한국정보보호진흥원(KISA)과 엔씨소프트는 26일 그린 인터넷서비스 및 이용자보호에 관한 협약을 체결했다. 이번 협약은 KISA가 자체 개발한 악성코드 감염확인기술을 엔씨소프트의 게임 사이트 방문자들에게 서비스 하는 것을 골자로 한다. 이에 엔씨소프트 게임 이용자들은 게임포털 플레이엔씨 홈페이지에 로그인하거나 ‘아이온’ 클라이언트 실행시 자동으로 악성코드 감염 여부를 탐지할 수 있게 된다. 악성코드에 감염된 이용자들은 백신 설치를 통해 자동으로 치료를 받거나 KISA로부터 치료 방법을 전달 받을 수 있게 된다. 엔씨소프트는 이번 협약과 관련해 자사 게임 사용자들의 PC 보안 수준을 높일 수 있을 것으로 기대하고 있다. 한편 KISA의 침해사고통계월보에 의하면 악성코드의 일종인 악성봇의 경우 2008년 세계 감염 PC 중 한국 PC 비율이 약 8.8%에 달하는 것으로 측정됐다. 일부 악성 코드는 게임계정 도용과 개인정보 유출을 발생시키기도 한다. 서울신문NTN 최승진 기자 shaii@seoulntn.com@import'http://intranet.sharptravel.co.kr/INTRANET_COM/worldcup.css';

현대·기아차는 해외 현지법인 근무 등을 포함한 ‘글로벌 인턴십 프로그램’을 시행할 예정이라고 10일 밝혔다. 세계 경영의 주축이 될 지역 전문가 양성을 위한 취지다. 올해부터 3년간 총 100명 이상을 선발한다. 합격한 학생들은 여름방학을 이용해 2개월간 해외 법인에 파견돼 인턴사원으로 근무한다. 향후 현대·기아차 대졸사원 공채에서 우대를 받으며 입사할 수 있다. 다음달 모집이 진행된다.(www.hyundai-mo or.com, www.kia.co.kr) 한국정보보호진흥원(KISA)은 10일 최근 USB 등 이동식 저장장치로 전파되는 악성코드에 감염되는 사례가 증가해 주의가 필요하다고 밝혔다. USB 악성코드에 감염된 저장장치를 컴퓨터에 삽입하면 자동실행되면서 PC를 감염시킨다. KISA는 이동식 저장장치를 통해 전파되는 악성코드 변종이 확산될 경우 개인 정보유출, 분산서비스거부(DDoS) 공격 악용 등 추가적인 피해가 발생할 수 있다고 지적했다.인터넷침해사고대응지원센터 홈페이지(http://www.krcert.or.kr), 보호나라 홈페이지(http://www.boho.or.kr)나, 국번없이 118로 전화하면 전문상담원의 도움을 받을 수 있다.

2004년부터 8월말 현재까지 북한 및 중국발 해킹으로 정부 각급기관에서 무려 13만여건의 자료가 유출됐다고 한다. 유출자료 대부분이 기밀로 분류되지 않는 정부의 일반 문건이라고 하지만 문제의 본질은 그게 아니라고 본다. 충격적인 것은 그 많은 정보들이 유출되도록 방치한 정부 각급 기관과 공무원들의 보안의식이다. 현대의 전쟁은 컴퓨터와 정보통신 체계의 싸움이라고 해도 과언이 아니다. 탱크나 전투기에 앞서 사이버 공격으로 상대방의 기선을 제압하는 방식으로 전개되고 있다. 북한도 지난 1986년 인민무력부 산하에 5년제 군사대학을 세워 해킹 전문가를 매년 100명씩 배출하며 우수인력을 해킹부대 군관으로 배치하고 있다. 방산업체와 군, 국가 주요기관이 정신을 똑바로 차리지 않으면 해킹 한방에 국가안보는 치명적 타격을 입게 된다. 실제로 북의 해커가 최근 육군 야전군사령부 소속 대령급 컴퓨터에 침투한 적이 있고, 방산업체들도 해커들의 공격을 받았다. 심지어 청와대도 공격을 받을 뻔했다. 국정원이 펴낸 ‘2008 국가 정보보호백서’에 따르면 지난해 국내 공공기관에서 발생한 사이버 침해사고는 총 7588건으로 2006년의 4286건에 비해 77%나 늘었다. 공공기관에 대한 사이버 공격 탐지건수는 하루 평균 200만 4037건으로 파악된 가운데 704건의 사이버 침해사고가 발생한 것으로 나타났다. 초고강도의 사이버 공격으로부터 국가안보를 지키려면 국가차원의 사이버 전쟁 대책을 강구해야 한다. 보안의식 강화는 두말할 것도 없다.

새 정부 들어 개인정보 유출 등 공공기관 보안시스템 문제가 빈번히 발생하면서, 국가정보원이 행정기관 보안관리실태 평가에 본격 착수했다. 이번 보안관리실태 평가는 퇴직공무원의 내부정보 유출 여부를 비롯해 국가기록원의 대통령기록관리, 국가홈페이지의 개인정보 유출, 개인 이메일과 내부 해킹방지시스템 등 전방위에 걸쳐 이뤄질 예정이다. 국정원은 43개 중앙행정기관을 대상으로 보안정책, 비밀관리, 침해사고 대응체제 등 8개 분야,135개 항목에 대한 관리실태를 평가하기로 했다고 9일 밝혔다. 국정원은 이달 말까지 보유정보의 중요도에 따라 보안등급(가∼다)을 분류한 뒤, 다음달 3∼7일 기관별 자체평가와 현지실사를 끝낼 계획이다. 지방자치단체는 다음달부터 진행되며 결과는 내년 1월에 나온다. 이번 결과는 국무총리실 정부업무평가에 반영돼 지자체의 경우 교부금 등에 영향을 미칠 전망이다. 현지 실사에는 민간전문가도 투입돼 예년보다 강도 높게 진행된다. 외부인 출입통제시스템 가동과 하드디스크·휴대저장장치(USB) 등 비인가 장비 사용, 전자출입증, 보안방지백신 설치 등이 정밀 점검 대상이다. 국정원 관계자는 “기관들의 자체평가는 보안성이 높다는 자의적 판단이 많다.”면서 “이미 있는 규정이 제대로 지켜지고 있는지 등 ‘실행 여부’에 초점을 맞춰 135개 전 항목을 꼼꼼히 살필 계획”이라고 말했다. 이같은 방침은 국정원이 2006년부터 보안관리평가를 실시했지만 기관들의 개선 흔적이 전무한 데 따른 것. 행정안전부가 제출한 국감자료에 따르면 2년간 공공기관 홈페이지 개인정보 노출은 2624개 기관,18만 2666건으로 매년 늘고 있지만, 주요 원인이 해킹이 아닌 취약 보안시스템(49%)과 관리자 부주의(36%) 등 운영상 문제로 드러났다. 강주리기자 jurik@seoul.co.kr

