이달 초 공공아이핀(I-PIN) 개인정보 유출 사태 이후 민관 합동으로 사고 원인과 해법을 논의해 온 행정자치부가 25일 재발 방지를 위한 종합 대책을 발표했다. 핵심은 프로그램 오류 수정, 시스템 보안 강화와 전면 재구축, 아이핀 사용처 축소, 부정 발급·도용 근절 등이다. 아이핀 비밀번호를 자주 변경하도록 권장하고 보안 전문가를 확충하겠다는 계획도 포함됐다. 하지만 아이핀 제도 자체가 필요한지에 대한 진지한 고민은 찾아볼 수 없다는 게 전문가들의 지적이다. 행자부가 밝힌 대책에 따르면 현재 모든 공공아이핀 가입자는 5월 1일 기준으로 본인인증을 거쳐 공공아이핀을 재발급받고 해마다 이를 갱신해야 한다. 공공기관 웹사이트는 원칙적으로 회원 가입 없이 이용이 가능하도록 하는 등 공공아이핀 사용을 최소화하는 방안도 들어 있다. 하지만 대체로 실효성 없는 대책과 캠페인 성격에 그쳐 개인정보 유출을 막기에는 역부족이라는 평가가 나온다. 합동점검단장인 노병규 한국인터넷진흥원 개인정보보호본부장은 이날 “사고 원인은 공공아이핀 시스템의 설계상 오류에서 비롯됐다”는 점을 분명히 했다. 그는 “이상 징후에 대한 관제 체계가 없었으며 공공아이핀을 개발한 2008년 이후 프로그램 업그레이드와 보안 투자가 미흡했던 것으로 드러났다”고 말했다. 정부가 지난 7년 동안 심각한 결함이 있는지도 모른 채 부실한 프로그램을 운영해 온 셈이다. 정부는 현재 공공아이핀 시스템에 민간 아이핀의 해킹 방지 기능을 적용하고, 2차 패스워드 같은 추가 인증 수단을 도입하기로 했다. 부정 발급을 시도하는 것으로 의심되는 아이피(IP)는 접속 즉시 차단되도록 보안을 강화한다. 아울러 행자부는 이번 사고를 계기로 정부 내 보안 전문가 확충에 나선다. 정보보호 전문 인력은 순환 보직에서 제외하되 주기적으로 업무 성과를 평가해 일정 기간이 지나면 우선 승진시키는 등 관련 인사제도 개편을 검토하기로 했다. 현재 한국에서 아이핀은 모든 웹사이트에 접근이 가능한 만능열쇠나 다름없다. 아이핀이 주민등록번호처럼 개인정보 유출의 표적이 될 수밖에 없는 이유다. 개인정보보호 분야 전문가인 신훈민 변호사는 “개인정보 보호의 제1원칙은 최소 수집이며 이는 개인정보보호법 제3조에도 명시돼 있다”면서 “보안 강화를 논의하기에 앞서 아이핀 제도 자체가 반드시 필요한지에 대해 심도 있는 논의를 해야 한다”고 꼬집었다. 정부가 밝힌 아이핀 사용처 축소 대상에는 민간아이핀이 빠져 있다. 민간아이핀은 보안 정도를 빼고는 공공아이핀과 기본 구조가 동일한 데다 이용자들이 실제로 사용할 때도 아무런 차이가 없기 때문에 동일한 개인정보 유출 위협이 여전히 존재한다. 이 때문에 민간아이핀으로 안정적인 수입을 얻고 있는 민간본인확인업체들에 대한 대책 없이는 반쪽짜리에 불과하다는 지적도 나온다. 강국진 기자 betulo@seoul.co.kr

자영업을 하는 남모(23)씨는 지난해 9월 국내 유명 화상채팅 사이트에 접속했다가 상대 여성의 유도로 음란행위를 했다. 이 장면은 고스란히 중국인 공갈단에 녹화돼 돈을 보내라는 협박 도구로 사용됐다. 처음에는 110만원을 송금했으나 공갈단은 계속해서 추가로 돈을 요구했다. 거절하자, 채팅 도중 해킹을 통해 알아낸 남씨 장인의 휴대전화로 음란영상을 보내 이혼을 당하게 했다. 중3 김모(16)군은 20만원을 송금하고 음란영상을 삭제해 달라며 통사정을 했다. 공갈단은 “어린놈이 공부는 안 하고 못된 짓을 한다”며 오히려 훈계를 했다. 화상채팅에 끌어들인 남성에게 음란행위를 시킨 뒤 이를 촬영한 영상을 유포하겠다고 협박해 돈을 뜯는 일명 ‘몸캠피싱’ 공갈단이 경찰에 무더기로 붙잡혔다. 경기경찰청 광역수사대는 24일 스마트폰 화상채팅을 통해 만난 남성들에게 이른바 ‘몸캠’을 시킨 뒤 돈을 뜯어온 혐의(폭력행위 등 처벌에 관한 법률 위반)로 중국인 진모(26)씨 등 3명을 구속하고 이들에게 통장을 판매한 혐의(전자금융거래법 위반)로 권모(23)씨 등 한국인 5명을 불구속 입건했다. 또 진씨 등 보이스피싱 조직들로부터 협박당한 피해자들이 송금한 돈 310억원을 위안화로 바꿔 중국 조직에 송금한 혐의(외국환거래법 위반 등)로 신모(36)씨 등 2명을 구속하고 김모(45)씨를 불구속 입건했다. 경찰에 따르면 진씨 등은 화상채팅 사이트에 접속한 한국인 남성들에게 음란행위를 하자고 유도해 이를 녹화하고 채팅 도중 음성이 듣고 싶다며 음성애플리케이션을 가장한 해킹 프로그램을 피해자들의 휴대전화에 심어 저장돼 있는 개인정보를 수집했다. 진씨 일당이 “음란행위 영상을 피해자의 휴대전화 속 지인들에게 유포하겠다”고 협박하자 겁을 먹은 노모(36)씨는 3000만원을 송금하는 등 지난해 6월부터 올해 2월까지 763명의 한국인 남성들이 20억원을 송금했다. 피해자들은 학생을 비롯해 중장년, 유부남들까지 다양했다. 돈이 없는 청년 37명은 본인 및 가족 명의로 3~5개씩 대포통장을 만들어 보내기까지 했다. 개인통장은 개당 50만~100만원, 법인통장은 150만원에 거래돼 또다시 피싱범죄에 사용되기도 했다고 경찰은 밝혔다. 한상봉 기자 hsb@seoul.co.kr

