‘인터넷 실명제’(제한적 본인확인제)가 도입 5년 만에 폐지 수순을 밟는다. 개인정보 피해가 큰 인터넷에서의 주민등록번호 수집 및 이용이 전면 금지되고, 방송통신 요금에 대한 부가가치세 면제와 소득공제가 추진된다. 방송통신위원회는 29일 이명박 대통령에게 이 같은 내용의 내년도 업무계획을 보고했다. 방통위는 내년 3대 핵심 과제로 ▲디지털 전환 완료 및 상생·협력의 방송통신 시장 조성 ▲안전한 사이버 환경 구축과 사회적 약자 배려 등을 제시했다. 방통위는 ‘표현의 자유’를 침해한다는 논란이 끊이지 않았던 인터넷 실명제를 전면 재검토하기로 했다. 2007년 7월 악성댓글의 사회적 폐해를 방지하기 위한 명분으로 시행됐지만 5년 사이 인터넷 소통 환경이 변화하면서 사실상 폐지로 가닥을 잡았다. 페이스북, 트위터 등 글로벌 소셜네트워크서비스(SNS) 확산으로 실효성이 떨어지고 인터넷 기술 발전에 역행하는 제도라는 지적이 많아 개선이 불가피하다는 판단이 작용했다. 인터넷상에서 주요 본인 확인 수단이었던 주민번호 수집 행위는 2013년부터 전면 금지된다. 방통위는 내년부터 ‘정보통신망이용촉진 및 정보보호 등에 관한 법률’을 개정, 하루 방문자 1만명 이상 웹사이트의 주민번호 수집을 제한하기로 했다. 2013년에는 전 웹사이트로 확대되며, 2014년부터는 위반시 과태료 부과 등 행정처분이 내려진다. 방통위는 케이블TV와 인터넷TV(IPTV) 등 유료방송 수신료와 시내전화 기본료 등 통신요금에 대해 부가가치세를 면제하고 근로소득자의 연말 소득공제를 추진하기로 했다. 안동환기자 ipsofacto@seoul.co.kr

정부가 김정일 북한 국방위원장의 사망으로 인한 사이버 공격에 대비해 19일 오후 2시를 기해 사이버위기 ‘주의’ 경보를 발령했다. 사이버위기 경보는 관심→주의→경보→심각 등 4단계로 발령된다. 정부는 해킹, 분산서비스거부(디도스·DDoS) 공격 등 인터넷 침해사고를 차단하기 위해 디도스 공격용 악성코드 출현, 웹 변조 ,이상 트래픽 증가 등을 감시하는 24시간 비상관제에 돌입했다. 또 유관기관, 인터넷접속사업자(ISP), 백신업체와 긴밀한 공동대응 체제를 구축하기로 했다. 안동환기자 ipsofacto@seoul.co.kr

한나라당 최구식 의원 비서가 10·26 재·보선 당일 중앙선거관리위원회 홈페이지를 디도스(분산서비스 거부) 공격한 것은 민주주의에 대한 정면도전이자, 파괴행위다. 국민의 주권행사를 침해하려는 목적을 가지고 국가의 중요기관을 공격했다는 점에서 단순히 국민을 우롱한 것과는 성격부터가 다르다. 그동안 자행된 사이버테러와는 비교할 수 없는 일종의 국기문란 사건이다. 마치 자유당 시절의 부정선거를 연상시킨다. 최 의원의 비서 공씨가 범행을 부인하지만 공씨의 사주를 받은 범인들이 혐의를 시인했고, 법원은 이들의 구속영장을 발부했다. 이제 겨우 27살인 국회의원 비서가 이런 짓을 했다니 믿기지 않는다. 엄정한 수사로 사건의 실체와 전모를 낱낱이 밝혀야 한다. 경찰이 본격적으로 수사에 나선 만큼 정치권은 차분하게 수사결과를 지켜봐야 한다. 총선을 앞두고 대형 악재를 만난 한나라당으로서는 당혹스러울 수밖에 없을 것이다. 그렇다고 해서 수사에 영향을 주는 불필요한 언행은 더 큰 화를 부를 수 있음을 명심해야 한다. “당에서 지금까지 조사한 것으로는 (공씨) 단독적인 행위가 아니냐고 생각하고 있다.”는 황우여 원내대표의 말은 경찰 수사에 가이드라인을 제시하는 듯한 발언으로 오해를 살 수 있다. 국민의 정서와는 동떨어진 신중치 못한 언급이라고 본다. 일개 국회의원 비서가 자신에게 무슨 이득이 있다고 이런 위험천만한 짓을 혼자 기획하고 실행에 옮겼겠는가. 이 같은 의문은 그야말로 상식에 속한다. 경찰은 이런 의혹들을 철저하게 수사해 국민이 납득할 수 있는 결과물을 내놓아야 한다. 범행 동기와 목적, 공범은 물론 배후세력 여부까지 한 점 의혹을 남겨서는 안 된다. 모처럼 여야가 한목소리로 엄정한 수사를 촉구하고 있는 만큼 수사 대상 또한 성역이 있어서는 안 된다. 선관위라고 해서 예외가 될 수 없다. 주권행사를 관리하는 선관위의 홈페이지가 이렇게 쉽게 뚫렸다는 사실에 국민의 불안감과 걱정은 클 수밖에 없다. 마음 먹기에 따라 얼마든지 악용될 수 있기 때문이다. 내년엔 총선과 대통령선거가 있는 해이다. 문제가 드러난 선관위 등 국가기관의 전산망을 서둘러 보완해야 할 것이다.

국내의 한 중소기업이 디도스(DDos) 공격을 당한 사실이 뒤늦게 알려졌다. 아동복 쇼핑몰순위정보 사이트 ‘키드’는 최근 금품을 요구하는 협박과 함께 디도스 공격을 당했으나 신속한 대처로 큰 피해 없이 공격을 피했다고 밝혔다. 디도스, 즉 ‘분산서비스거부’ 공격은 최근 들어 대기업을 겨냥(28%)한 것보다 중소기업을 노린 것(40%)이 더 많은 것으로 밝혀지면서 금전을 목적으로 하는 악질적인 행태를 보이고 있다. 이에 대응 방법의 필요성이 대두하고 있다. 키드 측에 따르면 경제적 이득을 위한 디도스 공격 순서는 1차 디도스 공격과 함께 협박 메일 발송, 2차 대화요청, 3차 디도스 공격(11월 4일 12시 40분, 16시 25분 디도스 공격으로 서버 일시적 다운)을 한 뒤 금품 요구를 한다. 해커 측은 맛보기로 공격을 한 것이라며 제대로 공격하면 서버가 완전히 다운돼 사용할 수 없다고 협박한 뒤 대포 계좌에 입금할 것을 종용했다. 그러나 디도스 사태 대처로 해커의 요구에 응하게 되면 2·3차 협박이 이어질 수 있기에 이는 완전한 대처방안이 될 수 없다. 이에 키드의 이린범 대표는 “신속한 서버 이전으로 1시간 정도 사이트 폐쇄 정도의 피해만 감수했다”고 밝혔으며 “금품요구에 응하지 않고 신속하게 방어를 강화할 것”을 소리 높여 말했다. 또한 이대표는 “만약 디도스로 협박을 받는다면 당황하지 말고, 경찰서 사이버범죄수사팀에 신속하게 신고하고 동시에 서버 관리 회사에 연락하여 안전한 서버로 이전하거나 방화벽 강화를 하면 무리 없이 디도스 공격을 피해 갈 수 있다”고 디도스 대처방안을 전했다. 사이버범죄수사팀은 키드에게 전달된 금품 요구 통장은 K 은행 대포통장으로 밝혀냈으며, 아이피 추적결과 근원지는 중국으로 추적돼, 한국어를 유창하게 구사하는 중국에 근거를 둔 사람들의 소행으로 예상했다. 최근 보이스피싱에서 발전한 신종 협박 금품 갈취 수법일 것이라는 소견이다. 이에 한국인터넷진흥원 인터넷침해대응센터 원유재 본부장은 방송통신위원회와 한국 침해사고대응 협의회 공동 주최로 열린 해킹방지 워크숍에서 “인터넷 보안 취약점이나 사고 정보를 공유함으로써 침해사고를 예방하고 선제 대응하기 위해 가칭 ‘정보공유센터’를 상설 조직으로 설립할 필요가 있다”고 제안한 바 있다. 한편 이번 디도스 공격을 효과적으로 대처한 키드는 네이버 쇼핑몰정보 4위, 랭키닷컴 전문가격비교사이트 2위에 오르는 등 방문자가 급증하고 있는 아동복 쇼핑몰 순위사이트로써 현재 정상적으로 운영되고 있다. 여러 아동복사이트를 한곳에 모아 제품별로 쇼핑하기 쉽고 스타일별로 아동복을 볼 수가 있어서 초보 엄마들에게 인기가 높다. 서울신문 나우뉴스부 nownews@seoul.co.kr