국무총리실 ◇고위공무원 △재정산업정책관 이호영△농수산국토〃 류충렬△사회문화〃 최병록△안전환경〃 이상경△복지여성〃 이재홍△교육노동〃 최대용△주한미군기지이전지원단 부단장 윤창렬◇부이사관△행정정책과장 이재영△사회정책총괄〃 김원득△재난지원〃 정기동△교육정책〃 임찬우△주한미군기지이전지원단 정책조정팀장 김재열◇서기관△총무과장 최창원△정책관리〃 박진호△재정정책〃 장영현△건설정책〃 서병재△안전지원〃 권용식△환경정책〃 최영진△보건복지정책〃 홍원구△여성가족정책〃 박진경△과학기술인력정책〃 조봉래△특정평가〃 이용주△행정관리팀장 정원상△교통해양〃 최용선△식품건강정책〃 이성춘△고용정책〃 오후석△상황〃 백승일 국토해양부 ◇실국장급 임용 △물류항만실장 申平植△중앙토지수용위원회 상임위원 朴相圭△중앙해양안전심판원 심판관 金秉洙△대변인 鄭乃三△건설정책관 朴庠禹△해운〃 金光在△자동차정책기획단장 金漢榮△부산지방국토관리청장 金熙國△마산지방해양항만〃 徐炳奎◇과장급 전보△주택시장제도과장 金利柝△해외건설〃 金營太△건설인력기재〃 金永學△수자원개발〃 安時權△하천계획〃 朴宰賢△연안해운〃 金鐵煥△항행안전정보〃 朴玲先△항만민자계획〃 金完中△항만건설기술〃 朴洪男△허베이스피리트피해보상지원단 지원기획팀장 朴光烈△대중교통과장 高七鎭△교통안전〃 金禹哲△교통복지〃 吳良鎭△자동차관리〃 孫明先△도로환경〃 金聖倬△교통정보팀장 沈斗輔△자동차대외협력〃 金福煥△지역발전지원과장 宋相根△해양환경정책〃 金善台△부산지방해양항만청 선원해사안전〃 金惠貞△항공안전본부 공항환경담당관 朴熙聖△2012여수세계박람회조직위원회 姜熙業△주알제리대사관 1등서기관 金相文 한국정보보호진흥원 ◇본부장 △인터넷침해사고대응지원센터 이명수◇팀장△기획총괄팀 조규민 한국전력거래소 △기획관리처장 전영택△전력계획〃 정도영△시장운영〃 김용진△기획예산팀장 조영태△본사이전추진실장 박형하△기술기획실장 직무대행 김광인

국내 굴지의 정유업체 GS칼텍스에서 사상 최대 규모인 1125만명의 고객 정보가 유출되는 사고가 발생했다. 경찰청 사이버 테러대응센터 수사결과 GS칼텍스의 콜센터 운영을 담당하는 자회사 직원 4명의 소행으로 밝혀졌다고 한다. 이어지는 정보유출 사고로 가뜩이나 불안한데 내부자가 고객정보를 통째로 빼돌렸다니 입이 다물어지지 않는다. 국가정보보호백서에 따르면 지난해 우리나라에서 바이러스 침투와 해킹 등으로 발생한 사이버 침해사고는 3만건을 웃돈다. 최근 들어 규모가 대형화하고 수법도 복잡·대범·교묘해지고 있는 게 현실이다. 지난 2월 옥션의 해킹사고로 1081만명의 개인정보가 유출됐고,7월엔 포털사이트 다음의 한메일 서비스에서 로그인 오류로 최대 55만명의 개인정보가 노출됐다. 중국인 해커가 우리 인테넷망에 들어와 900만명의 개인정보를 빼내갔고 하나로텔레콤은 가입자 600만명의 개인정보를 고객 동의없이 1000여 텔레마케팅 업체에 넘겼다. 이대로 가다간 정보기술(IT)강국을 자부해 온 나라가 첨단 범죄의 온상으로 전락할 가능성도 없지 않다. 개인정보 유출 사고가 되풀이되는 것은 단순히 해킹 기술의 발달 때문만은 아니다. 법적 제도적 장치에 어떤 허점이 있는지 살펴 고객정보의 유출을 막을 근본적인 대책을 강구해야 한다. 개인정보를 다루는 금융기관과 포털 등 업체들이 보안망을 강화하는 것은 물론이고, 개별기업의 자의적인 개인정보 수집과 유통·공유 행위에 대해서도 한층 강화된 법제화가 시급한 시점이다.

인터넷 서비스에 가입할 때 주민등록번호를 입력하지 않도록 하는 방안이 추진된다. 개인정보가 유출되면 사업자는 이를 반드시 이용자에게 알리도록 의무화된다. 방송통신위원회는 옥션 해킹피해 등 최근 개인정보 유출사고가 잇따르는 것과 관련해 24일 행정안전부, 대검찰청, 경찰청, 금융감독원, 한국정보보호진흥원 등과 대책회의를 갖고 ‘인터넷상 개인정보 침해방지 대책’을 마련했다. 방통위는 정보통신 사업자들이 개인들에게 지나치게 많은 신상정보를 요구하고 있다고 보고 행안부 등과 협의, 인터넷 상에서 주민등록번호 수집을 제한하는 방안을 마련키로 했다. 이에 따라 인터넷 포털 등에 가입할 때 주민등록번호 입력란이 사라질 것으로 보인다. 그러나 전자상거래 등 본인 확인이 필수적인 서비스도 있어 구체적인 대상은 추후 확정키로 했다. 이미 일정규모 이상의 인터넷 사업자들에게 주민번호 대체수단인 아이핀(i-PIN) 도입을 의무화하는 내용의 정보통신망법 개정안이 지난해 말 국회에 제출돼 있다. 방통위는 다음달 열리는 17대 국회 마지막 임시국회에서 이 법안을 반드시 통과시킨다는 방침이다. 사업자가 개인정보 침해사고가 일어났을 때 해당 이용자에게 이 사실을 의무적으로 알리도록 하는 내용도 법제화하기로 했다. 또 개인정보 관리책임자를 지정하지 않을 경우 현행 1000만원의 과태료를 2000만∼3000만원으로 올리기로 했다. 아울러 비밀번호를 만들 때 8자리 이상 글자·숫자 혼용 등 작성기준 적용을 의무화하고 주민등록번호·계좌번호 등 금융정보는 반드시 암호화해 저장하도록 할 방침이다. 그러나 이날 마련된 대책 중 상당부분이 이미 과거 정보통신부 시절부터 추진돼 온 것들이어서 실효성에 의문이 제기되고 있다.김효섭기자 newworld@seoul.co.kr

