국가 사이버보안 피해금액 분석과 대안 -3 20 사이버 침해사건을 중심으로- 신영웅(KAIST 정보보호대학원) 전상훈(KAIST 정보보호대학원) 임채호(KAIST 정보보호대학원) 김명철(KAIST 정보보호대학원) Ⅰ. 서론 Ⅱ. 북한 등의 사이버공격 전략과 3 20 대란 1. 북한 등의 사이버공격 전략 2. 3 20 대란과 피해금액 분석 Ⅲ. 사이버보안을 위한 투자와 사이버침해 대응 방향 1. 사이버보안 투자의 경제적 효과와 정보보호 관련 예산 증액의 필요성 2. 사이버침해 대응의 방향 Ⅳ. 한국의 사이버침해 대응체계의 문제점과 개선방안 1. 콘트롤 타워의 수립과 협력체계의 구축 2. 사이버안전 관련제도와 법체계의 구축 3. 망분리 등 안전체계 강화 4. 조기탐지 시스템의 구축 5. 국제협력의 강화와 정보교류 Ⅴ. 결론 차 례
130 국가정보연구 제6권 1호 국문요약 우리나라는 최근 10여 년간 북한과 중국으로부터 몇 차례의 사이버공격을 받아왔 고, 그 유무형의 피해가 날로 심각해지고 있다. 북한과 중국의 공격 수법이 처음에 는 불특정다수를 대상으로 취약한 웹서버를 장악하여 악성코드를 대량 유포하는 전 략을 구사했지만, 최근에는 특정기관을 대상으로 특정시점에 대량의 이메일을 보내 서 업무를 마비시키는 공격으로 변화하고 있으며, 특히 이번 3 20 대란 때는 고도 의 장기적이고 지속적인 사이버공격(APT 공격)으로 전 국민에게 직접적인 영향을 미치는 방송사와 금융사 등을 대상으로 하였다. 이에 대비하는 우리나라 사이버안전 기술과 대응체계는 발전된 ICT 1) 수준에 비해 많이 뒤떨어진 실정이다. 특히 사이버 범죄나 공격으로 인한 국가나 기업체, 개인의 유 무형의 경제적 피해는 계속 증가하 고 있고, 심지어 국가안보까지 위협함에 따라 사이버위험을 체계적으로 파악하고 사 이버보안 체계를 갖추는 일이 시급하게 요구되고 있다. 본 논문은 사이버침해사고의 문제점과 심각성을 파악하기 위해 중국과 북한의 사 이버공격 특성과 전략을 살펴보고, 지난 3 20 대란의 특징과 문제점 그리고 직간접 적인 경제적 피해액을 산출하였다. 또한 최근 정보보호를 위해 투자한 예산의 경제 적 효과를 분석하여 향후 대책과 방향을 제시하였다. 3 20 대란분석에는 Gordon 과 Loeb의 비용/편익분석 방법을 이용했으며, 경제 적 피해액은 약 8,672억원으로 잠정 집계되었다. 이를 분석한 결과, 우리나라는 정 보보호를 위해 매년 3,000억이상의 정보보호비용이 필요하며, 안전한 사이버공간을 만들기 위해서는 청와대를 중심으로 하는 국가 사이버안전 콘트롤 타워 기능강화, 기술적 안전대책 강화, 사이버보안 체계를 지속적으로 측정 관리하고, 유사시 선제 적으로 대응할 수 있는 사이버보안 대응체계가 필요한 것으로 나타났다. 1) http://www.enisa.europa.eu/media/news-items/dutch-cyber-security-strategy- 2011/(검색일: 2013.5.22) ICT is the entirety of digital information, information infrastructures, computers, systems, applications and the interaction between information technology and the physical world regarding which there is communication and information exchange. Dutch National Cyber Strategy. The National Cyber Security Strategy(NCSS): Success through cooperation, 2011, p.2. 주제어 3 20 대란 피해금액 분석, 사이버보안, 사이버공격, 경제적 피해, 경제성, ICT
국가 사이버보안 피해금액 분석과 대안: 3 20 사이버 침해사건을 중심으로 신영웅 외 3인 131 I. 서론 사이버공간은 지상, 공중, 바다, 우주에 이어 국토의 제5영역으로 인정 되고 있는 추세이다. 미국을 포함한 세계 주요 국가들은 이미 사이버공간 을 중요한 국가의 영역으로 인정하는 법안을 만들었고 각국의 실정에 적 합한 사이버정책을 준비 중이다. 따라서 이제는 사이버보안의 개념보다는 사이버 안보의 개념에서 사이버공격에 대한 국가적 차원의 방어 전략이 필요하다. 그간 정부 내 여러 기관이 사이버안전을 담당함에 따라 효율적 이고 일관된 사이버안전 정책을 추진하기 어려웠다. 지금까지 여러 차례 의 사이버보안 사고가 있었지만, 아직도 제대로 된 콘트롤 타워가 없고, 각 기관이나 기업도 예산문제 등으로 망( 網 ) 분리나 사이버보안 지수제도 도입 등 기본적인 안전조치도 제대로 이행하지 않고 있으며, 사고가 나도 처리할 전문인력도 부족한 실정이어서 유사한 사이버안전사고는 언제든 재발이 가능하다. 최근에야 청와대가 사이버안전에 관한 각부서의 의견 조율에 나서고 있지만, 그것도 청와대 국가안보실산하에 소수의 인원으로 조정기구를 구성해 각 기관의 정책과 의견을 조정하는 수준이다. 3 20 대 란은 이런 우리사회의 사이버안전에 대한 인식과 대응수준을 그대로 보여 주고 있다. 아직까지 최종 발표는 되지 않았지만, 이번 사고로 인한 피해 액은 약 8,672억원으로 1 25 대란 및 7 7 DDoS공격과 비교하여 훨씬 크 다. 피해액 산정방법이 각기 달라 단순비교엔 무리가 따르지만 우리의 사 이버안전 시스템을 점검하고 개선할 좋은 기회라고 판단된다. 지금까지 국내외에 공인된 사이버사고 피해액 산출방식은 그 기준이 다 르고 산출방법마다 오차가 크며 제한사항이 있어 전적으로 신뢰할 만하지 못하다. 본 연구에서는 널리 이용되는 주요 사이버사고 피해액 산출방법 을 몇 가지 소개하고, 그중 가장 많이 이용되는 방법에 따라 3 20 대란의
132 국가정보연구 제6권 1호 피해액을 산출하였고, 사이버보안 예산의 경제적 효과를 분석하였다. 또 한, 현재 사이버보안 체계의 특징과 대응체계의 문제점 등을 점검한 후 콘 트롤 타워 기능강화와 조기경보시스템 구축, 관련 제도와 법체계 구축, 국 제협력 등을 통한 새로운 사이버보안체계를 제안하였다. II. 북한 등의 사이버공격 전략과 3 20 대란 1. 북한 등의 사이버공격 전략 사이버범죄와 사이버공격 2) 의 근원지를 추적해 볼 때, 지금까지 밝혀진 바에 의하면, 북한과 중국은 우리 사이버공간 3) 을 침해하는 주범이다. 이번 3 20 대란을 포함하여 지난 1 25 대란과 7 7 DDoS(분산서비스거부)공 격은 물론, 그간의 크고 작은 사이버공격 행위가 이들 국가에서 시작됐다. 북한 4) 과 중국의 사이버공격 전략은 기본적으로 비슷하다. 이들의 사이버 2) What is a cyber attack? http://www.trivology.com/articles/297/what-is-acyber-attack.html(검색일: 2013.5.22) 3) Richard A. Clarke and Robert K. Knake, Cyber War (New York: Harper Collins, 2010), p.70. Cyberspace is all of the computer networks in the world and everything they connect and control. Also, cyber space includes the Internet plus lots of other networks of computers that are not supposed to be accessible from the Internet. 4) http://blog.daum.net/obk2030/16528895(검색일: 2013.5.22) 보안업계 및 탈북자 출신 관계자 말에 따르면 북한은 최대 1만2천명 이상의 해커부대를 양성해 놓은 상태다. 북한은 중동에서 걸프전이 일어난 이후 미래에는 사이버전이 중요 해질 것을 미리 염두에 두고 해커부대(정보전사)를 양성했다고 한다. 북한 해커양성대학 인 김일성정치군사대학(미림대) 출신인 장세율 북한인민해방전선 대표는 최근 TV조선에 출연해 북한은 1990년대 초부터 한국을 상대로 사이버전쟁을 시작했다 고 말했다. 그는 또 미림대학은 5년제 대학반과 2년제 연구반으로 운영되며 매년 사이버전 인력 200명 을배출한다 고 설명했다.
국가 사이버보안 피해금액 분석과 대안: 3 20 사이버 침해사건을 중심으로 신영웅 외 3인 133 공격은 SQL Injection, web shell 업로드, 악성링크 등 web을 통한 공격, 문서형 악성코드, 악성링크 등 이메일을 통한 공격, 운영체계 취약점, 제3 자application 취약점 등 특정서버 공격, P2P, web hard 등 악성코드가 포함된 파일유포 공격 등 네 가지로 구분되는데, 이를 이용하여 특정소수 또는 불특정다수를 감염시켜 DB를 조작하거나 전산망을 마비시켜 궁극적 으로는 정부기관, 연구소, 금융기관, 일반기업과 개인컴퓨터 등을 공격한 다. 북한은 한국에 대한 사이버공격을 지속할 것으로 예상되는데 그 주요이 유는, 첫째, 사이버공격은 재래전에 비해 적은 인원과 장비로 큰 효과를 거둘 수 있으며 짧은 시간에 많은 피해를 입힐 수 있고, 둘째, 사이버공격 은 북한이 익명 또는 조작된 IP주소를 이용해 공격할 수 있어 공격자와 공 격지를 숨길 수 있기 때문이다. 셋째는 사이버전력은 강력한 비대칭성 5) 을 구사할 수 있고, 넷째로 사이버세계는 누구에게나 개방되어 있으므로 본 질적으로 외부공격에 취약하기 때문이다. 다섯째로 한국의 인터넷 사이버 세계는 공권력이 덜 미치는 해방공간이며, 자유와 민주주의, 인권보장은 한국정부의 가장 중요한 의무이기도 하기 때문에 정부는 정보통신 관련 법률에 명시되지 않은 사이버상의 어떠한 위법행위에 대해서도 단속하거 나 강제할 수 없기 때문이다. 6) 중국도 역시 미국에 대한 각종 사이버공격의 배후로 지목되고 있다. 수 천명으로 구성된 해커부대가 국가차원의 해킹을 시도하고 있다. 중국의 우선순위는 미국 등 주요 국가가 보유한 핵심기술을 탈취하는 것이다. 중 5) 권문택, 북한의 비대칭전략-사이버기습공격에 대한 대책연구, 정보보안논문지 제10 권 제4호(2010.12), p.83. 비대칭 전력이란 상대의 비교 우위 전력을 피하고 상대의 상대적 취약점을 공격해 타격 을 입힐 수 있는 전력 체계를 말한다. 6) http://www.nkvision.com/read.php?num=165(검색일 : 2013.5.22).