김모(30)씨는 지난해 6월 부산 해운대구의 한 호텔 프런트에서 인터넷 온라인게임 ‘리니지’ 채팅창에 접속, 평소 게임상에서 감정이 좋지 않았던 상대 게이머 박모씨에게 “뻐꺼(머리가 벗겨졌다는 속어), 대머리”라고 글을 올렸다가 명예훼손 혐의로 기소됐다. 박씨는 대머리가 아니었다. 불특정 다수가 볼 수 있는 채팅창에 거짓 사실을 알려 상대의 명예를 침해했다는 것이었다. 법원의 1·2심 판단은 엇갈렸다. 1심 재판부는 “피해자를 대머리라고 불렀더라도 신체적 특징을 묘사한 말일 뿐”이라면서 “대머리는 머리카락이 많이 빠진 사람을 뜻하는 표준어일 뿐 단어 자체에 경멸·비하의 뜻이 담겨 있다고 보기 어렵다.”며 무죄를 선고했다. 반면 2심 재판부는 “대머리라는 단어가 통상 일반인이 부정적 의미로 받아들일 여지가 있는 표현”이라며 벌금 30만원을 선고했다. 유죄로 인정한 것이다. 2심 재판부는 “대머리는 가치평가적인 요소도 내포하고 있다.”면서 “방송 등에서 부정적인 이미지로 그려낸 사례가 있고, 현대 의학에서는 이를 질병으로 보는 경우도 있다.”고 밝혔다. 대법원 3부(주심 박병대 대법관)는 3일 대머리가 상대를 비하하는 표현인지에 대한 하급심의 다른 결론과 관련, 1심 판결을 존중했다. 대법원은 벌금형을 선고한 원심을 깨고 무죄 취지로 사건을 수원지법에 돌려보냈다. 재판부는 “사이버 공간상에서 대면 없이 오간 ‘뻐꺼’나 ‘대머리’라는 표현은 피해자에게 모욕을 주기 위해 사용한 것일 수 있지만 객관적으로 그 표현 자체가 상대방의 사회적 가치나 평가를 저하하는 것이라고 볼 수 없다.”고 밝혔다. 또 “인터넷 게시글도 표현의 자유 보호 대상에 포함돼 의사 표현이 지나친 제약을 받지 않도록 해야 한다.”고 덧붙였다. 형사적 제재에 관한 규정은 엄격하게 제한적으로 해석·적용해야 한다는 의미다. 안석기자 ccto@seoul.co.kr

김모(30)씨는 지난해 6월 부산 해운대구의 한 호텔 프런트에서 인터넷 온라인게임 ‘리니지’ 채팅창에 접속, 평소 게임상에서 감정이 좋지 않았던 상대 게이머 박모씨에게 “뻐꺼(머리가 벗겨졌다는 속어), 대머리”라고 글을 올렸다가 명예훼손 혐의로 기소됐다. 박씨는 대머리가 아니었다. 불특정 다수가 볼 수 있는 채팅창에 거짓 사실을 알려 상대의 명예를 침해했다는 것이었다. 법원의 1·2심 판단은 엇갈렸다. 1심 재판부는 “피해자를 대머리라고 불렀더라도 신체적 특징을 묘사한 말일 뿐”이라면서 “대머리는 머리카락이 많이 빠진 사람을 뜻하는 표준어일 뿐 단어 자체에 경멸·비하의 뜻이 담겨 있다고 보기 어렵다.”며 무죄를 선고했다. 반면 2심 재판부는 “대머리라는 단어가 통상 일반인이 부정적 의미로 받아들일 여지가 있는 표현”이라며 벌금 30만원을 선고했다. 유죄로 인정한 것이다. 2심 재판부는 “대머리는 외모에 대한 객관적 묘사이기도 하지만 가치평가적인 요소도 내포하고 있다.”면서 “방송 등에서 부정적인 이미지로 그려낸 사례가 있고, 현대 의학에서는 이를 질병으로 보는 경우도 있다.”고 밝혔다. 대법원 3부(주심 박병대 대법관)는 3일 대머리가 상대를 비하하는 표현인지에 대한 하급심의 다른 결론과 관련, 1심 판결을 존중했다. 대법원은 벌금형을 선고한 원심을 깨고 무죄 취지로 사건을 수원지법에 돌려보냈다. 재판부는 “사이버 공간상에서 대면 없이 오간 ‘뻐꺼’나 ‘대머리’라는 표현은 피해자에게 모욕을 주기 위해 사용한 것일 수 있지만 객관적으로 그 표현 자체가 상대방의 사회적 가치나 평가를 저하하는 것이라고 볼 수 없다.”고 밝혔다. 또 “사이버 공간상에서 이뤄지는 대화나 표현이 건강성을 해치지 않아야 하지만 인터넷 게시글도 표현의 자유 보호 대상에 포함돼 의사 표현이 지나친 제약을 받지 않도록 해야 한다.”고 덧붙였다. 형사적 제재에 관한 규정은 엄격하게 제한적으로 해석·적용해야 한다는 의미다. 안석기자 ccto@seoul.co.kr

#1. ESM(통합보안관리시스템·방화벽, 침입탐지, 가상사설망 등을 한데 모은 통합보안체계) 모니터링이 업무시간에만 실시돼 홈페이지 디도스(DDoS)·바이러스 공격 등 사이버 침해에 대한 신속 대응이 불가능함. 정보보호 관련조직이 비공식 가상조직이고 실제 정보보안 인력은 관리 전담자 1인에 불과. 인력이 부족해 정보보호활동을 제대로 할 수 없음(한국예탁결제원). #2. 통제구역·폐쇄망에서 이동식저장장치(USB), 노트북을 이용. 패스워드 변경을 안 하거나 ‘0000’ 같은 취약한 패스워드 사용. 공동사용하는 계정에 대한 부서장 승인 내역이 전혀 없음(한국증권거래소). #3. 해킹 감시용 침입차단·탐지 시스템에 2004년·2005년산 장비를 사용해 최신 공격에 무방비로 노출. 유추가능한 비밀번호를 가진 사용자 계정·데이터베이스(DB) 계정 다수 존재. 이로 인해 정보매체 보호·유지보수·위험관리 수준이 최고 5단계 중 2단계에 불과. 취약점 분석 결과 66개 지적사항 중 3개월 이상 걸리는 조치가 37개나 됨(금융결제원). 국회 정무위 이성헌 의원(한나라당)이 각 기관으로부터 제출받은 ‘2011년도 주요정보통신 기반시설 보호대책’에 따르면 국내 주요 금융·전산거래 담당기관들의 보안실태는 보안 전문가들이 경악할 수준이었다. 가장 기본적인 수칙조차 가볍게 무시하고 있었다. 정부는 은행·증권거래를 총괄하는 주요 허브기관을 정보공유분석센터(ISAC)로 지정해 정보보안을 특별관리토록 하고 있지만 기본 보안매뉴얼의 ABC도 지켜지지 않고 있었다. 정보보호 전문가들은 “예컨대 금융결제원의 해킹 차단 시스템을 통해 외부 공격이 들어오면 언제든 우리나라 전체 은행 거래가 마비될 수 있다는 뜻”이라고 경고했다. 특히 금융결제원은 2010년 기준 하루 평균 46조원, 1346만여건의 자금결제를 중계하는 컨트롤 타워임을 감안하면 실제로 해킹이 이뤄질 경우 지난 4월에 있었던 농협 전산망 마비 사태를 능가하는 상황이 닥칠 수도 있다. 시중 18개 은행 보안 컨설팅을 10년간 수행해 온 총괄기관이면서 스스로 보안에 가장 취약함을 드러낸 셈이다. 더욱이 문제는 매년 보안 점검 때마다 지적돼 온 이 같은 기본 사항들이 전혀 개선되지 않고 있다는 점이다. 이 의원은 금융기관 등이 전자금융업무, 정보기술부문을 총괄할 정보보호최고책임자(CISO)를 지정, 관리하는 내용의 전자금융거래법 개정안을 발의해 국회에 계류 중이지만 일선 금융기관들의 반발이 만만치 않다. 금융위원회도 정보기술 인력을 총 임직원 수의 5% 이상, 정보보호 인력을 정보기술 인력의 5% 이상 확보토록 전자금융감독규정 개정안을 내놨지만 규제개혁위원회에서 과다규제로 걸려 현재 조정작업 중이다. 이 의원은 “외국 유수 은행들은 정보보호 전담조직만 1000~1500명 수준이나 한국은 은행별로 평균 2~4명이 고작이고 가장 많은 국민은행이 26명”이라면서 “전자금융감독규정 개정안이 통과되면 인력부담이 최소 3~4배 이상 늘어난다는 점 때문에 금융권 반발이 거센 실정”이라고 말했다. 그러면서 “민간 금융기관에 앞서 정보보안 총괄기관들부터 먼저 대대적인 보안 취약점 개선이 이뤄져야 한다.”고 지적했다. 이재연기자 oscal@seoul.co.kr

