김인성
시스템 엔지니어
IT칼럼니스트
최근 인터넷 보안 사고가 잇따라 터졌다. 포털과 쇼핑몰의 회원 정보 대부분은 이미 해커들의 손에 넘어갔다 해도 과언이 아닐 정도다. 이렇게 된 데에는 한국만의 보안 방식이 한몫하고 있다.
보안이란 안전을 확인하는 행위다. 국제 표준 보안 기법은 인터넷 업체들이 안전한 사이트임을 사용자에게 보증하는 것에 중점을 둔다. 보안 연결 기능을 가진 웹브라우저, 인터넷 사이트, 그리고 제3의 인증 기관들이 공조함으로써 사용자들이 인터넷을 안심하고 쓸 수 있게 해 준다. 표준 보안 접속은 약속된 절차에 따라 진행되기 때문에 추가 소프트웨어를 다운로드 할 필요가 없어 안전하며 편리할 뿐만 아니라 어떤 플랫폼, 어떤 프로그램도 모두 지원 가능하다는 장점이 있다.
한국의 보안 방식은 이와는 달리 인터넷 사이트가 자신의 안전을 사용자에게 보증하지 않는다. 은행과 쇼핑몰이 의심하는 것은 사용자들이다. 그들은 자기들만의 보안 연결 프로그램, 방화벽, 키보드 해킹 방지, 백신 등을 다운 받게 한 다음 사용자의 컴퓨터를 조사한다. 그러나 이런 소프트웨어를 다운 받는 순간에 대한 보안이 전혀 되어 있지 않다. 사용자들은 사이트가 안전한지 여부를 스스로 알아서 판단해야 한다. 이 커다란 보안 구멍을 그대로 두는 한 그 어떤 대책을 세워도 무용지물일 뿐이다. 한국의 보안 방식은 사이트의 안전은 보장하지 못하면서 사용자를 감시하는 데만 과도한 집착을 보이고 있다.
업체들은 자신의 안전을 증명할 의무도 없다. 해킹을 당해도 처벌받지 않는다. 실제로 옥션은 사용자 정보를 해킹 당했지만 무죄 선고를 받았다. 그 때문에 기업들은 매년 보안 예산을 삭감해 왔고 서버 관리는 여러 단계의 하청을 거친 비정규직들의 몫이 되었다. 이런 현실로 미루어 볼 때 농협 해킹과 같은 사건은 언제 발생해도 전혀 이상할 것이 없는 일이었다.
외국의 해커들은 무조건 보안 프로그램부터 다운받게 만드는 한국의 현실을 잘 알고 있다. 그들은 유사 사이트를 만들어 놓고 사용자들에게 보안 프로그램을 위장한 바이러스를 다운받게 해왔다. 사이트를 무조건 믿도록 훈련받은 한국의 사용자들은 조금도 의심하지 않고 그들이 지시하는 대로 좀비가 되고 말았다. 특히 중국의 해커들이 이런 식으로 국내 PC들을 좀비화시켜 놓고 있다. 그들은 좀비 PC들에 명령을 내려 게임 사이트나 금융 사이트를 공격해 정상적인 서비스가 불가능하게 만든 후 돈을 요구한다. 국내 유명 사이트들이 중국의 해킹그룹에 일상적으로 돈을 지불하고 있는 것은 공공연한 비밀이다. 한국의 인터넷은 해커들의 손쉬운 돈벌이 대상으로 전락했다. 이제부터라도 이런 불합리한 보안 방식이 고쳐져야 한다. 또한 몇몇 보안 업체의 이익을 위해 한국의 인터넷이 병들고 있다. 표준 보안 방식을 사용하면 외국에서도 한국의 인터넷에 쉽게 접근이 가능하므로 인터넷을 통한 수출 증대 효과도 얻을 수 있다.
좋은 도둑은 없다. 해킹은 디지털 범죄일 뿐이다. 범죄자의 국적을 따지는 것은 무의미한 일이다. 전산망은 언제나 해킹의 표적이 되어 왔다. 범인을 잡으려 노력해야겠지만 그보다도 해킹 경로를 추적하여 보안 허점은 무엇이었는지 점검해 재발 방지에 더욱 집중해야 한다.
검찰이 서둘러 농협 해킹을 북한 소행이라고 발표한 것은 “7개월 이상 집요하게 한국을 공격하려 한 북한에 맞서 이 정도 선에서 막아낸 것은 칭찬할 만한 일”이라는 소리로 들린다. 그 때문에 무료 백신만 돌렸어도 발견할 수 있었을 해킹 프로그램을 무려 7개월이나 발견하지 못한 관리자의 잘못은 묻혀 버리고 말았다. 보안 책임자들도 처벌받지 않을 가능성이 높다. 지금이라도 북한 탓을 그만두고 외부 전문가들과 정보를 공유해 국내 보안의 문제점을 찾아내는 데 주력해야 할 때다.
김인성 시스템 엔지니어 IT칼럼니스트
