설립됐다. 정보통신망법개정으로인터넷침해사고긴급대응업무수행근거를마련했고, ISP의침해사고정보제공, 침해사고신고의무화등이반영됐다. 인터넷침해사고대응지원센터에서는 24시간상시모니터링과 154개기관을통해정보수집이이뤄지고있다. 2005년부터는네트워크이용자보호기능강화가중점적으로이뤄져악성코드자동탐지시스템, 악성봇과같은침해대응기술개발적용되고있다. 이외에분기별로국내 ISP들과공동으로공동모의훈련이이뤄지고있다. 33

37 사이버테러와 IT 코리아현주소 미국은정보화예산추진체계에서가장이상적인모델로꼽히고있으며, 사이버위기관리체계역시가장앞선것으로평가된다. 미예산추진체계가기획과예산조직이한조직에집중되어있다는점이해외각국의벤치마킹대상이되고있으며, 사이버위기관리체계의경우단일화된법률, 제도및정책을중심으로통합운영된다는점에서높은점수를받고있다. 미국의정보화예산체계는지난 2002년미국의회를통과한전자정부법에근간하고있다. 전자정부법에따라예산을담당하는관리예산처 (OMB) 14) 산하의전자정부국이연방정부의정보화를사업을총괄하고있다. 예산을총괄하는부서의산하기관에서정보화기획기관이속해있어정보화기획단계에서부터원활한예산반영과커뮤니케이션이가능한구조로평가되고있다. 실제미국전자정보국은연방정부각부처정보화사업의평가결과를예산편성과정에반영하기위한시스템연계작업을활발하게추진중이다. 15) 34

38 3. 문제제기 : 심각해지고있는사이버테러 미국의사이버위기관리체계에서국토안보부는가장중추적인위치를차지하고있다. 국토안보부는국토안보법에근거해공공과민간부문전체에걸쳐사이버공격과그로인한위기사태를예방하고, 대응하기위한실질적인조치를수행한다. 국토안보부는연방정부의정보보호정책을실시할책임을지고있어, 사고대응단일체계수립및표준화된관리계획등을제시하고있다. 또한 국가대응프레임워크, 국가기반보호계획, 국가사이버공간대응시스템, 사이버위험관리프로그램 등과같은프로그램을통해사이버공격을예방하고대응하기위한실질적인조치들을마련하고있다. 최근에는 국가사이버보안종합전략 을발표해미정부전산망을적극감시하는임무까지수행해사이버테러의사후대응보다는사전대응체계를수립을강화하고있다. 우리나라의경우공공분야와민간분야에따라적용법령이다르고, 추가적으로주요정보통신기반시설해당여부에따라적용법령이또달라지는형태다. 더구나공공시설가운데주요정보통신기반시설에포함되지않은경우에는법률이아닌대통령령을적용받는불균형의문제도나타나고있다. 35

39 사이버테러와 IT 코리아현주소 주요정보통신기반시설보호는행정안전부가주관하여담당하고, 그외의부분은공공부문은국가정보원이, 민간부문은방송통신위원회가각각주관한다. 이런이유로국내의사이버위기관리체계는국가적차원에서총체적으로지휘할수있는기관이불분명하여전문적이면서일관성있는대응이어려운구조라는비판이제기되고있다. 36

40 4. 국내사이버위기대응체계강화를위한제언 국내의사이버위기대응과관련된법령에의하면, 분야별 보호대상에따라각각별도의법령이적용된다. 공공부문과민간부문을막론하고주요정보통신기반시설은 정보통신기반보호법 이적용되며, 주요정보통신기반시설에포함되지않은것중에서공공부문은 국가사이버안전관리규정 이, 민간부문은 정보통신망이용촉진및정보보호등에관한법률 이적용된다. 각부문마다상이한법률이적용됨에따라사이버위기관리체계역시별도로이뤄진다. 실제사이버위기대응수행조직의경우공공부문은국가사이버안전센터가, 민간무분은인터넷침해사고대응센터가담당한다. 공공부문가운데국방영역은 별도로국방정보전대응센터가사이버테러대응을수행하는구조로되어있다. 37