134 국가정보연구 제6권 1호 국이 사이버공격을 통하여 얻고자 하는 핵심 목표는 국가 정보시스템, 주 요기반시설 등에 대한 공격이 아니라 공공 및 민간기관, 기업, 연구소 등 이 보유한 핵심기술 등의 정보인 것으로 보인다. 7) 따라서 한국을 포함한 미국 등에 대한 중국의 사이버공격은 앞으로도 다양한 방법으로 지속될 것으로 전망된다. 2. 3 20 대란과 피해금액 분석 (1) 3 20 대란의 공격방법 분석 먼저 이번 3 20 대란은 공격자가 3월 20일 14시 50분경을 기해 KBS, MBC, YTN, 신한은행, 제주은행, 농협을 공격하여 최장 10일간(농협)전 산망을 마비시킨 사건이었다. 1 25 대란이나 7 7 DDoS공격 때와는 달리 이번 사이버테러는 정부기관에는 아무런 피해를 입히지 않고 민간영역에 공격이 집중되었다. 민 관 군 사이버테러 위협 합동대응팀(이하 합동대 응팀)의 발표에 의하면, 피해기관 감염 장비와 공격 경유지 등에서 수집 된 악성코드 76종과 수년간 국정원과 군에 축적된 북한 대남해킹 조사결 과를 분석한 결과 상당수 동일한 수법으로 밝혀졌다 고 발표하면서 이 외 에도 북한 해커가 고유하게 사용 중인 감염 PC의 식별번호(8자리숫자) 및 감염신호 생성코드의 소스프로그램 중 과거와 동일하게 사용한 악성코 드가 18종에 달한 점 사용된 국내외 경유지 49개 서버 가운데 22개가 2009년 이후 북한의 대남 해킹에 사용된 인터넷 주소와 일치한 점 2009년 7 7 DDoS 공격, 2011년의 또 다른 DDoS 공격과 농협 해킹, 지 난해 중앙일보 전산망 파괴 등 북한의 공격으로 의심되는 사이버테러와 유사하다는 점 등이 북한 소행으로 추정하는 근거로 제시됐다. 8) 이번에 이 7) http://www.boannews.com/board/view.asp?idx=33(검색일 : 2013.5.22) 8) 민중의 소리, 2013.4.11.
국가 사이버보안 피해금액 분석과 대안: 3 20 사이버 침해사건을 중심으로 신영웅 외 3인 135 용된 공격 방식은 장기간 특정표적을 노리고 APT(Advanced Persistent Threat 지능형지속해킹)공격을 감행한 것으로 추정된다. 공격자는 웹서 버를 해킹해 악성코드를 심어놓고 웹 Active X 모듈의 업데이트 기능을 활용해 파일경로를 변조하고 방문자가 접속해 업데이트 실행 시 악성코드 에 감염되도록 했다. 9) 이런 방법이 가능하게 된 이유는 첫째, 많은 방문자 가 발생하고 있는 인터넷 사이트에 악성코드를 은닉시켜 방문자 PC를 감 염시킬 수 있고, 둘째는, 인터넷에서 구글링, SNS 검색을 통해서 목표 (Target)의 정보를 확보하여 PC를 감염시킬 수 있으며, 셋째는 스캐닝 등 기초적인 해킹 공격을 통해 확보한 악성코드 감염 경로를 통해 내부 PC를 감염시킬 수 있다. 넷째는 내부 메일 수신자를 대상으로 악성코드가 내포 되어 있거나, 악성코드를 감염시킬 수 있는 사이트가 연계된 메일을 송신 하고, 수신자가 이를 클릭하는 순간에 PC를 감염시킬 수 있기 때문이다. 10) (2) 3 20 대란의 피해내용 11) 현재까지 3 20 대란으로 드러난 피해현황은 주요 공격대상이었던 6개 회사가 보유한 약 3만 2천대의 PC가 일시에 오작동을 일으켰고 1만6천여 대의 CD/ATM기기를 손상시켜 업무에 지장을 초래했으며, 12) 그안에저장 된 데이터도 파괴됐다. 합동대응팀은 지난 20일 발생한 사이버테러로 내 부시스템 파괴 등 피해를 입은 방송사 및 금융기관들이 모두 정상화됐다 9) 보안뉴스, 2013.4.30. 10) 디지털타임스, 2013.5.10. 11) 아직까지 통일된 피해기준산정이 없으므로 오차가 있을수 있으며, 피해시간은 업체가 공격당한 3월20일 오후 2시 50분이후부터 금용사와 방송사의 복구가 완료된 시점을 의 미하며, 복구 란 시스템이 정상적으로 작동하지 아니할 때, 문제가 생기기 바로 앞의 상 태로 회복시켜 프로그램의 처리를 계속할 수 있게 하는 것을 말한다. 은행의 CD/ATM 피해 경우, PC 와 동일한 복구시간과 소요기간을 적용하였다. 12) 파이낸셜뉴스, 2013. 3. 21.
136 국가정보연구 제6권 1호 고 29일 밝혔는데, 이에 따르면 KBS, MBC, YTN, 신한은행, 제주은행, 농협 등의 웹서버, 직원PC, ATM 등 모든 시스템은 이날 12시에 복구되었 다. 13) <표 1> 각사의 피해내용과 복구시점] 14) 피해기관 피해내용 복구내용 피해시간(일) 신한은행 - 서버4대 - PC 169대 (169명) - 복구완료 3 20 - 복구완료 3 20 3시 40분 전산시스템 복구, 정상영업 1시간 45분 농 협 - CD/ATM 16,121대 - PC 26,693대(26,693명) - 복구완료 3.25 - 복구완료 3.29 80시간 (10일) 제주은행 - CD/ATM 70대 - PC 320대(320명) - 복구완료 3.23 - 복구완료 3.24 시스템 장애로 인해 오후 6시까지 연장영업 40시간 (5일) KBS MBC - 서버 6대 - PC 4,000대(4,000명) 일반 업무용 네트워크 피해. 방송용 네트워크는 일반 업무 용과는 달리 별도의 네트워크 로 운영되고 있어 이번 사태 와는 무관하게 방송 송출에는 차질이 발생하지 않음 - 서버 18대 - PC 1,000대(1,000명) 본사에서 사용중인 1,500여 대 가운데 1,000대가 감염됐 고 광고, 회계 등 업무가 지장 을 받았으며 뉴스와 인사, 그 룹웨어 업무는 정상적으로 이 뤄지고 있는 것으로 파악 - 복구완료 3.21 - 복구완료 3.26 전산망 복구작업을 펼쳐 악성코드로 인해 장애가 발생했던 일반 업무용 네트워크에 대한 복구 완료 - 복구완료 3.26 - 복구완료 3.26 정보 콘텐츠실을 중심으로 긴급 대 응팀을 가동시켰으며 외부와의 네트 워크를 단절한 상태. 서버의 경우에 는 imbc와 IBM 등 서버관리 업체의 지원을 받아 복구 작업에 나섰으며, 방송에 차질이 발생하지 않도록 보 도국과 라디오국, 광고국의 PC에 대 해 우선적으로 복구작업을 진행 56시간 (7일) 56시간(7일) 13) 머니투데이, 2012. 3.29
국가 사이버보안 피해금액 분석과 대안: 3 20 사이버 침해사건을 중심으로 신영웅 외 3인 137 피해기관 피해내용 복구내용 피해시간(일) YTN - 서버 2대 - PC 370대(370명) 피해 상황은 PC 370여대가 부팅이 되지 않는 부트 영역 이 파괴되는 피해를 입었음 -복구완료 3.25 -복구완료 3.25 복구를 통해 다소 원활하지 못한 부 분이 있지만 방송을 진행 48시간(6일) 종합해보면 3 20사이버테러는 주요 방송사와 금융기관의 컴퓨터와 서 버 3만2,552대와 서버와 CD/ATM 등 16,221대를 손상시켜 홈페이지를 마비시키고 실제 업무에 차질을 빚게 만들었다. 데이터복구 업계에 따르 면 이번 테러로 하드디스크 대당 복구비용이 6만~7만원임을 감안할 때 직접적 피해액인 복구비용만 최소 수십억원, 방송 제작과 은행 업무에 차 질을 빚은 효과까지 합치면 엄청난 금액이 산정될 수 있다 15) 고 밝혔다. (3) 3 20 대란 등 사이버보안 피해금액 (가) 사이버피해로 인한 피해금액 산출 모형 현실세계와 마찬가지로 사이버공격과 그로 인한 피해는 16) 수치화가 가 능한 경제적 피해와 정치, 경제, 사회적으로 영향을 미치거나 신용하락 등 정량화하기 쉽지 않은 손실이 포함될 수 있다. 17) 즉, 인터넷 쇼핑업체 같이 서비스가 단절 되었을 때 나타나는 업무중단 등에 따른 매출손실액, 재구 14) 2013년 한국인터넷 진흥원이 밝힌 조사자료 15) http://www.boannews.com/media/view.asp?idx=35324(검색일 : 2013.5.22) 16) 사이버공격 기업 피해액 1건당 평균 21만 4천달러, 사이버공격을 받은 기업의 조사로부 터 판명 난 공격 목적은 65%가 금전적 이익을 노린 사기, 45%가 업무 방해 와 고객 데이터의 입수 였다. 정치적이나 이데올로기적인 동기에 기인하였다고 생각되는 공격 은 약 5%였다. 데일리시큐, 2012.6.11. 17) 사이버공격을 받은 기업에서는 1주간에 평균 66건의 시큐리티 침해를 받았다고 한다. 공격이 성공한 경우, 기업의 피해액을 대략 계산해 1건 당 평균 21만 4천달러. 최고는 독 일의 응답자가 응답한 30만 달러, 최저는 브라질의 10만달러 였다. 데일리시큐, 2012.6.11.
