韓 옥죄는 ‘보안 불감증’의 뿌리, 관련 법 개정도 ‘지지부진’

정부기관 보안 업데이트 '거북이걸음', 강제화 법안도 '느릿느릿'
해킹 시도 10만 건 넘는데, "보안 최적 인력 갖춘 기관 한 군데도 없어"
내용연한 초과 장비 25% 이상, 자칭 IT 강국의 현주소

해킹그룹이 이미 알려진 오래된 취약점을 노려 공격을 시도하는 빈도가 급증한 것으로 나타났다. 타깃이 보안 업데이트를 하지 않은 지점을 노리면 새로운 취약점을 찾는 수고를 덜면서도 유효한 공격을 이뤄낼 수 있기 때문이다. 이에 보다 촘촘한 보안 업데이트가 필요하다는 목소리가 높아지고 있지만, 정작 보안 업데이트를 강제화하는 법 개정안은 국회의 문턱을 좀처럼 넘지 못하고 있어 우려가 커진다.

사이버 공격 시도 ‘급증’, 보안 업데이트 중요도↑

13일 SK쉴더스의 화이트 해커그룹 EQST(이큐스트)에 따르면 올해 로그4제이(Log4j) 등 기존에 잘 알려진 취약점을 이용한 사이버 공격 시도가 부쩍 늘었다. SK쉴더스가 꼽은 주요 취약점은 2017년 발견한 PHP유닛(PHPUnit)과 2021년 로그4제이, 아파치 스트럿츠2(Apache Struts2), 웹로직(WebLogic), 프록시 로그온(ProxyLogon) 등이다. 특히 PHP유닛을 노린 공격은 올해 5만1,358건으로 전년(5,410건) 대비 무려 849.3%나 증가한 것으로 알려졌다. 이외 로그4제이(86.5%), 아파치 스트럿츠2(524.1%), 웹로직(440.8%), 프록시 로그온(246.9%) 등도 큰 폭으로 늘었다. 이에 대해 SK쉴더스 관계자는 “오래된 취약점에 대한 공격방법이 많이 알려져 해커는 시간·기술적 비용을 줄일 수 있다”며 “주로 초기 침투 전문 브로커(IAB)그룹이 이를 활용해 다크웹에 정보를 판매하고 있다”고 설명했다. 이어 “랜섬웨어 그룹이 IAB로부터 구입한 오래된 취약점 정보를 활용해 초기 침투를 하고 있어, 오래된 취약점에 대한 공격 시도가 더 많아진 것”이라고 덧붙였다.

이에 보안 업데이트에 대한 중요도가 더욱 높아졌지만, 정부는 사실상 ‘속수무책’으로 당할 수밖에 없는 처지에 놓였다. 정부 차원에서 적극적인 조치를 취할 수단이 사실상 없기 때문이다. 과학기술정보통신부와 국가정보원 등 정부 기관은 취약점이 알려진 소프트웨어를 삭제하거나 업데이트 조치하도록 권고할 뿐, 강제성은 일절 없다. 현행 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률'(정보통신망법)에서 정보통신서비스 침해사고 발생 시 사고 대응, 복구 및 재발 방지 등 대책 준수는 의무 사항이 아닌 권고사항에 불과하기 때문이다. 이에 따라 과기정통부는 지난 4월 사업자가 과기정통부의 침해사고 조치 방안을 의무적으로 이행하도록 조치 이행점검 규정을 신설할 것이라고 발표했다. 보안 업데이트 조치에 강제성을 부여해 사이버 공격을 원천적으로 막겠단 취지다.

관련 개정안은 지난 8일 국회 법제사법위원회로 막 넘어갔다. 법사위에 넘겨진 정보통신망법 개정안은 이인영·정필모·이정문 더불어민주당 의원이 각각 대표 발의한 법안을 병합한 대안 법안이다. 개정안은 과기정통부 장관이 침해사고가 발생한 정보통신서비스 제공자에게 대책 이행을 명령할 수 있도록 한 내용을 골자로 하고 있다. 또 이행 여부를 점검하고 보완이 필요한 사항은 시정하도록 명령할 수 있다는 내용도 포함했다. 시정명령을 따르지 않을 경우 3,000만원 이하의 과태료를 부과하도록 해 실효성도 높였다. 해당 개정안이 처리될 경우 정부 기관이 지닌 근원적인 ‘구멍’을 막을 수 있으리란 고무적인 전망이 나오고 있지만, 대책 발표가 있은 지 8개월이 다 돼가는 시점에서야 개정안이 겨우 법사위에 회부됐다는 점은 비판의 여지가 크다. 강조하던 ‘신속한 대책 마련’과는 다소 거리가 멀기 때문이다.

