테러의 다음 대상은 사이버공간? [2]

일부 웹사이트는 공격하기가 쉽다. 조사·보호 서비스 회사인 루브린코 그룹의 공인 정보보호 전문가 리처드 B. 아이작스는 美 국방부가 운영하던 한 웹사이트 이야기를 했다. “어느 미군 기지의 사진이 나온 페이지가 있었다. 사진 위에서 커서를 움직이면 해당위치의 위도와 경도를 알 수 있었다. 재미도 재미지만 누군가가 미사일 발사에 앞서 위치를 파악해야 하는 번거로움을 줄여주는 것이었다. 도대체 국방부가 공개 웹사이트를 운영하는 이유가 뭔가. 더 많은 사업이라도 벌이자는 것인가.” 美 국방부 산하 국립영상지도제작국(NIMA)은 지난 9월에서야 비로소 군사시설 위치가 표시된 정밀지도의 시판을 중단했다.

일부 민간기업은 자사의 시스템 정보에 그보다 더 무심하다. 국방부를 비롯해 몇몇 연방정부 기관에 보안 컨설팅 서비스를 제공하는 비영리 회사 MITRE의 정보戰 담당이사 존 우드워드는 “그들의 시스템 운영방식과 핵심 정보 시스템, 시스템 접속방법을 파악하면 좀더 효과적인 공격방법을 찾을 수 있다”고 말했다. 때로는 그런 정보가 그 회사에 대한 기사나 제품 판매업체가 제공하는 사례연구를 통해 조금씩 제공된다. 우드워드는 “정보기술(IT) 업체들이 잡지에 발표하는 정보를 자주 볼 수 있다”고 말했다. “필요한 정보를 모두 모아 조합하면 각 회사의 시스템에 대해 상세하게 알 수 있다.”

많은 전문가들은 전자공격은 테러조직들의 주 관심사가 아닐 것이라고 생각한다. 테러문제 권위자인 코네티컷州 미들타운의 웨슬리언大 행정학 교수 마사 크렌쇼는 “30년 동안 연구한 결과 테러리스트들은 시각효과가 큰 파괴행위를 선호한다는 사실을 알게 됐다”고 말했다. “만일 무엇을 폭파하는 것과 전자공격 중 하나를 고르라면 그들은 폭파를 택할 것이다. 그들에게는 TV에 나오는 영상이 중요한 의미를 지닌다.”

정부와 국가안보 관련회사를 고객으로 삼는 정보인증업체 섀도로직 LLC(버지니아州 덜레스 소재)의 기술책임자 리처드 포노는 “사람들이 사이버전쟁 이야기를 할 때 중점을 두는 것은 [사이버범죄를 다룬 영화] ‘스워드피시’에 나오는 존 트래볼타의 할리우드식 사고방식”이라고 말했다. “최첨단 기술이 소위 사이버테러의 매력 포인트다.”

그렇다고 해서 미국의 인프라가 안전하다는 뜻은 아니다. 포노는 “폭탄트럭 두어대 때문에 주요 전기시설이나 인프라가 갑자기 사라진다면 다른 상황이 된다”고 말했다. 물리적 공격은 또 미국의 인프라가 의존하는 시설들을 마비시킬 수 있다. 이름 공개를 꺼린 한 전문가는 인터넷 자체가 주요 스위칭포인트와 통신시설을 포함해 버지니아州에 몰려 있는 자원들에 크게 의존한다고 지적했다. 그 전문가는 “그 지역의 전력 공급만 차단하면 된다. 건물에 손 하나 대지 않고 그렇게 할 수 있는 방법은 얼마든지 있다”고 말했다.

그러나 기업들이 전자공격은 사실상 불가능하다고 생각하는 것은 위험하다. 안전하다는 생각이 들면 보안에 소홀해지기 때문이다. “만일 뭔가가 그렇게 중요하다면 애초에 왜 공공 네트워크에 내놓는가”고 포노는 정보보안 분야 전문가들을 대변해 물었다. “아주 중요한 것이라면 안전과 관심 수준을 높여야 한다. 우리는 지금 사람들이 편리를 위해 안전을 희생하는 시대에 살고 있다.”

