오늘날 현실은 사이버 세계와 점차 밀접한 관련을 맺으면서 마치 영화 매트릭스와 같은 상황을 연출하고 있다. 매트릭스처럼 죽음까지 전달되는 것은 아니지만, 사이버 세상에서 얻은 이익이나 손해가 실생활로 연계되는 세상에 살고 있는 것이다.

매트릭스는 현실이다
온라인 게임을 둘러싼 상황은 이를 반증한다. 인기 게임에서 성능이 높은 무기들은 수십만원을 호가하며, 10억원은 1만원, 100억원은 10만원 등으로 사이버 머니가 거래되기도 한다. 음성적으로 진행되던 사이버 머니, 게임 아이템 거래를 양성화시킨 게임 아이템 거래 사이트에서는 인기 게임에 대해 마치 환율정보나 주식현황판과 같은 시세표를 제공하고 있으며, 일부 판매자들은 현금영수증도 발급하는 등 기업화된 모습을 보이고 있기도 하다.

따라서 게임 도중 사이버 머니를 잃게 되거나 고가의 아이템을 잃어버리는 것은 곧 현실의 개인 자산 손실과 마찬가지가 된다. 이들은 거래를 통해 현금 전환이 가능한 자산이기 때문이다. 즉, 매트릭스에서의 고통이 곧 현실의 고통으로 연결되는 것처럼 사이버 게임에서의 자산 손실이 곧 현실 자산 손실인 세상에 살고 있는 것이다. 전세계적으로 인기를 끌고 있는 ‘세컨드라이프’는 실세계와 가상세계의 밀착을 보여주는 또다른 사례다.

현대판 매트릭스라고 할 수 있을 정도로 현실세계를 유사하게 모사하고 있는 세컨드라이프에서는 BBC, ABC 등의 방송국이 들어와 인터뷰를 진행하고, 이 인터뷰를 방송하기도 한다. 또 IBM, 도요타 등의 기업들도 세컨드라이프에 지사를 설립해 기업을 홍보하고, 물품을 판매하고 있으며, 현실 선거전에도 이용돼 힐러리 클린턴이 세컨드라이프에서 대형 간판과 헬기를 이용해 지지를 호소하기도 했다.

세컨드라이프는 게임 내 환전소를 통해 세컨드라이프 화폐인 린든달러를 실제 달러로 교환할 수 있어 세컨드라이프 내 가상세계에서 비즈니스를 펼쳐 실제 기업을 운영하는 것이 가능하다. 이에 호주 등에서는 세컨드라이프에서의 수익에 실제 세금을 매기기도 할 정도이며, 미국에서도 세컨드라이프 수익에 대한 소득세 부과를 검토중인 것으로 알려진다.

세컨드라이프로 성공신화를 이룬 대표적인 기업인도 존재한다. 대표적인 사람이 ‘안시 청’. ‘안시 청(Anshe Chung)’이란 이름의 아바타를 소유한이 중국계 독일인은 세컨드라이프의 땅을 사들이고, 이를 개발(조경, 도로, 공공시설 건립)해 분양하는 세컨드라이프 내 부동산 개발사업을 통해 막대한 수익을 벌어들였다.

현재 안시 청의 세컨드라이프 부동산 개발회사인 ‘안시 청 스튜디오’는 30여명의 직원을 고용하고 있으며, 2006년 회사의 자산가치가 100만달러를 넘어섰다고 발표하기도 했다. 여기서의 100만달러는 린든달러가 아닌 미국 달러다. 세컨드라이프는 이름 그대로 또다른 세계가 되고 있으며, 이를 두고 몇몇 호사가들은 “아메리카 대륙 발견에 버금가는, 아니 그 이상의 신대륙 발견”이라고 말할 정도다.

은행·청와대도 ‘구멍 송송’
현실과 가상세계가 밀접히 연결됨에 따라 사이버 공격을 통한 수익 확보의 가능성도 높아졌다고 할 수 있다. 게임 이용자의 계정정보를 탈취한 후 그가 소중히 모아놓은 아이템과 사이버 머니를 판매해 돈으로 환전할 수 있기 때문이다. 이에 금전적 이익을 목적을 사이버 세계를 위협하는 공격들은 더욱 증가하고 있으며, 이에 비례해 IT 보안에 대한 요구 또한 점차 높아지고 있다.

이러한 현상이 IT가 발전하면 할수록 심화돼 공격은 더욱 증가할 것으로 예상되며, 사이버 세상에서의 피해가 실생활에 미치는 영향은 더욱 더 커질 것으로 전망되고 있다. 이제 보안의 중요성은 아무리 강조해도 지나치지 않은 시대에 접어든 것이다.

