![[오늘의 운세] 4월 26일](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202404/26/9866f29c-fc4e-4fd9-ad4a-3d0a95d53514.jpg.thumb.jpg/_ir_432x244_/aa.jpg)
김명자전 환경부장관
KAIST 과학기술정책대학원 초빙교수
우리는 모바일과 소셜네트워크서비스(SNS)로 촘촘히 연결된 초연결사회(Hyper-connected Society)에 살고 있다. 2014년 말로 인터넷 사용자 수는 30억 명, 이동통신 가입자 수는 70억 명이다(국제전기통신연합). IP(Internet Protocol) 주소는 42억 개가 넘는다. 우리나라 인터넷 사용률은 82%, 초고속 광대역 인터넷 보급률은 77%로 단연 으뜸이다(월스트리트저널). 최근 터키 킬리스에서 실종된 김모군이 SNS를 통해 IS와 접촉했다는 사실은 충격적이다.
새해 들어 국내외로 사이버 안보(security) 예측이 분주했다. 모바일 결제 확대에 따라 늘 전원이 켜져 있는 모바일 기기 대상의 해킹, 사물 인터넷(IoT· Internet of Things)을 노리는 해킹이 늘어날 것이라 한다. 사람이 개입하지 않고 인터넷에 연결된 기기가 끼리끼리 알아서 정보를 주고받아 처리하는 IoT가 졸지에 ‘위협의 인터넷’ IoT(Internet of Threat)로 둔갑할 수 있다는 뜻이다. 미국 딕 체니 전 부통령은 2007년 해킹을 우려해 체내 심장 박동기의 무선조종 기능을 중지시켰다.
사이버 공격의 유형은 다양하다. 정보 유출이나 사이트를 다운시키는 핵티비즘(Hacktivism), 금융기관이나 개인의 돈을 빼내는 사이버 범죄, 산업체 기밀을 훔쳐내는 사이버 스파이, 정부나 단체가 주도하는 사이버전(戰) 등. 덧붙여 미 중앙정보국(FBI)은 ‘정치적 목적으로 컴퓨터 시스템과 프로그램, 데이터를 공격해 폭력적인 결과를 초래하는 행위’를 사이버 테러라 규정했다.
최근 국내 공공기관과 산하단체 웹사이트의 악성코드 감염이 크게 늘어 지난해 11월 기준, 10월까지의 월평균 감염 건수의 30배인 1만 개 이상이 됐다(한국인터넷진흥원). 한국수력원자력 해킹 사건 등 잇따른 사이버 공격이 언론매체를 달궜던 터라 이런 현상이 혹시나 어떤 전조(前兆)는 아닌지 께름칙하다.
사이버 공격은 특성이 있다. 실체적인 피해와 상관없이 사회적 불안과 공포를 유발한다. 악성코드가 국경도 없이 온갖 디지털 디바이스로 감염될 수 있고, 그 피해를 가늠하기 어렵기 때문이다. 사건 수사를 해도 공격세력에 대한 확증을 내놓는 경우가 드물다. 갈수록 지능화·복합화되고 있기 때문이다. 위장할 수도 있으니 IP만으로 누구 소행이라고 단정키도 어렵다. 사이버 공격을 당하는 쪽이나 하는 쪽이나 입을 다무는 것도 특징이다. 추가 공격의 가능성 때문이다. 결국 사이버 공격의 수사 결과는 ‘추정된다’로 매듭짓기 일쑤다.
2010년에 출현한 스턱스넷(Stuxnet)은 사이버 무기화의 첫 사례였다. 특정 산업시설의 자동화 시스템만을 공격하는 등 작동조건이 제한됐던 것도 특이하다. 이 공격으로 이란의 나탄즈(Natanz) 우라늄 농축시설은 원심분리기 5000대 중 1000여 대가 오작동으로 파괴됐고, 이란의 부셰르(Busher) 원전은 여러 달 멈춰 섰다.
주요 산업시설의 컴퓨터는 보안이 철저한 폐쇄망이라 직접 공격이 불가능하다. 스턱스넷은 연관 사기업을 거쳐 USB를 통해 심은 것으로 알려졌다. 고도의 시스템을 오작동시키는 일은 해커의 솜씨만으론 안 된다. 특정 시스템과 장비의 작동, 감시체계, 핵물리학 등 일급 전문성을 갖췄기에 파괴력이 있었다. 이란은 이스라엘과 미국의 소행이라 단정했다. 2006년 이란의 핵개발 가속화 저지를 목적으로 착수된 이 공동작전에서 악성코드는 원자로 제어용 중앙컴퓨터에서만 작동하게 설계됐으나 프로그램 오류로 인해 바깥으로 나오는 통에 세상에 알려지게 됐다.
지난해 말 소니픽처스 해킹 사건을 계기로 올해 1월 미 의회는 ‘사이버 정보 공유법안’을 재발의했다. 프라이버시 침해 논란으로 상원에서 폐기됐던 법안이다. 일본은 2020년 도쿄 올림픽에 대비, 지난해 11월 ‘사이버 시큐리티 기본법’을 제정했다. 우리의 경우 2013년에 ‘사이버 테러 방지법’이 발의됐으나 국정원의 사이버 안보 총괄, 사생활 침해 등 쟁점으로 인해 국회에 계류 중이다. 법의 악용을 우려하는 불신의 해소가 관건이다.
나라마다 사이버 대책은 법 제정, 시스템 구축, 컨트롤타워, 인력 양성, 민관·국제협력 등 다 비슷하다. 지구촌이 디지털혁명의 경이로운 혜택을 누리려면 사이버 리스크는 어떻게든 최소화해야 한다. 그런데 날로 진화하는 사이버 공격을 기술적 ‘창과 방패’, 즉 ‘해커 대 해커’의 대전(對戰)으로 얼마나 해결할 수 있을지 전망이 서질 않는다. 기술의 가치(價値)가 인간의 가치를 앞질러 제어 기능이 상실된 것은 아닌지, 디스토피아(dystopia)를 면할 수 있는 기술사회의 윤리는 무엇인지, 당장 SNS에서의 유해정보 확산은 어쩔 것인지…. 사이버 세상의 ‘기본’에 대해 묻게 된다. 기술혁신 못지않게 이들 질문에 답하는 일이 초연결사회의 과제로 남아 있다.
김명자 전 환경부장관·KAIST 과학기술정책대학원 초빙교수
