‘3.20 사이버테러’ 1년, 변한 것과 변하지 않은 것은?

정보보호 정책·보안투자는 늘었지만 보안체계·의식은 미흡

사후 대응보다는 선제적인 대응으로 효과적 보안대책 마련해야

[보안뉴스 김태형] 1년 전 오늘, 2013년 3월 20일 국내 주요 방송사와 은행 전산망은 동시다발적으로 마비되는 사고가 발생했다. 이후 사람들은 이 사건을 두고 ‘3.20 사이버테러’라고 규정했다.

지난 3.20 사이버테러를 감행한 해커조직은 지난 2007년 2월 부터 우리나라를 대상으로 국가기밀정보 수집을 목적으로 하는 실질적인 사이버전을 수행해 왔던 것으로 드러났다.

이들은 공격 발생 수개월 전부터 본격적으로 공격 목표 기관의 내부 PC와 보안 관련 업데이트 서버를 이용해 악성코드를 심어 다른 PC에 유포시킨 다음, 잠복해 있다가 특정 시간에 동작하도록 하는 방식의 공격을 감행했다.

이러한 공격 방법은 APT(지능형 지속가능 위협, Advanced Persistent Threat) 공격으로, 오랜 시간 동안 지속적으로 보안이 취약한 부분을 통해 알려지지 않은 악성코드를 심어 다른 PC들을 감염시켜 이를 이용해 DDoS, 정보유출, 전산망 마비 등의 공격을 수행한다. 

3.20 사이버테러 발생 1년이 지난 지금, 웹 상에서의 악성코드 유포는 평소보다 2배 넘게 증가하고 있다. 한 보안전문 업체의 분석 결과, 접속만 해도 개인 PC에 악성코드를 감염시키는 악성코드 유포 사이트가 급증하면서 최근엔 1년 전의 상황과 비슷한 징후가 포착되고 있어 지난해와 같은 사이버테러가 충분히 발생할 수 있다고 분석하고 있다.

지난 3.20 사이버테러 이후 우리나라 사이버 보안 환경은 많은 변화를 가져왔다. 우선 지난해에는 국내 주요정보통신기반시설이 확대 지정됐고 보안투자도 많이 증가했다. 특히 APT(Advanced Persistent Threat)공격 대응 솔루션 도입도 눈에 띄게 확대됐다.

아울러 기업들은 스스로 정보보안 체계 구축에 적극적으로 나서는 계기가 되었으며 정부도 사이버 보안에 대한 전반적인 대책 마련을 위해 ‘정보보호 종합대책’을 마련한 점은 국내 정보보호 수준을 한단계 끌어올리는 커다란 변화다.

특히 지난해 사이버테러 이후 정부가 발표한 ‘정보보호 종합대책’에서는 청와대가 사이버 안보 컨트롤타워를 맡아 청와대·국정원·미래부 등 대응기관이 사이버 상황을 즉시 파악해 대처할 수 있도록 동시 상황전파 체계를 구축하고 민·관·군 합동대응팀을 중심으로 상호 협력키로 했다는 점은 괄목할 만하다.

하지만 여전히 변하지 않았거나 개선이 필요한 부분도 있다. 여전히 악성코드는 기승을 부리고 있으며 유포지와 유포행위는 더욱 확대되는 추세다. 또한 최근 연이어 발생한 카드사 및 이통사 등의 대규모 고객 정보유출 사건은 아직도 기업 보안체계 및 보안의식은 낮은 수준에서 벗어나지 못하고 있음을 반증하고 있다.

이에 대해 순천향대학교 염흥열 교수는 “최근 지능화되고 다양화된 사이버 공격과 사이버 테러에 대응하기 위해서는 사이버전 대응능력의 확보와 함께 국내·외 유관기관과의 사이버 보안 협력 강화도 필요하다”면서 “아직까지 우리는 보안사고 이후, 이에 대응하는 부분에 초점이 맞춰져 있다. 이제는 선제적 대응을 통해 보다 효과적인 보안대책을 마련해야 한다”라고 강조했다.

특히 그는 “방송사 등은 주요정보통신기반시설로 지정해서 보안을 해야 하는데 아직 지정되지 않은 점과 1년 전과 똑같은 웹 환경도 지적했다. 예를 들면 악성코드가 기승을 부리고 있는 가운데 지속적으로 악성코드가 유포되는 사이트에 대해서는 한국인터넷진흥원(KISA)이 모니터링과 관리를 통해 해당 사이트에 통보를 해주고 적극적으로 대응하도록 해야 한다”고 말했다.

또한 염 교수는 “정부주도의 보안정책을 통해 규제하기 보다는 기업이 자율적으로 위험도 평가를 통해 보안 규제와 이에 따른 책임을 지도록 해야 한다. 특히 보안사고 발생 시에는 피해보상 등 기업이 책임지도록 개선해야 한다

출처 : 보안뉴스