138 국가정보연구 제6권 1호 입이 가능한 대체비용과 같은 직접적인 경제적 피해를 입힐 수 있는 것과 공공기관 등 해킹 침해를 입더라도 경제적 피해는 없으나 비밀유출, 신뢰 도 추락 등 정치, 사회적 관심을 끌어낼 수 있는 것이 있다. 사이버공격으 로 인한 피해산출방법은 피해결과가 객관적으로 입증이 가능한지 혹은 어 떤 변수를 설정해야 하는 지 등에 따라 큰 차이를 보이고 있으며, 이외에 도 피해액을 예측하기 위한 정보들의 출처에 대한 낮은 신뢰도, 절대적으 로 부족한 표본의 수, 표준화된 방법론의 부재, 특히 피해당사자들은 자사 의 주가하락이나 법적분쟁 등의 이유로 신뢰할 만한 정보를 제공하지 않 는 18) 등의 원인 때문에 연구에 어려움이 많고, 신뢰할 수 있는 결과를 산출 하기가 쉽지 않다. 본 연구에서는 이러한 정보자산에 대한 피해유형과 관 련비용 산정 등을 토대로 사이버 보안사고 발생시 널리 이용되는 세가지 피해금액산정방법을 소개한다. 첫째, KISA 모형 19) 인터넷 침해사고 피해액 산출모형은 인터넷 사고가 발생할 경우 민간기 업의 실질적 손실비용과 이를 복구하기 위한 비용 등 경제적 피해금액을 산출할 수 있는 모형을 수립하여 향후 유사한 상황이 발생할 경우 그 피해 를 정량화하여 경제적 손실을 측정하고 이를 예방하기 위한 대책 수립에 활용하고 있다. 우선 피해가 현실화되는 형태에 따라 직접적 피해, 간접적 피해, 파생적 피해로 분류한다. 인터넷 침해사고의 피해요소는 다음 <표 2>와 같이 분류된다. 18) 서승우, 보안경제학, (서울: 서울대학교출판문화원, 2011), p.36. 19) 강 형, 박광철, 박원형, 국광호, 사이버테러에 따른 경제적 피해규모 산정을 위한 모델 연구, 정보보안논문지, 제9권 제3호(2009), p.27.
국가 사이버보안 피해금액 분석과 대안: 3 20 사이버 침해사건을 중심으로 신영웅 외 3인 139 <표 2> 인터넷 침해사고 피해요소 구분 특징 구성요소 직접적 피해 간접적 피해 파생적 피해 금전적 손실 또는 비용의 형태로 명확히 드러 나는 피해 금전적으로 명확하게 드러나지 않으나 생산성 저하 혹은 무형자산의 손실을 야기하는 피해 사고와 관련 직간접적 피해의 영향으로 추 후 나타날 수 있는 피해 손실이익, 복구비용 생산효율저하, 데이터손실, 데이터 재생산 비용 이미지 손상, 주가하락, 손해배상 비용 둘째, 서승우 방법 20) 정보를 효율적으로 지키기 위한 보안기술은 제조나 생산에 직접 관여되 지 않아 수치화된 데이터가 제공되지 않으며, 예방으로 인해 발생하지 않 은 보안사고를 수치화하기가 쉽지 않다. 보안사고가 일어났을 때 발생하 는 복구, 명성하락으로 인한 이익감소, 벌금 등은 사고가 발생한 후 시간 이 얼마간 지나봐야 알 수 있으며 당시에는 알기가 어렵다. 21) 그러나 과학 기술의 발달과 평가방법 등의 개선으로 보안기술을 정량화하려는 노력이 지속적으로 이루어져 왔다. 정보자산에 대한 사고가 발생했을 경우 예상 피해액의 산정은 다음과 같이 정의될 수 있다. N M ( ) Cexp = Ci(k) P(k) i=1 k=1 Cexp는 예상피해액의 총합, Ci(k)는 i유형의 자산에 대해 k형태의 위험 이 발생했을 경우 입을 수 있는 피해액, P(k)는위험k가 발생할 가능성(확 률)을 말한다. 그러나 서승우방법도 객관적인 변수를 구하는 것이 쉽지 않 고, 공격의 경우도 의도적인지 비의도적인지를 객관적으로 검증하기가 쉽 20) 서승우(2011), p.298. 21) 위의 책.
140 국가정보연구 제6권 1호 지 않은 문제점이 있다. 셋째, Gordon 과 Loeb 의 모형 Gordon과 Loeb은 정보보호 침해사고에 비용/편익분석 방법을 이용하 였고, 비용을 직접비용과 간접비용, 명시적 비용과 잠재적 비용의 네 가지 로 구분하여 피해액을 분석하였다. 이들의 분석 <표 3>에 따르면 <표 3> 사이버사고 피해액 구조 명시적 비용 잠재적 비용 직접비용 기대이익 감소 추가비용 발생 매출이익 감소액 복구비용 생산효율저하손실 복구불능정보자산가치 잠재적 책임비용 간접비용 예방 투자액 이미지 손상 주가 하락 명시적인 직접비용은 매출이익의 감소, 생산효율의 저하 등의 기대이익 감소부분과 복구비용, 복구불능자산의 가치 등의 추가발생 비용으로 구성 되며 이들이 각각 합산된다. 명시적인 간접비용은 사고예방을 위한 투자 액으로볼수있다. 한편잠재적직접비용은 현재 발생하지는 않았으나 발 생할 가능성이 있는 보상책임 관련 비용을 들 수 있으며 잠재적 간접비용 은 피해를 방지하지 못하여 발생하는 이미지 손상과 그에 따른 기업가치 또는 주가의 하락을 들 수 있다. 여기서 매출이익의 감소, 생산효율의 저 하 등은 미래가치의 현가화( 現 價 化 )를 통한 일종의 수익접근법적 분석을 하게 될 것이다. 22) 그러나 Gordon과 Loeb는 정보자산에 대해 피해를 입 22) 신 진, 사이버정보보호의 경제적 효과분석: 국가적 피해액 산정을 중심으로, 정보보 호학회논문지, 제 23권 201호(2013), p.94.
국가 사이버보안 피해금액 분석과 대안: 3 20 사이버 침해사건을 중심으로 신영웅 외 3인 141 힐 수 있는 위협, 위협시도가 성공할 경우에 피해가 발생할 가능성인 취약 성, 피해의 유형 모두 단일 유형만을 가정한 한계가 있다. 23) (나) 3 20 대란의 피해 산출액 본 논문에서는 Gordon과 Loeb의 개념적인 정의를 활용하였다. Gordon과 Loeb(2006)의 비용(Cost)과 편익(Benefit)을 분석하는 방법은 직접 및 간접비용과 명시적 및 잠재적으로 구분된다. 피해 유형으로는 직 접적인 피해(시스템 복구비용, 매출 이익 손실), 간접적인 피해(생산효율 저하, 데이터 손실, 예방을 위한 투자비용), 잠재적인 피해(이미지 손상, 신뢰도 하락, 주가하락, 법적 보상 등)로 구분한다. 3 20 대란의 실제 피 해액을 측정하기 위해 본 연구는 직접적인 피해와 간접적인 피해를 계산 하였고, 잠재적 피해는 객관적인 측정이 가능한 주가변동만을 산정하였 다. 1 직접적인 피해 a. 시스템 복구비용 인터넷 침해사고는 경우에 따라 네트워크의 불통만을 일으키는 것이 아 니라 하드웨어 또는 소프트웨어의 손상, 나아가서는 중요한 정보를 담은 데이터의 손상을 동반하기도 한다. 이 중에서 데이터의 손상은 복구가 가 능한 경우와 복구가 불가능한 경우로 나눌 수 있다. 복구가 가능한 데이터 는 전문가 활용 또는 내부 자체인력을 통해 복구에 소요되는 비용을 계산 하면 되지만, 복구가 불가능한 경우는 데이터가 가지고 있는 무형의 가치 를 판단해야 하기 때문에 이를 분리하여 산출하고자 한다. 따라서 복구비 용 은 침해사고로 인해 손상된 H/W와 S/W, 그리고 복구가 가능한 데이 터에 한정하여 데이터를 원상태로 회복시키는데 필요한 비용으로 다음과 23) 유혜원, 김태성, 정보보호침해사고 발생에 의한 피해액 산출모형, 대한 산업공학회/ 한국경영과학회 춘계공동학술대회(2010), p.4.
142 국가정보연구 제6권 1호 같이 정의한다. 24) <표 4> 시스템 복구비용 계산식 시스템 복구비용 = S/W 복구비용 + H/W 대체비용 S/W 복구비용 = 피해 시스템 수 시스템 1대당 복구 소요시간 시스 템 1대당 복구 투입인원 복구인력의 시간당 인건비 H/W 대체비용 = 복구불능 피해 시스템 수 시스템당 평균 대체비용 S/W 복구비용 은 하드웨어의 추가적인 구입없이 복구가 가능한 피해 를 입은 시스템을 복구하기 위해 운영체계 및 응용 프로그램 재설치, 패치 설치, 백업된 데이터 복사, 네트워크에 재연결 등의 작업을 수행하는데 소 요되는 비용으로, 복구시간 동안의 인건비로 계산할 수 있다. H/W 대체 비용 은 사고로 인해 손상된 기존의 하드웨어를 대체할 목적으로 새롭게 구입할 수밖에 없었던 하드웨어 구입비용이다. 데이터 복구는 주로 외부 전문가 또는 내부 자체인력에 의해 수행되기 때문에 복구 가능한 데이터 의 복구비용 은 복구에 참여한 인력의 시간당 인건비를 사용하여 추정할 수 있다. 시스템 1대당 복구 투입인원은 2006년 한국 인터넷 진흥원이 정보보호 실태조사 에 의해 시스템 1대당 0.62명이 소요된다는 근거에 따른다. 위의 계산식에 따라 이번 3 20 대란에서 S/W의 복구비용을 살펴보면 24) 유진호 외 5인, 인터넷 침해사고에 의한 피해손실 측정, 정보화정책, 제15권 제1호 (2008).
국가 사이버보안 피해금액 분석과 대안: 3 20 사이버 침해사건을 중심으로 신영웅 외 3인 143 방송사의 경우 MBC는 18대의 서버와 1,000대의 PC가 피해를 입었고, 피 해를 입은 서버와 PC는 모두 3월 26일에 복구가 되었으며 S/W복구비용 은 약 8억원이다. KBS는 6대의 서버와 4,000대의 PC가 고장 났으며, 서 버는 3월 21일에, PC는 3월 26일에 각각 복구가 완료 되어, PC의 S/W복 구비용은 약 32억원, 서버의 S/W복구비용은 130만원이다. YTN은 2대의 서버와 370대의 PC 가 고장 났으며 서버와 PC 모두 3월 25일에 복구 완 료 되었고 S/W복구비용은 약 2.5억이다. 금융기관의 경우 농협은 26,693대의 PC 및 16,121대의 CD/ATM가 고 장 났으나, CD/ATM은 3월 25일, PC는 3월 29일에 각각 복구되었고 S/W복구비용은 약 490억원이다. 신한은행은 4대의 서버와 169대의 PC 및 CD/ATM가 고장 났으나 모두 3월 20일에 복구되었고, S/W복구비용 은 약 4백만원이다. 제주은행은 320대의 PC와 70대의 PC 및 CD/ATM가 고장 났으나, PC는 3월 23일, CD/ATM는 3월 24일에 각각 복구 완료되 었고, S/W복구비용은 약 1.8억원이다. 따라서 총 S/W 복구비용은 534억 원이다. 다음으로 H/W의 대체비용을 살펴보면 복구불능 피해 시스템 수 는아 직3 20 대란에 대한 정확한 분석이 나오지 않았지만 2006년 한국 인터 넷진흥원이 밝힌 피해 대수 당 H/W 대체는 13.2% 이고, 피해 업체당 연 간 H/W 복구비용은 569,000원이다. 3 20 대란으로 피해를 입은 서버, PC 및 CD/ATM의 총 대수는 48,773대(<표 5>의 피해 시스템수(대) 참고) 이다. 따라서 <표 4>의 식을 대입해 계산해보면 H/W 대체비용은 약 36억 원(48773대*0.132*569,000원= 3,663,242,484원)이다. 종합하면 3?20 대란으로 인해 S/W 와 H/W의 피해 금액은 대략 571억 원이다. 이를 표로 정리해 보면 <표 5>와 같다.