“영화 ‘다이하드4.0’처럼 국가전산망을 파괴해 정부를 장악하려는 해커들의 음모는 더 이상 영화 속의 일이 아닙니다. 국민들이 모두 잠든 사이에도 사이버전쟁은 계속되고 있습니다.” 국가정보원 국가사이버안전센터(NCSC)에 근무하는 오준상(35·가명)씨는 카이스트 출신의 8년차 중견 요원이다. 그는 상황실에서 외국 해커부대 등의 공공기관 사이버 공격을 조사하고 복구하는 임무를 맡고 있다. 영화 다이하드 4.0의 주인공 존 매클레인(브루스 윌리스)의 활약은 좀 과장된 면은 있지만 국가시스템을 공격하는 해커를 일망타진한다는 점에서 그의 임무와 크게 다르지는 않다. 그는 보통 퇴근이 오후 11시, 바쁠 때는 새벽 1시를 넘기기 일쑤다. 결혼한 지 2년이 넘었지만 아기 만들 시간(?)도 없고, 좋은 남편도 못 된다고 자평한다. 급박하게 돌아가는 그의 일상을 통해 음지에서 국가전산망을 지키는 그들의 삶을 엿보았다. #오전 6시 기상 어제는 원인을 알 수 없는 웜바이러스(Worm virus·컴퓨터시스템을 파괴하는 악성 프로그램)로 A행정 부서의 전산망이 마비돼 감염된 50여대의 컴퓨터를 모두 하나하나 뜯어보아야 했다. 최초 감염된 컴퓨터를 찾아 원인을 분석하니 내부에서만 사용해야 하는 컴퓨터를 자택으로 가져갔다가 노트북의 ‘방화벽(외부 불법 접근 차단시스템)’이 붕괴되어 웜바이러스가 유입된 것이었다.3명의 대원이 오후 6시까지 모든 웜을 제거했지만 원인 조사는 이날 새벽 1시가 넘어서 끝났다. 몽롱한 상태지만 아침 회의를 완벽히 준비해야 한다는 강박에 사로잡힌다. #오전 7시30분 커피 한 잔을 들고 억지로 잠을 이기며 서울 서초구 한솔빌딩 9층으로 올라간다. 전자태그(RFID)카드를 정문에 댄 후 사무실로 들어가 컴퓨터 앞에 앉는다. 손가락을 대자 지문을 읽고 컴퓨터가 작동을 시작한다. 보고서를 들고 곧바로 회의실로 직행. 팀장에게 어제의 사고는 노트북을 네트워크에 연결하는 순간 웜바이러스가 컴퓨터의 ‘버퍼 오버 플로(Buffer over Flow·프로그램 에러)’ 취약점을 이용해 순식간에 A행정부처 전체로 퍼졌기 때문이라고 보고했다. 다행히 조기탐지를 해서 기관 전산망을 단절했지만 그냥 두었다면 다른 기관으로 확산되어 경계태세로 돌입해야 할 상황이었다. #오전 8시 주요 언론 및 외신 검토를 시작한다. 다행히 어제의 웜바이러스 사고는 언론에 보도되지 않았다. 우선 백신을 만들고 보도되어야 안심이다. 어제는 수작업으로 모두 제거했지만 변종분석 정보를 백신업체로 보내야 한다. #오전 9시 업무 시작 어제의 웜바이러스 사태는 해결되긴 했지만 최초 배포자가 누구인지 조사해야 한다. 오늘도 쉽지 않은 날이다. #오전 9시45분 상황실에서 보낸 경고등이 컴퓨터에 떴다. 바로 상황실로 뛰어가니 지도에는 제주지역을 시작으로 전국 각지가 주의경보를 뜻하는 노란색으로 변한다. 곧바로 인접국인 중국으로부터의 해킹 시도가 감지되었다는 분석이 화면에 들어온다. #오전 10시 CERT팀으로 사고 접수를 알린다. 피해 기관은 행정부처 M부,D연구소,G청 등 180여개 기관. 이렇게 대규모의 동시 해킹은 몇 년만이다. 평소 ‘을지연습 기본 계획’에 따라 실시했던 사이버전 모의 훈련의 지침대로 우선 준비태세를 갖춘다. #오전 11시 국가사이버안전대책회의가 소집되고 NSC(국가안전보장회의)와 협의해서 최고수준의 적색경보를 발령하자 곧 11개 지역 사이버안전협의회에 비상사태를 하달, 각 지역별 대응수위가 강화된다. #오후 2시 조사반을 이끌고 국가기밀을 많이 취급하고 있는 광화문 인근 M부로 긴급출동하라는 명령이 떨어졌다. 포렌식장비(노트북 크기의 하드디스크를 분석하는 장비)가 들어 있는 007가방을 집는다. 가방에는 잠금장치가 되어 있어 외부인이 끊으면 경보가 울린다. #오후 2시30분 M부처의 컴퓨터에서 바이러스의 일종인 ‘그레이버드(Graibird)’ 변종이 발견되었다. 이 바이러스에 감염되면 감염 컴퓨터가 해커의 컴퓨터에 자동으로 연결되어 각종 문서가 자동적으로 흘러가게 된다. 보통 이메일을 통해서 감염되지만 이번의 경우 경기도 소재 X대학교의 홈페이지에 은닉해 있다가 이곳을 방문한 M부처 직원의 컴퓨터로 숨어들어 서버 전체로 확산된 경우다. 곧바로 본부에 다른 팀을 X대학교로 급파할 것을 요청했다. 우선은 2004년 중국으로부터 공격당한 바 있는 그레이버드와 유사한 해킹프로그램으로 파악되었다. #오후 3시 처음 발견된 바이러스이므로 수작업으로 하나하나 디렉토리를 검색해 지워야 한다. 게다가 ‘커널은닉형(강제적으로 딜리트로부터 보호되는 것)’이어서 첫 컴퓨터의 바이러스를 없애기 위해 1시간가량 소모되었다. 그러나 이외 컴퓨터가 감염된 바이러스는 같은 유형이므로 이제 한 대당 5분이면 처리된다. #오후 5시 M부처의 컴퓨터는 완전히 복구된 상황에서 이제 중간 경유지인 X대학교로 피해시스템 분석을 위해 출발한다. 동시에 협력관계에 있는 세계 각지의 사이버테러대응센터격인 러시아 FSB 등에 유사 선례가 있었는지 협조를 요청한다. #오후 7시 X대학교의 중간경유지를 통해 유출될 뻔한 M부처의 기밀자료 10여건이 중국으로 전송되기 직전 전산망을 차단하는 데 가까스로 성공했다. 본부에 보고를 마치고 한숨을 돌리는데 동료가 늦은 점심이나 먹으러 가자며 농담을 건넨다. 그제야 혼자 집에 있을 부인이 생각나 전화기를 들다가 우선 해킹범인을 찾아야 한다는 생각에 전화기를 내려놓는다. #오후 8시 중국 해커의 소행이 아닌가 의심했는데 중간경유지에 남겨져 있던 해커의 프로그램 8종을 수거하여 분석한 결과 아랍권 해커그룹인 ‘엠퍼러(Emperor)’의 소행으로 확인되어 검찰과 경찰로 조사내용을 보내 수사하도록 했다. #오후 9시 해킹프로그램의 동작패턴을 분석해 모두 상황실의 조기경보시스템에 등재시켜 향후 유사 해킹시 탐지토록 조치한다. #오후 10시 내일 아침 국정원장을 위한 보고서를 작성한다. 또한 어제 웜바이러스와 함께 오늘 바이러스도 민간 백신업체에 보내야 한다. 하지만 민간업체가 백신을 업그레이드해도 당분간은 유심히 지켜보아야 한다. 민간업체 백신의 경우 바이러스의 한 특징을 등록해 그 바이러스를 잡아내도록 하기 때문에 조금만 변형되어도 바이러스를 선별해 낼 수 없기 때문이다. #자정 수고한 팀원들과 마지막 회의를 한다. 처음에는 오늘 사건에 대해 의견을 개진하더니 이윽고 애환들이 쏟아진다. 데이트할 시간이 없어서 총각을 못 면한다는 진실(?)이나 2세 만들 시간이 없다는 와이프들의 비난(?)까지. 내부 기밀유지를 위해 폰카를 갖지 못하는 비애 아닌 비애나 수영장에 가도 비닐 백에 휴대전화를 넣고 수영을 해야 하는 고충도 나온다. 한 동료는 애가 태어나서 얼굴을 보고 출장을 다녀오니 이미 걸어 다니더라고 믿지 못할 넋두리도 늘어놓는다. #다음날 오전 1시 퇴근 바쁘고 힘든 생활을 이해해주는 부인이지만 그래도 미안한 마음이 앞선다. 그래도 어쩌랴. 내가 좋아 선택한 일인 것을. 오늘의 늦은 귀가를 변명할 몇 마디를 생각하며 퇴근길을 나선다. 이경주기자 kdlrudwn@seoul.co.kr 사진 류재림기자 jawoolim@seoul.co.kr ■ 국가사이버안전센터는 어떤 곳? 국가정보원 국가사이버안전센터(NCSC)는 각종 사이버공격에 대한 국가차원의 종합적이고 체계적인 대응을 위하여 2004년 2월 문을 열었다. NCSC는 국가사이버 안전정책 수립, 전략회의 및 대책회의 운영지원, 사이버위협 관련 정보의 수집·분석, 국가정보통신망 안전성 확인 등을 주된 업무로 하고 있다. 특히 국내·외의 사이버위협에 대해 ‘관심(파랑)-주의(노랑)-경계(주황)-심각(빨강)’의 4단계 대응체계를 마련하고 있다. 이외 민간업체가 개발한 정보보호제품의 보안기능을 검증하는 정보보호제품 평가 인증제도를 운영중이다. NCSC에 따르면 공공기관에 대한 사이버 위협 건수는 매해 늘어나다가 작년에 잠깐 주춤했지만 올해 급증하는 추세로 상반기에 벌써 4254건이 접수되어 이미 작년 한해 동안 일어난 4286건에 육박하고 있다. 국가사이버안전센터는 최근의 사이버위협 유형에 대해 크게 3가지로 분석한다. 첫째는 금전적 이득을 목적으로 하는 피해로 개인정보 절취를 목적으로 제작된 ‘LineageHack’나 ‘IRCbot’ 등의 웜바이러스로 인해 접속 ID 및 패스워드 등이 유출되는 경우다. 또 사용자로 하여금 정상사이트로 오인해 개인정보를 입력하게 만들어 정보를 빼내는 피싱기법에 의한 금융정보 유출 피해도 계속되고 있다. 올해 상반기 공공분야 사이버침해사고 유형을 보면 경유지 악용 사례는 19.6%를 차지하고 있으며 가장 높은 증가율을 기록하고 있다. 둘째는 지능적 악성코드의 증가로 MS의 인터넷 익스플로러 기능을 확장하기 위해 제공되는 ‘액티브X(Active X)’가 보안에 취약한 점을 이용해 유포하는 경우가 많다. 올해 상반기 공공분야 사이버침해사고 중 악성코드 감염은 66.9%를 차지해 가장 많은 피해를 발생시킨다. 셋째는 홈페이지 해킹의 증가인데, 특히 국가·공공기관 홈페이지를 변조시키는 이슬람권 해커의 공격이 늘어나는 추세다. 보통 해커들이 자기과시용으로 이런 공격을 하는 것으로 알려져 있다. 올해 상반기 사이버침해 건수의 3.7%정도만 차지하지만 적은 건수로도 피해사실이 홈페이지를 방문한 많은 국민들에게 노출된다는 점에서 심각성을 가진다. 이외 공공기관 컴퓨터 안의 자료를 훼손하거나 빼내가는 심각한 사이버공격 사례도 2.3% 정도를 차지하고 있다.

