정부, 중국 눈치보며...국내 보안강화에 집중

“PC보안 패치율 현재 35%에서 80%이상 높일 계획”

최근 발생한 온라인 게임과 관련한 일련의 사건들은 우리에게 많은 피해를 주기도 했지만  다양한 방법을 모색하게끔 해주는 동기부여가 된 것 만은 사실이다.

개인정보유출이 지속적으로 발생하는 것은 급속도로 발전한 정보통신 환경에 비해 정보보호에 대한 의식이 그를 따라가지 못한 과정에서 발생한 사회적 부조리현상으로 볼 수 있다.

일부에서는 진정한 유비쿼터스 환경의 사회로 나아가기 위한 진통으로 봐야하고 차근차근 준비해 나가면 된다는 낙관적인 견해도 있다. 하지만 국내 해커에 의한 피해라면 추적과 경찰청의 수사로 충분히 차단할 수 있다고 할 수 있지만 중국과 같은 해외에서 국내 사이트를 공격해 정보를 유출하고 실재로 우리 국민들에게 피해를 입히는 이러한 현상은 묵과해서는 안 될 일이다.

우리 정부가 중국 해커들의 공격이란 것을 알면서도 중국 정부에 강력하게 재발방지 요청을 하지 못하는 것도 문제점으로 지적받고 있는 부분이다. 정보통신부는 ‘중국발’해킹이라는 표현을 자제할 것을 언론에 당부하지만 그 또한 ‘중국 눈치보기’의 한 부분일 수밖에 없어 당하고만 있는 국내 PC이용자들은 정부의 강력한 대응을 요구하고 있다.

정보통신부를 비롯해 관련기관은 이 문제를 중국과 외교적 문제로 풀기보다는 국내 보안강화에 초점을 맞추는 방향으로 가닥을 잡고 있는 듯하다. 위험상황 모니터링과 해킹 차단 그리고 개인정보 관리를 위해 각 부처별로 구체적인 방안들을 내놓고 있는 중이다. 각종 정보보호 프로젝트를 수행하고 있는 한국정보보호진흥원(KISA) 인터넷침해사고대응지원센터 김우한 센터장의 말을 들어 보자.

Interview

KISA 인터넷침해사고대응지원센터 김우한 센터장

 

악성코드 유포하는 공격툴 웹방화벽으로 90%이상 차단 가능

“게임업체, 이익얻은 만큼 정보보호 제품과 인력보강했어야...”

7만개 사이트 상시모니터링→해킹 발생 직후 조기 수습

<KISA 인터넷침해사고대응지원센터 김우한 센터장>

개인정보 유출로 인한 사회적인 문제가 심각하다. 그 이유는 어디에 있다고 생각하는가?

모든 것이 ‘돈’ 때문이다. 그 방법으로는 온라인게임 ‘아이템 거래’가 돈벌이 방법으로 사용됐다. 그렇다면 왜 개인정보가 유출됐는가. 바로 중국인들이 국내 사이트에 가입하기 위해서 반드시 필요한 것이 이름과 주민등록번호다. 심지어는 한류열풍으로 인해 국내 연예인 사이트에 가입하기 위해 개인정보를 유출해가는 경우도 허다하다. 주민번호에 대한 대체수단 개발은 정보통신부와 한국정보보호진흥원이 진행 중에 있다.

개인정보 유출 경로로는 어떤 것들이 있나? 

우선 국내 유명 포털이나 해외 포털을 이용해 국내 주민번호를 긁어가는 방법과 P2P를 이용하는 경우도 있고 SQL 인젝션 취약점을 이용한 서버사이드 해킹을 통한 방법도 있다. 중국에는 해킹을 위한 공격툴이 10가지 이상 유포되고 있는 중이다.

이에 대한 대비책으로 정부나 KISA에서 준비하고 있는 것이 있다면?

검색사이트로부터 유출되는 개인정보를 차단하기 위해 국내 사이트에는 금칙어를 사용해 주민번호 검색을 차단하고 있다. 또한 구글과 같은 해외 검색포털사이트에는 기존에 떠있는 주민번호 삭제와 검색차단을 위해 계속 협상중에 있다.