행정자치부는 지난 2일 발생한 사상 초유의 공공 아이핀 시스템 해킹이 시스템 관리 및 운영에 허점이 있어 빚어졌다고 밝혔다. 아이핀은 유출이 의심될 경우 재발급받거나 사용을 제한할 수 있다는 점에서 주민등록번호보다 안전한 것은 사실이다. 그러나 공공 아이핀 사건의 근본적 문제는 과거 민간 아이핀, 주민등록번호 유출 사건에서 보듯 국내 웹사이트에서 과도하게 개인 정보를 수집하고 있다는 데 있다. 주민등록번호를 기반으로 한 아이핀을 써야 한다면 아주 제한적인 범위로 좁히는 게 옳다. 지난해 9월 당시 안전행정부는 주민등록번호 개선 방안 공청회를 갖고 토론을 벌였다. 신규 주민등록번호를 발급해야 한다는 쪽은 무작위의 일련번호를 새롭게 부여해 사용하고, 피해 발생 땐 변경이 가능해야 하며, 유출에 대한 피해를 최소화하려면 특정 영역에서만 사용할 수 있도록 해야 한다고 주장한다. 이에 반대하는 쪽은 신규 발급에는 회의적이지만 주민등록번호 변경은 가능해야 한다고 한다. 신규 주민등록번호 발급의 문제는 세 가지다. 첫째, 신규 주민등록번호를 발급하더라도 안전하다는 보장이 없다. 현재 개인정보 보호 문제는 불법 유출에 대한 사고이기 때문에 주민등록번호 체계를 변경한다고 불법유출 문제를 해결할 수 없다. 둘째, 편의성 문제다. 국민 대다수는 주민등록번호가 바뀌는 것을 선호하지 않을 것이다. 현재 우리 사회는 주민등록번호를 기반으로 하는 시스템이므로 이를 바꾼다는 것은 쉽지 않고 대혼란만 준다. 셋째, 주민등록번호 체계를 개편했을 때 신분증 교체와 새 주민등록번호 도입을 위한 행정 시스템 변경에만 최소 6700억원이 들고 금융기관 등 민간에서 부담해야 할 시스템 비용이나 국민 불편 등을 고려한 경제·사회적 비용은 추산조차 어렵다. 현시점에서 개선 방안이 필요하다면 기존 주민등록번호를 아주 제한된 공공 부문에서만 사용하고 아이핀·마이핀 등 대체 번호는 민간 분야에서 사용하며 기존 주민등록번호 사용을 제한하는 ‘실체인증 보증 가이드라인’을 수립해야 한다. 국제 표준으로 규정한 ‘실체인증 보증 프레임워크’에 따르면 인터넷상 본인 확인 수준은 네 가지 등급으로 구분된다. 먼저 가장 낮은 등급인 LoA1에서는 아예 본인 확인 없이도 서비스를 활용할 수 있는 수준을 말한다. 구글, 페이스북 등이 여기에 해당한다. LoA2는 본인 확인과 함께 암호학적으로 안전한 인증을 사용하도록 권고한다. LoA3에서는 본인 확인, 아이디, 비밀번호 외에 스마트폰 등 다른 수단을 추가로 활용하고, LoA4는 본인 확인에 더해 하드웨어 보안토큰까지 사용하라고 한다. 미국의 경우 2011년부터 온라인으로 중요한 정보를 주고받을 때 LoA3, 4 등급을 쓰도록 하고 있다. 현재 주민등록번호 체계를 폐지·변경한다고 개인정보 보호 문제를 해결할 수 있을지는 의문시된다. 이에 대한 막대한 비용도 무시할 수 없다. 개인정보 유출 문제는 주민번호 체계 자체의 문제가 아니라 번호의 수집 및 관리에서 생겼다. 정부는 신규 주민등록번호 체계 구축이 아니라 국내 환경에 맞는 ‘실체인증 보증 가이드라인’ 수립을 먼저 생각해야 할 때다.

개인정보범죄 정부합동수사단이 그제 한국수력원자력의 원전 도면 등 내부자료 유출 협박 사건을 북한의 소행으로 잠정 결론 내렸다. 사건의 발단이 된 직원들의 이메일 공격에 사용한 악성코드와 북한의 해커 조직이 쓰는 악성코드(킴수키)가 유사하다는 점을 근거로 들었다. IP 주소 12자리 가운데 9자리도 북한 해커들이 활동하는 중국 선양 지역에서 사용하는 숫자와 같다고 밝혔다. 합수단의 중간수사 결과에 따르면, 지난해 12월 중순 ‘원전반대그룹’임을 자칭한 북한의 해커 조직은 한수원의 전·현직 직원과 협력사의 대표 등 수천명에게 악성코드를 심은 이메일을 발송해 PC 디스크 등의 파괴를 시도했다. 이게 실패하자 이전에 해킹 등으로 빼낸 한수원 자료들을 내세워 이달까지 여섯 번에 걸쳐 원전 가동 중단과 함께 100억 달러의 돈을 요구하는 협박성 글을 올렸다. 지난 12일에는 원전 도면 자료를 공개하기도 했다. 이번 사건은 국민의 안전과 직결되는 원전 등 국가 기간시설이 사이버 공격에 항시 노출돼 있음을 일깨웠다. 그나마 다행스러운 것은 해커가 내부 전산망 침입에 성공하지 못했고, 유출된 자료도 교육용 등 일반 문서에 지나지 않는다. 합수단은 “해커 조직이 소기의 성과를 거두지 못하자 입수한 자료를 공개해 사회 혼란을 일으키려 한 것으로 보인다”고 밝혔다. 누누이 말했듯이 사이버 공격의 피해는 아무리 강조해도 지나치지 않다. 북한을 비롯한 불특정 집단과 개인의 사이버 공격은 언제든지 감행될 수 있다. 국가 기간통신망과 시설들이 불특정의 공격으로 뚫려 무너진다면 인근 주민은 물론 국민의 생명을 담보해야 하는 최악의 상황을 맞게 된다. 최근 수년간 농협의 전산망 해킹과 정부·공공기관의 홈페이지 공격으로 인한 혼란을 적지 않게 치렀다. 값비싼 경험에도 불구하고 이번 사건에서 보듯 시설의 보안망과 보안 의식은 허술하다. 이 사건이 단순하게 보아온 이메일에서 촉발됐다는 점은 시사하는 바가 크다. 더 공고한 방어망을 갖추고 직원 보안 교육을 강화해야 한다. 청와대 국가안보특보 자리를 만들어 보안 전문가를 앉힌 것도 이런 준비를 하자는 것이다. 여야의 이해가 엇갈려 방치된 사이버테러방지법 제정도 서둘러 컨트롤타워를 갖춰야 한다. 이번 사건을 계기로 정부는 사이버 공격을 방어할 수 있는 시스템을 제대로 마련해야 한다.