41 사이버테러와 IT 코리아현주소 이렇듯사이버테러에대응하는조직이분야별로세분화되어있어각센터운영을위한전문인력이부족하고, 각센터간정보공유및협조가어려운구조다. 또한 7.7 DDoS 사태에서여실히드러났듯이위기상황에서실무리더기관이부재로신속하고일사불란한대응에한계를보일수밖에없는구조로되어있다. 보안전문가들은국가안보를위한사이버테러대응체계는부처간이해관계를떠나국가와국민의안전을책임질수있는곳에서주도해야하며, 국가정보보호수준을높이기위해서는관련법 제도수립과기술개발등을함께관장할수있는컨트롤타워가필요하다고입을모으고있다. 특히정보보호기능이여러부처로분산되어있는현상황에서무엇보다중요한것은대응체계의일원화이며, 이를뒷받침할수잇는법령개정이필요하다고강조하고있다. 사이버위기관리체계는필요한자원의신속한동원과대응을위해서통합적으로이뤄지는것이예방의효율성과대응의적시성등에바람직하다. 현재사이버위기관리에대해명확하게규정하고있는법률이존재하지않는 16) 상황과부처간역할과책임소재가불분명한법률들을단일화된법률, 제도및정책을중심으로통합적으로재구성해야한다는지적에귀를기울일필요성은갈수록높아지고있다. 38

42 4. 국내사이버위기대응체계강화를위한제언 39

43 사이버테러와 IT 코리아현주소 40

44 4. 국내사이버위기대응체계강화를위한제언 올해정부의정보보호예산은 1742억원으로전체정보화예산 3조1555억원의 5.5% 에해당한다. 정부의정보보호예산은 2007년 958억원 ( 전체 3조 3893억원의 2.8%), 2008년 1608억원 ( 전체 3조 3963억원의 4.7%) 에서나타나듯이지속적으로증가하고있다. 하지만이같은증가세에도불구하고, 해외선진국과비교해보면그비중이낮은것으로나타나고있다. 관련업계에서는국내의정보보호예산이선진국의 1/3 수준에불과한것으로파악하고있다. 실제지난해미국의정보보호예산비중은전체정보화예산의 9.2% 를차지하고있어국내와큰격차를보이고있다. 국내의정보보호관련예산편성에있어서도문제점이발견된다. 정보보호예산배정이정보보호평가와연동되지않고일반적기준에의해이뤄지고있어정보보호를위한효율적인예산확보와집행이이뤄지지않는다는지적이다. 미국의경우각연방기관이관리예산처에정보보호대책을보고하도록의무화되어있고, 관리예산처는연방정부각부처의정보화사업평가를기반으로예산편성이이뤄져정책과예산이연계되는시스템을갖추고있다. 국내정부의정보보호전담조직가동비중도크게낮은것으로나타나고있다. 정부전담조직설치비율은 22% 에그치고있어사이버공격에대한전문조직이매우부족한상황이다. 중앙이 24%, 지방자치단체가 19% 만이정보보호전단조직을설치, 운영하고있는것으로나타났다. 전문조직내에서도전문인력배치는더욱열악해정보보호전담부서에배치된전문인력은 28% 에불과한것으로나타나고있다. (2008년 6월기준 ) 17) 이런상황에도불구하고, 국내의전문인력양성정책은축소되고있어우려를 41

45 사이버테러와 IT 코리아현주소 자아내고있다. 염흥열순천향대교수는 전세계적으로사이버보안의중요성을인식해관련연구와적극적인인력양성책을펴는것과달리최근국내정부는석박사급전문인력양성을위한대학 IT연구센터 (ITRC) 육성지원사업을대폭축소했다 고지적했다. 실제로정보보호분야 ITRC는지난해 5곳에서올해 1곳으로줄어들었다. 반면미국방부사이버범죄예방센터는최근국가전반의사이버보안을담당할전문가 1만명을선발키로하고, 전국대학과싱크탱크, 민간기업등에구인광고를내는등적극적인행보를보이고있다. 42