 

서버사이드 해킹을 방지하기 위해서 KISA에서 현재 영세한 중소기업과 벤처기업을 대상으로 공개소프트 웹방화벽을 적극 보급 중에 있다. 국내에서 시판되고 있는 상용 웹방화벽은 3천~1억원 이상 비용부담이 있기 때문에 영세한 업체에서는 KISA에서 보급하는 웹방화벽을 적극 사용할 것을 권한다. 이 공개소프트로도 중국의 공격툴은 무용지물이 될 정도로 거의 대부분 차단할 수 있다. 좀더 정확하게 말하면 상용은 90%, 공개는 85%까지 잡을 수 있다.

또한 4월부터 자동보안패치 업그레이드 율을 높이기 위해 국내 중요 10개 사이트와 협의 하에 사이트 방문시 보안패치 업그레이드 유무를 확인해 이용자로 하여금 자연스럽게 패치할 수 있도록 유도하는 방식을 사용해 현재 패치율 38%에서 85%이상까지 끌어올릴 계획이다.

또 다른 대비책들은 없는가?

보안패치율을 지속적으로 증가시키면서 그래도 미흡하다면 국내 7만개 사이트를 대상으로 상시모니터링을 실시해 악성코드 유무를 발견하고 해당업체에 즉각 연락해 바로 조치를 취할 수 있는 시스템을 운영하고 있다. 7만개 사이트면 국내 거의 모든 사이트가 해당될 것이고 점차적으로 모니터링 주기를 좁혀 해외 악성코드가 발붙일 틈을 주지 않을 것이다.

일반 PC이용자들에게 당부하고 싶은 말은?

국내는 2천8백만대 PC가 있다. 여기에 상용백신을 모두 장착하면 좋겠지만 비용문제가 걸린다면 보안패치를 정기적으로 한다거나 무료 안티스파이웨어만 설치해도 웬만한 악성코드들은 맥을 못춘다. 이 부분이 사실은 가장 중요하다. 일반 사용자들이 보안의식을 높이기 위해 지속적으로 노력하겠다. 잘 모르겠으면 118로 전화해서 문의하면 우리 직원들이 친절하게 설명해 줄 것이다.     

주민등록번호에 대한 의견이 있다면?

해외 어느 나라도 우리나라처럼 인터넷 사이트 가입시 주민등록번호를 요구하는 경우는 거의 없다. 웹사이트 개발자들에게 문제가 있기도 하다. 주민등록번호와 전화번호, 주소 등은 마치 필수사항처럼 만들어 놓고 있어 시급히 시정되어야할 부분이다.

이번 리니지 사태의 책임은 누구에게 있다고 생각하는가?

궁극적으로는 국내 전체 보안의식이 철저하지 못했다는 점이겠지만 구체적으로 보면 게임업체에서 자체 검진작업을 잘 수행했다면 이러한 결과는 나오지 않았을 것이다. 게임업체는 수익을 얻은 만큼 정보보호제품과 관련 인력에 대한 투자를 지속적으로 했어야 옳았다. 최근 그러한 노력들이 보이는 것 같아 다행스러운 일이지만 사용자들의 소중한 정보를 지켜준다는 철저한 서비스 정신이 바탕에 깔려있어야 한다고 생각한다.

올해 인터넷침해사고대응지원센터 모토가 있다면?

올해 센터의 모토가 있다면 정보보호 취약계층으로 들어가자는 것으로 요약할 수 있다. 한마디로 국민속에서 정보보호를 실현하자는 것이다. 우리 센터가 적극적으로 도와드리겠다. 국민들은 정보보호에 대한 의지를 가져야 한다. 보안패치율 높이기와 7만개 사이트 상시 모니터링 등을 통해 소중한 정보 유출로 인한 피해를 최소화 할 수 있도록 노력하겠다.

또한 업체들은 영업이익도 중요하지만 이용자들의 권익을 위해 정보보호에 대한 투자도 아끼지 말고 해 줄 것을 당부한다. 

[길민권 기자(boannews@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>