검찰은 지난 3개월간 악성코드 및 인터넷 접속 IP 분석 결과를 근거로 지난해 말 집중된 한국수력원자력 사이버 공격이 북한 소행이라고 잠정 결론을 냈다. 17일 개인정보범죄 정부합동수사단(단장 이정수 부장검사)에 따르면 원전 관련 도면 등 지난해 12월~올해 3월 6차례에 걸쳐 공개된 한수원 자료 상당수가 이메일을 해킹하는 방식으로 유출됐다. 해커는 먼저 지난해 7~9월 이메일로 악성코드를 침투시켜 컴퓨터를 감염시킨 뒤 자료를 빼가는 ‘피싱’ 수법을 사이버 공격의 준비 단계에 활용했다. 한수원 전·현직 관계자들이 주요 표적이 됐다. 해커는 이메일에 담은 미끼성 메시지와 비밀번호 변경창 등을 통해 비밀번호를 확보한 뒤 한수원 관계자들의 이메일 편지함 등에서 자료를 끄집어냈다. 이렇게 얻은 정보로 해커는 지난해 12월 9~12일 한수원 직원 3571명에게 악성코드가 담긴 이메일 5986통을 살포했다. 하지만 이 공격은 실패했다. 합수단은 해커가 인터넷에 공개한 자료는 모두 이전 준비 단계에서 확보했다고 설명했다. 합수단은 연이은 범행이 북한 해커조직의 소행이라고 분석했다. 이메일 공격에 담긴 악성코드가 그간 북한 해커조직이 사용한 것으로 알려진 ‘김수키’(kimsuky) 계열 악성코드와 유사하다는 점을 결정적인 증거로 꼽았다. 김수키는 2013년 러시아 보안회사 카스퍼스키가 북한에서 만들었다고 추정한 악성코드다. 이번 사건에서 발견된 악성코드는 명령어 코드 조각의 모양새와 실행코드가 ‘윈도 메모장’을 통해 삽입되며 동작하는 방식 등이 김수키와 거의 같은 것으로 분석됐다. 합수단은 또 양쪽 악성코드에 한국에서 주로 쓰이는 ‘아래아 한글’ 프로그램을 공격 대상으로 한 최근 버그가 사용됐다는 점도 주목했다. 한국을 타깃으로 했다는 의미다. 합수단은 범행에 이용된 중국 선양 소재 IP 대역이 이전에 북한 해킹조직이 사용한 IP 대역과 9자리(모두 12자리)가 일치한다는 점도 판단 근거로 삼았다. 이 IP 대역은 무선인터넷 중계기를 통해 북한 압록강 주변에서 접속할 수 있다는 게 합수단의 설명이다. 합수단은 특히 해커가 역추적을 막기 위해 국내 인터넷 가상사설망(VPN) 서비스업체에서 할당받은 IP를 사용했는데, 이 중 접속 지역이 북한인 IP 25개, 북한 통신회사(KPTC)에 할당된 IP 5개가 지난해 12월 접속한 흔적을 발견했다고 강조했다. 지난 12일 트위터에 게시된 6번째 협박글도 지난해 말 5차례의 게시글과 같은 계정이 쓰였고, 접속에 사용된 IP는 러시아 블라디보스토크에 있는 것으로 조사됐다. 하지만 북한 소행으로 단정하기엔 역부족이라는 지적도 나온다. 전직 해커인 한 보안 전문가는 “북한 소행이라고 미리 결론지어 놓고 정보를 끼워 맞춘 것 같은 느낌”이라며 “김수키는 누구나 재생산할 수 있어 북한만 쓸 수 있는 게 아니다”라고 지적했다. 한편 북한은 대남 선전용 웹사이트 우리민족끼리를 통해 이 사건을 북한의 소행으로 결론 내린 것을 두고 “무지무능아의 엉터리 판단”이라며 합수단 수사 결과를 부인했다. 김양진 기자 ky0295@seoul.co.kr

지난해 말 원전 자료 유출 등 한국수력원자력(한수원)을 상대로 한 사이버 테러가 북한 소행이라는 수사 결과가 나왔다. 개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 17일 한수원 사이버 테러 사건에 대한 중간수사 결과를 발표하며 “금전보다는 사회적 혼란 야기가 주목적인 북한 해커조직의 소행으로 판단된다”고 밝혔다. 합수단은 북한 해커조직이 사용하는 것으로 알려진 ‘김수키’(kimsuky) 계열 악성코드를 핵심 판단 근거로 삼았다. 해커가 한수원 이메일 공격에 사용한 악성코드의 구성과 동작 방식이 김수키와 매우 유사하다는 것이다. 또 국내 인터넷 가상사설망(VPN) 서비스업체 H사에서 할당받아 범행에 사용한 일부 인터넷프로토콜(IP)에 북한 측 IP 주소 30개가 접속한 흔적도 발견했다고 합수단은 설명했다. 김양진 기자 ky0295@seoul.co.kr

한수원 유출 북한 해커조직 소행 “돈보다 사회 혼란 목적” 한수원 유출 북한 해커조직 소행 수사 당국이 한국 수력원자력의 원전 설계도 등을 공개하며 원전 가동을 중단하라고 협박한 세력이 북한 해커조직이라고 결론을 내렸다. 개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 17일 오후 ‘한수원 사이버테러 사건’의 중간수사 결과를 발표하고 “이 범행은 돈보다 사회적 혼란 야기가 주요 목적인 북한 해커조직의 소행으로 판단된다.”고 밝혔다. 합수단에 따르면 범행에 사용된 악성코드는 북한 해커조직이 사용하는 것으로 알려진 ‘킴수키(kimsuky)’ 계열의 악성코드와 구성 및 동작 방식이 거의 같은 것으로 조사됐다. 또 악성코드에 이용된 프로그램 버그가 킴수키 계열 악성코드에 이용된 버그와 동일하며 킴수키 계열 악성코드들의 IP 일부가 협박글 게시에 사용된 중국 선양 IP 대역과 12자리 중 9자리까지 일치하는 것으로 확인됐다. 합수단은 이들이 자료를 빼내고 이메일 공격, 협박글 게시 등 루트로 도용한 국내 가상사설망(VPN) 업체가 관리하는 다른 접속 IP 중 지난해 12월 북한 IP 주소 25개와 북한 체신성 산하 통신회사 KTPC에 할당된 IP 주소 5개가 접속한 점도 북한 소행의 근거라고 설명했다. 합수단 조사 결과 해커조직은 지난해 9월부터 12월까지 한수원 직원 3571명에게 5986통의 파괴형 악성코드 이메일을 발송해 PC 디스크 등을 파괴하려고 시도했으나 PC 8대만 감염되고 그 중 5대의 하드디스크가 초기화되는 정도에 그치는 등 사실상 실패한 것으로 드러났다. 합수단은 이들이 피싱으로 한수원 관계자들의 이메일 비밀번호를 수집한 후 그 이메일 계정에서 자료를 수집하는 등 범행을 사전에 준비했지만 이메일 공격이 실패함에 따라 해킹 등으로 취득한 한수원 자료 등을 공개하며 협박한 것으로 보고 있다. 이들은 지난해 12월 다섯 차례에 걸쳐 트위터 등에 ‘크리스마스 때까지 원전 가동을 중지하고 100억 달러를 주지 않으면 보유한 (원전) 자료를 공개하겠다’는 취지의 글을 올렸다. 지난 12일에도 트위터에 돈이 필요하다는 글과 함께 한수원의 원전 도면 등을 올렸다. 그러나 한수원이 자체점검한 결과 해커조직이 공개한 자료들은 교육용 등 일반 문서가 대부분이고 원전관리에 위험을 초래하거나 원전수출 등에 영향을 미칠 만한 정보는 없는 것으로 확인됐다. 또 한수원 내부망에서 유출된 것이 아니라 협력업체 등 한수원 관계자 이메일에 보관돼 있던 자료들이 유출된 것으로 파악됐다. 합수단 관계자는 “사이버 수사기법을 총동원해 IP 및 악성코드를 추적하겠다”며 “또 긴밀한 국제공조와 유관기관 협업으로 해킹루트를 발본색원하겠다.”고 말했다. 온라인뉴스부 iseoul@seoul.co.kr

