[사설]다른 기간전산망도 농협처럼 당할 셈인가

정부통합전산센터가 최근 실시한 모의 해킹방어 훈련에서 정부통합전산망이 손쉽게 해킹당했다. 대학의 연구소와 해커 동아리 회원들이 해킹 공격을 하자 중앙부처의 정보자원을 통합 운영하는 전산망에서 일부 사용자의 암호화하지 않은 비밀번호가 유출됐다. 2007년 모의 해킹에서도 67개 정부기관 가운데 57곳이 허점을 드러냈다.

검찰은 농협에 대한 사이버테러가 북한 정찰총국 소행이라고 그제 발표했다. 다른 금융기관이나 한국거래소, 지급결제 시스템을 운영하는 금융결제원 전산망도 북한의 사이버 공격 대상이 될 수 있다. 원자력발전소, 군사장비, 교통시스템 같은 전산망도 마찬가지다. 4년 전 개봉된 영화 ‘다이하드 4.0’은 테러리스트들이 미국의 기간전산망을 해킹해 교통과 금융 전력 가스 등 제어시스템을 마비시키고 국가가 공황상태에 빠지는 가공할 스토리를 담고 있다. 이런 상황이 영화 속 이야기에 그치지 않을 수 있다.

사이버 공격은 과거 시스템의 취약점을 공략해 악성코드를 유입시키고 인터넷에 장애를 유발하는 방식이었다. 최근에는 금융정보 해킹 또는 게임사이트 공격처럼 목적과 대상이 명확한 조직범죄형이 늘고 있다. 보안이 잘돼 있는 기관이나 기업에 대해서는 고객 등 개인들의 PC를 좀비PC로 만들어 공격한다. 악성코드나 공격기법의 탐지 분석을 어렵게 하는 스텔스 기법도 활용된다.

국가 기간시설을 공격하는 악성코드 ‘스턱스넷’은 더 위험하다. 국가기관의 통합제어시스템에 침투해 오작동을 일으켜 시스템을 마비시킨다. 스턱스넷은 작년 이란의 한 원전에서 원심분리기 가운데 20%의 가동을 중단시켰다. 중국의 싼샤 댐과 고속철도의 자동제어시스템도 이 악성코드에 당했다. 스턱스넷은 일반 PC를 옮겨 다니다 휴대용 저장장치(USB)를 통해 산업시설 내 컴퓨터로 침투할 수 있다. 검찰은 국내 PC 1300여 대가 스턱스넷에 감염돼 있다고 밝혔다.

정부는 2009년 디도스(DDoS·분산서비스거부) 공격을 받은 뒤 보안인력 양성 등 사이버 위기 대응 체제를 정비했다. 그러나 농협 사태에서 보듯이 전문가조차 보안의식이 약하고 하청, 재하청 방식으로 전산시스템을 운영해 사이버 테러의 경로도 파악하기 어려운 상황이다. 지금은 정보 보안도 고속도로나 철도처럼 중요한 사회간접자본(SOC)인 시대다. 4대강 정비처럼 눈에 보이는 사업만 중요한 것이 아니다. 국가 전체가 마비될 수도 있는 정보 보안 위기를 사전에 예방하기 위한 시스템을 갖춰야 한다.