하지만, 최근 보안사고가 잇따라 발생하면서 전사회적으로 불안감이 점점 확산되고 있다. 1천만명의 개인정보가 유출된 대형 인터넷 쇼핑몰의 보안사고를 비롯해 최고 수준의 보안수준을 자부하던 금융기관은 물론, 한나라당, 청와대 등이 해킹에 무기력하게 뚫리면서 보안에 적색등이 켜진 상황 이다. 우리나라는 1천500만에 달하는 초고속인터넷 가입자에서도 알 수 있듯 생활의 많은 부문에 IT가 깊은 연관을 맺고 있다.

특히 우리나라의 인터넷뱅킹 가입자는 4천만명을 넘어섰으며, 연간 9천조원 이상이 인터넷을 통해 거래되고 있어 IT 보안이 무엇보다 중요하다고 할 수 있다. 하지만, 잇단 보안 사고는 IT 강국을 자부하던 자존심에 상처를 입힌 것을 넘어 사회적 불안감을 확산시키고 있다. 난공불락일 것으로 여겨지던 금융기관은 물론, 대한민국의 심장부라 할 수 있는 청와대까지 속수무책으로 악의적 해킹에 노출됨으로써 IT 시대의 근간을 흔들고 있는 것이다.

또한 알려진 사례들은 빙산의 일각으로, 알려지지 않은 보안 사고는 이보다 더 많을 것으로 전문가들은 추정하고 있다. 보안사고가 기업 이미지에 타격을 줄 수 있기에 많은 기업들이 보안 사고가 발생해도 이를 은폐하는 데 급급하다는 설명이다.

나아가 보안 전담이 전무해 해킹사고를 당하고도 이를 인지하지 못하는 경우도 상당수에 달할 것이라는 게 전문가들의 분석이다. 이러한 이유로 일각에서는 ‘주민번호가 노출돼 있지 않은 사람은 대한민국 국민이 아니다’란 웃지 못할 얘기까지 나돌고 있다.

이러한 무시무시한 얘기가 농담처럼 나돌 정도로 보안 사고가 빈번히 발생하고 있는 원인은 무엇일까. 전문가들은 발달된 IT 인프라에 비해 취약했던 보안 인식, 그리고 이로 인한 보안 인프라의 미비를 꼽는다. 정보보호 의식이 부족해 보안 투자에 소홀히 함으로써 보안 사고를 키웠다는 것이다.

정보보호기업들의 모임인 한국정보보호협회(KISIA) 회장을 맡고 있는 박동훈 닉스테크 사장은 “OECD 가입 국가들의 IT 보안 예산 평균이 전체 정보화 예산의 4% 정도인 반면, IT 강국을 자부하는 우리나라의 IT 보안 예산은 1%에도 미치지 않았다”며 “잇단 보안 사고가 불가항력적인 사고였다기보다는 보안의식 소홀이 가져온 인재(人災)”라고 지적했다.

이는 정부가 방관한 측면도 크다. 전문가들은 정보보호 미비에 대한 정부의 처벌강화를 한 목소리로 주문했다. 보안사고가 가져올 피해를 간과하고 보안 미비에도 미약한 수준의 과징금에 그쳐 기업이 보안 강화조치를 외면하는 결과를 가져왔다는 것이다.

보안사고가 문제시 되면서 행정안전부, 방송통신위원회 등 관련 기관에서 개인정보호보법 연내 제정과 처벌 강화 등을 발표했지만, 이 또한 아직 많이 부족하다는 것이 업계의 중론이다. 보안 솔루션 도입 비에도 미치지 못하는 과징금 수준에 그쳐 관련 법 강화가 기업의 보안 의식 향상을 이끌어내는 계기가 되기는 힘들다는 분석이다.

업계의 한 관계자는 “매우 높은 수준의 보안을 구현해도 보안사고를 100% 만드는 것은 불가능한 것이 사실이지만, 그렇다고 해서 보안 미비를 방관한다면 더 많은 보안 사고를 양산하게 될 것”이라며 “보안의 경우, 과도하다 싶을 정도의 처벌로 기업의 보안 강화를 이끌어내고 있는 다른 나라들의 사례를 참조해 법규를 강화하는 것이 필요하다”고 주장했다.

웹·엔드포인트 집중 ‘타깃’
굳이 전문가들의 의견을 들먹이지 않더라도 오늘날 공격이 집중되고 있는 것은 바로 웹과 엔드포인트다. 이유는 간단하다. 웹과 PC가 다른 부문보다 더 취약하기 때문이다. 나쁜 뜻을 품고 빌딩에 들어가려 할 때 보안요원이 있는 정문과 보안요원이 없는 뒷문 중 어느 것을 택하겠는가. 정문에 있는 보안요원이 아무리 허술해 보인다고 해도 뒷문이 열려 있고, 보안요원이 없다는 것을 안다면 당연히 뒷문을 선택할 것이다.