김소라(41·여)씨에게 공공 아이핀(I-PIN)이 해킹으로 뚫렸다는 게 갖는 의미는 생각만큼 크지 않았다. “가입했는지 잘 기억이 안 나는데요.” 평범한 아이 엄마인 김씨는 예전엔 주민등록번호 대량유출 소식을 들을 때마다 불안했다고 했다. 하지만 개인정보 유출이 계속 이어지자 말 그대로 포기해 버렸다. “하루에도 몇번씩 스팸 문자에 광고 전화가 옵니다. 대통령 주민등록번호도 유출되는 나라에서 뭘 더 기대하겠어요.” 김씨는 “그래도 혹시나 하는 마음에” 아이핀을 탈퇴했다. ● 행자부 닷새 만에 “아이핀 폐지 미검토” 10일 행정자치부는 공공 아이핀이 해킹 피해를 당해 75만건이 부정발급된 것에 대해 공식 사과하면서 “근본적인 재발방지 대책을 추진하겠다”고 약속했다. 시민단체에서 꾸준히 제기해 온 아이핀 폐지는 검토하지 않고 있다고 밝혔다. 아이핀의 근본적인 문제점인 주민등록번호제도 개혁에 대해서도 언급하지 않았다. 행자부가 밝힌 “근본적인 대책 추진”에 정작 근본적인 고민은 없었다는 지적이 나온다. 행자부는 이날 “공공 아이핀 부정발급으로 국민에 심려와 걱정을 끼쳐드려 진심으로 사과드린다”고 밝혔다. 정부가 시스템 공격 사실을 발표한 지 닷새 만이다. 김석진 공공서비스정책관은 이와 함께 “공공 아이핀 시스템과 관리·운영 모두에 허점이 있었다”고 시인했다. 그는 “외부 보안전문기관에 의뢰해 사고원인을 분석한 결과를 바탕으로 보안강화 대책을 조속히 수립하겠다”면서 “외부 보안전문업체를 통해 시스템 고도화 방안을 마련할 계획”이라고 밝혔다. 행자부는 일단 시스템 전면 재구축보다는 현재 시스템을 고도화하는 쪽으로 방침을 정했다. 하지만 주민등록번호에 대한 대책이 없는 상태에서는 아이핀 시스템을 고도화하더라도 실효성이 떨어질 것이라는 비판이 나온다. 이번 부정발급 사례처럼 75만건이나 대규모로 발급받는 게 아니라 이미 유출된 주민등록번호를 활용해 몇천 건씩 발급하려 했다면 적발 자체가 불가능했을 것이라는 점은 행자부에서도 인정한다. 주민등록번호에 이어 아이핀까지도 명의도용 수단이 될 수도 있는 셈이다. ●인권위, 무작위 일련번호 등 대안 제시 이미 국가인권위원회에서도 무작위 일련번호나 목적별 고유번호 등을 대안으로 제시한 바 있다. 오병일 진보네트워크 활동가는 “주민등록번호 변경을 원하는 사람과 신생아만이라도 일단 무작위 번호를 활용한 새로운 주민등록번호 체계를 적용하고 불필요한 본인식별을 최소화하자”고 제안했다. 하지만 행자부는 지난해 대규모 개인정보 유출 등으로 여론이 악화되자 주민등록번호 제도의 전면 개편에 나서겠다고 했는데도 지난해 10월 공청회 이후 별다른 움직임을 보이지 않고 있다. 그 사이에 아이핀 탈퇴자는 꾸준히 늘고 있다. 행자부에 따르면 지난 5~6일 이후 아이핀 탈퇴자는 하루 평균 500여명으로 기존의 평균 33명보다 15배 이상 늘었다. 번거로운 절차를 거쳐 가입했던 이용자들이 다시 불편을 감수하고라도 탈퇴한다는 것은 행자부로선 뼈아픈 대목이다. 검색어를 통해 사회흐름을 보여주는 ‘구글 검색어 트렌드’를 보면 아이핀을 검색한 횟수는 해킹사고 발표 전에는 하루 평균 20건이 안됐지만 8일부터 14일 사이에는 100건으로 5배 가량 증가했다. 강국진 기자 betulo@seoul.co.kr

최근 금융감독원 직원을 사칭한 보이스피싱 문자가 잇따라 발견돼 휴대전화 사용자의 각별한 주의가 요망된다. 금감원은 “불법 사금융 신고센터에 접수된 신고 건수가 3일 동안 239건에 이른다”며 “금융 사기에 이용할 목적으로 개인정보 등을 수집하는 것으로 보인다”고 경고했다. 사기범들은 ‘금융감독원 은행전산보안팀 이동수 과장입니다. 해킹 유출 연락드렸으나 부재중으로 연결 안 됩니다’라는 문자와 연결 전화번호가 담긴 메시지를 불특정 다수에게 대량으로 보내고 있다. 금감원 사칭 보이스피싱 전화번호는 070-8074-7598이다. 백민경 기자 white@seoul.co.kr

‘아이핀 탈퇴’ 이틀간 1천명 넘어, 75만건 해킹에 국민들 분노 ‘안전하다더니..’ ‘이틀간 1천명 넘어 아이핀 탈퇴’ 아이핀 시스템 해킹 사건이 발생한 가운데, 해킹 소식이 전해진 직후 이틀간 1천여명이 아이핀에서 탈퇴했다. 8일 행정자치부에 따르면 공공아이핀 시스템 공격 사실이 공개된 지난 5일과 6일 오후 6시까지 탈퇴자는 1천8명으로 집계됐다. 평소 하루 탈퇴 인원이 수십명 수준으로 100명을 넘지 않는 것과 비교하면 해킹 피해 사실이 알려진 5일 오후 탈퇴가 5배 이상 늘었다. 시스템 해킹 소식이 알려진 후 개인정보보호에 대한 우려가 작용했을 가능성이 크다. 다만 같은 기간 아이핀 발급 인원은 1만6천936명으로 평소 하루 발급자(7천명 선)에 견줘 소폭 증가했다. 이는 각종 온라인서비스를 이용할 때 공인인증서나 아이핀 등을 활용한 본인인증이 필수이기 때문인 것으로 보인다. 행자부의 한 관계자는 공공아이핀 탈퇴 급증에 대해 “가입자의 반응을 판단하려면 조금 더 지켜봐야 한다”면서도 “ 다행히 전체 가입자 추이에는 큰 변화가 없는 것으로 보인다”고 전했다. 앞서 지난달 28일 0시부터 2일 오전 9시까지 지역정보개발원에서 관리하는 공공 아이핀 시스템에서 75만2130건이 부정 발급됐다. 공공 아이핀이 부정 발급된 것은 처음이다. 유출된 신상 정보로 1단계(사용자 정보 입력) 절차를 거친 뒤 해킹으로 2단계(인증)를 통과한 것으로 추정된다. 이번 공격으로 민간 아이핀보다 부실한 공공아이핀의 보안 수준이 여실히 드러났다. 행자부와 경찰은 해킹에 사용된 소프트웨어가 중국어로 돼 있고 대규모 공격이 이뤄진 점으로 보아 중국 등 외국 해커의 소행으로 추정하고 있다. 뉴스팀 seoulen@seoul.co.kr