잇따른 개인정보 유출 등으로 ‘사이버 보안’이 이슈로 떠오르고 있다. 최근 발생한 인터넷게임인 ‘리니지’의 주민등록번호 대량 도용사건은 사이버상의 보안의 취약성을 대표적으로 보여주는 사례다. 정보통신부도 산적한 정책 중 개인정보 보호를 올해 최대의 정책의 하나로 삼았다. 이처럼 사이버상 개인정보 유출은 단순한 유출로 끝나지 않고 범죄와 재산상 손해로 이어진다. 입출 등 금융거래 등에서의 보안 시스템 취약성 등으로 개인정보가 새나갈 가능성이 크기 때문이다. ●사이버 보안사건이 다양해진다 최근 사이버 보안사건은 업종과 기업의 규모를 가리지 않고 나타난다. 미국의 설문조사기관인 가트너리서치에 따르면 미국의 성인 10명 가운데 7명 이상(77%)이 온라인 뱅킹 사용을 주저하고 있다는 조사결과를 발표했다. 지난해 6월 미국내 5000명의 성인을 대상으로 설문 조사한 결과다. 응답자의 14%는 온라인뱅킹을 통한 청구서 지불을 중단했다고 밝혔다. 이처럼 사이버 보안문제는 실생활에서 두려움으로 나타난다. 전문가들은 모바일기기 등의 사용 증가로 보안 문제는 더욱 심각해질 것으로 전망한다. 사고가 터진 뒤 고치는 ‘사후약방문’이 아닌 ‘예방차원의 보안’에 대한 사회적 분위기 환기가 필요하다. ●업계는 지금 ‘보안 또 보안’ 한국MS는 최근 NHN과 공동으로 윈도 보안패치를 보급했다.NHN 한게임 사용자들이 웹사이트에 접속만 하면 자동으로 보안패치를 내려받을 수 있도록 했다. 시행 3개월 만에 440여만대가 보안패치를 내려받았다. 이는 국내에 보급된 전체 PC(약 2800만대)의 약 16%에 해당하는 것이다.NHN 글로벌보안담당 최진혁 실장은 “기업에서 방화벽이나 안티바이러스 프로그램을 설치하는 것보다 사용자 PC에 최신 보안패치를 하는 것이 더 효과적이라는 판단에서 보안패치를 보급하게 됐다.”면서 “게임을 하기 전에 보안패치를 설치하겠다는 승인 버튼만 누르면 패치파일을 자동으로 내려받을 수 있어 반응이 좋다.”고 말했다. 이 추세라면 600만대의 PC에 보안패치를 보급하겠다는 계획도 조만간 달성할 수 있을 것으로 보인다. 한국MS 관계자는 “한국시장에 보안의 중요성에 대한 인식이 확산되고 있다.”면서 “MS도 사장흐름에 맞춰 투자의 1순위로 가져갈 것”이라고 밝혔다. ●보안패치 시장수요도 급증 정보통신부는 보안패치 보급 프로젝트를 적극 확대하기로 했다. 한국정보보호진흥원과 한국MS가 참여한다. 정보보호진흥원 김우한 인터넷침해사고 대응센터장은 “해킹, 컴퓨터 바이러스 등 인터넷 공간을 위협하는 공격 수위는 날로 높아가는 데 반해 한국은 여전히 스팸메일, 대규모 ID 도용 사태, 해킹 경유지 등으로 악용되고 있다.”면서 “연말까지 전체 PC의 80%에 보안 패치를 설치하겠다.”고 밝혔다. 한국MS는 또 정보보호진흥원과 함께 웹서버 개발자들을 대상으로 보안교육도 지난 1월부터 진행하고 있다. 서울, 대구, 부산, 광주 지역의 공공기관 보안 담당자를 대상으로 한 보안 교육도 하고 있다. 한국MS 보안총괄 조원영 이사는 “보안 패치는 어린 아기에게 가장 기본적이고 필수적인 백신을 맞게 하는 것과 같은 것”이라고 말했다. 최용규기자 ykchoi@seoul.co.kr

포털과 언론사 사이트를 해킹, 트로이목마를 심어놓고 게임ID 등을 훔쳐가는 사고가 잇따라 발생, 주의가 요망된다. 한국정보보호진흥원(KISA)은 11일 ‘9월 인터넷 침해사고 동향 및 분석월보’를 내고 “최근 국내 유명 웹사이트가 해킹돼 사용자 PC의 게임 ID와 비밀번호 등 주요 정보를 유출하는 트로이목마가 몰래 심어진 사례가 잇따라 발생했다.”고 밝혔다.KISA가 적발한 사이트는 국내 800여곳, 해외 100여곳이다.KISA는 “사용자는 인터넷 브라우저 등에 반드시 최신 보안 패치를 적용해야 한다.”고 권고했다.