우리나라 국민의 72%에 해당하는 3500만명의 개인정보가 유출되는 초대형 침해사고가 있었다. 인터넷 포털 사이트 네이트와 소셜네트워크서비스인 싸이월드가 해커의 공격을 받아 가입자의 개인 아이디, 이름, 주민등록번호, 휴대전화번호, 이메일 주소 등의 개인정보가 통째로 유출된 것이다. 경찰은 해커의 침입 경로와 개인정보 유출 경위에 대해 수사에 들어간 상태이며, 방송통신위원회도 사고경위 파악을 위해 보안전문가가 포함된 조사단을 꾸려 조사를 벌이고 있다. SK커뮤니케이션즈 역시 대국민 사과와 함께 고객정보 보호대책을 내놓았다. 보관하는 개인정보를 최소화하고 수집하는 모든 개인정보는 암호화하겠다는 것이다. 개인정보보호법이 제정되어 발효를 앞두고 있는 시점에서 이러한 대형 개인정보 유출사고가 발생한 것이 매우 유감스럽다. 어떤 사람들은 개인정보보호법이 조금만 더 일찍 제정되었더라면 최악의 침해사고는 막을 수 있었을 것이라고 아쉬움을 토로한다. 하지만 좀 더 세밀히 속을 들여다보면 설사 개인정보보호법이 발효 중이었다 할지라도 지금과 크게 달라질 게 없다는 것을 알 수 있다. 개인정보보호법 제6조는 ‘개인정보 보호에 관하여는 정보통신망법, 신용정보보호법 등 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다.’라고 규정하고 있기 때문에 SK커뮤니케이션즈와 같은 ‘정보통신서비스 제공자’는 개인정보보호법이 아닌 정보통신망법을 우선 적용받는다. 실제로 정보통신망법은 분쟁조정, 침해신고센터 관련 규정 이외에는 개인정보보호법 제정에도 불구하고 개인정보보호 관련 조문을 유지하고 있다. 상황이 이렇다 보니 정보통신망을 통하여 전자적으로 처리되는 정보는 정보통신망법이 적용되고, 수기정보 등 전자적으로 처리되지 않는 정보와 비록 전자적으로 처리되더라도 이용자가 없는 정보(정보통신망법은 이용자가 있는 경우에만 적용되므로)는 개인정보보호법이 적용되는, 도무지 이해되지 않는 법체계가 만들어진 것이다. 이번 일은 개인정보 유출사고이면서 해킹이라는 정보보안사건이다. 사이버 공격으로 인한 정보보안사건이 터질 때마다 등장하는 단골 메뉴가 정부의 정보보안 추진체계, 즉 ‘컨트롤 타워’ 부재에 대한 지적이다. 방송통신위원회, 행정안전부, 국가정보원, 경찰청 등에 산재해 있는 정보보안 추진체계를 종합·조정하는 컨트롤 타워 역할을 어느 기관이 수행할 것인지에 대한 문제가 정리되지 않아 정보보안 침해사고에 효과적으로 대응하지 못하는 구조적 문제가 있다는 것이다. 이를 반면교사로 삼아 개인정보보호만큼은 조직화된 추진체계를 통하여 효과적인 대응전략을 수립·집행할 수 있도록 하여야 할 것이다. 그러기 위해서는 새롭게 출범할 예정인 개인정보보호위원회가 위상을 분명히 정립하여야 하며, 행정안전부와 방송통신위원회의 대승적 협력과 양보가 절실히 필요하다. 여러 부처에 산재해 있는 국가정보화정책을 종합·조정하기 위해 출범한 국가정보화전략위원회가 당초 설립 취지를 전혀 살리지 못한 채 유명무실한 위원회로 전락해 버린 까닭도 국가정보화전략위원회 자체가 그 위상을 분명히 정립하지 못한 데다가 각 부처가 대승적 결단을 내리기보다는 부처이기주의에 함몰되어 자기 것 지키기에 급급했기 때문이다. 지금의 상황은 개인정보보호 추진체계도 정보보안이나 국가정보화정책처럼 추진체계의 혼선을 초래할 가능성이 매우 크다. 개인정보보호법의 제정 취지는 개인정보처리자(사업자)들을 규제하고 괴롭히려는 것이 아니다. 개인정보를 안전하게 활용할 수 있도록 지원하고 도와줌으로써 사업자와 정보주체 모두를 개인정보의 침해로부터 안전하게 보호하려는 것이다. 따라서 개인정보보호 추진체계도 규제보다는 진흥과 지원을 정책의 우선순위로 할 수 있도록 설계되어야 할 것이다. 많은 사람들의 기대와 우려 속에서 탄생한 개인정보보호법이 원래의 입법취지에 맞게 잘 정착될 수 있도록 관계 부처는 물론이고 우리 모두 지혜를 모아야 할 때이다.