144 국가정보연구 제6권 1호 피 해 기관명 총액 MBC KBS(PC) (서버) YTN 농협 신한 제주(PC) (CD/ATM) 피해시 스템수 (대)(A) 48,773 1,018 4,000 6 372 42,814 173 320 70 복구소요 시간(B) 56 56 16 48 80 1.75 32 40 <표 5> 시스템 복구 비용 계산식 적용 복구 투입인원 (C) 시간당 임금(원) (D) S/W복구비용(원) (E=A*B*C*D) 53,441,632,145 0.62 0.62 0.62 0.62 23,063 23,063 23,063 23,063 815,160,812 3,202,989,440 1,372,709 255,324,015 0.62 23,063 48,975,996,387 0.62 0.62 0.62 23,063 23,063 23,063 4,329,040 146,422,374 40,037,368 H/W대체비용(원) 직접적피해액(원) (F=A*0.132*569000) (E+F) 3,663,242,484 57,104,874,629 76,459,944 891,620,756 300,432,000 3,503,421,440 450,648 1,823,357 27,940,176 283,264,191 3,215,673,912 52,191,670,299 12,993,684 17,322,724 24,034,560 170,456,934 5,257,560 45,294,928 b. 매출 이익 손실 비용 매출이익 손실 이란 네트워크 또는 시스템이 정상 상태에서 얻게 될 매 출이익이 사고로 인하여 상실된 부분을 의미한다. 매출이익 손실 은사고 발생 시간 동안의 매출저하로 인한 이익의 감소분으로 가시적 피해의 대 부분을 차지하는 항목이라고 할 수 있다. 따라서 이를 정확히 산출하는 것 은 매우 중요한 문제이다. <표 6> 매출이익 손실 비용 계산식 매출이익 손실 = 인터넷에 의한 시간당 이익 피해시간 침해사고 영향도 인터넷에 의한 시간당 이익 = 연간매출 매출영업이익률 인터넷의존도 / 연간 인 터넷 영업시간
국가 사이버보안 피해금액 분석과 대안: 3 20 사이버 침해사건을 중심으로 신영웅 외 3인 145 인터넷 의존도 는 금융사는 24.2% 방송사는 5.8%를 적용한다. 25) 여기 서 인터넷 의존도 란 매출이익이 인터넷에 전적으로 의존하는 경우와 그 렇지 않은 경우를 감안하기 위한 지표로서 연간 매출이익에서 인터넷 매 출이익이 차지하는 비중으로 계산된다. 순수하게 인터넷에만 의존하는 경 우에는 1, 그렇지 않은 경우에는 0과 1 사이의 값을 취한다. 침해 사고 영 향도 는 인터넷 시스템 또는 네트워크에 피해를 입힌 정도를 측정하는데 평상시와 비교하여 인터넷에 미친 영향이 24% 이면 0.76(1-0.24)으로 정 의한다. 한국 인터넷 진흥원이 2006년의 정보보호 실태조사에 따르면 침 해사고 영향도는 기업 평균적으로 0.76이다. 한편 매출영업 이익률은 2010년 한국은행 기업경영분석에 따르면 평균적으로 5.9%인 것으로 나타 났다. 26) 연간 인터넷 영업시간은 하루 8시간 기준 253일로 계산(253일*8 시간=2,024시간)하였다. 피해시간은 서버 복구 완료 시점과 PC 및 CD/ATM 복구 시점이 다르지만 최종적으로 모든 시스템이 정상화된 시점 을 기준으로 하였다. 따라서 각 피해시간은 MBC는 3월 26일 복구완료로 56시간(7일*8시간) KBS는 3월 26일로 56시간, YTN은 3월 25일로 48시간, 농협은 3월 29 일로 80시간, 신한은행은 당일 완료로 1.75시간, 제주은행은 3월 24일로 40시간으로 각각 정의한다. 연간매출은 신한은행이 23조, 농협이 4.2조, 제주은행이 644억, KBS가 1.2조, MBC가 7,430억, YTN이 1,350억으로 27), 이를 <표 6>의 식에 대입하여 계산해보면, 각 매출이익손실비용은 아 래 <표 7> 과 같이 약 21.8억원이다. 25) 2010년 한국인터넷 진흥원이 밝힌 조사자료 26) 한국은행, 기업경영분석, (서울, 2011), p.15. 27) KBS는 2008년, 그 외는 2010년 연간매출액임. 자료출처 : 매일경제 기업정보, 농협, 제주은행 홈페이지
146 국가정보연구 제6권 1호 피 해 기관명 총액 MBC KBS YTN 농협 신한 제주 연간매출 (A) 7,430억 1.2조 1,350억 4.2조 23조 644억 <표 7> 매출이익 손실 비용 계산식 적용 매출영업 이익률(B) 0.059 0.059 0.059 0.059 0.059 0.059 인터넷 의존도 (C) 0.058 0.058 0.058 0.242 0.242 0.242 연간 인터넷 영업시간 (D) 2,024 2,024 2,024 2,024 2,024 2,024 피해시간 (E) 56 56 48 80 1.75 40 침해사고 매출이익 손실비용 영향도(F) (A*B*C/D*E*F) 0.76 0.76 0.76 0.76 0.76 0.76 2,179,139,726 53,463,813 86,348,016 8,326,416 1,801,398,261 215,792,500 13,810,720 c. 생산 효율 저하로 인한 손실 네트워크 또는 시스템을 활용하여 수행되던 업무는 이의 정지로 인하여 업무 수행이 불가능해지거나 보다 비효율적인 수단으로 대체하는 과정에 서 업무효율의 저하가 초래되며, 이로 인한 손실이 발생하게 된다. 즉, IT 시스템과 네트워크의 정지로 인한 비효율적인 수단으로의 대체는 결국 자 동화된 업무가 사람에 의해 행해질 수밖에 없기 때문에 이로 인해 직원의 생산성이 정상적인 상태보다 저하될 수밖에 없다. 따라서, 생산효율 저하 로인한손실 을 직원의 생산성 손실 측면에서 다음과 같이 정의하고자 한 다. 28) <표 8> 생산효율 저하로 인한 손실액 계산법 생산효율 저하로 인한 손실액 = 사고로 영향을 받은 직원 수 시간당 생산성 피해시간 생산효율 저하비율 28) 유진호 외 5인(2008), p.7.
국가 사이버보안 피해금액 분석과 대안: 3 20 사이버 침해사건을 중심으로 신영웅 외 3인 147 피해시간은 서버 복구 완료 시점과 PC 및 CD/ATM 복구 시점이 다르지 만 최종적으로 모든 시스템이 정상화된 시점을 기준으로 하였다. 피해 직 원수는 <표 1>의 기관별 피해 직원수를 산출하여 계산해보면 MBC는 약 6.7 억원(방송사 시간당 생산성 : 21,348 29) 원), KBS는 약 26.9억원, YTN 은 약 2.1억원의 손실을 입었다. 다음으로 금융사의 손실액은 농협이 약 326.8억원(금융사 시간당 생산성 27,233원), 신한은행은 약 4.5백만원, 제주은행은 약 2억원의 손실을 입었다. 따라서 생산효율 저하로 인한 손실액은 대략 총 365억원이다. <표 9> 생산효율저하 손실액 계산식 적용 피 해 기관명 사고로 영향 받은 직원수(명)(A) 시간당생산성 (원)(B) 피해시간 (C) 생산효율저하 비율(D) 생산효율저하 손실액 (원)(A*B*C*D) 총액 32,552 21,348 56 36,455,621,863 MBC 1,000 21,348 56 0.562 671,864,256 KBS 4,000 21,348 48 0.562 2,687,457,024 YTN 370 27,233 80 0.562 213,076,950 농협 26,693 27,233 1.75 0.562 32,682,793,886 신한 169 27,233 40 0.562 4,526,438 제주 320 0.562 195,903,309 d. 데이터 재생산 비용 복구 불가능한 데이터는 데이터 생산자의 기억 속에만 남아 있거나 또는 별도로 인쇄된 형태로 존재할 수도 있을 것이다. 따라서 데이터의 내용을 알고 있는 직원이 잃어버린 데이터를 재생산하는 데 드는 비용은 간접적 으로 데이터의 가치를 추정하는 한 가지 방법이 될 수 있다. 복구 불가능 한 데이터의 가치가 데이터의 생산을 위해 소요되는 지출과 같다는 가정 29) 시간당 임금은 고용노동부의 11년도 산업별 시간당 임금자료 참조.
148 국가정보연구 제6권 1호 하에 데이터를 재생산하는 비용으로 추정하고자 한다. 즉, 이 값은 복구가 불가능한 데이터를 다시 생산하는데 소요되는 인건비를 사용하여 다음과 같이 계산된다. 30) 한국 인터넷 진흥원의 정보보호 실태조사에 따르면 업체당 평균 데이터 피해 건수는 평균 1.53회, 복구 인원은 1.55명이 소요되고, 데이터별 평균 재생산소요시간은 49.5시간이다. <표 10> 복구불능 데이터 가치 계산식 복구불능 데이터의 가치 ( 데이터 재생산 비용) = 복구불능 데이터의 양 데이터별 평균 재생산소요시간 재생산 인력의 시간당 인건비 3 20 대란으로 피해를 본 업체는 총 6곳이며, 재생산 인력의 시간당 임 금은 16,729원으로 책정하였고 31) 복구불능 데이터의 양은 서버, PC, CD/ATM의 총 피해대수인 48,773대로 계산한 결과 도출된 데이터 재생 산 비 용 은 약 404억 원(48,773대 * 49.5시 간 * 16,729원 = 40,388,214,092원)으로 추정된다. 2 간접적 피해 비용 a. 예방을 위한 투자비용 사이버테러로 발생한 S/W 침해는 원상태로 복구하는 일도 중요하지만 사이버테러를 대응하는 대응체계에 해당하는 S/W를 개발하는 일도 중요 하다. 외부 인력을 활용하여 S/W 보안 체계의 평균 연간 지불금액은 한국 30) 유진호 외 5인(2008), p.7. 31) 위의 글.