6월은 ‘정보문화의 달’.18번째를 맞는 올해도 90여개의 다채로운 행사가 준비돼 있다.‘u코리아-따뜻한 디지털 세상 구현’이란 주제로 행사가 진행된다. 정통부는 오는 14일 서울 삼성동 코엑스에서 기념식을 갖고,‘사이버 명예시민운동본부 발대식’을 개최한다. 9∼11일 서울 삼성동 코엑스 컨벤션홀에서는 장애인을 위한 제품 및 기술을 소개하는 ‘정보통신보조기기 전시회’가 준비돼 있다. 또 이 기간에 전국 8개 지역에서 500명의 장애인이 정보검색, 게임 등 정보통신 활용능력을 겨루는 ‘장애인정보화 한마당’도 열린다. 한국정보문화진흥원과 장애인재활협회가 주관한다. 1∼30일에는 전국 지역 체신청과 정보문화진흥원이 55세 이상을 대상으로 ‘2005년 어르신 정보활용대회’를 열고,SK텔레콤은 15일 코엑스 컨벤션홀에서 전국 134개 특수학교 학생이 참가하는 ‘장애청소년 IT 챌린지대회’를 열어 장애유형별로 정보검색 및 정보 활용대회를 가진다. 9일에는 네티즌들이 인터넷 웹상에서 미리 지정한 정보를 수집한 뒤 특정사이트에 등록·전시하는 ‘인터넷의 하루@2005 캠페인 행사’가 열린다. 건전하고 깨끗한 컴퓨터와 인터넷 이용환경 조성을 위한 ‘e클린 코리아’캠페인 지역순회대회도 18일 정보통신윤리위원회 주관으로 부산제주 등지에서 개최된다. 10∼16일에는 정보통신윤리위원회 주관으로 인터넷을 통한 불법유해정보 근절을 위한 ‘불법 청소년 유해정보 신고대회’도 열릴 예정이다. 이밖에 아시아유럽정상회의(ASEM) 38개 회원국의 정보보호 관련정보 교류 및 정보보호 협력강화, 침해사고 공동대응체계 구축을 위한 ASEM 사이버 보안워크숍이 23,24일 양일간 서울 르네상스호텔에서 열린다. 정기홍기자 hong@seoul.co.kr

정부는 15일 해킹 피해가 국가기관은 물론 민간기업에도 확산될 수 있다고 판단,오는 8월부터 주요 인터넷 서비스제공업체(ISP),인터넷 데이터센터(IDC) 등을 대상으로 해킹사고 신고를 의무화하기로 했다. 이에 따라 주요 ISP,IDC 등의 해킹사고 관련정보 상시제공과 해킹 사고 신고가 의무화돼 해킹사고 정보의 체계적 수집 및 조기탐지 능력이 대폭 강화된다. 정보통신부는 이날 국가정보원,국방부,경찰청 등 정부 관계기관과 주요 ISP,백신업체,침해방지시스템(IPS)업체 대표 등이 참석한 가운데 ‘민간부문 해킹·바이러스 방지대책협의회’를 열어 이 같이 결정했다. 정통부는 특히 민간부문의 해킹사고 대응협력체계를 강화하기 위해 주요 ISP,IDC,백신업체 등 해킹관련 대응기관과의 정보공유 체계를 강화하고 한국정보보호진흥원의 ‘사이버118 해킹신고센터’와 전국 226개의 민간침해사고 대응팀(CERT)과 연계해 ‘해킹대응전담팀’을 설치키로 했다. 또한 주요 ISP,IDC 들에 해킹접속경로를 차단하게 하고,주요 소프트웨어 제작업체 등에는 취약점 보완 프로그램을 제작하게 하는 한편 언론기관과 포털업체에 예·경보 전파요청을 할 수 있는 법적 근거도 마련된다. 60여명의 정보보호 전문가 풀을 구성해 해킹관련 정보교류를 통해 대응능력을 강화하고 해킹사고 발생시 전문가 풀 인력중심으로 ‘민·관 합동조사단’을 구성해 신속히 사고원인을 조사·분석해 피해확산을 최소화하기로 했다. 정기홍기자 whoami@seoul.co.kr˝