교통시스템이 마비돼 순식간에 도심 사거리가 주차장으로 변하고 교통사고가 이어진다. 금융·통신·전기·가스·수도·원자력 등 기간시설 시스템 전체가 순차적으로 마비된 후 통제불능의 상태에서 누군가의 의도에 따라 폭주한다. 지난 2007년 개봉한 헐리우드 영화 ‘다이하드 4.0’에서 테러리스트인 토마스 가브리엘은 컴퓨터만으로 역대 그 어떤 무기보다 더 강력한 미국의 위협이 된다. 사이버보안 전문가 8인을 대상으로 영화 속 상황이 오늘날 대한민국에서 재연될 가능성에 대해 물었다. 7명이 ‘충분히 가능한 시나리오이며 실재적인 위협’이라는 대답을 내놓았다. 우선적인 공격타깃으로는 전력망을 꼽는 사람이 많았고, 대비책으로는 내부자 의식 강화가 중점적으로 지목됐다. 이들이 말하는 문제점과 해결책을 일문일답으로 정리했다. 　●1.국가기간시설 장악 가능한가?/2.어느 기간망이 우선적인 공격대상이 되는가?/3.정부와 군은 안전한가?/4.사이버전 피해 최악 시나리오는?/5.사이버망 강화 방안은? 　 　▲원동호 성균관대 정보통신학과 교수 　1.충분히 가능한 시나리오다. 2.전력망이 가장 우선적인 목표가 될 것이다. 피해가 막대한 반면 발전소 침입 자체가 어렵지 않다. 3.집중적인 타깃이 되는 만큼 안전하지 않다. 4.전력망과 교통시설이 마비되면 피해가 기하급수적으로 늘어날 수 있다. 5.안전하다고 생각하고 시스템을 만드는 것이 문제다. 이중삼중으로 만들면 이용하는 사람들이 불편하다고 생각한다. 　 　▲이종락 서울호서전문학교 사이버해킹보안과 교수  　1.스카다 시스템 진입만으로도 영화 속 일이 현실화될 수 있다. 2.발전소가 우선적인 타깃이 될 것이다. 컴퓨터로 원격조종을 하는 모든 것들이 목표가 될 것이다. 3.국가망은 물리적으로 내부망과 외부망을 분리하도록 돼 있지만 지켜지지 않는 경우가 많다. 하위기관으로 갈수록 어떤 부분이 밖으로 노출되는지 알기 힘들다. 반면 국방부는 관리체계 자체가 외부로 알려지지 않아 비교적 안전하다. 4.대형 댐의 수문을 열면 서울이 물바다되는 일도 가능하다. 5.스카다 시스템을 개별적으로 운영하는 것이 바람직하다. 백업을 철저히해 만약의 사태에 대비하고, 시스템 관리자들의 처우개선을 통해 보안의식을 강화하는 것이 바람직하다. 　 　▲임종인 고려대 정보보호대학원 교수 　1.지난해 이란 핵시설 사건에서 보듯이 가능성이 충분하다. 2.스카다 시스템과 지멘스 소프트웨어를 사용하는 모든 시설이 동일하게 타깃이 될 수 있다. 3.국가망과 기간시설의 보안장치가 더 위험하다. 고인물이 썩는다고 폐쇄망으로 운영될 뿐 아니라 점검도 자체적으로 진행해 외부침입에 대한 대비책이 부족하다. 4.공항과 원전이 위험하다. 곧바로 대형참사로 이어진다. 5.해킹에 대응할 컨트롤타워가 필요하다. 국정원과 청와대가 정부공조를 중심으로 한 대응책을 마련하는 것이 좋다. 　 　▲정완 사이버범죄연구회장(경희대 법학전문대학원 교수) 　1.인터넷 대란을 비롯해 모든 것이 가능하다. 2.인터넷 마비가 우선적으로 이뤄질 것이다. 개별 조직들의 연결고리를 모두 끊으면 혼란을 유발하기에 가장 용이하다. 3.정부망 역시 외부와 어떤 형태로든 연결돼 있는 만큼 위험하다. 4.기간전산망, 금융, 국방, 통신망이 마비되면 아무것도 할 수가 없다. 5.해킹범죄에 대한 통합 대응기관이 필요하고, 전문가들의 데이터베이스도 마련해야 한다. 중국 등 정부규제가 약한 나라에 대한 스크린도 강화해야 한다. 　 　▲나중찬 한국전자통신연구원(ETRI) 보안관제기술연구팀장 　1.충분히 가능하다. 2.전력이 우선적이다. 전력망이 마비되면 인터넷은 물론 생활 자체가 불가능하다. 3.정부망 설계가 아무리 탄탄해도 개별 부처들과 산하기관이 그 만큼 수준을 갖추지 못하면 어느 곳에서건 구멍이 뚫릴 수 있다. 군도 마찬가지다. 4.어떤 기간시설이든 1시간만 중단되면 도시와 국가 전체가 마비된다는 연구결과가 있다. 5.내부 경계를 강화해야 한다. 대문을 단단하게 해도 창문을 열어두면 문제가 생긴다. 　 　▲원유재 한국인터넷진흥원 인터넷침해예방단장 　1.가능하다. 해킹에 제약은 없다. 2.인터넷이 타깃이다. 여러사람들이 사용하기 때문에 침입 자체가 쉽다. 3.정부망은 동작환경이 민간과 다른 경우가 많아 뚫기 어렵다. 그러나 특정 소프트웨어를 노린 새로운 악성 코드를 만들어낸다면 위험해진다. 4.인터넷이 마비되는 순간 상상하는 어떤 시나리오도 가능하다. 5.스카다 시스템 네트워크를 개별적으로 관리해야 한다. 수자원공사의 댐관리와 화력발전소, 원전 등은 개별적으로 관리해야 만약의 사태에 피해를 최소화할 수 있다. 　 　▲이정현 숭실대 컴퓨터학과 교수 　1.가능하다. 2.다양한 사용자가 있는 이메일이나 USB 등을 통해 원격조종이 가능한 코드를 최대한 많은 곳에 심어두는 것이 첫 단계가 될 것이다. 3.마이크로소프트의 윈도를 사용하는 정부망과 기간시설은 어느 곳이든 타깃이 될 수 있고 뚫릴 수 있다. 4.이동통신망과 금융서비스가 마비되면 사회적 혼란이 야기돼 통제불능의 상태가 될 것이다. 5.내부자의 인식전환이 중요하다. 무심코 한 행위가 시스템 자체를 마비시킬 수 있다는 의식을 심어야 한다. 　 　▲서의성 울산과기대 전기전자컴퓨터공학부 교수 　1.불가능하다. 실제 해킹과 사이버테러의 효과가 전국가적으로 확산되기는 쉽지 않다. 2.디도스처럼 인터넷 사용을 막는 방안이 가장 현실적이다. 3.정부망과 군 모두 내부자가 공모한다면 시스템을 통째로 날릴 수 있다. 4.민간기관모두 국가와 기간산업에서 데이터와 백업데이터가 모두 삭제된다면 걷잡을 수 없는 상황이 발생할 수 있다. 5.국내외 모니터링을 강화하고 내부자들의 잘 관리해야 한다. 박건형·맹수열기자 kitsch@seoul.co.kr

올 하반기부터 프랑스 인터폴에서 국립과학수사연구원 직원이 최초로 직무훈련을 받는 등 특수 과학기술·연구분야 공무원의 국외훈련이 확대된다. 국민생활과 직결되고 국가적으로 이슈가 된 분야의 공무원 전문성을 제고하기 위해서다. ●IT 등 28개 분야 전문인력 양성 7일 행정안전부에 따르면 가축전염병 방역과 기상이변 대응 및 재난관리, 전산보안 등 IT 연구, 과학수사 등 28개 분야에서 올해 하반기부터 해외 직무훈련이 실시된다. 이를 위해 농림수산식품부, 국토해양부 등 16개 부처 공무원 60여명이 미국, 네덜란드 등 11개국에 파견될 예정이다. 행안부 관계자는 “기존 과학 분야 국외훈련은 소속 기관 중심으로 이뤄졌는데 단기 코스로 훈련성과를 기대하기는 어려웠다.”면서 “부처별 수요조사를 토대로 3개월에서 최대 6개월까지 체계적으로 지원해 줄 방침”이라고 밝혔다. 이에 따라 농촌진흥청 국립축산과학원 소속 4명은 구제역 등 국가재난형 가축전염병 사태에 대응하기 위해 네덜란드 와게닝헨대학 연구센터에 파견된다. 가축 매몰 시 안전한 처리 방법, 환경오염 저감법 등을 연구하게 된다. 농진청 관계자는 “현재 매몰지 사후관리가 침출수, 악취 등 외부상태 점검 위주로 이뤄져 지하로의 침출수 확산을 확인하기 어렵다.”면서 “지하수 오염 차단 기술, 한국에 적합한 매몰지 관리법을 벤치마킹하고 선진국 사례와 비교 연구를 할 예정”이라고 설명했다. ●국과원 개원 첫 인터폴 실무교육 국과원은 개원 후 최초로 인터폴에서 직무훈련을 실시할 예정이다. 국과원 관계자는 “5개월 정도 단기 개인훈련으로 프랑스 인터폴 사무총국과 구체적인 일정을 조율 중”이라고 전했다. 우리나라는 지난해 8월 인터폴 ‘DNA 게이트웨이’에 가입해 DNA 정보를 사용한 국제공조 수사체계를 구축하고 있다. 훈련 참가자는 DNA를 이용한 사망·실종자 신원 확인은 물론 감식절차 표준화 등 국제협력체계 마련에 참여하는 한편 DNA 데이터베이스가 구축된 54개국 법과학연구소와 협력 방안을 모색하게 된다. 이 밖에 국토해양부는 한반도에서의 대규모 지진 가능성에 대비해 미 해양대기청(NOAA)의 태평양 지진해일예측센터에서 지진해일 감시 업무에 실제로 참여한다. 행안부는 미국 카네기멜론대학 연구센터인 SRI에서 ‘사이버 침해 유형 및 대응기술에 관한 연구’ 훈련을 실시한다. 최근 디도스(DDos), 스턱스넛 등 다양한 사이버공격에 대비한 정보보호 전문인력을 양성하기 위해서다. ●글로벌 교류 협력 확대도 기대 특히 행안부는 최근 외유성 국외훈련에 대한 비판이 높아진 점을 감안해 실무 위주로 교육을 할 방침이다. 또 전문인력 양성을 돕기 위해 동일 기관에 공무원 2~3명을 교대로 파견하는 릴레이방식 훈련도 도입하는 등 중점 지원할 계획이다. 김홍갑 행안부 인사실장은 “그동안 각 부처에서 산발적으로 이뤄졌던 특수 과학기술·연구 분야 국외훈련을 앞으로 행안부가 체계적으로 상시 운영할 예정”이라면서 “관련 분야 발전과 글로벌 교류 협력이 확대될 것으로 기대한다.”고 밝혔다. 이재연기자 oscal@seoul.co.kr