46 4. 국내사이버위기대응체계강화를위한제언 43

47 사이버테러와 IT 코리아현주소 7.7 DDoS 해킹대란은보안이취약한 PC를좀비 PC로삼아발생했다. 대략이번해킹대란에동원된좀비 PC가수만대로추정되며, 이번에동원되지않았지만여전히보안에취약한 PC가상당수에달하는것으로분석되고있다. 잠재적인좀비 PC를이용할경우더욱큰규모의 DDoS 공격도가능하다는지적이제기된다. 이런우려에서정부와보안업계에서는개개인 PC 사용자들이보안패치, 불법소프트웨어사용자제와같은인식의전환이이뤄지면, 사이버위기가크게감소한다고강조하고있다. 하지만 PC 사용자들의인식제고를촉구하기에앞서보다근원적인환경개선이필요하다는지적역시나오고있다. 과도한마이크로소프트인터넷익스플로러편중과액티브엑스의존도를개선해야보다근원적인보안취약점이보완될수있다는주장이다. 국내는마이크로소프트윈도우즈와인터넷익스플로러의점유율이 90% 를상회할만큼마이크로소프트의점유율이높게나타나고있고, 해외와달리국내사이트들은플러그인방식인액티브엑스를이용해보안문제를해결하고있다. 해외에서는웹브라우저에보안모듈을내장되는방식이사용되고있으나, 국내에서는별도의프로그램을다운로드하는방식으로보안모듈이설치되고있다. 실제외국은행들이나이베이, 아마존닷컴같은전자상거래가매우활성화된사이트의경우에도결제를위해별도프로그램 ( 액티브엑스 ) 을설치해야하는곳은거의없다. 하지만국내웹사이트들은포털사이트는물론이고, 은행이나정부사이트에서도액티브엑스를설치하지않을경우서비스이용에큰제한을받고있다. 보안전문가들은 웹서핑도중액티브엑스를설치를묻는보안경고창이뜰때무조건 YES를누르지말라 고당부하지만, 이를그대로따르기란사실상불가능하다. 이번 DDoS 공격의숙주가된좀비 PC들은대부분이액티브엑스를통해악성코드에감염됐을것으로추산되고있다. 만약새로운악성코드가나타나고, 백신이이를사전에잡아내지못할경우언제라도이런사이버테러가재연될가능성이있다는이야기다. 이를방지하기위해서는보안모듈을플러그인방식으로설치하지않고, 웹브 44

48 4. 국내사이버위기대응체계강화를위한제언 라우저에내장하는방식으로의전환이있어야한다는주장이크게확산되고있다. 플러그인설치여부를묻는질문에무조건 Yes, Yes로답했던포지티브방식에서이제는플러그인설치여부에대해 No, No로거부하는네거티브방식으로의전환이필요한시점이라는것이다. 그리고이를위해서아무리막대한비용과시간이소요되더라도반드시해결되어야한다는것이다. 45

49 사이버테러와 IT 코리아현주소 전자신문은 7.7 DDoS 사건발생직후인 7월 9일보안전문가 4명과함께 DDoS 해킹대란긴급좌담회 를개최해사태의원인및향후대응방안을듣는자리를마련했다. 사이버테러대비강화를위한정책적접근에서부터이번사태에서얻을수있는교훈등다양한심도있는논의가이뤄졌다. DDoS 해킹대란긴급좌담회에참석했던 4인의전문가의지적내용들을요약, 정리했다. 이번사태에서국내의사전준비가그다지미흡하지는않았다. 정통부해체이후보안에관한역할이분산되면서오히려더많은기관이보안기능을수행하게됐다. 문제는보안정책을수행하는여러기관이효과적으로운영되지못한데있다. 최근오바마정부는효과적인보안정책수행을위해대통령직속으로 사이버안보조정관 직을신설했다. 이는우리나라에시사하는바가아주크다. 오바마정부는사이버보안에있어컨트롤타워의역할을중요하다고판단한것이다. 미국의예에서알수있듯이국내는부처별로따로돌아가는보안정책이가장큰문제라생각한다. 정부는문제의본질이보안관련컨트롤타워부재에있다는것을인정하고빨리대비책을마련해야한다. 또한단한번의보안투자로모든문제를해결할수있다는조급증도벗어야한다. 과거 1 25 인터넷대란이후보안장비구입이크게있었지만중장기적으로는큰효과를보지못했다. 사고이후대응도문제다. 모든것은보안과관련된 서비스 의문제다. 사고가일어나기전부터서비스체계를갖춰놓아야한다. 사고뒤처리를하는차원이아니라체계화된대응체계가필요하다. 국내보안시장규모가 7000억원정도에불과하다. 이번사태가국내보안기업 46