‘아이핀 탈퇴’ 이틀간 1천명 넘어, 국민들 뿔났다? 75만개 부정발급에 결국.. ‘이틀간 1천명 넘어 아이핀 탈퇴’ 아이핀 시스템 해킹 사건이 발생한 가운데, 해킹 소식이 전해진 직후 이틀간 1천여명이 아이핀에서 탈퇴했다. 8일 행정자치부에 따르면 공공아이핀 시스템 공격 사실이 공개된 지난 5일과 6일 오후 6시까지 탈퇴자는 1천8명으로 집계됐다. 평소 하루 탈퇴 인원이 수십명 수준으로 100명을 넘지 않는 것과 비교하면 해킹 피해 사실이 알려진 5일 오후 탈퇴가 5배 이상 늘었다. 시스템 해킹 소식이 알려진 후 개인정보보호에 대한 우려가 작용했을 가능성이 크다. 다만 같은 기간 아이핀 발급 인원은 1만6천936명으로 평소 하루 발급자(7천명 선)에 견줘 소폭 증가했다. 이는 각종 온라인서비스를 이용할 때 공인인증서나 아이핀 등을 활용한 본인인증이 필수이기 때문인 것으로 보인다. 행자부의 한 관계자는 공공아이핀 탈퇴 급증에 대해 “가입자의 반응을 판단하려면 조금 더 지켜봐야 한다”면서도 “ 다행히 전체 가입자 추이에는 큰 변화가 없는 것으로 보인다”고 전했다. 앞서 지난달 28일 0시부터 2일 오전 9시까지 지역정보개발원에서 관리하는 공공 아이핀 시스템에서 75만2130건이 부정 발급됐다. 공공 아이핀이 부정 발급된 것은 처음이다. 유출된 신상 정보로 1단계(사용자 정보 입력) 절차를 거친 뒤 해킹으로 2단계(인증)를 통과한 것으로 추정된다. 이번 공격으로 민간 아이핀보다 부실한 공공아이핀의 보안 수준이 여실히 드러났다. 행자부와 경찰은 해킹에 사용된 소프트웨어가 중국어로 돼 있고 대규모 공격이 이뤄진 점으로 보아 중국 등 외국 해커의 소행으로 추정하고 있다. 뉴스팀 seoulen@seoul.co.kr

8일 행정자치부에 따르면 공공아이핀 시스템 공격 사실이 공개된 지난 5일과 6일 오후 6시까지 탈퇴자는 1천8명으로 집계됐다. 평소 하루 탈퇴 인원이 수십명 수준으로 100명을 넘지 않는 것과 비교하면 해킹 피해 사실이 알려진 5일 오후 탈퇴가 5배 이상 늘었다. 시스템 해킹 소식이 알려진 후 개인정보보호에 대한 우려가 작용했을 가능성이 크다. 앞서 지난달 28일 0시부터 2일 오전 9시까지 지역정보개발원에서 관리하는 공공 아이핀 시스템에서 75만2130건이 부정 발급됐다. 공공 아이핀이 부정 발급된 것은 처음이다. 유출된 신상 정보로 1단계(사용자 정보 입력) 절차를 거친 뒤 해킹으로 2단계(인증)를 통과한 것으로 추정된다. 뉴스팀 seoulen@seoul.co.kr

정부가 관리하는 본인 인증 수단인 공공 아이핀 시스템이 해킹으로 뚫렸다. 아이핀 발급자 430만명의 17%인 75만여명의 개인정보가 털려 부정 발급됐다. 아이핀은 잇단 대규모 해킹으로 주민등록번호가 시중에 떠돌자 주민번호의 대체 수단으로 정부에서 사용을 적극 권장해 왔다. 이번 사고는 기존의 단순한 주민번호 도용이 아니라 정부가 관리하는 시스템의 부실로 발생했다는 점에서 결코 가볍지 않다. 부정 발급한 아이핀이 게임 사이트 3곳에서 이용됐지만 피해가 없었다는 것이 다행이라면 다행이다. 행정자치부와 경찰에 따르면 이번 해킹은 공인인증서로 본인 인증을 거치는 과정에서 인증이 정상적으로 이뤄진 것처럼 시스템이 오인토록 인증 데이터를 위·변조했다. 사실상 인증 절차를 건너뛴 것이다. 아이핀은 인터넷상에서 본인을 확인하는 개인 식별 번호로, 발급 과정에서 이름과 주민번호 등 개인정보를 입력해 확인한다. 주민번호는 저장하지 않는다. 2006년 민간에서 시작해 공공기관의 웹사이트에도 폭넓게 적용하고 있다. 공공 아이핀 해킹 사건을 보면 정부의 한심한 수준을 그대로 알 수 있다. 이번에 이용한 ‘파라미터 위·변조 방식’은 기업에서도 방지 기능을 갖출 수 있는 초보 수준이라고 한다. 그런데도 정부는 시스템을 갖추지 못했고 취약점도 발견하지 못했다. 해킹당한 것을 바로 알리지 않은 것도 심각한 문제다. 행자부는 지난 2일 부정 발급 사실을 알았지만 사흘이 지나서야 공개했다. 피해 예방이 우선이었다고 주장하겠지만 쉬쉬하는 동안 개인정보 유출 당사자들은 이 사실을 까마득히 몰랐다. 만약 해커가 금융 서비스에 접근했더라면 큰 피해를 입을 수 있었다. 아이핀이 대체 수단으로 거론될 때 보안의 취약성은 지적됐었다. 하지만 정부는 아이핀을 수시로 바꿀 수 있어 해킹 직후 신속한 대처가 가능하다는 점에서 차선책으로 권장했다. 예상했던 해킹 우려는 현실이 됐고, 정부의 개인정보 보호 체계의 신뢰도는 땅에 떨어졌다. 해킹은 새로운 유형으로 진화를 거듭한다. 이번 해킹 사건을 계기로 현재 시스템과 방지 감시 체계의 문제점을 바로잡아야 한다. 행자부는 조만간 나올 경찰의 수사 결과를 토대로 시스템 전반을 점검해야 한다. 시스템을 재구축해야 할지, 아니면 암호화 수준 등 보안 관리를 어떻게 촘촘히 할 것인지를 강구해야 한다. 일각에서 폐기를 주장하는 주민번호 인증제를 버릴 수 없다면 시스템 구축과 관리가 더 완벽해져야 한다.