국가 사이버보안 피해금액 분석과 대안: 3 20 사이버 침해사건을 중심으로 신영웅 외 3인 149 인터넷 진흥원이 2006년에 밝힌 정보보호 실태조사에 따르면 11,123,000 원이다. 따라서 이번 3 20 대란으로 피해를 본 6개 금융사 및 언론사가 사이버테러 예방을 위한 투자비용은 66,738,000원(11,123,000원*6개 회 사)이다. 3 잠재적 피해 잠재적 피해의 항목에는 사이버 공격으로 인한 회사 이미지 손상, 신뢰 도 하락, 주가하락, 법적 보상 등이 있다. 본 연구에서는 잠재적 피해 항목 중 주식 시장에서의 시장가치의 평가 금액의 하락, 즉 주가 변동만을 고려 하여 산정하였다. 연구 결과 3 20 대란으로 KBS, MBC, YTN 의 방송사의 주식 가격에 영향을 분석한 결과 특이사항이 없었다. 특히 방송사 중 유일하게 YTN이 주식 시장에 상장되어있으나 이번 사이버 침해사고로 인한 주식가격에 대 한 부정적 영향이 주식시장에 발현되지 않았다. <표 11> 시장 가치 하락의 계산 시장가치하락 = 침해 사고에 의한 주가변동률 주식가격 상장 주식수 한편, 금융사의 경우 신한은행은 주식 가치 최대손실이 4,300억원 (2.3%(주가하락률) * 39,500원 * 474백만주 4,300억원), 농협은 자본 가치 32) 최대손실이 2,990억원(2.3%(주가하락률) * 13조원(자본금)= 2,990억원), 제주은행은 약 14억원이다(1.28%(주가하락률) * 5400원 * 32) 농협은행은 비상장으로 신한은행기준으로 자본가치 손실로 추정하였음.
150 국가정보연구 제6권 1호 22백만주 14억원). 따라서 주식 시장의 가치 하락으로 판단한 잠재적 피해의 총 액은 약 7,310억원이다(4,306억원 + 2,990억원 + 14억원). 43 20 대란 총 피해액 산출 본 연구는 3 20 대란으로 인한 피해액을 산출하기 위해 Gordon & Loeb의 모델을 활용하였고 그 결과 직접적 피해액 는 약 1,361억원, 간 접적 피해 는 약 6,600만원, 그리고 잠재적 피해는 약 7,310 억원으로 총 피해액은 약 8,672억 49백만원이다. <표 12> 3 20 대란 총 피해액 (단위 : 원) 피 해 기관명 직접적 피해액 매출이익 손실비용 생산효율저하 손 실 액 복구블능 데이터가치 예방비 잠재적 피해액 총 피해액 총액 57,104,874,629 2,179,139,726 36,455,621,863 40,388,214,092 66,738,000 731,054,600,000 867,249,188,309 MBC 891,620,756 53,463,813 671,864,256 842,991,039 11,123,000-2,471,062,864 KBS(PC) 3,503,421,440 86,348,016 2,687,457,024 3,312,342,000 11,123,000-9,600,691,480 (서버) 1,823,357 - - 4,968,513 - - 6,791,870 YTN 283,264,191 8,326,416 213,076,950 308,047,806 11,123,000-823,838,363 농협 52,191,670,299 1,801,398,261 32,682,793,886 35,453,652,597 11,123,000 299,000,000,000 421,140,638,043 신한 17,322,724 215,792,500 4,526,438 143,258,792 11,123,000 430,629,000,000 431,021,023,453 제주(PC) 170,456,934 13,810,720 195,903,309 264,987,360 11,123,000 1,425,600,000 2,081,881,323 (CD/ATM) 45,294,928 - - 57,965,985 - - 103,260,913 (다) 3 20 대란과 1 25 대란 및 7 7 DDoS와의 비교 1 25 인터넷 대란 은 보안에 대한 중요성을 전 국민에게 인식시켜 주 었지만, 개인용 컴퓨터(PC)가 아닌 서버(server)가 주 피해 대상이었기 때 문에 일반 사용자들은 일시적인 인터넷 불통 이외에 직접적인 피해는 경
국가 사이버보안 피해금액 분석과 대안: 3 20 사이버 침해사건을 중심으로 신영웅 외 3인 151 험하지 못했다. 33) 또한 7 7 DDoS사이버테러는 매일 공격사이트를 지정하 여 옮겨 다닌 것이 특징이었고, 1 25 대란 때와는 달리 DDoS공격을 받은 기관과 민간사이트가 모두 단절되지는 않았으며 간헐적으로 연결이 되었 다. 34) <표 13> 주요 사이버공격 방법과 피해액 비교 구 분 3 20 대란 7 7 DDoS 1 25 대란 공격방법 APT공격 DDoS 공격에 의한 주요 정부기관, 민간 인터넷 사이트 공격 마이크소프트 윈도우서버 (MS SQL서버)의 취약점 을 이용한 슬래머 웜으로 국내PC 8,800여대 감염 공격자 북한 북한 북한 공격대상 KBS, MBC, YTN, 신한은행, 제주은행, 농협 특정한 정부기관과 기업 전 세계 불특정다수 시 기 2013. 3. 20.~ 2009. 7. 7. 2003. 1. 25. 피해액 산정방법 직접적인 피해 = 시스 템복구비용 + 매출이 익손실비용 + 생산효 율저하로 인한 손실 + 데이터 재생산 비용 간접적인 피해 = 예방 을 위한 투자비용 잠재적인 비용 = 주가 하락 + (이미지 손상 + 신뢰도 하락 + 법적 보상 등) {(피해 기관 업체 관련 부문의 2009년 추정GDP x 피해기 관 업체의 비중/연간 근무시간}x10.9%)x피 해시간 피해시간은24~72시 간 총피해액=손실이익+ 생산효율저하+시스템 복구비용 손실이익=시간당이익 x피해시간x침해사고 영향도 생산효율저하액=사고 로 영향받은 직원수x 시간당 인건비x피해시 간x생산효율 저하비율 시스템복구비용=SW 복구비(서버복구비 +PC복구비)+HW대체 비용 피해액 8,672억원 363억원~544억원 35) 1,055억원~1,675억원 36) 33) http://www.ahnlab.co.kr/company/site/pr/founder_column03.jsp(검색일: 2013.5.22) 34) 강 형 외 3인(2009), p.6. 35) 현대경제연구원은 2008년 7월 7일 DDoS사이버공격으로 인한 피해액이 363억~544억
152 국가정보연구 제6권 1호 Ⅲ. 사이버보안을 위한 투자와 사이버침해 대응 방향 1. 사이버보안 투자의 경제적 효과와 정보 보호 관련 예산 증액의 필요성 사이버안전 대응체계는 장기간에 걸쳐 정보자산의 가치평가, 잠재적인 위협의 파악과 발생빈도 평가, 파악된 위험에 대한 취약점분석, 최근의 사 이버공격 동향, 외국의 사례 등을 연구하여 가장 효율적인 대응방안을 선 택하고, 특히 정보침해사고 발생시와 예상시 추가 대응방안을 강구하게 된다. 이와 같은 종합적인 판단에 따라 예산을 편성하고, 법과 제도를 준 비하여 정보보안교육 등을 통해 사이버 대응체계를 구축하게 된다. 물론 선택된 방안에 대한 비용효과분석 또한 필수적 과정이라고 할 수 있는데, 어떤 대응조치들은 곧 효과를 나타내기도 하지만 그렇지 않은 대책들은 많은 시간과 경비가 소요되고 심지어 체계구축의 효과가 드러나지 않을 수도 있기 때문에 단순한 투자 효과에 대한 산술적 비교가 의미가 없을 수 도 있다. 그간 우리나라는 정보화사업에 밀려 뒤쳐진 정보보호를 강화하 기 위해 정보보호시설과 제도 구축, 소프트웨어 개발 등에 노력을 기울였 고, 작년 한해 2,633억원을 들여 정보보호 사업에 역점을 기울였다. 특히 DDoS 해킹, 농협 전산시스템 마비 사건 등을 계기로 개인정보 유출 및 오 남용 방지와 정보보호 인프라 확충, 개인정보 암호화, 고유 식별번호(I- 원 이라는 의견을 보고했는데, 이는 기관이 속한 부분의 올해 추정 국내총생산(GDP), 해당기관업체의 비중, 인터넷의 GDP기여도(10.9%) 등을 감안하여 계산하였다고 밝혔 다. 이후기, 사이버테러에 따른 피해규모산정을 위한 연구, (동국대 석사학위논문, 2010), p.14. 36) 한국인터넷진흥원, 정보보호 사전점검제도 활성화에 관한 연구, (광운대학교, 2010.7) p.215.
국가 사이버보안 피해금액 분석과 대안: 3 20 사이버 침해사건을 중심으로 신영웅 외 3인 153 PIN) 대체수단 도입 등 개인정보보호법 시행에 따른 투자와 함께 복지 부 검찰청 경찰청 등 15개 행정기관의 핵심 정보를 보호하기 위한 사이 버안전센터 구축 및 운영 소요 지원, 정보시스템 취약 분야를 분석 보강 할 수 있도록 컨설팅 지원, DDoS 장비 보강, 방화벽 설치, 국가기관 망분 리, 불법스팸 대응체계 구축, 사이버범죄수사 강화 등 주요 정보보호사업 에 역점을 두었다. 37) <표 14> 연도별 정보보호 예산 현황 (단위 : 원) 구분(년도) 정보화 예산 정보보호 예산 정보보호 예산비율 2009 31,378 1,757 5.6 2010 32,867 2,695 8.2 2011 32,897 2,035 6.2 2012 32,668 2,633 8.1 2013 33,000 2,400 7.3 또한 올해에도 작년보다는 다소 줄어들었지만, 2,400억원을 정보보호 예산으로 책정하여 전체 정보화 투자예산 3조 3,000억원 대비 7.3%를 기 록했다. 그럼에도 불구하고 2013년 3 20 대란으로 8,672억원의 피해를 입었다. 물론 여기에는 최종 피해금액 계산에서 제외된 이미지손상, 신뢰 도하락, 법적보상 등 잠재적 피해를 포함하고, 사고로 인한 회사손실을 보 전하기 위한 보험금 인상을 추가하면, 훨씬 많은 피해액이 산출될 수 있 다. 38) 또한 피해의 가능성이 상존하고 있는 전력, 통신, 교통, 금융 등 국가 37) 보안뉴스, 2011.10.28. 38) The Economic Impact of Cyber-Attacks, CRS Report for Congress, April 1 2004, in the summary. Investigations into the stock price impact of cyber-attacks show that identified target firms suffer losses of 1%-5% in the days after an attack. For the average New York Stock Exchange corporation, price drops of these magnitudes translate into shareholder losses of between $50 million and $200 million.
