[시론] 디도스 대란이 알려준 아픈 현실 / 김홍선

김홍선 안철수연구소 대표

쓰나미처럼 디도스(DDoS) 대란이 한바탕 몰아쳤다. 사실 충격적인 사이버 보안 사고는 우리 주위에서 빈번했다. 시아이에이치(CIH) 바이러스 대란, 인터넷 대란, 1000만명 개인정보 유출과 같은 국가적 재앙을 비롯한 크고 작은 사건 사고는 어제오늘의 일이 아니다. 실제 현장에서는 더 많은 사이버 위협이 감지되고 있다. 최근 사이버 공격 양상은 해커들이 직접 악성코드를 만들어서 일반 사용자의 피시를 도구로 쓰는 것이다. 중요 정보를 탈취해서 팔거나, 디도스 공격으로 협박을 해서 금전을 탈취하는 범죄 행위가 잦다. 이번 공격은 기존의 다른 디도스 공격과 비교해서 여러모로 다른 양상을 보였다.

특정 사이트를 겨냥한 기존과 달리 동시다발적으로 여러 유명 사이트를, 24시간 단위로 목표를 바꾸면서 공격했다. 계획된 공격을 마치는 시점에는 어떤 조건이 만족될 경우 자폭하도록 설계되어 있었다. 무엇보다 공격자의 의도가 밝혀지지 않았다는 사실이 우리를 더욱 당혹스럽고 불안하게 한다.

우리나라는 정보기술 강국으로, 정보기술을 우리만큼 생활에 접목한 국가도 드물다. 모든 컴퓨터가 그물처럼 연결되어 있을 뿐만 아니라, 인터넷뱅킹, 전자상거래, 전자정부 등 인터넷 없이는 하루도 살 수 없는 환경이다. 이런 상황에서 컴퓨터를 해커가 장악한다면 더 큰 사고는 언제든 발생할 것이다. 인터넷에 연결되는 모든 가전제품, 통신기기, 오락기도 잠재적 무기가 될 개연성이 있다. 언제든지 터질 수 있는 화약고를 안고 살고 있는 것이다.

정보보안의 현장은 항상 전쟁이다. 전장에서 하루하루를 지내는 필자로서는 사이버 공간에서 위협을 피부로 느낀다. 초창기부터 정보기술의 발전과정을 함께했지만 지금처럼 위험한 불구덩이에 처한 적은 없었다. 기회가 될 때마다 이 상황을 알리고 경고해왔음에도 지속적으로 사고가 터지는 광경을 보니 허탈하다.

사고가 터지면 요란하다. 그러나 문제의 근본적 원인은 외면한 채, 피상적인 면만 가지고 왈가왈부하다 곧 잠잠해지곤 했다. 이 사건의 여파로 각 기관은 대책을 마련하고, 위원회를 만들고, 보안이 중요하다고 구호를 외칠 것이다. 무늬만 보안인 업체들이 나올 것이고, 기존의 보안 장비를 디도스 공격 대응용이라고 포장을 바꾸어 특수를 놓치지 않으려고 할 것은 불 보듯 뻔하다.

인터넷 서비스는 계속 확장될 것이고 공격 기법은 끊임없이 진화하기 때문에 장비로만 해결되지 않는다고 거듭 강조해왔다. 그럼에도 여전히 하드웨어 마인드에 사로잡힌 우리의 모습을 보게 되어 씁쓸하다. 소프트웨어와 보안이 기반이 되지 않는 정보기술 인프라는 껍데기일 뿐이다.

더 핵심적인 문제는 보안 전문인력의 태부족이다. 왜 보안인력이 많이 나오지 않는가에 집중하지 않으면 원천적 해결은 요원하다. 보안의 중요성을 외치는 것은 누구나 할 수 있다. 문제는 누가 그 일을 하는 해결사인가 하는 것이다. 그러나 정작 보안을 전문으로 하는 인력이나 기업은 수직적 가치 사슬에서 맨 밑에 놓여 있다. 보안 인력은 조직 내에서 항상 궁지에 몰리고, 보안 기술을 보유한 중소 벤처기업들은 대기업과 고객들로부터 제값을 받지 못하고 밤새 일에만 시달리는 현실이다. 우수한 인력이 자조의 웃음을 지으며 편한 자리로 옮기는 것을 계속 보아온 필자의 마음은 너무나도 아프다. 과거의 경험에 비추어 아마 이번에도 크게 다르지도 않을 것이란 생각이 들지만, 제발 이제는 악순환의 고리가 끊어졌으면 한다.

김홍선 안철수연구소 대표