• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[기자수첩] 대한민국 정보보안은 ‘태엽 심장’인가? 2011.03.21

“올해에도 큰 사건 하나 터졌으면 좋겠습니다.”

사건이 터져야만 보안에 관심...능동적이고 꾸준한 보안투자 필요


[보안뉴스 오병민] “참 안타까운 이야기지만 올해에도 큰 사건 하나 터졌으면 좋겠습니다”

 

매년 초 정보보안 업계 사람들을 만나면 늘상 듣는 이야기다. (다행인지 모르겠지만 올해에는 3월부터 대형사고가 터졌다.)

 

그들이 진심으로 사고가 나길 바라는 마음에서 하는 이야기는 아닐 테다. 사고가 나야만 정보보안에 투자하는 우리 환경이 안타까워서 하는 말이다.


대한민국 정보보안의 심장은 태엽으로 돼 있는 것 같다. 큰 정보보호 사건의 힘으로 감아야만 돌아가는 ‘태엽 심장’ 말이다. 따라서 태엽을 감은 힘이 다 되면 심장은 멈춰진다. 옥션 해킹 사건 이후에도 그랬고 7.7 DDoS 공격 이후에도 그랬다. 더욱 안타까운 것은, 정보보호의 태엽은 힘이 세서 왠만한 작은 사건에는 태엽이 감기지도 않는 다는 것이다.


작년 10월 국정감사에서 이명수 의원이 기획재정부로부터 받은 자료(2010.9월말)에 따르면 행안부 정보화사업 예산 대비 정보보호 비율이 7.7 DDoS 이후 10.3%(2009년)에서 12.4%(2010년)로 증가했지만 올해 예산은 5.9%(2011년)로 감소했다. 그리고 올해 국가 전체 정보화예산에서 정보호호 예산이 차지하는 비율도 7.7 DDoS 이후에는 8.2%(2010년)였지만 올해에는 6.2%로 감소했다.


국가기관들의 정보보호 예산은 그나마 나은 편이다. 기업들의 정보보호 투자 실태는 매우 심각하기 때문이다. 2009년 12월에 발표된 ‘2009년 정보보호 실태조사’ 보고서의 원문을 그대로 인용해보겠다.

 

“2008년 종사자 수 5명 이상이고 네트워크로 연결된 컴퓨터가 1대 이상 있는 사업체를 대상으로 정보호 투자 대비 정보보호 투자 비율을 물어본 결과, 63.6%의 사업체가 ┖정보보호 지출이 없다┖고 응답했다. 정보호 투자대비 지출이 ┖1% 미만┖인 사업체가 15.1%로 나타나 아직까지 대부분의 사업체가 정보보호 투자에 미진한 것으로 나타났다.” -2009년 정보보호 실태조사 보고서 <방통위, KISA>-


(올해 3월 10일 발표예정이었던 ‘2010년 정보보호 실태조사’ 보고서가 3.4 DDoS로 발표가 연기돼 2009년 보고서를 인용했음, 2009년 정보보호 실태조사는 7.7 DDoS 이전 조사이기 때문에 수치에는 변동이 있으리라 예상함.)


이 보고서에서 나타난 ‘정보보호 지출이 없는 이유’는 더 가관이다. 지출이 없는 이유의 1위(65.1%)는 "정보보안 사고로 인한 피해가 거의 없어 필요성을 느끼지 못함"이었으며, 2위(16.2%)는 "정보보호에 관심이 없음"이었다.


사실 의도적으로 금전을 노리는 사이버 공격은 거의 외부로 드러나지 않는다. 개인정보나 기업정보만 빼내 이용하는 공격자들은 자신들의 공격(해킹)사실이 드러나지 않아야 완전 범죄이기 때문이다.

 

따라서 드러나는 사고를 두려워하기보다는 드러나지 않는 사고를 두려워해야한다. 그러나 우리나라는 드러나지 않는 사고는 인정하지 않는다. 이 같은 기업들의 생각은 "정보보안 사고로 인한 피해가 거의 없어 필요성을 느끼지 못함"이라는 답변에서 크게 드러난다. 결국 “왜 대한민국은 정보보호 투자에 인색할까?”의 답과 일치한다고 볼 수 있다.


정보보호의 적인 사이버공격자들은 꾸준한 노력과 투자를 반복하고 있다. 게다가 최근 공격 패턴을 살펴보면, 특정 대상을 공격하는 것보다 정보보호가 허술한 모든 기업과 사용자를 대상으로 하고 있다. 예컨데 7.7 DDoS나 3.4 DDoS 공격보다 더 많은 피해를 입고서도 자신이 피해자인지도 모르는 것이 현실이다. 대한민국의 정보보호 심장이 태엽이 다 돼 멈춰있었기 때문이다.


공격자들은 악성코드를 끊임없이 새로 개발하고 변종을 양산해 낸다. 사이버공격도 새로운 패턴과 새로운 방식을 도입해 가끔은 보안전문가들도 혀를 내두를 정도다. 특히 최근에는, 공격대상의 사회적 성향을 반영한 사회공학적 공격기법까지 공격의 도구로 이용한다. 무서울 정도다.


우리나라의 정보보호는 드러나는 대형 사고에만 태엽이 감기고 있다. 이런 상황에서 대한민국 정보보호의 태엽 심장은 언제까지 뛸 수 있을까? 그리고 이런 심장을 가지고 새롭게 추가되고 늘어나는 위협에 얼마나 적절히 대응을 할 수 있을까?


스스로 뛸 수 있는 심장이 필요하다. 그러기 위해서는 정부와 기업들이 능동적으로 꾸준히 보안에 투자해야한다. 대한민국 정보보안의 심장이 태엽인데 반해 공격자들의 심장은 강철인데다가 강심장이다.

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>