오는 10일로 국가정보원이 창설 50주년을 맞는다. 국정원은 5·16 직후인 1961년 6월 10일 박정희 전 대통령의 지시에 따라 창설된 중앙정보부가 전신이다. 이후 국가안전기획부(1981~1998년)를 거쳐 1999년부터는 국가정보원으로 탈바꿈했다. 국정원의 지난 50년 공과(功過)를 평가하고 국정원이 대한민국 제1의 정보기관으로 거듭나기 위한 방안을 염돈재 성균관대 국가전략대학원장(전 국정원 제1차장)과 제성호 중앙대 법학대학원 교수에게 들어봤다. 좌담은 지난 3일 본사 회의실에서 이뤄졌다. →국정원 50년의 공과를 짚어본다면. -제성호 교수 1961년 당시만 해도 1인당 국민소득(GNP)이 남한 80달러, 북한 160달러였다. 대한민국 발전과 번영의 배후에는 정부기관의 숨은 노력이 있었다고 생각한다. 2000년대에는 산업 기밀 유출 방지, 대형 행사 시 대테러 대책 등으로 대외 신뢰도를 높인 공도 있다. 그러나 이면에는 공안사건 처리 과정에서 고문이나 인권 침해, 정치 사찰, 불법 도·감청을 자행한 과도 있다. 국가안보기관으로서 대한민국 안보정보를 수집해야 하는데 정권 안보기관으로 전락했다는 비판도 있었다. 잘못된 부분은 과감히 청산하고 반성해 선진 정보기관으로 도약하는 계기로 삼아야 한다. ●인권 침해 등 잘못된 부분 청산·반성을 -염돈재 대학원장 안보기관으로서뿐만이 아니라 1970년대부터 해외 진출, 경제 발전에도 큰 기여를 했다. 제3공화국 때부터 국정원이 주관이 된 관계 기관 대책회의는 일사불란한 국정 운영의 뒷받침이 됐다. 국정 혼란이라는 말은 김영삼 정부 이후 생긴 말이다. →정권 교체에 따라 부침도 심했다. 정권에 흔들리지 않기 위한 방안은 없나. -제 교수 탈정치, 탈권력화를 통해 국정원의 정치적 중립성을 확보하는 것이 중요하다. 그러려면 국정원 직원들의 전문성을 보장하고 국정원장 임기제를 통해 신분을 보장해줘야 한다. 정권이 바뀔 때마다 많은 인력이 교체되면 그동안 쌓은 노하우와 인프라 등에 대한 국가 차원의 손실이 매우 크다. 정보원들은 애국심, 충성심과 함께 전문성도 제고돼야 한다. -염 대학원장 가장 중요한 것은 대통령의 의지다. 최고 통치자의 의지가 있다면 문제가 쉽게 해결될 수 있다. 원장들의 잦은 교체도 문제다. 지난 20년간 평균 재임 기간은 1년 5개월이다. 최소한 3년은 근무하도록 전적으로 임기를 보장해주는 게 좋다. 국정원 직원들이 자기 신상을 위해 정치권에 기웃거려서도 안 되지만, 정치권 역시 국정원을 이용해서는 안 된다. →국정원이 제1의 정보기관으로서 임무를 수행하려면. ●국가 중요 사안에 대해서는 감청도 필요 -제 교수 법과 제도적 기반을 강화하는 데 인색해서는 안 된다. 법에 따라 업무 영역과 권한을 주고, 잘못했을 경우 책임도 묻는 관계가 형성돼야 한다. 국정원이 일을 하고 싶어도 국정원 직원법 외에는 법제적 뒷받침이 많이 취약한 상황이다. 테러방지법은 11년째 국회 통과가 안 되고 있다. 국가 중요 사안에 대해서는 감청도 필요하다. 인권과 국가안보 문제를 적절히 제한하고 용인하는 풍토로 가야 한다. 통신비밀보호법에 따르면 국정원장은 정부 유관 기관에 대해서만 기술 지원을 할 수 있다. 그러나 이번 농협 해킹 사태에서 보듯이 북한은 정부기관이나 금융기관을 가리지 않는다. 법제적 관점에서 관련 법을 재검토하고 개정할 건 과감하게 해야 한다. -염 대학원장 우리나라 통신비밀보호법은 세계에서 가장 강력한 규정이다. 미국보다 강력하다. 안보 현실은 다른 나라보다 엄혹한데, 절대적으로 강하게 돼 있다. 테러방지법은 2001년 이후 아직도 계류 중이다. 두 법률의 강화와 개정은 심각한 문제다. →최근 북한이 폭로한 남북 비밀 접촉에 대해 말들이 많다. 여기에 반드시 국정원이 끼어야 하나. -제 교수 냉전시대에는 적대적 관계를 풀려면 고도의 기민성이 필요했고, 앞으로도 정보기관의 역할은 필요하다. 지난 두 정부를 거치면서 정보기관이 대북 정보를 수집하기보다는 남북대화에만 많이 치중한 면이 있다. 현 정부 들어 대공수사기능을 복원한 것 같기는 하지만 정권 교체에 관계없이 국정원은 제자리를 지켜야 한다. -염 대학원장 북한이 대화, 협상의 대상임은 확실하다. 대화의 진정성을 보이는지 타진하는 것은 당연하다. 오히려 북한에서 국정원이 안 끼고선 대화를 안 하려는 측면이 있다. 북한도 국정원 직원이 오는지 회담 때 반드시 묻는다. 30년간 남북대화의 경험에 비춰 봤을 때 그렇다. →국정원은 여전히 비밀스러운 존재이고 베일에 가려져 있는 존재다. 국민들로부터 신뢰를 얻을 수 있는 방안은. -제 교수 일반적으로 정보기관 직원 하면 선글라스 끼고 음침한 데서 뒷조사나 한다는 부정적 인식이 있다. 북한뿐만이 아니라 이제는 산업 보안, 사이버 안보, 환경, 에너지 안보 등 안보 위협 요인이 다양하다. 국정원이 이런 정보를 일부 기관하고만 공유하고 버릴 게 아니라 필요한 기업이나 다양한 주체에 정보를 서비스한다는 생각을 가져야 한다. ●산업정보 등 필요한 주체에 제 공을 -염 대학원장 대국민 정보 서비스가 정보기관의 핵심 역할은 아니라고 본다. 핵심은 비밀에 둘러싸여 있다. 신뢰를 얻으려면 투명성이 높아야 하는데, 성공하면 할수록 가려야 하는 역설이 있다. 실패한 스파이는 화려하고, 성공한 스파이는 따분하다는 말이 있다. 정보기관의 활동은 산소와 같아서 하는지 안 하는지 베일 속에 가려져 있는 것이 가장 좋다. →현재 국정원의 역할을 평가한다면 몇 점을 줄 수 있을까. -제 교수 70년대에는 70점. 지금은 90점. -염 대학원장 정보기관이 하는 일을 점수로 매길 수 있을 만큼 다 공개된다면 이미 망한 정보기관이다. 외국 정보기관들과 비교해 보면 우리가 세계 10위권 안에는 충분히 든다고 생각한다. 북한은 인류 역사상 가장 정보 접근이 어려운 국가다. →그간 국정원은 대북 정보 수집에 치중해 왔으나 시대 변화에 따라 변화의 필요성도 제기된다. 앞으로 국정원의 정보 목표 1순위는 어디에 두어야 할까. -제 교수 북한 정보는 여전히 중요하다. 이제 재래식 전략으로는 북한과의 대결이 끝났고 남북 간에 해킹, 전파 교란 등 새로운 안보 위협이 발생하고 있다. 이에 대처할 사이버 안보 기능을 강화하고 대테러, 마약과 국제 조직, 환경 안보에도 관심을 가져야 한다. 영상, 위성 등 과학기술 정보 영역에 대해서도 전문성을 확대해야 한다. 백화점식이라는 비난도 있지만 선택과 집중 전략을 취해야 한다. -염 대학원장 정보기관의 역할은 넓게는 국가 이익의 신장, 좁게는 안보다. 안보는 핵심 가치가 외부의 위협을 받지 않는 안전한 상태를 말한다. 그렇게 봤을 때 산업스파이나 해적은 하루 방심한다고 해서 국가 존망의 위기를 가져올 수 있는 문제는 아니다. 선택과 집중을 한다면 우선 북한이고, 사이버 테러 등 신안보 위협, 그리고 나머지를 선택해야 한다. 주 목표는 역시 북한이 돼야 한다. 정보의 분석과 심리전, 비밀 공작, 정보 공작 분야의 힘을 키워야 한다. →국정원이 지향해야 할 선진국형 정보기관이란. -제 교수 국정원의 역할은 정보를 수집, 분석, 공작하는 것이다. 망원을 활용해 정보 수집을 잘하고 분석을 잘하고, 필요할 때는 국가 이익 차원에서 공작도 잘하면 된다. 국민, 국회와의 관계도 법 제도 완비를 통해 제대로 형성해야 한다. 국정원은 어떤 사건이 발생해도 확인 불가, 설명 불가, 변명 불가의 입장을 취해야 하는데, 언론에 정보가 공개됨으로써 인프라가 노출되고 폭로되는 현상도 생긴다. 정보 문화와 함께 안보 의식도 선진화돼야 한다. -염 대학원장 선진적이라는 매우 모호한 기준으로 정보기관을 규정하기는 어렵지만, 일을 잘하되 민주적 가치를 제대로 존중할 때 선진화라고 할 수 있을 것이다. 우리나라는 이스라엘 다음으로 가장 엄혹한 안보 환경에 놓여 있다. 다른 나라에 비해 대한민국은 선진형 정보기관이라고 생각한다. →정부나 국민들에게 하고 싶은 말이 있다면. -염 대학원장 간혹 정보기관이 실패를 하더라도 관대하게 봐줬으면 좋겠다. 목숨 내놓기를 두려워하지 않는 사람들이다. 국민과 언론의 따뜻한 이해와 격려가 중요하다. ●정보원들 잘할 때는 격려도 해줘야 -제 교수 음지에서 묵묵히 일하는 정보원들은 사기를 먹고 자란다. 잘할 때는 격려도 필요하다. 실패에 대해 질책만 하면 선진국형 정보기관으로 가기 어렵다. 또 정보 자산 확보에는 한·미 동맹이 매우 중요하다. 하루 5억 개의 통신 정보를 공유하는 미국과 동맹을 통해 간접적으로 정보를 받고 있다. 필요할 때는 비판도 하고 대등한 관계를 유지해야겠지만 한·미 동맹은 귀중한 자산이라는 점을 인식할 필요가 있다. 사회 김규환 정치부 부국장급 정리 윤설영기자 snow0@seoul.co.kr 사진 손형준기자 boltagoo@seoul.co.kr