154 국가정보연구 제6권 1호 기간망에 대한 공격에 따른 잠재적인 위험과 관련한 비용도 충분히 감안 되지 않았다. 이러한 분야의 잠재적 위험에 대한 기회비용을 포함하여 추 산한다면 사이버보안을 위한 경제적 비용은 크게 증가할 것이다. 39) 그렇다면 향후 우리나라의 정보보호예산은 어떻게 얼마나 증감이 되어 야 하는가? 먼저, 지난 3년간 정보보호피해 비용과 정보보호예산을 고려 하면, 최근 3년간 정보보호예산이 4,238억원(년 평균 약 1,400억원)이고, 최근 3년간 피해비용이 1조 852억원(년평균 3,600억원)이며, 침해사고 발 생으로 인한 기대피해액이 년 평균 약 2,000억원이기 때문에 정보화예산 대비 정보보호 예산을 8~9%(약 3,000억원)로 증액할 필요가 있다. 40) 다음 은 정보보호예산의 경제적 효과이다. 사이버정보보호의 경제적 가치는 사 이버시스템이 침해되었을 때 발생할 가능성이 있는 피해의 현재가치라 할 수 있으며 정보보호에 투자하지 않고 다른 분야에 동일한 자원을 투자하 였을 경우 얻을 수 있는 최대의 효과는 정보보호투자의 기회비용이라고도 할수있다. 41) 경제성은 이미 언급한 정보보호 투자비용 증가분과 정보보 호 피해 비용 증가분의 비율을 분석한 결과와 정보보호 투자대비 효과 (ROI) 등으로 분석될 수 있다. 그러나 정보보호를 위한 투자효과분석은 간 단하지 않다. 먼저, 예산을 사용한 전후의 비용분석은 단기적 성과를 측정 하기가 쉽지 않다. 그 이유는 첫째, 관련 데이터의 수집이 쉽지 않고, 정보 보호 효용성의 정량화에 한계가 있으며, 정보보호 비용에 대한 구체적 산 출방식의 부재, 무형의 정보보호 투자효과 반영미흡, 장기적 정보보호투 자효과 반영미흡 등의 이유 때문이다. 42) 그러나, 사이버안전 대응체계를 39) 신 진(2013), p.94. 40) 한국인터넷진흥원(2010), p.216. 41) 신 진(2013), p.91. 42) 한국인터넷진흥원, 정보보호사전점검의 경제적 효과분석 및 활성화 방안 연구보고서, (한국외국어대학교, 2012.10), p.22.
국가 사이버보안 피해금액 분석과 대안: 3 20 사이버 침해사건을 중심으로 신영웅 외 3인 155 갖춰 1 25 대란, 7 7 DDoS, 3 20 대란 등과 같은 사이버테러를 대비 할 수 있다면, 경제적 효과 외에 사이버침해 대응시스템 구축으로 우리나라 사이버안전시스템에 대한 신뢰도 상승, 우리의 사이버 대응시스템에 대한 각국의 벤치마킹 증가 및 사이버안전 국제표준으로 선정, 사이버안전관련 국제사회에서의 영향력 제고, 무형의 부수적 효과 또한 경제에 커다란 긍 정적 영향을 미칠 것이다. 2. 사이버침해 대응의 방향 사이버범죄로부터 정보자산을 보호하기 위한 사이버 안전대응체계는 최 근의 사이버범죄와 공격동향을 파악하여 취약점을 점검하는 리스크관리 에 유용할 뿐만 아니라 앞으로의 발생 가능한 범죄를 사전 예측하여 시스 템을 갖추고 대비함으로서 예산절감효과도 기대할 수 있을 것이다. 43) 정보 보호는 기술적 보완대책 뿐만 아니라 경제나 사회 등 국가 전반에 걸친 사 이버안전대책이 요구된다. 이 과정에서 사이버침해로 인한 경제적 손실에 대한 실태파악이 무엇보다 중요하다. 1 25 대란, 7 7 DDoS, 농협사태, 3 20 대란 등 대형 사이버테러는 국 가의 사이버보안이 구조적인 문제에 봉착해있음을 이야기하고 있다. 아래 의 <그림 1>에서 볼 수 있듯이 제대로 된 대책과 실현이 없다면 피해액수 는 증가할 것이고, 만약 중장기 실현 가능 계획을 잘 세운다면 보안수준이 증가하여, 피해 손실은 줄이고 보안 위험수준은 낮아질 것을 보여주고 있 다. 43) 한국인터넷진흥원(2012), p.1; 정보화 사업 완료 이후 보호대책을 보완하기 위해 막대한 추가적 비용이 요구되기 때문에 정보보호에 대한 사전점검이 필요한데, 가트너에 따르 면 설계단계부터 정보보호를 고려했을 때, 주요 취약점의 80% 감소, IBM 시스템 연구 소는 운영단계 이후 정보보호 비용의 60~100배의 절감 효과가 있음을 발표하였다. 같 은 책, p.11.
156 국가정보연구 제6권 1호 <그림 1> 투자 대비 안전 상관도 정부가 정보보안정책과 예산의 조정을 통하여 각 기관과 기업의 정책을 조정해야 한다. 우리 정부와 기업은 정보보안을 위한 투자를 아낀다. 대부 분의 사람들이 정보보안은 비용만 많이 들고 이용시간이 많이 소요되어 현실적으로 도움이 되지 못한다고 생각하고 있다. 정보보호의 초기단계에 서는 물론 일부 비효율적인 요소와 불편이 수반되지만, 정보보호체계가 일반화되면 초기의 번거로움을 극복하게 되고 나아가 조직 전체가 정보를 공유하게 되어 궁극적으로 생산성을 향상시키는 긍정적인 효과를 가져 온 다. 우리나라 기업 중 수입의 1%이상을 정보보안에 사용하는 기업은 전체 기업 중 20%에도 이르지 못한다. 44) 경기가 위축되고 경영환경이 악화할 때 기업은 비용을 줄일 수 있는 방법을 찾고 나중엔 구조조정을 단행하는 데, 비용을 줄이기 위해 가장 먼저 손대는 부문은 홍보 마케팅이다. 다음 대상이 정보보호 분야다. 45) 또한 사이버안전이 기본적으로 각종 사이버공 44) 동아일보, 2004.12.8. 45) 전자신문, 2013.3.8.
국가 사이버보안 피해금액 분석과 대안: 3 20 사이버 침해사건을 중심으로 신영웅 외 3인 157 격에 대한 방어의 성격이어서 주도적이고 장기적인 대응계획을 수립하고 시행하기가 쉽지는 않지만, 발전된 ICT를 기반으로 공격방법을 분석하여 대응체계를 갖춘다면 단발성 땜질 처방식 예산집행을 극복하고 보다 체계 적이고 장기적인 예산체계를 수립할 수 있을 것이다. 특히 미국 백악관의 Office of Management and Budget(OMB)가 예산을 통해 정부 각 부서 의 사이버안전을 관리하는 방법은 우리에게 시사하는 바가 크다. 46) 우리도 미국의 Federal Information Security Management Act(FISMA, 2002)를 참고하여 많은 조직이 측정 가능한 보안시스템을 도입하고, 사이 버안전을 총괄할 국가안보실이나 다른 총괄감독기관이 이를 확인하고 이 에 필요한 예산을 제공하고 감사하는 시스템을 도입해야 한다. 47) 미국이 올해 사이버보안 예산으로 47억달러(한화 약 5조3000억원)를 쓴다고 하 는데, 이는 미국 IT관련 예산 788억 달러의 16.8%로 우리나라(7.3%)의 두 배가 넘는 금액이다. 46) http://www.whitehouse.gov/omb/organization_mission(검색일: 2013.5.22). 미국의 예산관리처(OMB)는 다른 나라의 중앙예산기관과는 달리 재정정책, 경제정책 등 예산관리 기능 외에 정책분석, 사업평가, 조직관리 등의 행정관리 기능과 법제 기능 까지 함께 갖고 있는 막강한 기관이다. 각 정부는 자기평가(Self Assessment)를 통하여 보안 점수를 내고 목표치에 모자라는 Gap을 파악하고 필요한 자원을 OMB에 예산신청 을 한다. 연방정부는 실제 보안 데이타의 검증을 위하여 감사사의 검증을 요구하고, OMB는 감사원의 검증이 필요하다. 47) http://csrc.nist.gov/groups/sma/fisma/overview.html(검색일: 2013.5.22).
158 국가정보연구 제6권 1호 Ⅳ. 한국의 사이버침해 대응체계의 문제점과 개선방안 1. 콘트롤 타워의 수립과 협력체계 구축 현재 우리나라의 국가사이버 위기관리 체계는 대통령 산하에 국가 사이 버안전 대책회의를 두고 그 밑에 인터넷침해대응센터(방통위)를 운영하고 있지만 효율적인 정책을 집행하지 못하고 있다. 48) 또한 방송통신위원회와 한국인터넷진흥원이 민간분야, 국정원과 국방부가 각각 공공부문과 군사 부문에 대한 사이버테러 대응을 각각 담당하고 있지만, 금융기관이나 기 업은 개별적으로 사이버 위협에 대비하는 등 사이버테러에 대한 관할 부 서가 여럿으로 산재되면서 업무가 중첩되고 각 기관의 책임과 역할이 불 분명하여 이들 간의 긴밀한 협의와 일관된 정책방향이 부족하다. 더욱이 사고가 일어나도 이를 정확하게 분석하고 해결할 전문인력이 없기 때문에 피해비용이 더 늘어났고 49) 국민들에게 불안감을 안겨주었다. 3 20 대란 발생 직후, 합동대응팀은 IP조사를 토대로 중국 IP가 백신소 프트웨어 배포관리서버에 접속, 악성파일을 생성했음을 확인했다고 발표 했다가 다음날 중국 IP가 아니라 농협사설 IP가 해킹경유지로 악용됐을 가능성이 있다고 밝혀 대외신뢰도를 떨어뜨렸다. 또한 정부는 3 20 사고 발생 후 신고가 접수된 후에야 사건을 알게 됐는데, 감시기능이 충분히 발 휘되지 못한 결과라고 할 수 있다. 특히, 3 20 대란을 초래한 공격의 특성 을 분석한 결과, APT공격은 사전준비가 필요하기 때문에 전조증상이 있 었을 텐데 지나치게 정적( 靜 的 )으로 대응함으로써 사태파악이 지연되었 48) 사이버보안뉴스, 2013.4.1. 49) Nextgov Cybersecurity Staffing Shortages Create Economic Ripple Effect, 2013, 25 Feb.
