[시론] 디지털 재난을 막을 방법 / 강장묵

강장묵 세종대 컴퓨터공학과 교수

시론

2009년 7월9일 오후, 서울에는 190㎜의 물 폭탄이 터졌고, 인터넷에서는 디도스(DDoS)의 3차 공격이 개시되었다. 7일 1차 공격이 시작된 이래로 2차·3차 공격은 예견되었음에도 막을 수 없었다. 국내외 전문가가 공격자를 추적하려 노력했어도 추측만이 난무했다. 갑작스런 게릴라성 호우가 아니라, ‘언제 어느 사이트’를 공격하겠다고 밝혔음에도, 우린 왜 막지 못한 것일까? 네트워크에 대한 사회 의존도가 높아지면서, 이 연결망에 대한 위협은 심각한 재난이 되고 있다. ‘정부-민간-누리꾼’이 함께 노력하는 총체적 대응만이 디지털 재난의 해결책이다.

지능형 분산 서비스 거부 공격으로 나라가 어수선했을 때, 수많은 ‘좀비 피시’가 양산되지 않도록 가정마다 백신을 내려받으며 적극적으로 대처한 국가 수비대는 청소년들이었다. ‘안철수 연구소’ 등 뛰어난 민간 연구소에서 백신을 개발한다 하더라도, 원격으로 수천, 수만 대를 치료할 수는 없다. 즉 네트워크의 위협은 시민들의 자발적인 참여로 지켜져야 한다.

누리꾼이 사이버전에 적극적으로 대처하는 동안, 사이버전을 진두지휘할 책임 있는 분들은 분명치 못한 정보를 언론에 흘려 불안에 빠지게 하였다. 더러는 실시간 디지털 공격에 느려터진 아날로그 대응을 보여주었다. 네트워크는 무국경화, 실시간화되었는데, 국내법과 아날로그 정신에 갇힌 공무원을 바라보는 심정은 불안하기만 하다.

과연 디도스 공격으로 잃은 것은 무엇인가? 우선 국가 주요 기관의 대국민 웹 서비스가 전면 중단되었다. 둘째, 청와대·국방부·국가정보원 등 주요 국가 기관이 가지는 위상이 떨어졌다. 셋째, ‘좀비 피시’의 데이터를 날렸다. 그러나 국가 주요망은 서비스가 중단됐지만, 국가 행정망의 주민등록번호와 실명 정보, 국가 보건망의 에이즈 환자의 개인정보, 국가 교육망의 청소년의 성적과 성격 정보가 해킹된 것은 아니다.

그렇다면 디도스보다 더 위협적인 것은 무엇인가? 안이한 공무원이 내다버린 개인 정보가 기록된 중요 서류가 붕어빵 종이로 바뀐 사건, 보험회사 등의 자료가 중국 해커에게 넘어가 보이스피싱의 대상으로 활용된 사건 등이 아닐까. 국가는 개인정보를 철저히 보호하는 제도적·기술적 기반 위에서 외국 해커로부터 자국민을 보호해야 할 것이다. 아직 우리나라는 개인정보 보호에 관한 기본법마저 없는 디지털인권의 사각지대다.

인터넷이 태동한 것은 ‘미국 뉴욕에 핵폭탄이 터져도 샌프란시스코의 국가 통신망이 두절되지 않도록 해야 한다’는 군사적 목적이었다. 즉 중앙에서 회선을 나누어 주는 전화망 방식이 아닌, ‘네트워크의 네트워크’로 우회할 수 있는 다수의 통신 길을 열어두는 것이었다. 이 원리는 아이러니하게도 공격자가 어디서 어떤 망을 타고 접근하고 공격하는지를 알 길 없게 만들었다. 따라서 분산 네트워크망인 인터넷을 중앙집중식의 국가권력만으로 막을 수 있다는 착각부터 버려야 한다.

첫째, 핵심 국가 주요기관 등 네트워크의 허브 구실을 담당하는 사이트는 철저히 법제화해서 관리해야 한다. 이 법은 제한된 국가 주요망에 대한 제도적 기술적 해결이지, 전체 인터넷망에 대한 광범위한 수색이거나 정권 강화용이어서는 안 된다.

둘째, 노드 수준의 다양한 네트워크에서는 ‘누리꾼과 누리꾼’의 참여를 유도해야 한다. 개방 환경에서 상호 협력하여 자신의 피시가 ‘좀비 피시’가 되지 않도록 하는 교육과 연대가 절실하다. 즉 분산망인 인터넷에서 시민군을 양성하여 게릴라식으로 싸워야지, 정규군의 화력만에 의존하는 것은 어불성설이란 것이다.

강장묵 세종대 컴퓨터공학과 교수