공공 아이핀 부정 발급에 대한 행정자치부의 기본적인 입장은 “프로그램의 취약점을 악용한 것이며, 이로 인한 피해는 거의 없다”는 것으로 요약된다. 반면 그동안 아이핀 정책을 비판해온 전문가들은 “취약한 것은 아이핀 그 자체이며, 개인정보 유출 피해는 이미 예견됐다”고 꼬집는다. 5일 행자부에 따르면 해킹은 ‘파라미터 위·변조’라는 수법으로 공공 아이핀 시스템의 취약점을 공격했다. 공공 아이핀에 가입하려면 공인인증서로 본인인증을 거쳐야 하는데, 본인인증이 정상적으로 이뤄진 것처럼 시스템이 오인하도록 데이터(파라미터값)를 변조해 본인인증을 사실상 건너뛰었다. 행자부에선 “파라미터 위·변조 방지는 민간에는 다 돼 있는 초보적인 부분”이라고 밝혔지만 “왜 초보적인 대비도 없었던 것인가”라는 질문에 대해서는 즉답을 피했다. 행자부는 기존에 유출된 주민등록번호와 이름으로 실명확인을 하는 단계를 거쳤는 지는 아직 확인하지 못했다. 이번 해킹 공격에는 2000개가 넘는 국내 아이피(IP)가 동원됐고 중국어 버전 소프트웨어도 사용됐다. 행자부는 “짧은 시간에 대규모로 이뤄진 것으로 봐서 조직적인 범행으로 본다”면서 “내부 관계자 공모 가능성은 전혀 없다”고 단정했다. 재발 가능성을 묻는 질문에는 “없다고 단정해서 말할 수는 없다”고 밝혔다. 정부는 2012년 헌법재판소가 제한적 본인확인제를 위헌으로 판결하고 주민등록번호가 대량으로 유출되는 사고가 잇따르자 2013년부터 공공 아이핀 사용을 본격 장려했다. 현재까지 약 430만명이 공공 아이핀을 발급받았다. 하지만 이번 해킹사고는 공공 아이핀 역시 주민등록번호처럼 대량유출될 수 있고 도용도 가능하다는 걸 드러냈다. 아이핀을 부정 발급받은 뒤 오프라인용 아이핀인 마이핀(My-PIN)을 발급받는 것도 기술적으론 가능하다. 행자부는 아이핀 해킹 사고의 의미를 축소하기에 급급하다는 비판을 받고 있다. 2일 상황을 인지한 뒤 사흘이 지난 5일 오전 11시50분이 되어서야 언론에 보도자료를 배포했다. 오후 기자간담회에선 책임자끼리 서로 말이 다르거나, 본인 말을 뒤집었다. 가령 처음엔 “본인확인과 공인인증서 단계를 건너뛰었다”고 설명하다가 나중에는 “기존에 유출된 주민등록번호와 실명을 확인해 본인확인을 거쳤다”고 한 뒤, 결국 “본인확인은 거친 것으로 추정한다”고 오락가락했다. 진보네트워크센터는 긴급 논평을 통해 “아이핀은 애초 도입되지 말았어야 했다”고 강조했다. 오병일 활동가는 “해킹 피해를 최소화하려면 정보수집을 최소화해야 하지만 아이핀은 불필요한 본인확인을 강요한다”면서 “주민등록번호가 문제인 것은 만능열쇠이기 때문인데 아이핀도 또다른 만능열쇠로 기능한다면 주민등록번호와 동일한 문제가 발생 할 수밖에 없다”고 말했다. 강국진 기자 betulo@seoul.co.kr

아이핀 해킹 75만건 아이핀 해킹 75만건 “민간은 안 뚫리는데 세금들인 시스템 왜 뚫리냐” 분노 공공아이핀 시스템이 해킹 공격을 받아 75만 건의 공공아이핀이 부정 발급된 것으로 드러나면서 정부가 운영하는 공공아이핀의 허술한 보안 수준이 여실히 드러났다. 5일 행정자치부에 따르면 이번 해킹 공격의 주체는 ‘파라미터 위변조’라는 해킹 수법을 썼다. 아이핀 가입은 ‘개인정보 입력’, ‘본인인증’, ‘발급’의 순서대로 진행되는데 이번 공격의 주체는 본인인증이 정상적으로 이뤄진 것으로 시스템이 오인할 수 있는 데이터(파라미터값)를 발생시켜 본인인증 절차를 회피할 수 있었던 것으로 파악됐다. 개인정보 입력 단계까지 우회했는지, 아니면 이미 다른 경로로 유출된 개인정보를 입수해 이용했는지는 확인되지 않았다. 다만 공공아이핀을 관리하는 한국지역정보개발원은 후자 쪽에 무게를 싣고 있는 것으로 보인다. 공공아이핀 시스템의 프로그램이 파라미터 위변조 수법에 무기력하게 무너진 것과 달리 민간 아이핀은 이를 막아냈다. 이번 공격 사실을 인지한 후 정부가 관련 부처와 함께 민간 아이핀 시스템의 프로그램을 점검한 결과 파라미터 위변조를 인지, 발급이 진행되지 않았다고 행자부는 설명했다. 반면 공공아이핀 시스템은 파라미터 위변조에 대한 초보적인 대책도 갖춰지지 않았다. 지역정보개발원의 한 관계자는 “공공아이핀이 2007년 개발된 후 (그 상태로 시간이 흘러) 취약점을 발견하지 못한 면이 있다”고 말했다. 매년 두 차례씩 실시하는 취약점 점검에서도 이런 결함이 파악되지 않았다. 공공아이핀 소관 부처인 행자부의 한 관계자는 “이번 공격의 빌미가 된 프로그램 취약점은 통상적인 보안취약점 점검에서는 잡아내기 어려운 부분이었다”면서 “공격의 주체가 공공아이핀 프로그램을 정밀하게 연구한 것으로 보인다”고 말했다. 네티즌들은 “정부 시스템이 이렇게 허술한데 뭘 믿고 해야 되나”, “민간은 안 뚫리는데 세금으로 만드는 정부 아이핀이 뚫리는 이유가 뭐지?”, “도대체 제대로 하는 게 뭐냐”, “가입하라고 할 때는 언제고” 등 분노의 목소리를 높이고 있다. 온라인뉴스부 iseoul@seoul.co.kr

