“전 세계 사이버 테러 55억 건 직·간접 피해액 417조원 달해”

한국을 찾은 셰리 맥과이어(44) 시만텍 부사장이 지난 11일 서울 잠실 롯데호텔에서 중앙일보와 인터뷰를 하고 있다. [사진 시만텍코리아]

지난달 미국 전역에서 중앙정부와 지방정부, 기업 등이 참여한 대규모 사이버 대응 훈련이 열렸다. 국토안전부와 민간이 참여하는 정보기술(IT) 분야 조정협의회가 국가 차원의 대규모 사이버 전쟁에 대비해 만든 ‘국가 사이버 사고 대응 계획’(NCIRP)이었다. 2006년부터 비슷한 훈련이 주기적으로 있었지만 대통령까지 보고받는 대규모 훈련은 이번이 처음이었다.

　11일 만난 셰리 맥과이어(44) 시만텍 부사장은 “사이버 공격과 범죄가 급증한 데다 경제적 손실도 어마어마하다”며 훈련 배경을 설명했다. 2년간 IT 분야 조정협의회 의장으로 일하며 훈련을 계획하는 데 중추적인 역할을 했던 그는 “오바마 정부가 사이버 전쟁을 전쟁으로 간주하고 강력 대응하기로 한 것도 이 같은 맥락”이라고 덧붙였다.

　실제로 지난해 전 세계적으로 일어난 사이버 공격은 55억 건. 전년과 비교하면 81% 늘어난 수치다. 온라인 금융사기나 아이디 도용 같은 사이버 범죄로 인한 직간접적 피해는 2010년 현재 3880억 달러(약 417조원)에 달한다. 전 세계 암시장에서 거래되는 마리화나·코카인·헤로인의 규모(약 2880억 달러)보다 크다.

　- 발생 건수가 느는 것 외에 다른 특징은.

　“과거엔 불특정 다수를 대상으로 한 공격이 많았다면 최근엔 특정 개인이나 기관을 표적으로 한 공격이 늘고 있다. 이른바 표적 공격이다. 2010년 하루 평균 77건이던 표적 공격은 지난해 82건으로 늘었다. 공격 당한 시스템과 데이터에 따라 다르지만 일반적으로 피해가 더 크고 심각하다.”

　- 미국 정부가 민간까지 아우르는 대응 체제를 마련하는 것도 이와 관련이 있나.

　“그렇다. 사이버 범죄는 유비쿼터스(언제, 어디서나)로 일어난다. 정부와 민간을 가리지 않는다. 특히 인터넷 네트워크 대부분을 민간이 사용하고 있어 정부만으론 대응에 한계가 있다. 한국 정부도 이를 잘 알고 있다. 한국인터넷진흥원과 시만텍이 보안 분야에서 협력을 강화하기로 한 것도 이 같은 맥락이다.”(※맥과이어 부사장은 관련 협약을 체결하기 위해 방한)

　- 한국에서도 2009년과 2010년 정부 및 금융기관 홈페이지를 표적으로 한 디도스(DDoS, 분산서비스거부) 공격이 있었다.

　“그보다 심각한 사례도 많다. 2010년엔 이란의 원자력발전 시설이 정지한 적도 있다. 스턱스넷이란 악성 코드로 인해 발전 시설의 성능이 30%가량 떨어졌다.”

　- 누가 어떤 목적으로 이 같은 공격을 하는 건가.

　“가장 유명한 해킹 그룹의 이름이 어나니머스(anonymous)다. 누군지 알 수 없다는 뜻이다. 목적 역시 파악하기 힘들다. 다만 산업 기술을 빼내기 위한 공격과 정치적 공격이 느는 추세다.”

　- 한국에선 개인정보 유출 사고도 끊이질 않는다.

　“지금까지 전 세계적으로 2억3200만 개의 아이디가 도난됐다. 개인 정보가 돈이 되기 때문이다. 개인정보를 사고파는 거대한 암시장이 형성돼 있다. 이로 인한 개인의 피해까지 포함한다면 피해 규모는 1조 달러 이상 될 것으로 추정된다.”

　- 개인들은 어떻게 대응해야 하나.

　“사람들은 길을 걸을 때 부딪치거나 넘어지지 않을까, 강도를 만나지 않을까 늘 주의한다. 인터넷에서 웹사이트를 다닐 때도 그래야 한다. 정체가 불분명한 사이트나 e-메일을 함부로 클릭해선 안 된다. 보안프로그램은 늘 최신 버전으로 업데이트하고 비밀번호는 복잡하게 만들어 써라.”

　- 스마트폰도 공격의 대상이 될 수 있나.

　“지난해 인터넷 사용자 열 명 중 한 명이 모바일 사이버 범죄를 경험한 것으로 조사됐다. 이 규모는 모바일 결제가 늘면서 급증할 것이다. 리서치업체 가트너는 모바일 결제 규모가 5년 후엔 지금의 5배 수준으로 커질 것이라고 전망했다. 스마트폰도 PC만큼 보안에 신경써야 한다.”