우리 국민 대부분은 6월 하면 ‘호국보훈의 달’을 떠올릴 것이다. 해마다 맞이하는 6월은 동족상잔의 비극인 6·25가 일어난 달로 우리는 순국선열과 호국영령들의 위국헌신을 기리며 그분들의 희생을 헛되게 하지 말자는 엄숙한 다짐을 되새긴다. 그러나 정보통신(IT)분야에 몸담고 있는 사람들은 ‘호국보훈의 달’에 더해 ‘정보문화의 달’ 또한 떠올리게 된다. 6월 셋째주를 ‘정보보호 주간’으로 제정한 올해부터 필자같은 정보보호 종사자들은 6월이면 ‘정보보호’를 가장 먼저 떠올리게 될 것이다.선배들이 갈고 닦은 ‘IT강국 코리아호’가 차질없이 순항할 수 있도록 정보보호의 기반을 더욱 든든히 닦아야 한다는 책임감 때문이다. 6월은 우리 나라가 1967년 경제기획원에 최초로 컴퓨터를 도입한 달이고,1987년 전국 전화자동화가 완성된 달이어서 정부는 이를 기념하고 IT산업을 진작하기 위해 ‘정보문화의 달’을 제정했다. IT육성을 위한 이같은 집중적인 홍보에 힘입어 우리나라는 인터넷 보급률 및 초고속통신망 보급에 있어서 그 어느 나라보다 앞선 통신 인프라를 자랑하는 IT강국으로 발돋움할 수 있었다. ‘정보보호 주간’이 ‘정보문화의 달’의 한 가운데에 자리한 것도 이와 비슷한 맥락이다.안전한 디지털 사회를 구축하기 위해서는 정보보호가 필수적이란 상징적인 의미와 함께 정보보호를 개인부터 실천하자는 강력한 메시지를 전파하기 위해서다. 우리 나라는 IT강국의 기세를 몰아 BcN(브로드밴드 컨버전스 네트워크)의 도입과 유비쿼터스 환경의 구현을 적극 추진해가고 있다. 하늘을 찌를듯한 웅장한 건축물은 그림자 역시 거대하기 마련이어서 눈부신 IT 발전과 함께 침해사고 발생 위협의 증가,스팸메일의 급증 등 부작용도 덩달아 커지고 있는 상황이다. 2001년 발생한 컴퓨터 바이러스 ‘님다’의 경우 국내에 유입돼 확산되는데 8시간 걸렸으나 2003년 발생한 슬래머는 단 수십분 만에 전세계에 확산됐다. 게다가 소프트웨어나 운영체제의 취약점이 발견되면 미처 이에 대한 백신이 개발되기도 전에 곧바로 이를 악용해 PC를 작동불능 상태로 만들거나 망가뜨리는 바이러스가 출현하는 소위 ‘제로 데이’ 확률도 높아지고 있는 실정이다. 안전한 디지털사회 구현의 걸림돌이 되는 이같은 위협요소를 제거하려면 정부와 공공기관,기업의 노력만으로는 불충분하며 PC와 인터넷 사용자인 개인과 단체들의 자발적인 정보보호 활동이 무엇보다 중요하다. 필자는 정보보호 활동을 양치질에 비유하곤 한다.우리가 하루도 거르지 않고 양치질을 하는 것은 치아를 건강하게 유지하기 위해서다.이와 마찬가지로 개인들이 쓰는 PC는 물론이거니와 거미줄처럼 연결된 인터넷 망을 건강하게 지키기 위해서는 정보보호 활동을 게을리 해서는 안 된다. 이에 따라 정부는 민간단체인 정보보호실천협의회를 중심으로 한국정보보호진흥원과 함께 개인과 단체들의 정보보호 인식을 크게 높이고 정보보호에 관한 책임과 의무를 강조하는 민간자율의 정보문화운동을 대대적으로 추진해 나가고 있다. 특히 정보문화운동을 조기에 확산시키고 디지털 안전사회 구현의 기틀이 정보보호임을 일깨우기 위해 이번에 ‘정보보호주간’이 지정된 것이다. ‘정보보호 주간’은 그 주간만 정보보호 활동을 해달라는 것이 아니라 1년 365일 정보보호를 게을리하지 말아야 한다는 범국가적인 주문임을 잊지 말아야 할 것이다. 정보보호 주간을 계기로 PC나 소프트웨어의 보안수칙을 새삼 되새기고 이를 일상화함으로써,안전한 디지털 세상을 함께 열어가기를 기대한다. 이홍섭 한국정보보호진흥원장˝

악성 바이러스의 일종인 웜(Worm)의 ‘전성시대’다.변종에 변종을 거듭 낳는 데다 정교해지고 파괴력이 강해지는 웜 제작기술에 전문가들도 혀를 내두를 정도다.웜은 컴퓨터 바이러스의 일종으로 인터넷을 통해 다른 컴퓨터에 자신을 복제할 수 있는 악성 프로그램이다. ●올 국내 바이러스 피해의 87% 차지 컴퓨터보안업체 한국트렌드마이크로에 따르면 올해 1·4분기 동안 전세계에서 ‘빨간 경고등’을 켜게 했던 웜의 수는 모두 232개에 이른다.지난해 같은 기간 35건에 비해 6.6배나 증가했다.국내 웜 피해도 확산되고 있다.올들어 지난달말 현재 정보통신부 산하 한국정보보호진흥원이 집계한 국내 바이러스 피해신고 건수 2만 8333건 가운데 2만 4627건이 웜의 피해이다.전체의 86.9%를 차지할 정도로 피해가 크다. 전파수법도 교묘해졌다.궁금증을 유발하는 제목을 단 전자메일로 웜이 전파되는 것은 이미 고전적인 수법이다.압축된 파일이나 그림파일 등과 함께 전송되거나 최근에는 메일을 열지 않아도 PC가 인터넷에 연결돼 있기만 하면 감염되는 신종 웜 ‘사세르’(Sasser)까지 등장했다.파괴력 또한 가공할 만하다. 지난해 국내 초유의 인터넷 대란을 만들어냈던 ‘슬래머 웜’은 ‘첨단기술의 집약체’,‘웜의 핵폭탄’이라는 별명답게 초당 4만개의 공격패킷을 내뿜었다.정통부 관계자는 “미친 천재가 만들었거나 우연에 의한 개발이라 여겨질 정도로 정교한 프로그램”이라면서 “앞으로 이 정도의 프로그램이 다시 등장하고 변종까지 나타난다면 인터넷 대란을 막을 수 있을지 걱정”이라고 솔직하게 말했다. ●생성주기 짧아져 제때 대응 어려워 더욱 큰 문제점은 점점 제작속도가 빨라져 보안패치를 설치하는 등 대응을 하기 어려워진다는 점이다.지난 2001년 등장한 웜 ‘님다’는 생성까지 1년이 걸렸지만 지난해 1월 국내 인터넷을 마비시킨 ‘슬래머 웜’은 185일만에 탄생했다.지난해 8월 발견된 블래스터 웜은 26일로 생성주기가 짧아졌다.급기야 지난 3월20일 나타난 위티 웜은 보안 취약점이 발견된 지 불과 이틀 만에 태어나 업계를 긴장시켰다. 웜은 언더그라운드에서 활동하는 해커집단에 의해 만들어지는 것으로 추정되지만 실제로 이들의 꼬리가 잡힌 예는 아주 드물다.정통부의 인터넷 침해사고 대응 지원센터 임재명 과장은 “최근 만들어지는 웜은 작업의 양이나 전문성으로 볼 때 철저히 분업화된 전문가 집단에 의해 만들어지는 것으로 보인다.”면서 “웜이 생성,전파되면 제작자를 찾아내겠다며 미 연방수사국(FBI)등이 수사에 나서지만 기껏해야 전파자들을 잡는 수준”이라고 말했다.다행히 아직 웜이 국내에서 제작된 징후는 없다. 보안전문가들은 웜을 잡는 가장 쉬운 대안은 제때 보안패치를 설치하는 것이라고 조언한다.프로그램의 보안 취약점을 공격하는 웜을 백신으로 막는 것은 ‘임시방편’에 불과하기 때문이다.하지만 개인은 물론 대부분의 공공기관과 기업에서도 보안 패치파일 설치의 중요성을 무시하기 일쑤다.한국트렌드마이크로 바이러스보안센터 이상규 부장은 “대기업마저 보안 패치 업데이트를 2년 이상 방치하는 등 관리가 소홀하다.”면서 “운영체제 제작사는 소비자가 패치파일을 손쉽게 설치할 수 있도록 시스템을 구축해야 한다.”고 지적했다. 유영규기자 whoami@seoul.co.kr˝

