‘해킹’(hacking)이란 불법적으로 다른 사람의 컴퓨터 혹은 컴퓨터 네트워크에 침입해 컴퓨터 프로그램을 변형시키는 행위를 말한다. 하지만 초창기 해킹은 악의가 없는 단순히 장난스러운 행동에 불과했다. 그 시작도 미국 매사추세츠공과대학(MIT) 학생들이 자신의 기술을 뽐내기 위한 장난에서 비롯됐다.

그런데 지난해 미국 영화사인 소니픽처스의 시스템이 해킹돼 여러 편의 미개봉 영화가 온라인 사이트에 유출되고, 회사가 가진 수만건의 정보가 새나갔다. 이에 오바마 대통령은 “어떤 외국이나 해커도 미국의 인터넷망을 봉쇄하거나 기업의 영업 비밀을 훔쳐가거나 미국 가정, 특히 아동의 사생활을 침범하지 못하게 해야 한다”며 ‘소니픽처스 해킹’에 따른 사이버 안보를 강조했다.

임을규 한양대 교수·컴퓨터공학

그럼 우린 어떤가. 지난해 말 한수원 해킹사고로 국민들은 불안 속에 한해를 마감해야 했다. 일본 후쿠시마 원전사고 이후 원전에 대한 불안감이 잠재돼 있는데 이를 운영하는 기관에서 해킹사고가 있었기에 불안감이 가중된 것이 사실이다. 지난 21일 개인정보범죄 정부합동수사단 등에 따르면 ‘원전 도면 유출’은 한수원 전·현직자와 협력업체 관계자 등을 상대로 악성코드를 담은 이메일 피싱(Phishing)을 통해 이뤄진 것으로 조사됐다.

그러면 과연 해커가 얻은 이익은 무엇이었을까. 필자는 해커의 목적이 국민의 불안과 대정부 불신 유발이었다면 성공했다고 평가하고 싶다. 통상적으로 해커는 절취한 정보를 판매 또는 협박을 통해 금전적 이득을 취하거나 정치·종교·신념에 의한 것이 대부분이었다. 그러나 이번 사태의 경우 사이버공격이 해커의 경제적 이득이나 정보 절취 차원을 넘어 국민생활을 위협하는 국가안보 차원으로 진화한 것으로 보인다. 이는 범국가적인 사이버안보 확립 차원에서 대응책을 접근해야 하며 국가 차원의 적극적인 사이버보안 활동의 필요성을 말해주는 것이다.

과거 공공기관 정보보안 관리실태 평가위원으로 참여했던 내 경험으로 볼 때 우리가 되짚어 보아야 할 또 한 가지 문제는 정보보안 수준이 ‘양호’한 기관은 사이버공격에 절대적으로 안전한 것인가 하는 것이다. 최근 해킹 공격은 지능형지속위협(APT) 공격 형태로 계속 진화하고 있다. 그러기에 방어하기가 어려운 것이 사실이다. 정보보안 분야에 계속 투자하고 대응하며 관리하지 않으면 사고 발생 가능성은 항상 잠재돼 있을 수밖에 없다.

사이버보안을 둘러싼 국가 간 분쟁이 확대되고 내부적으로는 국민생활에 막대한 영향을 주고 있는 현실 속에서 한수원이라는 1개 기관의 문제로만 다룰 게 아니라 사이버 분야를 범국가 차원의 안보문제로 접근해야 한다는 것을 보여준 것이다. 더 늦기 전에 기업이나 국가가 사이버 보안을 안보 차원의 최우선 순위로 올려놓아야 하는 이유이다. 한수원 해킹사고를 계기로 정부는 국가 차원에서 정보보안 강화를 위한 조직·예산 확충에 신경을 써야 할 것이며, 우리나라의 정보보안 수준을 강화하는 계기로 삼아야 할 것이다.

임을규 한양대 교수·컴퓨터공학