육군사관학교 동문을 가장한 북한의 해킹 이메일이 일선 부대 장교들에게 확산되고 있는 것으로 확인돼 군 당국이 대책마련에 나섰다. 군 관계자는 30일 “육사 동기를 가장한 해킹 이메일이 확산돼 국군사이버사령부가 지난 27일 일선 장교들에게 긴급 경고문을 하달했다.”면서 “메일 발신지를 추적한 결과 북한 해커가 해킹을 시도한 것으로 추정된다.”고 밝혔다. 군에 따르면 해킹 이메일의 발신 계정은 ‘1co3p@hanmail.net’ ‘hoyon1241@hanmail.net’ ‘fmcph@hanmail.net’ ‘yeobdu@hanmail.net’ 등으로 일부는 첨부파일을 열 경우, 다른 일부는 메일 제목을 클릭할 경우 각각 악성코드에 감염되는 것으로 전해졌다. 군은 현재까지 60여명의 육사 출신 장교에게 해킹 이메일이 전송된 것으로 파악됐지만, 군 내부망에서는 한메일 계정에 접속할 수 없어 자료가 유출되진 않았을 것으로 보고 있다. 현재 군은 “특정 발신 계정으로 보낸 이메일은 열어 보지 말고 해당 부대의 인터넷침해사고대응팀(CERT)에 신고하라.”고 일선부대에 당부하고 있다. 오이석기자 hot@seoul.co.kr

최근 유명 아나운서가 ‘악성 댓글(악플) 퍼나르기’에 시달려 자살을 택하는 등 소셜네트워크서비스(SNS)의 부작용과 폐해가 갈수록 심화되고 있다. 주무기관인 한국인터넷진흥원 측조차 “SNS와 인터넷은 인간의 손을 이미 떠났다.”고 말할 정도다. ‘SNS와 온라인의 바다’에서 떠돌아다니는 미확인 루머와 악플을 현재의 제도나 법규정으로 규제하기란 현실적으로 불가능하다는 것이다. 그럼에도 사회 각 부문에서 이를 막을 실효성 있는 대책과 교육 프로그램은 사실상 없는 실정이어서 문제의 심각성을 더하고 있다. 27일 인터넷진흥원에 따르면 현재 국내 인터넷 이용자 수는 3700만명으로 집계됐다. 이는 우리나라 전체 인구의 77.8%에 이르는 수치다. 특히 10~30대의 이용률은 99.9%에 육박한다. 이처럼 인터넷은 국민 대부분의 삶 속에 깊숙하게 침투해 있다. 비록 인터넷이라는 사이버 공간이 실체는 없지만, 그 영향력과 파급력은 무시할 수 없는 파괴력을 지닌다. 유명인에 대한 루머나 사생활 정보가 트위터나 페이스북, 카카오톡 등 SNS나 인터넷을 타고 한번 소문나면 삽시간에 전국에 퍼지게 된다. 인터넷진흥원 관계자는 “물론 모든 인터넷 사용자가 악플을 남기는 것은 아니지만, 전 국민의 80%가 마음만 먹으면 언제든지 손쉽게 악플을 달 수 있는 인터넷 환경에서 살고 있다는 점을 간과할 수 없다.”고 지적했다. 그러나 SNS를 타고 확산되는 루머와 인터넷 악플에 대한 위법 여부 기준과 처벌 규정은 모호한 실정이다. 최근 잇따른 유명인들의 자살로 악플은 ‘실체 없는 살인자’로 지적받고 있지만, 현재의 법규정으로는 강력하게 처벌할 근거가 마땅치 않다는 것이다. 현행 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’에 따르면 SNS와 인터넷에서 특정 이용자로부터 정보의 게재나 유통으로 사생활 침해 또는 명예훼손 등 권리를 침해당한 경우 민·형사상의 소를 제기할 수 있다. 그러나 피해 사실에 대한 정확한 근거를 들어 소명하기란 쉽지 않다. 이 같은 무분별한 인터넷 환경을 정화하기 위한 정부, 기업, 시민단체의 노력은 계속되고 있다. 그러나 SNS와 인터넷을 제어하기는 역부족이다. ‘선플’(격려 댓글) 달기 운동으로 악플을 없애는 노력도 펼쳐졌지만 실효성을 거두지 못했다. 댓글 작성시 본인확인 등을 통해 무책임한 악플에 책임성을 부여하는 장치도 마련됐으나 악플은 줄지 않고 있다. 이응재 인터넷진흥원 팀장은 “인터넷 악플의 문제를 해결하기 위한 대책으로는 누리꾼들의 인식개선이 첫 번째”라면서 “지속적인 교육과 홍보를 통해 자율적인 정화장치가 마련돼야 한다. 정부도 (포털 등 인터넷) 업체의 자율규제를 권장하고 있다.”고 강조했다. 이영준기자 apple@seoul.co.kr

“K가 임신 중인 내 아내를 성폭행했다.”, “K는 한총련 주동자로 안기부 수배를 받고 있다.” 1996년 12월, 당시 큰 인기를 모았던 PC통신 게시판이 발칵 뒤집어졌다. 동호회 시솝(운영자)인 K씨의 신상에 대한 충격적인 글들이 잇따라 올라오면서 회원들은 패닉 상태에 빠졌다. 이런 글은 8개월간 9차례에 걸쳐 계속됐다. K씨는 억울함을 호소하며 게시글을 올린 김모(당시 23세)씨를 고소했고, 검찰은 시솝 선거에서 탈락한 김씨가 K씨를 비방하기 위해 꾸며낸 것이라는 사실을 밝혀냈다. 1998년 3월 김씨가 구속됐다. 이 사건은 국내 최초의 ‘사이버 명예훼손’ 처벌 사례로 기록됐다. 1990년대 후반에 등장한 커뮤니티 서비스에서는 폐쇄된 그룹 내에서의 비방과 허위사실 유포가 주로 논란이 됐다. 2000년 9월에는 인천 S여중에서 일어난 폭행사건을 둘러싸고 허위글이 난무했고, 2001년에는 연예인 안티사이트가 등장했다. 2003년 8월에는 SM엔터테인먼트가 소속 연예인인 문희준씨를 ‘무뇌충’으로 조롱한 안티카페 회원 및 악플러를 고소해 사회적 이슈가 됐다. 블로그와 미니홈피의 등장은 인터넷 게시물에 대한 사용자들의 인식을 바꾸는 계기가 됐다. 커뮤니티와 게시판이 ‘공적(公的)인 공간’으로 인식되던 데 반해 블로그와 미니홈피는 자기 의견을 올리는 ‘사적(私的)인 공간’으로 여기는 사람들이 많아졌기 때문이다. 특정인을 뒷조사하는 이른바 ‘신상털기’도 이때부터 유행했다. 2007년 1월에는 가수 유니가 미니홈피와 인터넷 게시판에 쏟아지는 네티즌들의 악플로 우울증이 악화돼 자살했다. 같은 해 6월에는 모 방송프로그램에 ‘40㎏을 감량했다.’며 출연한 여학생이 악플에 시달리다 자살했다. ‘트위터’, ‘페이스북’ 등 소셜네트워크서비스(SNS)의 등장은 이런 일련의 사건을 계기로 최근 몇 년간 진행된 인터넷 정화운동이 모래성에 불과했다는 사실을 입증했다. 인터넷실명제 등을 통해 순화됐던 사이버공간의 익명성 폐해가 다시 고개를 들었다. 그 정점에 고 송지선 아나운서 사건이 있다. 송씨가 개인의 의견을 올린 지 불과 몇 시간 되지 않아 트위터와 페이스북 등을 통해 복제된 글이 수없이 양산됐고, 이 과정에서 SNS를 주요 기사원으로 삼는 인터넷매체들까지 가세했다. 송씨는 이후 인터뷰에서 본인의 글이 어떤 영향을 미칠지 짐작조차 하지 못했다며 후회했지만, 이마저 조롱거리가 됐다. 최초 생산자가 본인의 결정을 되돌아볼 시간조차 주지 않을 만큼 전파속도가 빨라진 것이다. 박영욱 숙명여대 교수는 “SNS 시대가 열리면서 표현의 자유라는 명목으로 개인의 생활을 침해하는 일이 잦아지고 있다.”면서 “인터넷의 하이드, 즉 어두운 면이라고 할 수 있는 익명성의 폭력이 강한 전파력을 가진 SNS와 결합하면서 악화되는 형국”이라고 말했다. 이인희 경희대 언론정보학부 교수는 “SNS에서는 이용자들의 관심을 끄는 사건이 발생하면 최소한의 검증이나 확인을 할 시간조차 주지 않는다.”고 지적했다. 박건형·맹수열기자 kitsch@seoul.co.kr