50 4. 국내사이버위기대응체계강화를위한제언 이신성장, 글로벌기업으로성장할수있는계기가돼야한다. 정부투자중일 정비율은정보보호에투자하는등의예산정책등이필요하다고본다. 정부핵심부처내에보안에관한전문가가부족한것이가장큰문제다. 역대정부마다전문가가없다. 이는현정부만의문제가아니다. 악성코드를분석하고, 이에대응할수있는전문가가턱없이부족하고, 책임자급도부족하다. 문제를보고해도이를이해하고대응조치를취할수있는전문성을지닌책임자가없는것이현실정이다. 전문가도없을뿐더러각부처의보안공조를이뤄낼컨트롤타워도없다. 청와대내에사이버테러에대응하는수석보좌관등을두는것이필요하다고본다. 해킹공격은늘상일어난다. 외부에공개되지않을뿐이지상당히많은공격이늘이어지고있다. 이런문제는 1년전에도, 5년전에도발생했다. 이에대응할수있는국가차원의정책이마련돼야하는것이다. 사이버테러에대응하기위해서는국민개개인의계도도필요하다. 안전한인터넷환경은사용자가지켜내는것이다. 과거우수한해커가많았는데이들을정부가수용하지못한점은반성해야할부문이다. 인력양성도정부가신경써야할부분이다. 이번사태가반드시우리나라정보보호와보안정책을개선하는계기가되어야할것이다. 47

51 사이버테러와 IT 코리아현주소 인터넷상에서해킹공격대상이상당히광범위해지고있다. 그런만큼사태발생시악용되는좀비 PC를찾아내고, 불필요한트래픽을유발하는불법행위를사전에찾아낼수있는기술적역량을길러나가야한다. 현재국회에국가사이버위기관리법이계류중이다. 일각에서는이를두고특정기관의영역확대에우려를표하기도한다. 이러한우려를해소하기위해객관성을지닌기관과단체가활동에관여해특정기관의권한남용을방지할수있는시스템을갖춰야한다. 일부의우려때문에입법화자체를미루는것은곤란하다. 계속미루면또다시이런사태를낳을수있을것이다. 인력양성도중요하다. 정보보호기술을개발하고, 각종악의적공격에대응할수있는인력을대학등에서양성해야한다. 음지에서활동하는해커도국가안보를위해활용하는방법을검토해야한다. 인터넷시대초기에는보안보다는얼마나많이, 빨리트래픽을처리하는지가관심이었다. 그러나인터넷경제가발전하면서 악과선 이공존하는인터넷이됐다. 하지만사이버공간에서어느 PC가공격용컴퓨터인지를알아내기는어렵다. IT전문가가머리를맞대고선용과악용을구별하는기술을연구개발해야한다. 공격기술은빠르게진화하는데대응방식은뒤따라가기급급하다. 일시적이고반작용식 (reacticve) 대응에머물지말고지속적이고선행적 (proactive) 대응방식으로변화해나가야한다. 사고가일어난후에대응하는것이아니라사전에먼저대응할수있는기반을마련해야한다. 48