세계적 관심사로 떠오른 ‘보안’, 韓은?

이 같은 보안 불감증의 면모는 우리나라 사회 전반에 깊게 뿌리 내리고 있는 문제 중 하나다. 당초 보안 업데이트의 중요성은 이미 오래전부터 강조돼 왔다. 해외 언론 등지에선 관련 보도도 잦은 편이다. 지난 13일엔 미국 국가안보국(NSA), 연방수사국(FBI), 사이버보안 및 인프라 보안국(CISA)이 체코의 기술 회사가 만든 취약한 소프트웨어가 해커들의 표적이 되고 있다고 언급했단 내용의 보도가 퍼진 바 있고, 이전엔 구글의 크롬 브라우저에서 여러 취약점이 발견돼 보안 업데이트가 강력히 요구된다는 내용의 보도가 나오기도 했다. 이처럼 사이버 보안은 이미 세계적인 관심사로 떠올랐다. 정부 차원에서도 보다 신속한 대응이 요구되는 이유다.

그러나 우리 정부의 보안 대응력은 사실상 바닥을 기고 있다. 실제 지난 2021년 언론 보도에 따르면 정부 중앙부처 및 지방자치단체에 대한 해킹 시도가 매년 10만여 건을 넘어서고 있음에도 당시 정부가 마련한 보안 최적 인력(중앙부처 17명·지자체 22명) 기준을 갖춘 곳은 단 한 군데도 없었다. 그나마 최소 인력(중앙부처 9명·지자체 12명) 기준을 갖춘 곳도 중앙부처 43개 가운데 11개(25.59%)뿐이었으며, 지자체의 경우 전국 17개 가운데 1개(0.09%)에 불과했다. 특히 소방청·인사혁신처·국가인권위원회는 정보보호 인력이 1명에 그쳤고, 법제처·여성가족부·국방부 본부 등도 2명으로 나타났다. 사정기관인 경찰청과 검찰청의 정보보호 인력은 각각 3명과 4명이었다. 사실상 국민의 민감한 정보를 갖고 있는 정부 기관의 정보보호에 구멍이 숭숭 뚫려 있는 상태인 셈이다.

보안 공백 불 지피는 ‘시스템 노후화’

노후화된 네트워크 시스템 또한 정부의 보안 공백에 불을 지피고 있다. 정부의 자체 조사에 따르면, 지난 10월 기준 행정망 서버를 관리하는 국가정보자원관리원 대전본원의 인프라를 구성하는 장비 4,200여 개 중 25%가량이 내용연한을 초과한 상태였다. 이 가운데 550여 개는 내용연한 초과 기간이 1년 안팎이었으며, 200여 개는 이미 3년을 초과한 것으로 나타나기도 했다. 특히 7년을 넘은 장비도 15개에 달하는 것으로 알려지면서 비판론이 거세졌다. 이와 관련해 김휘강 고려대 정보보호대학원 교수는 “정부의 예산 삭감 1순위가 IT 및 보안이고, 그중에서도 특히 유지보수 요율의 현실화가 되지 않고 있는 게 설비 노후화의 진짜 원인”이라고 목소리를 높였다. 물론 여기엔 재정 부족 등 현실적인 문제도 포함돼 있겠지만, 정부의 지지부진한 ‘꼬리 늘리기’가 대책 마련에 발목을 잡았음은 부정하기 힘든 사실이다.

IT 강국을 자처하는 우리 정부는 완전한 디지털 전환을 통한 디지털 정부 수립을 청사진으로 내세웠다. 그러나 그간 파묻혀 있던 정보 보안의 실태가 속속 드러나기 시작하면서, 정부의 장밋빛 미래의 채도는 점차 어두워지는 추세다. 실제 지난 11월엔 지난해 1월 외교부가 중국 당국으로부터 해킹 공격을 당해 4.5GB에 달하는 이메일이 유출된 것으로 확인되기도 했다. 중국 당국의 해킹으로 인해 청와대 전산망에 있던 국방부 관련 문서가 유출된 정황도 포착됐다. 우리나라가 해커의 ‘경유지’가 되고 있다는 보도도 속출했다. 지난 2021년 국제 해킹조직이 국내 아파트와 빌딩의 냉·난방기와 배수펌프 등을 자동 제어하는 시스템을 해킹해 40개국에 있는 인터넷 서버를 공격한 게 대표적인 사례다. 사이버 보안 문제는 국가 안보와 직결된 사안인 만큼 정부의 보다 각별한 대응이 요구된다.