거리 곳곳에 가을 콘서트를 알리는 현수막이 걸려 있다.영어를 워낙 좋아하는 나라여서 그런지 이제는 콘서트 대신 음악회라고 써놓은 현수막을 찾아보기 어렵다. 정보보호 관계자들도 ‘콘서트’를 한다.영어로는 ‘음악회’와 같이 ‘CONCERT’라고 쓴다.하지만 이 말은 ‘침해사고대응팀협의회’의 영문 약자다.여기서 ‘CON’은 컨소시엄의 줄임말이다.그렇다면 ‘CERT’는 뭔가.미국에서 처음 만들어진 이 말의 본뜻은 ‘컴퓨터(Computer),비상사태(Emergency),대응(Response),팀(Team)’이지만 우리나라에서는 ‘침해사고대응팀’이라고 부른다. ‘컴퓨터 비상사태’란 당초 컴퓨터의 정상가동을 방해하는 온갖 상황을 지칭했지만 지금은 악성 코드,쉽게 말해 바이러스가 주로 인터넷을 타고 침투하는 것을 가리킨다.그래서 우리나라에서는 이 용어를 ‘침해사고’라고 바꿔 부르는 것이다.바이러스가 스스로 침투하는 것이 아니라 해킹을 통해 퍼지므로 해킹 역시 ‘침해사고’의 큰 몫을 차지한다. 우리나라에는 현재 180여개의 침해사고대응팀(서트)이 있다.대한항공팀,KAIST팀,정보통신부팀 등이다.이들 팀이 모여 콘서트를 한다.필자가 몸담고 있는 한국정보보호진흥원은 대한민국을 대표하는 팀이라고 해서 국제사회에서 CERTCC-KR라고 불린다.여기서 CC는 ‘조정센터’,KR는 ‘코리아’를 각각 가리킨다.미국에서는 서트를 창시한 카네기 멜론대학이 정부기관인 연방컴퓨터사고대응센터와 함께 공동으로 국가 대표팀을 맡고 있다. 전 세계 국가 대표팀들이 모인 연합체는 FIRST라는 멋진 이름으로 불린다.우리말로 옮기면 ‘침해사고대응팀포럼’이다.‘서트의 유엔’인 셈이다.얼마 전 한국정보보호진흥원 소속 연구원이 아시아에서 처음으로 FIRST 운영위원에 선출되어 뉴스가 되기도 했다. 일정 정도 이상으로 컴퓨터를 많이 사용하는 조직이라면 서트를 갖추는 것이 정보보호를 위해 바람직하다.서트들끼리는 세계적으로 공조가 잘된다.컴퓨터 전문가들이어서 정보교환 속도도 매우 빠르다.어떻게 하면 침해사고를 효과적으로 예방하고 대응할 것인지를 놓고 정보교환을 하는 것은 정보보호에 있어 대단히 중요하다. 하지만 서트만으로는 날로 지능화하고 광역화하는 네트워크 침해사고에 대응하기에는 역부족이라는 사실을 우리는 지난 ‘1·25 인터넷 대란’을 겪으면서 절감하였다.정보교환 차원의 서트활동에서 한걸음 더 나아가 더욱 능동적으로,그리고 좀더 욕심을 내어 아예 실시간으로 주요 인터넷 네트워크 상의 데이터 움직임을 감시해 이상징후가 보이면 즉각 대응해야겠다는 생각을 하게 되었다.그래서 이를 즉각 행동에 옮기기로 하고 인터넷침해사고대응지원센터를 한국정보보호진흥원 내에 구축하기로 했다.이 센터는 연내 가동을 목표로 지금 구축에 박차를 가하고 있다.실로 세계 최초의 능동형 대응센터가 문을 열게 되는 것이다. 미국 IT잡지 컴퓨터월드 최신호는 미국에서도 우리와 비슷한 노력을 기울이고 있다는 사실을 소개하고 있다.앞에서 소개한 미국 대표 서트가 200여 단위 서트들로부터 사이버 공격 징후를 실시간으로 수집하여 자동 분석한 다음 대응에 들어간다는 것이다.이 프로젝트를 주도하는 본토 안보부 관계자는 사고 대응시간을 30분이내로 끌어내리는 것이 목표라고 최근 의회에서 증언하면서 내년 말까지 시간을 달라고 했다.우리는 ‘30분 이내 대응’ 체계를 연내 구축할 예정이다. 김 창 곤 한국정보보호진흥원장

통신위원회는 지난 ‘1·25 인터넷 침해사고’가 통신사업자에게 일부 책임이 있다며 녹색소비자연대를 통해 손해배상을 요구한 네티즌 23명에게 배상하라고 13일 결정했다. 이같은 결정은 사고 당시의 인터넷 가입자 1130만명이 모두 피해자로 인정될 수도 있고,참여연대 등이 별도로 소송을 진행하고 있어 상당한 파장을 불러일으킬 전망이다. 통신위는 녹색소비자연대가 네티즌 23명을 대리해 KT,하나로통신,두루넷,온세통신을 상대로 신청한 ‘1·25 인터넷 침해사고’ 손해배상 요구에 대해 이들 회사가 면책요건인 불가항력을 충분히 입증하지 못했다고 판단,이같이 결론을 냈다. 이들 회사는 3시간40분에서 5시간의 인터넷 서비스 중단에 대해 이용자별로 100∼300원씩의 배상을 해야 한다.만일 1130만명 모두에게 배상하게 된다면 최대 34억원이 소요된다. 통신위 관계자는 “서비스 중단시간의 최고 3배까지 배상토록 돼 있지만 이번 사고는 외국에서 발생해 국내 사업자들만의 책임이라고 보기 어려워 실제 서비스 중단시간만을 배상토록 결정했다.”고설명했다. 1·25 인터넷 침해사고는 1월25일 오후 2시30분쯤부터 ‘슬래머 웜’이 급격히 전파되면서 초고속인터넷 서비스의 장애가 발생,정상적인 서비스를 제공하지 못한 것이다. 정기홍기자 hong@

