한호현 한국해킹보안협회전무
▲ 한호현 한국해킹보안협회 전무(rhhan@nahs.or.kr)
7.7 DDoS라는 큰 사건으로 얼룩졌던 2009년이 지나고 새해를 맞이하였다. 지난해 정보통신분야는 스마트그리드, 클라우드 컴퓨팅, 4대강 등 몇 가지가 주류를 이뤘으나 새로운 큰 이슈를 제공하지는 못한 한해였다. IT 특별보좌관이 임명되는 등 변화를 주기 위한 노력이 있었으나 정보통신 업계의 기대에는 다소 미치지 못했다는 것이 중론이었다. 요란스러웠던 정보보안 분야도 7.7 DDoS라는 큰 사건이 스쳐간 상처만을 남겼을 뿐 그 상처를 충분히 보듬어 주지는 못한 것 같다.
2010년은 정보통신분야에 많은 변화가 예상된다. 세계 경제의 활성화가 예상되기 때문이다.
한편에서는 세계 경제가 나아지지 않는다 하더라도 정보통신분야의 투자는 크게 늘어날 것으로 기대하고 있다. 미국, EU 등이 정보통신분야에 대한 투자를 늘릴 것으로 예상되기 때문이다. 이는 세계 경제 위기의 극복을 위한 많은 분야에서 정보통신기술의 수요가 필수적이기 때문이다. 국내에서도 4대강사업, 스마트그리드, 클라우드 컴퓨팅 등에 대한 정보통신 투자가 본격화 될 것으로 보이며 지방선거와 여수세계엑스포 등굵직한 국가사업에서도 추가 수요가 예상된다는 점에서 2010년은 기대감이 충분한 한 해가 될 것으로 보인다.
이러한 기대감은 우리나라 정보보안 분야에도 매우 긍정적으로 작용할 것으로 예상된다. 스마트 그리드 사업과 클라우드컴퓨팅 사업의 핵심이 보안 기술이라는 점이기 때문이다. 또한 지방선거는 개인정보 및 정보보안에 대한 인식개선의 촉매제 역할이 될 것으로 본다.
지방선거는 산업적으로 보면 지역의 많은 정보통신업계에게 좋은 기회가 된다. 이제 선거는 정보통신을 어떻게 활용하느냐가 후보자의 선거 결과에 결정적인 역할을 하고 있다. UCC 등을 이용하여 인터넷을 통한 후보자의 홍보는 물론 각 지역의 유권자들에 대한 분석 및 유세에 이르기까지 정보통신 기술의 활용은 이미 선거의 중심 기능이 되어버렸다.
선거에서 정보통신 기술의 의존도는 한편으로는 많은 부작용을 낳고 있는 상황이다. 올 지방선거는 그 동안 제기가 되어왔던 정보보안과 관련한 다양한 불법 사례가 한꺼번에 드러나는 계기가 될 것이다. 더 나아가 그 어느 해보다 올 지방선거에서 그 강도가 커질 것으로 예상된다.
인터넷을 통한 후보자에 대한 비방에서부터 휴대폰을 이용한 허위정보의 유포, 스팸 메일 등은 물론 불법적인 개인정보의 침해 등이 주를 이루게 될 것이다.
특히 개인정보 침해는 이제까지 예상치 못한 다양한 기법이 동원될 것으로 예상된다. 후보자를 비롯한 관계자들에 대한 개인 정보가 무분별하게 수집되어 악용될 것으로 보인다. 합법을 가장한 불법적인 사례도 급증할 것으로 보인다. 해킹과 불법거래를 막지 못한다면 그로 인한 피해는 고스란히 유권자에게 돌아간다.
이미 몇 년 전부터 동문회 명부에 이름을 올리는 것을 꺼리는 사례가 늘고 있다, 선거철 마다 후보들로부터 오는 메일이나 스팸성 문자 메시지 등에 시달린 경험이 있기 때문이다.
올해에는 지방선거 이전에 이러한 일들이 발생하지 않도록 적극적인 예방 활동이 요구된다. 후보자는 물론 유권자들에 대한 홍보 활동이 필요하다, 개인정보 침해 등 정보보안과 관련된 위반 사례를 만들어 배포할 필요가 있다. 필요하다면 법을 개정하여서라도 개인정보 침해를 최소화하도록 해야 한다.