보안 위협 또한 마찬가지다. 상대적으로 잘 갖춰진 네트워크에 대한 공격보다는 취약점이 널려 있는 웹과 사용자들의 취약한 보안 인식으로 인해 허술하게 방치된 PC를 공격하는 것이 더욱 효율적이다.

이에 전방위적으로 위협이 상승한 가운데 상대적으로 보안이 취약한 웹과 엔드포인트에 대한 공격은 전세계적 위협의 가장 큰 경향으로 나타나고 있다. 이와 관련, 2007년 말 웹 위협은 2005년 초에 비해 무려 1,564%나 증가한 상황이라고 트렌드마이크로는 ‘2007보안위협보고서’를 통해 분석하고 있다.

우리나라 또한 웹 보안과 엔드포인트 보안에 비해서 네트워크 보안은 상대적으로 높은 편이다. 네트워크 보안의 기본인 네트워크 방화벽의 경우에는 이제 대다수 기업이 이를 도입해 있다고 평가된다. 그러나 웹 보안의 기본이라고 할 수 있는 웹 애플리케이션 방화벽(WAF)의 경우, 아직 도입이 제대로 이뤄지지 않았을 뿐 아니라 도입됐다고 하더라도 까다로운 특성을 보이는 WAF를 제대로 운용할 보안 인력이 없어 제 기능을 하지 못하고 방치되고 있는 일이 많다.

엔드포인트 단말의 취약점은 두 말할 나위가 없다. 한국정보호진흥원(KISA) 인터넷침해사고대응지원센터(KrCERT)에 따르면, 전세계 봇에 감염된 전세계 PC 중 국내 PC가 차지하는 비율은 10%를 상회(2007년 연평균 11.3%)한다. 이는 다수의 감염 PC가 많음을 의미한다.

이렇듯 높은 봇 감염률은 높은 PC보급률에 비해 낮은 보안 의식이 자리하고 있기 때문이란 것이 중론이다. 물론 앞서 언급한 것처럼 엔드포인트 기기의 취약성과 이를 통한 우회공격은 우리나라 만의 문제는 아니지만, 이를 이용한 공격이 성행하고 있다는 것은 커다란 사회적 문제가 되고 있다. 높은 봇 감염률은 공격자가 악의적 목적으로 분산서비스거부공격(DDoS)을 수행할 때 이용되고 있으며, 다수의 감염 PC를 이용한 DDoS 공격은 기업들의 대처를 어렵게 만드는 요인이 되고 있다.

오늘날 보안 사고를 일으키는 원인은 단 한 가지에 국한되지 않는다. IT가 발전됨에 따라 복잡한 양태를 띄고 있으며, 공격 또한 다양해졌기 때문이다. 특히 보안은 아홉 번의 공격을 방어하고 단 한 번의 공격을 놓친다고 해서 90점을 받을 수 있는 부문이 아니다. 놓친 단 하나의 공격으로 인해 모든 것이 무용지물이 되는 특성이 있어 전방위적인 보안강화, 사용자들의 인식 개선 등 총제적인 부문에서의 보안 강화가 요구된다.

총체적인 개선이 필요하지만, 보다 집중적인 개선이 필요한 부문은 존재한다. 모든 부문의 보안 수준과 환경이 동일하지는 않기 때문이다. 전세계적으로 공격이 집중되고 있는 웹과 엔드포인트 보안, 그리고 국내 보안 수준을 한 단계 더 향상시킬 수 있는 방안으로 관심을 모으고 있는 보안 관리 솔루션에 대해 알아본다.

물론 이들 이외에도 보안 강화의 필요성은 높다. 상대적으로 네트워크 보안에서도 보안이 잘 갖춰졌다는 네트워크 보안의 측면에서도 현재 이슈가 되고 있는 DDoS 공격 등에 대응해야 할 필요성이 존재하며, 사용자 인증 측면에서도 보강이 시급하다. 또 무선 인프라의 도입으로 무선보안도 강화돼야 하며, 기업의 핵심정보가 들어있는 데이터베이스(DB)의 보안도 보다 필요하다.

2회에 걸쳐 소개될 부문은 다만 가장 시급히 보안 수준 강화가 요청되는 것으로, 각 기업이 처한 현실에 맞춰 보안 강화정책을 구현하는 것이 필요하며, 무엇보다 중요한 것은 단순히 솔루션의 도입으로 모든 것을 해결하려는 것이 아닌 전사적 보안 수준 향상이란 과제 속에서 이를 위해 취약한 부문을 보강하고, 기 구축된 보안 인프라의 시너지 효과 또한 고려돼야 한다는 점이다. 즉, 나무가 아닌 숲을 보는 관점에서 보안의 수준 향상책이 요구되는 것이다.