보안에 대한 투자 필요...IT 전체 예산 대비 보안예산 높여야

[보안뉴스 김정완] 7.7DDoS대란에서 사용된 DDoS 공격 기술은 기존 공격 기술과 비교해 전혀 새로운 형태가 아니었다는 것이 전문가들의 의견이다. 즉 사용자의 PC에 악성코드를 감염시켜서 그 PC를 공격 무기로 바꾸는 것인데, 이것이 다만 이전과 다랐던 점은 △여러 개의 대형 사이트를 동시 다발적으로 공격했고 △24시간 단위로 타깃을 바꾸었고 △공격을 마친 후 특정 조건의 행위가 발생할 경우 자폭하도록 했다는 것이다.

특히 당시 공격 의도가 불명확했다는 점은 괄목할 만하며, 이는 1년이 지난 지금까지도 명확하지가 않아 최근까지도 북한설이다, 아니다는 이슈를 만들고 있다. 따라서 특정 기업을 상대로 금융 갈취를 목적으로 한 기존 DDoS 공격과는 다른 특성을 엿볼 수 있으며, 이는 향후 DDoS 공격 트랜드에 큰 영향을 미쳤다 하겠다.

◇ 국민들에게 보안의 중요성 각인시킨 ‘7.7DDoS대란’

무엇보다 7.7DDoS대란이 1년이 지난 지금에서도 당시를 곱씹게 하며 회자 되는 것은 PC가 가해자가 될 수 있다는 사실을 일반 국민들에게까지 깨닫게 한 계기가 됐기 때문이다.  일반 사용자 PC의 취약점이 많다는 점이 입증됨은 물론 만일 이렇게 계속 보안이 제대로 안 된 상태로 PC가 사용된다면, 새로운 악성코드에 의해 다른 형태의 공격이나 해킹의 가능성은 항상 존재한다는 점에서 보안의식을 한층 높여줬다는 점은 우리가 다시금 7.7DDoS대란을 생각해 보는 이유다.

이미 금전 탈취를 위한 조직적 범죄는 극렬한 상황이다. 해커들에 의해 블랙 마켓이 형성된 상황에서, 위협의 강도는 줄어들지 않을 것이다. 따라서 제대로 준비를 하지 않을 경우 더 위험한 상황이 나온다는 것을 배제할 수 없다.

◇ 여전히 빈약한 보안에 대한 투자

우리나라는 세계적인 인터넷 인프라를 갖추었으나 보안에 대한 투자와 인식은 후진국 수준이다. 미국이나 일본 등의 선진국들의 경우 10년 전부터 이미 IT 전체 예산의 10% 정도를 보안에 투자하고 있다. 그러나 IT 강국이라는 우리나라는 그 1/10 수준인 1% 정도에 머물고 있는 실정이다.

특히 IT를 구축하는 과정에서 SI-하청업체 구조로 저단가에 단시일에 구축하는 것도 보안 사고를 키우고 있다. 보안이 고려되지 않고 급하게 개발하느라 그 과정에서 보안에 대한 고려가 이루어질 틈이 없는 것이다. IT 자체는 최종 목적이 아니라 인프라이고, 보안은 그 중에서도 핵심 인프라이다. 이에 대한 인식 변화 없이는 IT 기반은 허약할 수밖에 없겠다.

보안의 하향평준화로 한 사람의 초보자가 전체 조직의 보안 수준을 결정하게 됐으며, 이제는 컴퓨터를 사용하는 전 네티즌들이 자발적으로 참여하지 않으면 국가전체의 사이버 안전을 담보할 수 없는 상황이 됐다. 따라서 이제는 전국민의 자발적인 참여와 이를 유도하는 정부의 리더십이 국가 경쟁력이 되는 시대가 되었음을 잊지 말아야 한다.

현대경제연구원에 따르면, 7.7DDoS대란으로 인한 피해액이 최소 363억원에서 최대 544억원으로 추정된다는 점을 상기할 필요가 있겠다.

◇ 제2의 7.7DDoS대란 재발방지 위해선...사용자 모두의 인식전환이 급선무

7.7DDoS대란이 발생한지 꼭 1년. 또다시 제2의 7.7DDoS대란이 발생하지 말란 법은 없다. 하지만 당시처럼 무력하게 공격이 멈추기 만을 기다릴 수는 없을 터. 그렇기에 제2의 7.7DDoS대란의 재발 방지를 위해서는 근본적인 대책이 필요하다.

이런 위협에 지속적으로 대처하기 위해서는 사용자(공공 부문, 기업 부문, 개인 사용자 부문) 모두의 인식 전환이 급선무이며, 그것이 근본적인 해결책이라는 점에서는 누구도 이견이 없을 것이다. 하지만 그러한 인식 전환을 위해서 선행돼야 할 것이 있다.

우선 보안은 비용이 아니라 리스크에 대비하는 투자로 보아야 한다. IT 실행 주체와 전문적인 보안 기술 역량을 가진 전문 업체의 긴밀한 협력 관계가 필요하다. 몇 개의 제품을 구매해 사용자 스스로 관리하는 것으로 안심하기에는 위협의 특성이 너무 복잡하고 그 수도 엄청나게 늘어나고 있다. 따라서 정보보안 업체가 기술력을 축적해 글로벌 경쟁력을 갖춘 제품을 개발할 수 있도록 시장 구조가 개선돼야 한다.

정보보호 투자의 경우 세금 절감 등의 혜택 제공, 최저 입찰제 지양, 대기업과 중소기업 간의 납품 관행 개선, 보안 소프트웨어 제값 받기가 가능하도록 별도 예산 항목으로 책정, 실무자에 대한 평가 요소에 가격보다 정보보호 대응 및 생산성 향상 기여도의 비중을 더 높게 반영하는 등의 개선이 필요하다.

또한 보안 전문가가 절대적으로 부족한 상황이다. 국가 차원에서 소프트웨어 인력의 양성과  이를 바탕으로 보안 전문 역량을 키우는 것을 더 이상 미루어서는 안 된다.

한편 이와 관련 김홍선 안철수연구소 대표는 “이런 문제를 해결하려면 국내 보안 산업을, 더 나아가 소프트웨어 산업을 키워야 한다”고 강조하고 “기업들이 돈을 못 벌면 직원들에게 희망이 생길 리 없다. 결국 보안 소프트웨어의 공정한 거래가 이루어지고, 서비스가 공정히 대가를 받아야 한다. 밤새 일에 시달려도 존중 받지 못하고 야단만 맞는 현실에서 우수한 인력들이 올 리가 만무하다. 보안 전문성이 높은 가치로 인정되지 않는 한 보안은 또다시 헛구호가 될 뿐”이라고 말했다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>