그러나 이러한 단편적인 측면에서 정보보안을 접근하고자 하는 시도는 필요하지만 좀 더 전략적인 접근이 필요하다고 하겠다. 현재 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 정보통신산업진흥법, 정보통신기반보호법, 전자정부법 등 여러 관련 법체계에 정보보안에 대한 규정을 담고 있으나 법 집행 체계가 다원화 되어 있어 빠르게 변화되고 있는 정보보안 환경에 대응하기에는 많은 문제점을 노출 시키고 있다. 부처 간의 조정기능이 미흡하고 부처 간 첨예한 이해관계로 전체를 아우를 수 있는 법체계 마련이 쉽지 않은 상황이다.
새로운 법체계의 도입도 지지부진한 상황이다. 개인 PC의 악성코드 확산을 방지하기 위한 악성코드 확산 방지에 관한 법률이나 개인정보보호법 등은 여전히 논의 중이다. 새로운 상황이 발생할 때마다 새로운 법을 제정해온 결과이다.
올 2010년에는 정보보안과 관련한 기본법 마련이 반드시 필요하다. 이를 통하여 정보보안 법체계를 확립하여야 한다.
새로운 기술이나 환경에 능동적으로 대처하기 위하여 이 기본법에 가능한 다양한 분야의 영역을 다루어야 할 것으로 보인다. 기본적으로 다뤄야 할 영역은 정보보안에 대한 총괄 기능에 대한 부분이다. 정보보안에 대한 다양한 사항을 일관되고 통일된 체계로 다룰 수 있는 법적 근거의 확보가 필요하다. 지난 7.7DDoS와 같은 국가적인 상황에서는 최소한 국무총리가 중심이 되는 대응체계가 구축될 수 있도록 해야 할 것이다. 국가기관, 민간기관, 기업 등이 동시에 외부의 공격을 받는 상황에서 개별 기관의 대응으로는 현실적인 한계를 노출할 수밖에 없는 구조이기 때문이다. 필요하다면 위원회를 구성하거나 별도의 조직을 마련하여야 할 것이다.
다음으로 개인정보보호에 대한 체계가 포함되어야 한다. 현재 여러 법체계에서 다루고 있는 개인정보보호에 대하여 기본법에서 분명하고 확실하게 다룰 필요가 있다. 정부, 공공, 민간에서의 개인정보보호를 다루는 체계가 현행과 같이 다원화 되어 있어서는 많은 혼란을 초래할 수 있다.
하나의 개인정보가 어느 기관 또는 기업에 있느냐에 따라 서로 다른 법이 적용되는 문제점이 있다. 개인정보보호에는 위치 정보뿐만 아니라 점차 증가하고 있는 RFID 및 CCTV, 금융정보와 관련된 내용도 함께 다루어져야 할 것이다.
최근의 해킹이나 범죄에 이용되는 경향이 개인이 사용하는 PC로 전환되고 있는 상황이다. 이는 공공기관이 기업의 경우 정보보안에 대한 대응체계가 일정 수준으로 향상되고 있는 반면에 개인이 사용하는 컴퓨터의 경우 여전히 취약해 이를 노리는 범죄 수법이 증가하고 있기 때문이다.
지난해 7.7 DDoS 때에도 악성코드에 감염된 개인 PC의 처리지연으로 국가기관이나 기업들이 큰 피해를 겪은 것도 이러한상황을 잘 반영하고 있다고 하겠다. 이를 방지하기 위해서는 개인이 사용하고 있는 PC에 대한 정보보안 문제를 다룰 수 있도록 법적 근거를 마련하는 것이 시급하다. 현재 개인 PC에 대한보안의 문제는 법의 사각지대에 놓여 있는 꼴이다.
정보보안 기본법에는 앞에서 언급한 영역이외에 정보통신기반을 안전하게 보호하기 위한 영역, 산업육성 영역, 건전한 인터넷 사용을 위한 윤리 영역도 함께 다뤄져야 할 것이다. 국가의 정보통신기반시설이 한 번 피해를 입어 마비가 된다면 국가 경제 및 사회 전반에 걸쳐 엄청나 피해를 야기하게 된다.
한마디로 우리나라의 공공자산인 것이다. 이들을 보호하는데는 국가, 민간, 기업 등으로 구분하여서는 안 될 것이다. 정보보안 산업의 육성은 세계 제1일의 선도기업을 양성하는데 초점으로 두어야 할 것으로 보인다. 선도하는 우수기업의 탄생이야 말로 진정한 산업 육성의 기틀이 되기 때문이다.
끝으로 인터넷을 건전하게 활용하고 사용하기 위한 윤리교육에 대한 체계적 관리와 지원이 필요하다. 정보보안 기본법에 반드시 포함되어 다루어져야 할 가장 중요한 영역중의 하나다.