올여름은 벌레잡이 소동 속에 지나가 버렸다. 지난달 블래스터,웰치아,소빅F라는 컴퓨터 벌레(worm·웜)가 잇따라 출현해 필자를 바싹 긴장시켰기 때문이다.이들 벌레는 전세계 컴퓨터 수백만대를 마비시켰다.특히 웰치아는 캐나다항공의 체크인 시스템,미국 해군·해병대 컴퓨터의 75%를 마비시켰다. 지난 1월 인터넷 침해사고를 계기로 네트워크 이상 징후 관측체계를 대폭 정비한 덕분에 우리나라는 다행히 이들 웜으로 인한 피해를 예상보다 미미한 선에서 막는 데 성공했다. 웜은 바이러스가 진화한 것이다.바이러스가 컴퓨터를 노린다면 웜은 네트워크를 공격 표적으로 삼는다.그리고 마치 진짜벌레처럼 급속한 자기복제를 통해 순식간에 인터넷을 점령한다. 이런 현상은 왜 벌어지는가.뉴욕대의 닐 포스트 교수는 기술을 한껏 뽐내 보고자 하는 ‘기술 애호족(族)’과 새 문명을 거부하려는 ‘신(新)러다이트족’ 이론으로 설명한다. 하지만 당장 급한 우리의 관심사는 웜 또는 바이러스를 어떻게 막느냐이다. 바이러스는 컴퓨터 프로그램의 보안 취약점을 뚫고 침투한다.아무리 잘 만든 프로그램이라도 허점은 있게 마련이다.따라서 해커는 이 틈을 비집고 바이러스를 흘려 보낸다.하지만 프로그램 제작사는 대부분 해커의 공격이 있기 전 취약점을 찾아내 보완한다. 고작 2만개의 부품으로 이루어진 자동차도 툭하면 결함이 발견되어 리콜을 하는 마당에 수천만 줄의 복잡한 코드로 이루어진 운영체계 같은 컴퓨터 프로그램에 취약점이 없기를 기대하기는 현실적으로 무리이다. 그렇다면 프로그램 소비자는 어떻게 하면 되는가.프로그램의 취약점을 보완하고 바이러스를 퇴치할 처방을 실행하면 된다.전자를 패치,후자를 백신이라고 부른다.패치는 프로그램 제작사에서,백신은 백신전문회사에서 만들어 배포한다. 이 두 가지 조치를 충실히 하면 바이러스의 90% 이상을 막을 수 있다.막지 못하는 나머지 10%는 우리가 아직 모르는 바이러스라고 보면 된다.이 두 가지 방법을 종합적으로 안내하는 곳은 한국정보보호진흥원(KISA,www.kisa.or.kr)이다. 블래스터 웜의 공격표적이 된 윈도 NT,2000,XP를 탑재한 국내 컴퓨터는 약 450만대이다.이들 운영체계의 제작사인 마이크로소프트(MS)는 자사 프로그램이 웜 공격을 받을 수 있음을 알아내고 이를 방지할 패치를 만들어 이미 지난해 7월 공표했다. 하지만 한국인이 어떤 사람들인가.막상 일이 터져야만 수습에 나서는 느긋한 성격의 소유자들로,MS나 KISA의 잇단 권고에도 불구하고 야속할 정도로 패치에 대해 무관심으로 일관했다. 그러다가 마침내 블래스터가 내습했다.KISA와 MS는 다시 목이 터져라 “패치하세요.”를 외쳤고,그 바람에 MS를 통해 266만대가,안철수연구소 등 국내 백신회사를 통해 100만대가 패치를 받아갔다.그래도 100만대 가까이 남은 컴퓨터들을 살리기 위해 MS와 KISA는 패치 프로그램을 담은 CD 10만장을 제작해 전국에 배포했다.이렇게 해서 이제 패치는 어지간히 이루어진 것 같다.하지만 이 얼마나 국력의 낭비인가. 정보보호는 어렵고도 쉽다.어려운 부분은 전문기관·기업에서 맡는다.자동차 운전자가 정비까지 공부하자면 얼마나 골치가 아프겠는가.쉬운 부분은 일반 PC 사용자의 몫이다.일반인은그저 생활 속에서 정보보호를 실천하기만 하면 된다. 문단속하듯 컴퓨터 보안패치와 백신사용이 하루바삐 일상화하기를 기대한다. 김 창 곤 정보보호진흥원장

올해 초 ‘인터넷 대란’을 겪었지만 국내 공공기관 등의 정보보호 수준은 선진국에 비해 크게 낮은 것으로 나타났다. 28일 정보통신부가 발표한 자료에 따르면 공공기관과 기업들의 IT(정보기술) 투자대비 정보보호분야 투자비율은 5% 이하로 지극히 낮았다.미국의 경우는 평균 10.6%이다.정보보호 전담조직을 운영하는 곳도 15.7%에 불과한 것으로 조사됐다. 정통부는 지난 3∼4월 두달간 국내의 공공 및 금융기관,학교,인터넷접속서비스사업자(ISP) 등 총 3563개 기관 및 이용자들을 대상으로 정보보호 실태를 조사했다. 중앙부처와 지방자치단체 등 공공기관의 경우 서버,네트워크 등 침해사고 예방 점검도구를 확보한 곳은 8.6%에 그쳤고,정보보호 전담부서에 비전문 행정인력을 배치하는 등 실무인력의 전문성이 매우 낮은 것으로 지적됐다.특히 공공기관의 IT 투자대비 정보보호 투자비율은 5% 미만이 66.6%로 금융기관(53.3%),학교(22.4%) 보다 많아 정부기관이 투자에 인색했다. 또 정보보호 정책과 지침을 수립한 곳은 전체적으로 29.7%로 매우 낮았고정기적으로 보안감사 활동을 하는 곳도 23.6%에 불과했다.공공기관은 81.5%가 정보보호정책 및 지침을 수립하고 있으나 대다수가 보안침해사고에 대한 별도의 대응계획을 수립하지 않아 사고발생시 신속한 대응이 어려운 실정이었다. 초·중·고교 및 대학 등 학교는 체계적인 정보보호 활동이 미흡하고 특히 초·중·고교의 경우 전문인력이 전무해 기본적인 정보보호 활동조차 이뤄지지 않고 있었다.ISP들은 침해사고 예방을 위한 주요 접속지점간 통신량 점검과 주요 설비에 대한 상시적인 접속기록 분석,사업자간 협력체계 등이 미흡하다는 평가를 받았다. 정통부는 “이 결과를 국정원과 교육부 등 관계 부처에 통보해 미비점을 보완·개선토록 할 계획”이라고 밝혔다. 정기홍기자 hong@

행정자치부는 12일 전자정부의 핵심 인프라인 정부고속망과 민원서비스혁신사업(G4C) 시스템을 해킹과 바이러스,사이버테러 등으로부터 보호하기 위해침입·차단시스템과 바이러스 방역시스템 등의 첨단 보안장비를 갖춘 통합보안관제실을 개통했다. 이에 따라 그동안 중앙·과천·대전청사 등 각 센터별로 분산 관리하던 정보보안업무를 중앙에서 통합관리하게 됨에 따라 24시간 해킹과 바이러스 등을 감시할 수 있으며,해킹사고가 발생할 경우 정부부처간의 상황전파와 공동대응이 가능하게 됐다. 또 전자정부시스템의 안정성과 보안성이 크게 강화되면서 국민들의 개인정보와 사생활을 적극 보호할 수 있게 돼 전자정부사업에 대한 국민들의 신뢰를 확보하는데 기여할 것으로 보인다. 행자부 관계자는 “최근 해킹과 바이러스 등 사이버 범죄가 급격히 늘어나면서 국민 개인정보 보호의 중요성이 점차 높아지고 있다.”면서 “내년에는 해킹과 사이버테러 등에 공동으로 대응할 수 있는 ‘침해사고공동대응팀(CERT)를 별도로 만들어 정보보호를 더욱 강화할 방침”이라고 밝혔다. 조현석기자 hyun68@

정보화의 급속한 진전은 적잖은 부작용을 초래하고 있는데 개인정보 침해사고가 그 하나다.인터넷상이나 각종 기관에서 발송하는 우편물을 비롯,일상생활에서 주고받는 사업자등록증이나 증명서 등을 통해 알게된 주민등록번호와 주소 등이 유출돼 버젓이 판매되는 지경이다.실제로 70만원만 주면 600만개의 도메인 주소를 넘겨 주겠다는 메일이 곳곳에 수시로 등장할 정도다.이같이 판매되는 도메인 주소와 개인정보들이 일상생활속에서 적어낸 자신의 정보가 흘러나온 것이 대부분이어서 사태가 매우 심각하다. 문제는 피해신고 내용의 상당수가 피해자의 개인정보를 미리 파악해 벌어진다는 점이다.하지만 올들어 신고된 건수 가운데 분쟁조정이나 법적조치가 취해진 것은 1000건을 밑돌고 있어 업체의 자율적 규제강화는 물론 당국의 단속과 제재가 필요하다. 공공기관에서 사용하는 서류의 개인정보 기재를 최소화하거나,유출이 확인될 경우 처벌을 크게 강화해 정보유출이 심각한 사회범죄로 인식되도록 해야 한다.개인정보 유출 및 매매방지를 위한 강력한 법규 제정이 시급히 요청된다. 윤인중[인천 남구 용현3동]