국가 사이버보안 피해금액 분석과 대안: 3 20 사이버 침해사건을 중심으로 신영웅 외 3인 159 다. 사이버안전대책은 정책의 일관성과 관련기관 전체가 총체적 대응체제를 구축하는 것이 가장 중요하다. 평소에는 관련기관이 사이버안전과 관련된 소관 업무를 수행하다가 공격징후가 발견될 경우나 공격이 본격화될 때, 청와대 국가안보실과 같은 총괄부서가 각 기관의 활동을 총괄 조정 통제 하는 것이 보다 효율적이다. 다행히 지난 4월 11일 국가 사이버안전 전략 회의 에서 청와대가 직접 사이버 위협에 대한 컨트롤 타워 역할을 맡기로 하고, 기존에 사이버 안보를 담당했던 국정원, 미래창조과학부, 경찰청 등 의 업무를 조율하고 협조체제를 구축하는 방안 등 사이버 안보 강화 방안 을담은 국가사이버안보 종합대책 을 올 상반기 중에 마련해 본격 시행할 계획인 것으로 알려졌다. 50) 2. 사이버안전 관련제도와 법체계의 구축 현행 정보통신망 이용촉진 및 정보보호에 관한 법률을 비롯한 우리 현 행 사이버 보안법제는 분야별 또는 적용대상별로 개별적이고 산발적인 규 정만을 두고 있어, 체계적이고 조직적으로 침해사고에 대응하는데 미흡하 다. 51) 또한 정보통신망과 정보시스템에 대한 중복규제 또는 공백이 있어 책임부서가 불명확해져 정책부재가 초래되고, 사이버 보안과 관련된 사업 자, 이용자, 정부 등 다양한 주체의 임무와 기능이 명확하지 않아 균형을 잃은 규제가 이루어지고 있다. 52) 따라서 사이버범죄에 관한 실체적 규정, 절차적 규정 및 범죄인 인도, 지적재산권보호나 국제형사사법공조 (International Judicial Assistance)에 관한 규정을 통하여 국경을 초월 50) 사이언스타임즈, 2013.4.17. 51) 인터넷진흥원, 사이버보안법제선진화방안연구, 2011.12, p.2. 52) 인터넷진흥원(2011.12), p.3.
160 국가정보연구 제6권 1호 하여 행해지는 사이버범죄를 효과적으로 규제할 수 있도록 관련법을 정비 하거나 제정하여 사이버범죄에 대응해야 한다. 3. 망분리( 網 分 離 ) 등 안전체계 강화 이번 3 20 대란으로 피해를 입은 다수의 기업들은 내 외부망을 분리하 지 않고 통합 운영하고 있었다. 망( 網 )분리는 회사의 업무용도로 쓰는 내 부망(사내망)과 인터넷 접속이 가능한 외부망을 따로 구축하는 것인데, 업 무용 통신망의 속도를 높이고 외부인이 인터넷을 통해 사내 중요 정보가 담긴 내부망에 침입하지 못하도록 하는 효과가 있지만, 망을 분리하면 내 외부용 PC를 따로 써야 하기 때문에 최소 2배 이상의 비용이 든다. 따라서 국가 공공기관이 아닌 대부분의 민간에서는 망분리 대신 보안 소 프트웨어(SW) 등을 사용하는 경우가 많다. 또 방송사의 취재 기자들처럼 외부와 자주 접촉해야 하는 직군에서는 망분리 시 큰 불편을 겪는다는 점 도 망 분리를 꺼리는 이유이다. 53) 2011년 전산망 해킹으로 업무마비를 겪 었던 농협은 2년이 지난 지금까지도 망 운영을 개선하지 않고 있다. 54) 망분리와 같이 검토되는 솔루션은 분리된 망에서 자료를 쉽게 주고받을 수 있는 자료전송솔루션이다. 이 솔루션은 2008년부터 진행된 중앙부처 망분리 사업에서 스토리지기반의 제품들이 주류를 이뤘고 최근엔 TCP/IP 가 아닌 전용프로토콜을 탑재하는 방식으로 진화하고 있다. 현재는 다중 영역보안과 망분리에서 핵심 인프라로 발전하고 있다. 망분리 솔루션은 물리적인 분리와 논리적인 분리로 구분된다 요즘은 도입 비용에 대한 장 점으로 논리적인 망분리를 선호하고 있다. 하지만 가장 큰 단점은 안정화 에 있다. 많은 프로젝트가 구축 및 안정화 기간을 상당기간 지나서도 마무 53) 조선일보, 2013. 3. 24. 54) http://blog.daum.net/obk2030/16528895(검색일 : 2013.5.22).
국가 사이버보안 피해금액 분석과 대안: 3 20 사이버 침해사건을 중심으로 신영웅 외 3인 161 리되지 못하고 있다. 기술적인 면에서는 이미 앞에서 언급한 바와 같이, 북한과 중국의 공격특성에 따라 예방, 탐지, 대응(복구)의 차원에서 스캐 닝, 운영절차위반, 서비스거부, 개인적 남용, 탐색, 패스워드 획득 등의 공 격형태에 대해 여러가지 보안 대응기술을 도입할 수 있다. 55) 4. 조기탐지 시스템의 구축 공군과 한국전력연구원이 사용하고 있는 보안위협관리 시스템(SRM) 56) 과 같은 사이버안전조기 탐지 시스템을 활용하여 공격발생 이전에 공격경 로와 취약점을 분석해 위협을 사전에 예방하는 시스템을 도입해야 한다. 사이버공격이 발생하기 이전에 정보보호 문제점을 분석하여 개선방안을 마련하는 정보보호 수준 진단 평가체계를 강화 운영하여야 한다. 우리 나라가 개발하여 국제적으로도 인정된 KISMS 국가정보 보호지수 활용 한다면, 정보보호 수준현황을 파악하고, 이를 등급화화여 활용할 수 있으 며, 정보보호 수준향상에도 도움이 될 것이다. 또한 정보보호전반에 관한 정량적 집계가 가능하므로 우리나라뿐만 아니라 다른 나라의 정보보호 수 준을 객관적이고 지속적으로 평가할 수 있으며, 정보보호지수의 평가를 통해 정보보호 인식 제고를 위한 교육 및 홍보에도 이용할 수 있을 것이 다. 57) 또한 G-ISMS(Government-Information Security Management Systems) 인증 제도를 도입하여 정보보호 관리 과정, 문서화, 정보보호 55) 서승우(2011), p.331. 56) 조선일보, 2013.3.20. 57) 순천향대학교, 국제표준사이버보안지수 개발 및 방법론, (순천향대학교 산학협력단, 2010.11.30), p.10. KISMS는 15개영역 120개의 통제항목과 396개의 세부통제항목으로 구성되어 있으며, 기존의 ISO/IEC 27001과 비교해 볼때, 국내실정을 반영하기 위해 정보보호교육 및 훈 련, 암호통제, 전자거래보안 영역 등이 추가되었다.
162 국가정보연구 제6권 1호 대책 등 정보보호체계가 적절하게 수립 관리되고 있는지를 평가할 필요가 있다. 58) <그림 2> 주요 공격, 방어와 실시간 관리 5. 국제협력의 강화와 정보교류 우리나라는 APEC과 ITU 등 국제기구의 회원으로서 국제사이버안전을 위한 정보교류와 협력에 힘쓰고 있고, 국제사고 긴급대응팀(CERT)의 회 원으로 협력체계를 유지하고 있으나 우리나라의 발전된 ICT 수준을 고려 할 때 국제적인 협력이 미흡하다. 유럽연합과 미국은 정례 사이버 사고 대 응훈련을 합동으로 실시하는 등 긴밀한 협력체계를 구축하고 있는데 반해 우리나라는 아직 국제공조체계가 활발하지 못하다. 현대캐피탈이나 농협 58) 순천향대학교(2010), p.12. G-ISMS는 ISO 27001의 11개 영역 126 개 통제 항목을 기 반으로 총 12개 영역 44개 통제사항, 156 개의 통제사항으로 구성되었다.
국가 사이버보안 피해금액 분석과 대안: 3 20 사이버 침해사건을 중심으로 신영웅 외 3인 163 의 해킹 사건처럼 해외 IP추적 등 해외 사이버 보안 조직과의 협력이 절실 히 요청되고 있는 상황이다. 나아가 ITU, UNODC, INTERPOL 등 사이 버안전을 다루는 국제기구 등과 긴밀한 협력체계를 구축하여 사이버공격 과 범죄발생시 각국 및 관련 국제기구와 긴밀한 협력을 통해 조기진압하 고 대처해야 한다. 이번 3 20 대란은 소수의 몇 개 공격팀이 수개월간 준 비한 것으로 분석되고 있는데, 이런 사이버공격이 국내외 이번 안전체계 에 사전 탐지됐을 수도 있었고, 평소 국내외 사이버안전기관과 긴밀한 협 력관계를 유지했다면 이런 징후나 정보를 관련단체로부터 제공받을 수 있 었을 것이다. 미국 방수사국(FBI)은 마이크로소프트, 트렌드마이크로 등 주요 글로벌 보안 업체 등 산업계와 긴밀한 공조체계를 구축하여 사이버 범죄집단을 소탕한 점은 우리에게 많은 교훈을 주고 있다. 59) 사이버안전대 책의 핵심은 국내에서는 개인과 단체의 협력, 민과 관의 협력이다. 사이버 공격이나 범죄가 다양한 경로와 방법으로 실행되고 진화되고 있기 때문에 어느 한 기관의 노력만으로는 효과적인 방어가 어렵다. Ⅴ. 결론 오늘날 우리사회는 ICT에 대한 의존도가 점차 증가되고 있으며, 정보화 사회가 진행될수록 이러한 현상은 더욱 심화될 예정이다. 일상생활에서 필수품이 된 스마트폰에서 부터 국가의 기간산업이 컴퓨터로 제어되는 등 ICT는 사회전반에 커다란 영향을 미치고 있다. 이에 따라 사이버 범죄도 점차 지능화 다양화되고 있으며, 사이버범죄로 인한 피해규모도 점차 대 형화되고 있고, 경제적 피해를 넘어 군사적, 국가안보까지 위협하고 있어 59) 디지털 타임즈, 2011.4.26
164 국가정보연구 제6권 1호 이에 대한 대책이 요구되고 있다. 전통적인 환경에서 안보는 군사적인 영역에 한정되었으나, 지금은 개인 안보, 사회 안녕, 경제발전, 환경보존 등 모든 것을 고려하는 포괄적 안보 개념으로 확장되고 있으며 따라서 이들에 대한 안전 위협을 제거하는 것 도 사이버안보에 포함되어야 한다. 60) 이번 3 20 대란은 장기적이고 치밀하게 준비되었다는 점에서 과거의 1 25 대란이나 7 7 DDoS공격 때와는 기본성격이 다르고 공격방법도 더 욱 고도화 전문화되었다. 북한과 중국으로부터의 사이버공격과 사이버범 죄는 앞으로도 지속될 전망이어서 이에 대한 대책이 시급하다. 사이버공격으로 인한 피해액 산정은 연구성과와 자료가 많지 않고, 무형 의 재산손실, 주관적인 변수설정 등 산정방법도 제 각각이어서 신뢰도가 높지 않다. 본 연구는 가장 널리 이용되는Gordon과 Loeb의 정보보호 침 해사고의 비용/편익분석 방법을 활용하였다. 3 20 대란을 분석한 결과, 신뢰도 등 잠재적인 피해액을 제외하더라도 그 피해액이 약 8,672억원으 로1 25 대란과 7 7 DDoS에비해훨씬크다. 이번 사이버공격으로 인한 피해액과 정보보호예산의 비율을 고려하면, 향후 우리나라의 사이버보호 예산은 매년 3,000억원이 필요하다. 최근 사 이버침해로 인한 경제적 피해가 수조원을 넘고 있어 사이버보안에 대한 지속적인 투자가 불가피하며, 더욱이 사이버공격이 국가안보에 미치는 영 향을 고려하면 사이버보호 예산의 경제성을 논하는 것이 무의미해질 수 있다. 이번 3 20 대란에서도 나타났듯이, 그간 미비점으로 지적된 정부와 민간을 아우르는 콘트롤 타워기능의 구축 및 강화, 망분리( 網 分 離 ) 등 안 전체계와 조기경보시스템 구축, 사이버안전관련 법과 제도의 정비, 체계 적인 예산정책 운용, 국내 유관기관과의 협력체계 구축, 외국과의 끊임없 60) 보안뉴스, 2012.3.8
국가 사이버보안 피해금액 분석과 대안: 3 20 사이버 침해사건을 중심으로 신영웅 외 3인 165 는 긴밀한 정보교류를 통해 사이버 범죄와 공격으로부터 효율적으로 대처 한다면 평화롭고 안전한 사이버 공간을 조성하여 국가안보에도 기여할 수 있을 것이다.