북한의 사이버 공격에 세계 최고 수준의 정보기술(IT) 강국인 우리가 속수무책으로 당하고 있지만 대책 마련이 여의치 않다. 2009년 ‘대란’으로까지 불린 청와대 등 국내 주요 기관 웹사이트에 대한 디도스(DDoS·분산서비스거부) 공격은 물론 지난달 농협 전산망 마비사태 또한 북한 소행으로 드러났다. 하지만 일사불란한 총력 대응이 안 되고 있다. 북한의 사이버 테러에 이처럼 무기력한 것은 우리 사이버 안보 환경에 뭔가 심각한 구멍이 있다는 얘기다. 그런 점에서 정부가 관련 부처별 역할과 기능을 재정립하고 제도적 미비점을 보완한 사이버안보 마스터플랜을 마련하기로 한 것은 늦었지만 다행이다. 우리는 날로 빈도와 강도를 더해가는 북한의 사이버 위협에 효율적으로 대처하기 위해서는 무엇보다 국가 차원의 일원화된 상시 대응체계가 확립돼야 한다고 본다. 정보통신기반보호법(제7조 3항)에 따르면 국정원은 금융 정보통신기반시설 등 개인정보 저장시설에 대해서는 기술적 지원을 할 수 없다. 그런 만큼 정부와 공공기관 외에 민간부문의 사이버 안전에 대해 최고의 정보기관인 국정원은 손을 놓고 있을 수밖에 없다. 국정원이 개인정보가 저장된 정보통신기반시설에 무시로 접근하게 되면 개인정보 유출로 사생활 침해를 부를 수도 있다. 그러나 북한의 사이버 공격이 민·관(民官)을 가리지 않고 이뤄지는 현실을 감안하면 국가 사이버 안전 업무를 총괄하는 국정원을 절름발이 상태로 놓아둘 수만은 없다. 북한은 1980년대부터 해킹부대를 운용하는 등 사이버 도발 태세를 한층 강화하고 있다. 사이버 안보의 강화는 국정원의 역할 차원을 넘어 국가의 존망이 걸린 일대사다. 제2, 제3의 농협사태를 막기 위해서라도 정보통신기반보호법의 개정은 불가피하다. 국정원의 민간 사이버 안전활동은 허용하되 사생활 침해는 막는 감시·감독 장치를 촘촘히 마련하는 데 좀 더 지혜를 모아야 한다.

스마트폰의 위치정보를 앱을 통해 불법으로 수집, 악용한 업체들이 경찰에 적발되자 스마트폰 사용자들이 불안스러워하고 있다. 이들은 애플 아이폰의 운영체제인 ‘iOS’뿐 아니라 구글의 ‘안드로이드’에 저장된 위치정보까지 마구잡이로 수집한 것으로 확인됐다. 스마트폰 사용자는 불법 정보취득업자들에게 무방비 상태의 ‘사냥감’으로 전락한 실정이다. 이런 이유로 스마트폰에 대한 불안감이 확산되고 있다. 회사원 최소영(28·여)씨는 “개인 정보가 남의 돈벌이에 이용된다는 것이 굉장히 찜찜하다.”면서 불쾌감을 감추지 못했다. 공무원 이현진(27·여)씨는 “스마트폰 위치정보 유출은 심각한 인권침해”라면서 “상업 목적으로 이용했으면 집단 손해배상이라도 해야 한다.”고 주장했다. 최근 스마트폰을 분실한 직장인 최정현(31)씨는 “사생활이 모두 털린 기분이 들었고, 스마트폰에 대한 거부감마저 들었다.”고 털어놓았다. 전문가들은 이 같은 정보유출 문제를 근본적으로 해결하려면 통신사가 아니라 스마트폰 제조업체가 직접 나서야 한다고 입을 모았다. 원동호 성균관대 정보통신공학부 교수는 “제조사와 통신사의 이해관계로 네트워크상으로 해결하는 것은 근본적인 대안이 될 수 없다.”면서 “제조사가 직접 나서 결자해지(結者解之)해야 한다.”고 지적했다. 김승주 고려대 정보보호대학원 교수도 “현재 모바일 환경을 바꾸기는 어렵고, 통신사가 영향력을 발휘하기 힘든 상황”이라고 분석했다. 그는 “KT는 개인 정보를 수집할 수 있다는 내용의 애플사의 약관을 그대로 가져왔을 뿐 힘이 없다.”면서 “애플이 직접 움직여야 한다.”는 의견을 냈다. 김 교수는 두 가지 해법을 제시했다. 첫 번째로 스마트폰 사용자가 구매시 하는 ‘일괄동의’를 항목마다 체크하는 ‘부분동의’로 전환하는 것이 시급하다고 강조했다. 또 스마트폰의 정보사용 동의 방식을 ‘옵트아웃’(opt-out·사용자의 동의와 관계없이 개인정보 제공)방식에서 ‘옵트인’(opt-in·사용자의 동의하에서만 개인정보 제공) 방식으로 전환해야 한다고 주장했다. ‘위치 정보를 수집해도 좋습니까’라는 질문에 동의를 한 순간부터 정보 수집이 시작되는데, 현재 아이폰은 의사표시 이전부터 정보수집이 이뤄지고 있다는 것이 문제라는 것이다. 서울경찰청 사이버범죄수사대 관계자는 “우선 개인위치 정보의 암호화가 필요하며, 위치정보 사업자 및 위치기반 서비스 사업자 등에 대한 규제를 강화하고 관리감독을 철저히 해야 한다.”고 지적했다. 한편 방송통신위원회는 스마트폰의 위치정보 보호 강화를 위해 GPS를 끄는 기능(On/Off)을 부여하고, 앱 개발자들이 위치정보보호법을 준수하도록 적극 홍보할 계획이라고 밝혔다. 방통위 관계자는 “국내 위치정보보호법은 전 세계적으로도 매우 강력한 규제를 담고 있어 추가적인 규제는 적절치 않다.”면서도 “위치정보 활용을 신고하지 않고 무단으로 서비스를 제공하는 사업자는 강력히 제재할 것”이라고 말했다. 안동환·이영준기자 apple@seoul.co.kr

“말이 좋아 사이버 보안 전문가지, 하는 일이나 처우는 날품팔이 막노동자 수준입니다. 나이는 40줄에 접어들었는데 아직도 하도급 용역으로만 전전하고 있으니….” 김진우(가명)씨는 요즘 백수다. 일감이 없다. 올 초까지 그는 한 은행 전산망 재구축에 용역으로 투입돼 보안 관련 작업을 했다. 하지만 계약이 끝나면서 출근할 곳을 잃었다. 그런 김씨에게 얼마 전 옛 직장 동료가 솔깃한 제안을 해 왔다. 미국에 서버를 둔 국내 도박사이트가 있는데 거기에 침투해 회원 리스트를 빼내고 서버를 다운시키면 이전 연봉의 4배를 주겠다고 했다. “거절은 했지만 솔직히 아쉬움이 전혀 없는 것도 아니에요. 어차피 불법 도박사이트인데 우리한테 당하더라도 신고도 못 할 텐데 하는 생각도 들고….” 최근 농협과 현대캐피탈 등 금융기관의 보안망이 해커들에게 무방비로 뚫린 가운데 정보기술(IT)업계의 고질적인 다단계 하도급 구조와 이에 따른 열악한 처우가 취약한 보안 인프라의 주범이라는 지적이 나오고 있다. 유능한 보안 전문가들이 생활고 때문에 음지의 해커로 전락하고, 일부는 직장을 찾아 국내를 떠나는 결과로 이어지기 때문이다. IT업계는 대기업-중견기업-중소기업-영세업체로 이어지는 협력업체의 먹이사슬이 어느 업종보다 길고 복잡하다. 삼성SDS, LG CNS, SK C&C 등 대기업을 정점으로 1차, 2차, 3차로 하도급 발주가 켜켜이 이어진다. 그러다 보니 아래 단계로 내려갈수록 IT 인력들의 근무 여건과 처우가 악화된다. 그 결과는 용역 등 비정규직 고용으로 이어지고 있다. 은행 인사담당자는 “자체적으로 보안 전문 인력을 고용하면 1인당 7000만원 이상 주어야 하지만 외주를 주면 1인당 3000만원이면 충분하니 외부 인력을 쓰는 게 당연하지 않겠느냐.”고 했다. 심지어 국가 인터넷정책을 총괄하는 한국인터넷진흥원(KISA)의 경우도 사이버 보안을 담당하는 인터넷 침해 대응 센터 인력 131명 중 29%(38명)만 정규직이고 71%(93명)는 비정규직이다. 이영상 경찰청 사이버테러대응센터장은 “보안 전문가들에 대한 적절한 대우가 선행돼야만 이들이 나쁜 길로 빠져드는 것을 막을 수 있다.”고 말했다. 유영규기자 whoami@seoul.co.kr