’아이핀 해킹’ 정부가 주민번호 대체 수단으로 권장한 공공아이핀이 해킹 당했다. 행정자치부는 지난달 28일부터 2일 오전까지 지역정보개발원이 관리하는 공공아이핀 시스템(사진)이 해킹 공격을 받아 75만건이 부정 발급된 것으로 확인됐다고 5일 밝혔다. 아이핀은 온라인에서 주민번호 등 개인정보가 유출되는 것을 차단하기 위해 2006년 민간부문부터 도입됐다. 2013년까지 발급 실적이 미미했지만 지난해 카드 3사의 개인정보 대량 유출을 계기로 주민번호 무단 수집이 법으로 금지되면서 가입자 수가 급증했다. 정부기관이 운영하는 공공아이핀에 수요가 몰려 최근까지 430만명이 발급을 받았다. 행자부는 “단기간에 급격히 아이핀 발급량이 증가해 경위를 조사한 결과 해킹 및 부정 발급 사실을 확인했다”며 “현재까지 부정 발급된 공공아이핀 75만건 중 17만건이 3개 게임사이트에서 신규 회원가입이나 이용자 계정 수정·변경에 사용된 것으로 파악됐다”고 밝혔다. 게임아이템 탈취 등 실질적인 피해 상황은 지금까지 확인되지 않았다. 이번 공격은 시스템에 침범해 공공아이핀을 만들어내는 방법이 사용됐다. 행자부는 부정 발급된 공공아이핀을 모두 긴급 삭제했다. 게임사이트 운영업체에 통보해 신규 회원은 강제 탈퇴 조치하고, 이용자 계정을 수정한 회원 아이디는 사용을 중지시켰다. 이번 공격에 2000여개 국내 아이피(IP)가 동원됐고, 중국어 버전 소프트웨어가 사용됐다. 행자부는 프로그램을 수정해 해킹 공격을 차단하고, 경찰청에 수사를 요청했다. 아이핀 해킹, 아이핀 해킹, 아이핀 해킹, 아이핀 해킹, 아이핀 해킹, 아이핀 해킹 사진 = 서울신문DB (아이핀 해킹) 뉴스팀 chkim@seoul.co.kr

정부가 주민등록번호 대체수단이라며 사용을 독려해 온 공공아이핀(I-PIN)이 해킹 공격에 무너졌다. 75만건에 이르는 아이핀이 부정 발급됐다. 행정자치부는 지난 2일 사고를 파악한 뒤 사흘이 지난 5일이 되어서야 해킹 사실을 언론에 공개했다. 행자부는 지금도 아이핀 발급을 계속하고 있지만 보안전문가들은 예견됐던 일이 발생한 것이라며 아이핀 정책 자체를 전면 재검토해야 한다고 지적한다. 행자부에 따르면 공공아이핀 시스템이 해킹 공격을 받은 것은 지난달 28일부터 지난 2일 오전까지였다. 주민등록번호 도용에 따른 아이핀 부정 발급은 있었지만 공공아이핀 시스템 자체가 외부 공격에 뚫린 것은 처음이다. 행자부는 지난 주말 급격히 아이핀 발급량이 증가하자 경위를 조사한 결과 해킹 및 부정 발급 사실을 확인했다. 현재까지 부정 발급된 공공아이핀은 약 75만건이다. 이 가운데 12만건은 유명 게임사이트 세 곳에서 신규 회원가입이나 이용자 계정 수정·변경 시도에 사용됐다. 행자부는 부정 발급된 공공아이핀 전부를 긴급 삭제했다. 또 게임사이트 운영업체에 통보해 신규회원은 강제 탈퇴 조치하고, 이용자 계정을 수정한 회원 아이디는 사용을 잠정 중지시켰다. 장한 개인정보보호정책과장은 “게임 아이템 탈취 등 실질적인 피해 사항은 지금까지 보고받은 게 없다”고 말했다. 정부는 아이핀이 주민등록번호를 대체함으로써 개인정보보호에 이바지할 것이라고 홍보해 왔지만 이번 사고를 계기로 신뢰를 잃게 됐다. 오병일 진보네트워크센터 활동가는 “아이핀을 통해 본인 확인을 하겠다는 발상 자체가 2012년 8월 제한적 본인확인제를 위헌이라 규정한 헌법재판소 결정을 부정하는 것”이라고 비판했다. 강국진 기자 betulo@seoul.co.kr

아이핀 해킹 75만건 아이핀 해킹 75만건 “민간은 안 뚫리는데 왜 뚫리나” 분노 여론 공공아이핀 시스템이 해킹 공격을 받아 75만 건의 공공아이핀이 부정 발급된 것으로 드러나면서 정부가 운영하는 공공아이핀의 허술한 보안 수준이 여실히 드러났다. 5일 행정자치부에 따르면 이번 해킹 공격의 주체는 ‘파라미터 위변조’라는 해킹 수법을 썼다. 아이핀 가입은 ‘개인정보 입력’, ‘본인인증’, ‘발급’의 순서대로 진행되는데 이번 공격의 주체는 본인인증이 정상적으로 이뤄진 것으로 시스템이 오인할 수 있는 데이터(파라미터값)를 발생시켜 본인인증 절차를 회피할 수 있었던 것으로 파악됐다. 개인정보 입력 단계까지 우회했는지, 아니면 이미 다른 경로로 유출된 개인정보를 입수해 이용했는지는 확인되지 않았다. 다만 공공아이핀을 관리하는 한국지역정보개발원은 후자 쪽에 무게를 싣고 있는 것으로 보인다. 공공아이핀 시스템의 프로그램이 파라미터 위변조 수법에 무기력하게 무너진 것과 달리 민간 아이핀은 이를 막아냈다. 이번 공격 사실을 인지한 후 정부가 관련 부처와 함께 민간 아이핀 시스템의 프로그램을 점검한 결과 파라미터 위변조를 인지, 발급이 진행되지 않았다고 행자부는 설명했다. 반면 공공아이핀 시스템은 파라미터 위변조에 대한 초보적인 대책도 갖춰지지 않았다. 지역정보개발원의 한 관계자는 “공공아이핀이 2007년 개발된 후 (그 상태로 시간이 흘러) 취약점을 발견하지 못한 면이 있다”고 말했다. 매년 두 차례씩 실시하는 취약점 점검에서도 이런 결함이 파악되지 않았다. 공공아이핀 소관 부처인 행자부의 한 관계자는 “이번 공격의 빌미가 된 프로그램 취약점은 통상적인 보안취약점 점검에서는 잡아내기 어려운 부분이었다”면서 “공격의 주체가 공공아이핀 프로그램을 정밀하게 연구한 것으로 보인다”고 말했다. 네티즌들은 “정부 시스템이 이렇게 허술한데 뭘 믿고 해야 되나”, “민간은 안 뚫리는데 세금으로 만드는 정부 아이핀이 뚫리는 이유가 뭐지?”, “도대체 제대로 하는 게 뭐냐”, “가입하라고 할 때는 언제고” 등 분노의 목소리를 높이고 있다. 온라인뉴스부 iseoul@seoul.co.kr

