[김병수] 1차 사이버테러형태의 공격을 맞이하며

2003년 1월 25일에 발생한 SQL Worm을 이용한 사이버테러와 관련하여 우리가 쉽게 간과하고 있는 정보보호에 대하여 논의하고자 한다.

2000년 2월에 미국 야후, 아마존, CNN 등에서 발생된 DDoS(Distributed Denial of Service)공격을 시작으로 2001년 7월의 코드레드(Code Red) 웜, 2001년 9월의 님다(Nimda) 웜 등의 사고를 통해서 우리들은 사이버사회를 대변하는 인터넷으로부터 더 이상 우리들의 생활이 안전치 못하다는 것을 절실히 느낄 수 있었다.

더욱이 이러한 사태가 일어날 때 만 다양한 매체를 통하여 사회적 이슈화가 되고 일정시간이 지나면 또다시 망각의 늪에 빠져 언제나 일어날 수도 있는 일로 치부되곤 하였다는 사실이 우리를 항상 안전불감증이라는 병마로부터 영원히 치유될 수 없다는 것을 반증하고 있다.

건설현장에서 항상 보이는 “안전제일”이라는 문구가 만들어지기 위해서 얼마나 많은 사람들이 건설현장에서 쓸쓸히 희생되었는지를 생각하면 필자는 앞으로 얼마나 많은 IT시스템들이 희생되어야 만 사이버사회에서도 “안전제일”이라는 말이 항상 만져질 수 있을까라는 조바심을 감출 수가 없다.

◆우리의 IT 환경

우리나라는 IT 강국이다. 그것을 피부로 느낄 수 있는 것들이 우리보다 늘 앞서갔던 일본이 이제는 우리들에게 IT에 대하여 배워야겠다고 역으로 국내주요 SI업체들에게 출장을 오는 것을 주위에서 많이 봐왔기 때문이다.

정부차원의 e-Korea을 필두로 지구상의 어떤 나라보다도 국내 IT환경이 우수하다고 자부하고 있으며 인터넷이 없어진다면 우리 생활환경이 절반이상 불편해지고 다양한 산업에 막대한 영향을 미칠 수 있다는 것을 잘 알고 있다.

그러나 한가지 우려되는 것은 IT환경이 일정하게 고르게 성장하지 못한 것이 있다는 것이다. 그 중에 하나가 바로 “정보보호”, 즉 “안전제일”이라는 것이다.

댐을 건설할 때 처음부터 끝까지 동일한 높이를 근간으로 설계하여야 하고 홍수를 대비하여 일상적인 저장용량보다 2배 이상의 높이가 기본적으로 요구되어진다는 것을 누구나 잘 알고 있는데도 불구하고 IT시스템을 기획하고 구축할 때, 이러한 상식을 간과하는 것이 너무나 당연시 되고있다는 사실에서 깊은 우려감이 앞서며, 이와 같은 것을 선도하는 것 중에 하나가 “최저가 입찰방식”이라고 정리될 수 있다.

흔히 “정보보호”라고 하면 보험적인 성격이 짙기 때문에 언제나 투자우선순위에서 밀린다고 대부분의 CIO와 IT기획 담당자들이 이야기를 하는데 건설현장에서 “안전제일”이라는 절대용어를 사용하고 난 다음에 건설산업의 생산성이 30%이상 향상된 것을 우리는 예전에 이미 경험하였고 이는 “안전이 산업 및 조직의 생산성에 막대한 영향을 미친다는 사실”을 재확인시켜주고 있다고 말할 수 있다.

우리들의 IT주변에는 다양한 위협요소가 존재하고 있고 이들로 인하여 다음과 같은 예기치 못하는 엄청난 결과를 초래할 수 있다.

-국가간 사이버전쟁.

-네트워크 마비.

-사생활침해로 인한 집단소송.

-불법 온라인 상거래.

-핵심정보유출.

-온라인 서비스 변조 및 마비.

특히 미국/러시아/중국 등에서는 국가간 사이버전쟁을 기정사실로 인정하고 이를 위해서 비밀정보조직을 중심으로 알려지지 않은 다양한 사이버전쟁무기들을 자체적으로 개발하고 있다는 사실을 알고 난 후, 두려움으로 인하여 잠을 설치는 경우가 많아진 것은 필자만의 노파심을 아닐 것이다.

◆사이버테러의 가능성

필자는 2003년 1월 25일에 발생한 일련의 사건을 과감히 1차적으로 테스트한 사이버테러로 규정하고 싶다.