현대캐피탈과 농협 사태에서도 볼 수 있듯 최근 들어 전산 사고를 비롯한 사이버 테러가 유독 기업에 집중되는 데 대해 보안업계에서는 ‘보안은 곧 비용’이라는 경영자들의 잘못된 인식과 효율성만 따지다 핵심 보안 영역마저 해킹에 노출시키는 허술한 관리 등을 이유로 들고 있다. 17일 한국은행에 따르면 전체 금융권의 정보기술(IT) 투자 규모는 2009년 1조 2000억원이었지만 지난해에는 40%나 줄어든 7700억원에 머물렀다. 특히 이번에 사고가 발생한 농협의 경우 2009년 IT 보안 분야에 71억 5000만원을 투입했다 지난해에는 시스템 구축이 끝났다는 이유로 23억 5000만원을 줄였다. 전산망 체제가 비용 절감에만 초점이 맞춰지다 보니 사고가 발생한 양재동 농협 IT 본부에선 전산 시스템을 모니터링하는 협력업체 직원들이 사무실에 고정된 전용 데스크톱 컴퓨터가 아닌 노트북 컴퓨터를 사용했다. 때문에 외부 해킹이나 바이러스 감염 위험에 노출돼 있었다. 업계 최고 수준의 보안 관리를 자랑해 온 현대캐피탈 역시 비용 절감 위주의 보안 시스템 관리에서 벗어나진 못했다. 현대캐피탈은 그룹 계열사인 ‘현대오토에버’에 전산 시스템 관리를 맡겨 왔다. 단지 계열사라는 이유로 상대적으로 보안 관리 능력이 취약한 것으로 알려진 업체에 일감을 몰아줘 대형사고를 자초했다는 지적이 나오고 있다. 김상조 한성대 무역학과 교수는 “능력도 안 되는 계열사에 일감을 몰아주는 것은 고객의 권익을 침해할 뿐 아니라 시장에서 기업의 평판을 떨어뜨려 발전 가능성을 훼손하는 등 엄청난 부작용을 낳을 수 있다.”고 지적했다. 류지영기자 superryu@seoul.co.kr

“금융보안은 비용이 아니라 투자입니다. 금융기관 최고경영자(CEO)의 보안 마인드부터 달라져야 합니다.” 우리나라 전체 금융거래 가운데 80%가 비대면 거래로 이뤄진다. 창구에서 직원과 마주하는 대면거래가 아닌, 인터넷 뱅킹, 인터넷 결제, 모바일 결제 등이 그만큼 많다는 얘기다. 선진국의 비대면거래 비율이 50% 안팎인 점을 고려하면 엄청난 규모가 아닐 수 없다. 이러한 상황에 현대캐피탈 고객 정보 해킹 사건에 이어 농협 전산 장애 사태가 잇따르며 국내 금융 소비자들이 불안해하고 있다. 근본적인 대책은 없는 것일까. 14일 서울 여의도에서 만난 곽창규(55) 금융보안연구원장은 금융보안을 위한 예산을 쓰면 아까운 비용으로 여기는 금융기관 CEO의 마인드부터 바뀌어야 한다고 강조했다. →금융보안은 왜 중요한가. -전자금융은 편리하지만 그 이면에서는 사고가 지속적으로 발생하고 있다. 최근 들어서는 금전적 목적의 해킹 공격이 증가하고 점차 조직화되고 있다. 새로운 공격 기술이 나오는 주기도 점점 짧아지고 있다. 그러한 가운데 모바일 오피스 등 새로운 비즈니스 환경과 스마트폰 등 새로운 전자금융 거래 수단의 등장은 금융권에 새로운 과제를 던진다. 금융기관을 대상으로 한 사이버테러 발생 시 전자금융 서비스 지연 및 중단 등으로 일어나는 사회적 혼란과 경제적인 피해는 다른 어떤 분야보다 심각하다. →현대캐피탈에 이어 농협까지 사고가 잇따르고 있다. 우리 정보기술(IT) 수준이 낮아서인가. -그렇지 않다. 우리 기술 수준은 세계 최고다. 그래서 상대적으로 해외 해커들의 타깃이 되기도 한다. 그동안 전자금융거래 이용률 대비 해킹 사고 횟수를 살펴보면 전자금융시스템 보안은 상대적으로 잘 구축되어 있는 편이다. 하지만 경영자층의 보안 의식이 뒤따르지 못하고 있다. 특히 캐피털사 등 제2금융권의 정보보호 예산 및 인력 규모는 금융당국이 제시하는 가이드라인에 미치지 못하고 있는 상황이다. 적극적인 지원과 투자가 필요하다. →두 사건이 일으키고 있는 파장이 엄청난데. -현대캐피탈은 과거 사고에 견줘 대량의 금융정보가 유출됐다는 점에서 주의해야 한다. 신속한 후속 조치로 추가 피해는 막았지만, 유출된 정보를 통해 피싱 등의 2차 피해가 일어날 수 있기 때문에 주의가 필요하다. 농협 수준의 전산 장애는 사상 처음이다. 금융당국의 조사와 검찰 수사 결과가 나와 봐야 하겠지만 외부에서 내부 서버에 침입했다기보다는 내부 소행, 관리 소홀로 여겨진다. →개별 기관으로 대응하기보다는 업권별로 공동 대응해야 한다는 의견도 나오는데. -은행권역에서는 금융결제원, 증권권역에서는 코스콤이 전담해 디도스 및 해킹 공격 등에 대비하고 있다. 제2금융권의 소규모 회사의 경우 자체적으로 대응하기 어려운 게 현실이기 때문에 공동 대응을 전담하는 기관이 필요하다고 본다. →금융기관이 의무적으로 정보보호최고책임자(CISO)를 임명하는 법안이 추진되고 있는데. -국내 정보보호업무 담당자들은 책임만 있고 권한이 없는 경우가 많다. 책임을 지려면 합당한 권한이 있어야 한다. 이를 뒷받침해 주는 법적인 제도가 필요하다고 생각한다. →이번 사태가 주는 교훈은. -모든 금융권이 보안을 재점검하고 금융보안의 중요성을 다시 한번 인식하는 계기가 돼야 한다. 사실 사고가 날 때마다 호들갑을 떨다가도 시간이 지나가면 흐지부지되는 측면이 없지 않았다. 그래서는 안 된다. 정부도 마찬가지다. 홍지민·오달란기자 icarus@seoul.co.kr

최시중 방송통신위원장이 ‘3·4 분산서비스거부’(DDoS·디도스) 공격에 대한 배후로 북한을 지목해 관심을 모으고 있다. 2009년 7·7 디도스 공격 때도 북한 배후설이 제기됐지만 입증되지 않았다. 최 위원장은 8일 국회 문화체육관광방송통신위원회 업무보고에서 디도스 공격 진원지를 묻는 질문에 “북한이라고 추정한다.”고 답변했다. 최 위원장은 “구체적으로 어느 사이트에서 발생했는지는 모르지만 북한이라고 추정하고 있다. 그런 심증이 있다.”며 “발생 시점이 대체로 우리 안보 관계 훈련이 있었던 전후라는 공통점이 있는 등 여러 징후를 보면 그렇다.”고 말했다. 정부 인사가 3·4 디도스 공격에 대해 북한을 배후로 추정한다고 발언한 것은 처음이다. 정부는 악성코드 일일점검 대상 사이트를 기존 100만개에서 180만여개로 확대하고 사이버 침해 대응 민·관합동 모의훈련도 연간 1회에서 4회로 늘리기로 했다. 안동환기자 ipsofacto@seoul.co.kr