166 국가정보연구 제6권 1호 참고문헌 가. 단행본 서승우. 보안경제학. 서울: 서울대학교출판문화원, 2011. Richard A. Clarke and Robert K. Knake. Cyber War. New York: Harper Collins, 2010. 한국은행. 기업경영분석. 서울, 2011. 통계청. 2012년 12월 및 연간 고용동향. 대전, 2013. 방송통신위원회. 2012년 인터넷이용실태조사. 서울, 2013. 노동부. 임금구조 기본통계. 서울, 2003. 한국인터넷진흥원. 정보보호 실태조사. 서울, 2005. CRS Report for Congress, The Economic Impact of Cyber- Attacks, April 1 2004. 나. 논문 강 형, 박광철, 박원형, 국광호. 사이버테러에 따른 경제적피해규모 산 정을 위한 모델연구 정보보안논문지, 제9권 3호(2009). 권문택. 북한의 비대칭전략-사이버기습공격에 대한 대책연구. 정보보 안논문지, 제10권 4호(2010). 순천향대학교. 국제표준사이버보안지수 개발 및 방법론 순천향대학교 산학협력단, 2010. 유혜원 김태성. 정보보호 침해사고 발생에 의한 피해액 산출모형. 대한 산업공학회/한국경영과학 춘계공동학술대회, 2010. 한국외국어대학교. 정보보호사전점검의 경제적 효과분석 및 활성화 방안 연구보고서. 한국인터넷진흥원(2012).
국가 사이버보안 피해금액 분석과 대안: 3 20 사이버 침해사건을 중심으로 신영웅 외 3인 167 광운대학교. 정보보호 사전점검제도 활성화에 관한 연구. 한국인터넷 진흥원, 2010. 신 진. 사이버정보보호의 경제적 효과분석: 국가적 피해액 산정을 중심 으로. 정보보호학회논문지, 제23권 201호(2013). 유진호 외 5인. 인터넷 침해사고에 의한 피해손실 측정. 정보화정책, 제15권 1호(2008). 이후기. 사이버테러에 따른 피해규모산정을 위한 연구. 동국대 석사학 위논문, 2010. 다. 신문 민중의 소리, 2013.4.11. 보안뉴스, 2013.4.30. 디지털타임스, 2013.5.10. 파이낸셜뉴스, 2013.3.21. 보안뉴스, 2011.10.28. 머니투데이, 2012.3.29. 한국경제, 2013.4.26. 뉴데일리, 2013.3.20. 데일리시큐,2012.6.12. 파이낸셜뉴스, 2013.3.21. 동아일보, 2004.12.8. 전자신문, 2013.3.8. 조선일보, 2013.3.21. 사이버보안뉴스, 2013.4.1. 사이언스타임즈, 2013.4.17. 서울경제, 2013. 3.21.
168 국가정보연구 제6권 1호 조선일보, 2013. 3.20. 조선일보, 2013.3.24. 보안뉴스, 2012.3.8. 디지털타임스, 2011.4.26. 라. 인터넷 자료 http://www.enisa.europa.eu/media/news-items/dutch-cybersecurity-strategy-2011/(검색일: 2013.5.22). http://www.trivology.com/articles/297/what-is-a-cyberattack.html(검색일: 2013.5.22). http://blog.daum.net/obk2030/16528895(검색일: 2013.5.22). http://www.nkvision.com/read.php?num=165(검색일: 2013.5.22). http://www.boannews.com/board/view.asp?idx=33(검색일: 2013.5.22). http://www.boannews.com/board/view.asp?idx=35324(검색일: 2013.5.22). http://www.ahnlab.co.kr/company/site/pr/founder_column03.jsp (검색일 : 2013.5.22). http://www.vop.co.kr/a00000620532.html(검색일: 2013.5.22). http://www.fnnews.com/view?ra=sent0901m_view&corp=fnnews& arcid=201303210100194840010870&cdateyear=2013&cdate Month=03&cDateDay=21(검색일: 2013.5.22). http://m.mt.co.kr/new/view.html?no=2013032916351088002(검색 일: 2013.5.22). http://www.fnnews.com/view?ra=sent0901m_view&corp=fnnews& arcid=201305100100096420005420&cdateyear=2013&cdat
국가 사이버보안 피해금액 분석과 대안: 3 20 사이버 침해사건을 중심으로 신영웅 외 3인 169 emonth=05&cdateday=09(검색일: 2013.5.22). http://www.boannews.com/media/view.asp?idx=35324(검색일: 2013.5.22). http://www.fnnews.com/view?ra=sent0901m_view&corp=fnnews& arcid=201303210100194840010870&cdateyear=2013&cdatemo nth=03&cdateday=21(검색일: 2013.5.22). http://www.scieng.net/zero/view.php?id=sisatoron&page=332&cat egory=&sn=off&ss=on&sc=on&keyword=&select_arrange= hit&desc=desc&no=1025(검색일: 2013.5.22). http://csrc.nist.gov/groups/sma/fisma/overview.html(검색일: 2013.5.22). http://www.whitehouse.gov/omb/organization_mission(검색일: 2013.5.22). http://review.chosun.com/site/data/html_dir/2013/03/21/20130321 00544.html?Dep0=chosunnews&Dep1=related&Dep2=relat ed_all(검색일: 2013.5.22). http://review.chosun.com/site/data/html_dir/2013/03/24/20130324 00616.html(검색일: 2013.5.22). http://blog.daum.net/obk2030/16528895(검색일: 2013.5.22). http://www.nextgov.com/cio-briefing/wiredworkplace/2013/02/cybersecurity-staffing-shortagescreate-economic-ripple-effect/61494/ 마. 기타 통계청. 2012년 12월 및 연간 고용동향, 2013. 방송통신위원회. 2012년 인터넷이용실태조사, 2013.
170 국가정보연구 제6권 1호 노동부. 임금구조 기본통계, 2003. 한국인터넷진흥원. 정보보호 실태조사, 2005. 한국은행. 기업경영분석, 2011
국가 사이버보안 피해금액 분석과 대안: 3 20 사이버 침해사건을 중심으로 신영웅 외 3인 171 Economic Damages Assessment for National Cyber Security Measures - Analysis of the March 20 Cyber Attack - Youngyung Shin (KAIST Graduate School of Information Security) Sanghun Jeon (KAIST Graduate School of Information Security) Chaeho Lim (KAIST Graduate School of Information Security) Myungchul Kim (KAIST Graduate School of Information Security) In recent years, South Korea has been frequently infiltrated by North Korea s cyber attacks that brought down the servers of three broadcasters(ytn, MBC and KBS) and three banks(nonghyup Bank, Jeju Bank and Shinhan Bank) and caused the economic damage on Korean society to reach up to almost 0.9 billion US dollars. North Korea s attack methods have been changed and developed rapidly and steadily from on unspecified persons to spread malicious codes by controlling vulnerable webservers to attacks on specified persons and organizations. Their purpose was to paralyze victims business and demand money in return for data that they stole by spreading mail bomb at a specified time and APT(advanced Persistent Threat) as well as attacks on even national security. Especially in the March 20 cyber attack, North Korea
172 국가정보연구 제6권 1호 infiltrated and implanted malicious codes by hacking vulnerable website servers and making Active X module updated automatically when users visit the websites in major broadcasters and banks in Korea. The attack methods utilized a variety of intelligence gathering techniques to access sensitive information with both the capability and the intent to persistently and effectively target a specific entity. This study analyzed the cause and assessed the economic damage of the March 20 cyber attack on 6 organizations. Among major methods to estimate the economic damage, we chose the method of Gordon and Loeb s to come up with the tentative result of the March 20 cyber attack because it is widely used in evaluation of the damage. It costs up to 0.9 billion US dollars in terms of direct and indirect economic damage without calculating the credibility fall, unseen economic damages by insurance company, etc. because the value of intangible quality of credibility and images of the organizations cannot be measured easily. Then this study evaluated the effectiveness of the national budgets for cyber security and suggested the need for increasing national budget for cyber security based on the assessment. Finally, this study suggested cyber security system against any cyber crime, violation and attack through preemptive strike, early-warning system, close cooperation among domestic security related organizations and with other countries, building the control tower at the Blue House as well
국가 사이버보안 피해금액 분석과 대안: 3 20 사이버 침해사건을 중심으로 신영웅 외 3인 173 as the foundation of legal and organizational bases, etc. Key Words Economic Damage Assessment of March 20 Cyber Attack, Cyber security, Cyber Attack, Economic of Cyber Security, ICT