플러그를 뽑기만 하면 해결이 되는 경우도 없는 건 아니다. 뉴저지州 포트리의 보안기술 판매업체 웨일 커뮤니케이션의 최고경영자 엘라드 배런은 “네트워크 연결을 해제하면 사이버 공격을 받을 일이 없다”고 동의했다. “모든 기밀 네트워크의 인터넷 연결을 물리적으로 차단하고는 했다. 그러나 놀란 적이 한두번이 아니다. 기밀 네트워크는 분명 인터넷에 연결돼 있지 않지만 운영자가 자기 집에서 네트워크에 연결할 경우가 있는데 그는 인터넷에 접속돼 있는 것이다.”

전자보안의 중요성이 강조되는 것은 물리적 세계에서의 공격과는 달리 전자세계에서는 미국으로 향하는 모든 접속점을 폐쇄할 수 없기 때문이다. 시스템 설정과 소프트웨어 프로그램 방식만 알면 보초가 없는 국경선을 건너듯 회사 관리자들도 모르는 접속점이 발견될 가능성이 있다. “어디에서든 쉽게 공격할 수 있다. 또 그렇다고 나머지 세계의 인터넷을 차단할 수도 없는 노릇”이라고 배런은 덧붙였다.

미국의 인프라 시설 안전 강화가 손쓸 수 없을 정도로 불가능한 과제인 것은 아니다. 배런은 “보호할 자원은 한정적이다. 공익설비·전력·가스·핵발전소·군사기지 등등. 인터넷에 접속한 가정을 일일이 다 보호할 필요는 없다”고 말했다. 모뎀통신을 해제하고 시스템의 인터넷 연결을 해제하며 침입 감지 소프트웨어를 까는 것은 보편적 방안이다. 그러나 보안조치를 시행하려면 정치적·금전적 의지가 필요하다. 배런은 “이를 해결하려면 정부의 규제가 필요하다”고 말했다. “민간부문에 맡겨놓고 마음놓을 수는 없다.

사람들은 자본주의 정신에 어긋나니 어쩌니 하고 떠들겠지만 테러리스트가 자본주의와 민주주의의 원칙을 따르는 것은 아니다.”여러해 동안 컴퓨터 보안에 대한 경고를 한 귀로 흘려버린 민간부문은 이제서야 협력할 용의가 있는 것 같다. 커츠는 “이제는 더이상 뒤로 미룰 사안이 아니다”고 말했다. “오늘 한 고객과 이야기해 봤는데 그는 ‘보안이라는 단어가 들어간 것은 무엇이든 해볼 생각’이라고 말했다.”

美 의회의 분위기도 마찬가지인 것 같다. 美 법무부와 의회는 현 컴퓨터 관련범죄의 정의를 확대하는 反테러법안 마련을 위해 노력해왔다. 정부에 위협을 가하거나 정부 조치에 대해 보복하는 사람은 연방 테러행위로 간주된다. 현재 심의중인 조치들에 따르면 판사는 연방 테러행위에 대해 최고 무기징역까지 언도할 수 있다. 하원 법사위원회가 제출한 법안은 그렇게 명시하고 있다. 상원의 경우, 패트릭 리히 상원 법사위원장의 대변인은 리히가 “사이버 문제에 관한 한 법무부 의견에 동의한다”고 말했다.

의회가 그 정도로 심하게 나갈 것인가? 미국 전자프런티어 재단의 샤리 스틸 이사장은 “이는 지나치게 광범위하다. 테러리스트를 잡을 수 있을지는 몰라도 애꿎은 사람까지 잡게 될 것”이라고 주장했다. 스틸은 美 국세청(IRS)의 웹사이트를 훼손하는 한 성난 납세자의 경우를 예로 들었다. 그런 행동도 연방 테러행위에 해당할 것이다. “그것은 범죄행위이고 또 기소돼 마땅하지만 그렇다고 테러는 아니다. 처벌이 너무 심할 수 있기 때문에 신중해야 한다.”록그룹 롤링스톤스의 리더 믹 재거의 말처럼 우리는 늘 자신이 원하는 것을 손에 넣을 수 없다. 혹시 그것을 손에 넣게 되더라도 필요 이상의 것까지 쥐었음을 깨달을 수도 있다.

Erik Sherman 기자
자료제공 : 뉴스위크 한국판