그 이유는 네트워크 환경이 가장 발전적으로 구축되어있는 우리나라를 대상으로 핵심 네트워크 장비 및 서비스 마비의 가능성을 타진하고 그 파급효과에 대해 다양한 매체를 통해서 발표되는 자료를 가지고 공격자 입장에서 분석하면 훨씬 경제적이고 효율적인 사이버테러 방법을 개발할 수 있기 때문이며, 특히 ISP라는 국가적 기반시설을 타켓으로 삼았다는 데서 공격자의 의도가 충분히 반영되었다고 생각한다.

공격자 입장에서 생각할 수 있는 국가기반시설은 다음과 같을 수 있다.

-주요 통신사업자(ISP,전화).

-주요 운송사업자(철도,항공,도로,선박,수도,우편).

-주요 에너지사업자(전력,가스).

-주요 금융기관(은행,증권,보험).

-주요 대민 서비스(병원,보건소,지방행정,국방).

-주요 기초산업(전자,화학,제철,음식물).

본 사건은 이와 같은 다양한 국가기반시설에서 인터넷서비스와 관련된 ISP를 대상으로 토요일에 발생되었기 때문에 그 영향이 크진 않았지만 평일에 발생되었다면 이보다는 최소한 100배 이상의 엄청난 사회적인 파장을 초래하였으리라 생각된다.

특히 기초생활과 밀접하게 관련된 다른 국가기반시설을 대상으로 하여 5일 이상 해당 서비스가 중지된다면 국가차원의 비상계엄도 우려치 않을 수 없다고 사료된다.

◆대응 방안

2003년 1월 25일에 발생된 사건으로 인하여 우리나라가 세계적으로 실추한 이미지 손실은 2002년 월드컵으로 인하여 국제무대에서 높아진 IT산업의 인지도인 2조4천5백억을 고스란히 잃어버렸다고 할 수 있다.

전국민이 일치단결하여 힘들게 높였던 국가브랜드가치를 한 순간에 잃어버렸다는 것에 “안전제일”이라는 절대적 용어를 우리가 너무나 쉽게 간과하고 있었다는 사실을 반성하면서 이와 같은 일련의 사건이 재발하지 않기 위해서 기본적으로 다음과 같은 대응방안이 범 국가적으로 필요하다고 생각한다.

<관리적인 측면>

“정보보호”활동을 실행하면서 가장 근간이 되는 것이 문서화된 규정이다. 이는 모든 사람들의 행동규칙의 가이드라인을 제시하고 이를 실천함으로써 성숙된 IT서비스를 올바르게 받을 수 있는 기초를 만들어준다.

물론 모든 사람들이 행동규칙의 가이드라인을 성실히 수행할 수 있도록 이를 도와주는 전담조직과 인원이 있어야 함은 당연하고 이들은 자신들이 보호해야 할 IT자원에 대한 우선순위와 영향범위를 정확히 판별하여 정기적으로 다양한 예방활동을 성실히 수행하여야 한다.

특히 국가차원에서 대통령 직속으로 CSO(Chief Security Officer)가 존재하여 국가기반시설 전체에 대한 “정보보호”를 일관되게 수행하여야 하고, 현재 권고사항으로 되어있는 부문들을 의무사항으로 변화시켜 전 국가적인 보호활동의 기초를 다듬으면서 사전감시활동 및 경보체계에 대한 국가적인 대응체계를 수립하고 비상사태 발생시에는 정부를 주축으로 언론 및 각 산업기업들이 신속히 준비된 대책반을 가동하여 발생된 문제에 대한 원인 및 대응방안을 전파/적용할 수 있는 비상대응체계를 수립하여야 이러한 사태가 재발하더라도 가장 효과적으로 신속히 대응할 수 있다고 사료된다.

<물리적인 측면>

물리적인 부문에서 필자가 가장 우려되는 것은 다양한 전자파공격으로부터 보호 받을 수 있는 국내 IT시스템들이 거의 없다는 것이다.

이는 국내 대규모 ISP, SI업체, 정부기관이 갖고있는 대형 Data Center들이 대부분 지상건물로 이루어져 있고 중요 시스템들이 운영되고있는 장소에 유리창이 존재하기 때문에 언제든지 전자파를 이용하여 도청하거나 핵심 IT시스템들을 복구 불가능하게 파괴할 수 있기 때문이다.

미국이 왜 핵심 국가IT시설들을 지하에 위치한 건물에서 운영하고 있으며 전자파를 발생하는 주요 IT시설을 도입하지 않는다는 것을 한번쯤 다시 생각해보아야 할 때라고 생각한다.