자신과 사귀었던 상대방의 성적인 사진이나 동영상 등을 본인의 승낙없이 온라인에 게시하는 ‘복수 야동’ 사이트를 운영한 미국 남성이 법의 심판을 받게 됐다. AFP통신에 따르면 미국 캘리포니아주(州) 샌디에이고 법원은 2일(현지시간) 복수 야동 사이트 운영자인 케빈 크리스토퍼 볼라르트(28) 피고에게 공갈 및 개인정보도용 등의 혐의에 대해 유죄 평결을 내렸다. 이 사이트에는 1만 건 이상의 복수 야동 사진 등이 게재돼 있었다. 볼라르트 피고는 공모죄, 개인정보 도용, 공갈, 갈취 등을 통해 수만 달러의 부당이득을 챙기고 있던 것으로 여겨지는 31건에 대해 혐의를 부인했었다. 피고의 선고일은 아직 발표되지 않았지만, 최고 24년의 징역을 받을 수 있다. 복수 야동은 연인과 동거 중 입수한 사진이나 도용이나 해킹을 통해 취득한 성적인 사진이나 동영상을 본인 허락 없이 인터넷에 게시하는 행위를 말한다. 피고는 2012년 12월 복수 야동 사이트를 개설했다. 이 사이트는 사진에 찍힌 대상의 이름을 밝히지 않는 다른 복수 야동 사이트와 달리 피사체의 이름은 물론 주소, 나이, SNS인 페이스북의 프로필 페이지에 관한 링크 등을 게시자가 공개할 수 있도록 했다. 또 그는 또다른 사이트도 개설, 복수 야동 사이트에 실린 사진의 삭제를 원하는 이용자들로부터 건당 최고 350달러(약 38만 5000원)를 받고 삭제해주는 것으로 수만 달러 이상의 부당이득을 챙겼다. 한편 복수 야동이 미국은 물론 일본 등 세계 각국에서 유포하는 사례가 늘어나면서 이를 규제하기 위한 법적 장치가 필요하다는 목소리가 커지고 있다. 이번 사건이 발생한 캘리포니아주는 복수 야동을 불법으로 하는 법안을 지난 2013년 10월부터 발효하고 있다. 사진=현지 방송 캡처 윤태희 기자 th20022@seoul.co.kr

이번 청와대 개편에서 가장 눈에 띄는 것은 임종인 안보특보의 임명일 것이다. 임 특보는 수학과를 졸업하고 그동안 정보보호와 네트워크 보안 분야의 전문가로서 연구와 자문, 교육에 전념했던 대학교수였다. 그런 그가 안보특보에 임명된 것은 단순히 임 교수 개인의 문제가 아니라 이제야 비로소 청와대가 국가 안보의 범위를 제대로 파악한 것으로 이해해야 한다. 안보는 나라가 존재하는 한 반드시 지켜 내야 할 절대 가치다. 굳이 국권을 상실했던 일제 식민지 시절을 들먹이지 않더라도 국가를 잃은 국민은 문화와 역사, 언어마저 빼앗긴 처참한 신세를 면할 수 없다. 이렇게 국권 수호와 직결되는 안보가 정보화의 진전에 따라 전통적 의미의 안보에 사이버 공간에서의 안보가 추가됐다. 그럼에도 오랫동안 우리나라의 안보 컨트롤타워는 전통적 의미의 안보에 얽매여 사이버 안보의 중요성을 간과해 왔다. 그 결과 지난 수년간 우리는 북한의 소행으로 추정되는 다수의 사이버 공격에 노출되면서 적지 않은 피해를 입었다. 2009년의 7·7 디도스 사태 때는 청와대와 백악관을 비롯한 한·미 47개의 홈페이지가 공격을 받아 일부 서비스가 중단됐다. 2011년에는 농협의 금융전산망에 침투해 각종 자료를 삭제하고 시스템을 파괴시켜 금융 업무에 치명적 피해를 입혔다. 2013년에는 언론사와 금융사의 전산망이 해킹돼 시스템이 파괴되고 업무가 마비되는 피해가 발생했다. 이러한 공격이 치밀하게 계획되고 순차적으로 시행되면서 국가 전반의 인프라를 마비시키고 특히 국방통신망에 치명적 타격을 입히면서 동시에 물리적 공격을 감행한다면 어떻게 될 것인가? 오래전 개봉된 영화 ‘다이하드 4’에서는 불과 몇 명 안 되는 조직원을 가진 인물이 뉴욕시 전체를 마비시키고 지하철을 비롯한 기간시설을 순식간에 파괴하는 것을 보여 준다. 이런 일들이 더이상 영화 속 상상의 산물이 아니라 우리가 방심하면 언제든 발생할 수 있는 현실이 됐다. 이석기류의 종북주의자들이 극소수여서 국가 파괴 세력으로 보기 어렵다는 주장은 사이버 공간을 이용한 테러가 한두 사람에 의해서도 얼마든지 국가 전복 수준으로 가능하다는 것을 모르는 무식의 결과다. 이제 사이버 위협은 개인정보 유출의 수준을 넘어 국가 안보와 직결되는 심각한 문제이고, 이에 대한 적절한 대응은 물리적 안보 대응과 동일한 무게로 받아들여져야 한다. 이러한 의미에서 정보보안 전문가가 안보특보에 임명된 것은 분명 환영할 일이지만 이것만으로 사이버 안보가 완성될 것으로 기대할 수는 없다. 더욱 심각한 것은 지난 대통령 선거를 거치면서 사이버 안보의 중심 역할을 해 왔던 국가정보원의 사이버테러 대응 능력이 심각한 제한을 받게 된 사실이다. 북한의 해킹 능력을 비롯한 사이버전 수행 능력은 매우 높은 것으로 평가되고 있고, ‘우리민족끼리’나 ‘내나라’ 등 종북 성향 사이트나 국내 포털에서의 댓글 활동 등 사이버 공간에서의 심리전이 기승을 부리고 있다. 최근 북한의 인터넷 연결에 문제가 발생하면서 종북 성향 발언이나 댓글이 눈에 띄게 줄어들었다는 것을 보면 국경 없는 사이버 공간에서 북한에 의한 심리전이 활발히 전개되고 있다는 것은 의심의 여지가 없다. 국가정보원을 비롯한 국가기관의 선거 개입은 분명 있어서는 안 될 반민주적 행위였기에 그 책임자들은 엄벌에 처하고 다시는 이런 일이 발생하지 않도록 조치를 취해야 한다. 그러나 이를 이유로 국정원의 사이버테러 대응 능력을 치명적으로 약화시키는 우를 범해서는 안 된다. 현재 공공, 민간, 국방 등 분야별로 나뉘어 있는 사이버테러 대응 체제도 차제에 유사시 신속하고 효율적인 통합적 대응이 가능하도록 정비해야 한다. 언급만으로도 마음 아픈 세월호 참사를 통해 우리는 국가 재난 발생 시 컨트롤타워의 부재가 얼마나 심각한 결과를 초래했는지를 뼛속 깊이 경험했다. 유사한 참사가 사이버 공간에서 일어나지 않으리라는 보장은 어디에도 없다. 임 특보의 임명을 계기로 전통적 안보 개념에 정보화 시대의 안보 개념을 융합시켜 사이버 안보 시대의 효율적 대응 체제를 정비해야 한다. 아울러 일반 국민의 정보보호 및 보안 의식을 획기적으로 증진시켜 국민 모두가 사이버 안보에 대한 경각심을 갖도록 해야 할 것이다.