52 4. 국내사이버위기대응체계강화를위한제언 DDoS 공격툴은중국에공개된사이트에서 30만원정도면쉽게찾을수있다. DDoS 툴의가격은좀비PC를얼마나많이운용할수있느냐에따라달라진다. 그리고이미국내에도많이유입된것으로알고있다. 마음만먹으면해커가아니더라도쉽게 DDoS 공격을진행할수있는것이다. 이미우리사회가보안상상당히높은위험요소를안고있는것이다. 이번사태를계기로정부가보안전반에걸쳐투자체계를재정비해야할것이라본다. 과거 1 25 인터넷대란때도보안에대한전반적인개선책마련이논의됐지만결국또이러한사태가재발됐다. 정부가빨리투자정책을강화하고, 전문인력을양성하는등보다실질적인대책을마련해야한다. 이번사태가정부가보안전문가들의말에더귀를기울이고, 인력양성에힘쓰는계기가되길기대한다. 더불어해커들의능력을국가보안에활용하는방안도적극검토해봐야할것이다. 49

53 사이버테러와 IT 코리아현주소 7.7. DDoS 사건으로 'IT강국' 대한민국은큰홍역을치뤘다. 누군지모르는사람에의한사이버테러가손쉽게이뤄질수있다는점을몸소체험했고, 국내사이버보안체계에커다란구멍이뚫려있음을눈으로확인할수있었다. 전문적인해커가아니더라도누구라도맘만먹으면해킹에나설수있는환경임을인식했고, 한켠에서는 IT강국이라는자부심이커다란거품일지모른다는생각을들게했다. 많은이들이이번사태를계기로국내정보보호환경과보안정책을개선해야한다고주문하고있다. 다양한개선책들이제기되고있고, 시장에서는보란듯 DDoS를차단하는제품이앞다퉈출시되고있다. 정부와보안업계는사용자들의보안인식개선이국내보안체질강화의출발점이라는계도성홍보를강화하고있다. 다좋은일들이다. 그러나이런조치들이취약한국내보안환경을근본적으로개선시킬수있을까. 아마십중팔구는어렵다고답할것이다. 빠르게진화해가는해킹기술과지능화, 복합화하는해킹시도에맞서기위해서는정부, 산업계, 사용자가유기적으로연계된보안생태계가있어야가능할것이다. 보안생태계가선순환을이룰때비로서사태뒷수습에머무르지않고선행적대응까지가능해진다고볼수있다. 하지만국내보안생태계는아직취약한연결고리를가진다. 주체간불협화음을내고있고, 각주체내부에도해결해야할문제가산적해있다. 정부는사이버정보보안에대한뚜렷한비전과조직이부재하고, 보안업계는영세성을벗어나지못하고있다. 국내사용자들은플러그인방식의모듈클릭에길들여져악성코드의산실인액티브엑스를습관적으로설치하고있다. 이를두고날선책임공방이나오고있다. 해킹은 5년전에도, 10년전에도있어왔고 5년후, 10년후에도지속될것이다. 개별주체들의보안대응역시과거에도있어왔고현재에도있으며미래도그러할것이다. 그러나이러한산별대응으로는역부족이다. 그리고지금우리가익숙하게여기고있는보안접근방식이과연타당하고적정하고현재에도가장의미있는방법인지되물어볼필요가있다. 막대한비용과지난한사회적합의가요구되더라도, 보안백년지대계가필요한시점에서근본적인질문을해볼때라 50

54 5. 맺음말 는것이다. 국내보안체계의산적한문제를해결하기위해서는정부가지속적이고도일관된입장을견지해야한다. 사전에알고도늑장대처했다는비난을받고있는정부가 " 정부대응에는문제가없었으며이번사태의핵심원인은사용자에게있다 " 라고책임을떠넘긴것은두고두고부담이될것이다. 더욱이 IT강국이라고말하면서도 ' 보안전문인력들이보안업계를왜기피하는지 ', ' 무료로바이러스백신을제공받을수있는데도사용자들의보안인식은왜개선되지않는지 ' 등과같은근원적인문제에대한답을먼저찾아야한다. 이번보고서는 7.7 DDoS 사태한달을맞아국내보안현실과대응방안을모색하기위해쓰여졌다. 국내정보보호의근본적인문제점을파악하고보안체계에대한사회적인공감대가마련되는데작은도움이되기를바란다. 51