지금부터라도 핵심 국가기반서비스를 제공하는 모든 IT자원들을 중심으로 강력한 전자파공격으로부터 안전하게 지키는 방법들을 강구하지 않으면 우리는 항상 사이버테러 또는 사이버전쟁으로부터 영원한 피해자일 수 밖에 없다고 생각한다.

<기술적인 측면>

본 사건을 기술적인 관점에서 살펴보면 첫번째로 ISP 뿐만이 아니라 각 산업영역을 담당하고 있는 기업들의 충실한 예방활동이 필수적이다.

현재 각 IT자원에 대하여 기술적인 취약점을 진단해주고 있는 국내 솔루션들이 있으며 이를 활용하여 매월단위로 자신들이 관리하고 있는 IT자원들에 대하여 자체적인 취약점 진단활동을 충실히 수행하면 기술적 취약점들로 인하여 발생될 수 있는 다양한 사고를 미연에 방지할 수 있으며, 특히 취약점에 대한 각각 자체적인 Knowledge 시스템 구축을 통해 기술적인 요소들에 대한 자체 전담인력 상호간 커뮤니케이션 활성화가 예방활동에 지름길임을 강조하고 싶다.

두번째로 네트워크를 서비스단위로 분리하는 것이다. 현재 가장 보편적인 네트워크 보호방안이 인터넷과 연결되는 지점에 침입차단 및 탐지시스템을 설치하는 것이나 이것으로는 불완전하고 다단계 네트워크 보호장비를 통한 서비스별 네트워크 분리정책만이 이러한 사건이 발생하였을 때 가장 효과적으로 신속한 대응활동을 전개할 수 있는 지름길이라고 생각한다.

마지막으로 성능이 좋은 네트워크 보호장비를 사용하는 것이다.

2002년 10월에 발생한 미국 DNS root서버에 대한 공격시에는 평소 10배가 넘는 네트워크 트래픽이 발생하였으며 본 사고에서도 평소보다 최소 5배 이상의 네트워크 트래픽을 발생시켜 네트워크 장비를 마비시키는 결과를 초래하였다.

따라서 현재 자신이 서비스를 받고 있는 네트워크 대역폭보다는 최소한 5배 이상의 성능을 견뎌낼 수 있는 네트워크 보안장비의 도입이 필수적이며 이는 홍수를 대비하여 이상적으로 구축된 댐의 높이와 동일한 역할을 담당한다고 말할 수 있는 것이다.

◆맺음말

2003년 1월 25일에 발생된 사건을 통해서 IT기술이 우리의 기초생활과 떨어질 수 없다는 것을 알았다.

또 이를 위하여 몇몇 주요 기관들만이 억지로 실행하는 “정보보호”가 아니라 정부를 주축으로 모든 산업기관이 한마음으로 결집하여 실천해야만 가장 효과성이 높다는 것을 깨우쳤으며, “정보보호”와 관련된 각종 투자 예산이 단순히 보이지않는 곳에 낭비적요소로만 투자되는 것이 아니라는 것을 전 국민들이 절실히 느끼는 계기가 되었다고 말할 수 있다.

더욱이 올해부터 혁신적으로 시작하는 NGN(Next Generation Network)과 Ubiquitous Networking을 바라보는 우리로써는 이들이 처음 설계될 때부터 얼마나 안전하게 서비스될 수 있을 것인가에 대한 모델링을 확립해야 하는 당위성이 절실히 요구된다.

특히 정부차원에서 국가기반시설에 대한 규정화/표준화된 정보보호활동을 주요 산업기반의 민간업체와 공동으로 지금보다 10배 이상 강력히 실천할 때 우리사회는 사이버테러로부터 안전할 수 있으며, 국제적 해킹 경유지라는 오명을 벗을 수 있다고 강조하고 싶다.

2003년 국방비인 16조의 10%의 예산을 “안전제일”을 위해서 정부차원에서 지속적으로 투자할 때 우리나라는 국제적으로 새로운 사이버사회를 창출해가는 강력한 리더쉽을 갖출 수 있다.

또 국가간 사이버전쟁을 대비한 거대한 비밀 프로젝트를 지금부터라도 시작해야만 핵무기보다 더 무섭고 강력한 사이버상의 다양한 공격으로부터 우리나라를 안전하게 지킬 수 있다고 주장하면서, 이러한 것들이 총제적인 NCP(National Continuous Plan)을 바탕으로 종합적으로 설계/구축되어질 때 우리나라의 IT우월감을 바탕으로 진행되어지는 u-Korea가 비약적으로 발전될 수 있다는 말로 결론 짓고자 한다.