"포털은 물론 모바일망까지 위협…좀비PC확산방지법 제정 시급해
주민번호 수집 엄격히 제한해야"

염흥열 < 순천향대 교수·정보보호학 >
[시론] '클린 사이버공간' 법제화 서둘러야

2011년은 정보보호 분야에서 침해사고가 유달리 많았던 한 해였다. 대표적인 것만 봐도 3월 3·4 DDoS(분산서비스거부) 공격, 4월 농협 전산망 장애와 현대캐피탈 개인정보 유출 사건, 7월 SK컴즈 개인정보 유출사건, 10월 선거관리위원회 DDoS 공격, 그리고 11월의 넥슨 개인정보유출 사건 등을 들 수 있다. 지난해 침해사고는 악성코드의 유포를 통해 좀비 PC를 확보하고 이를 이용해 기업의 개인정보를 유출하거나 정보 자체를 파괴하는 특징을 가진다. 이같이 취약한 정보보호 환경은 선제적인 침해사고 예방 체계 구축을 절실히 요구하고 있다.

최근 사이버 위협의 특징은 지능화, 목표 지향적이고, 조직화되고 있으며, 목적도 최근 선관위 DDoS 공격에서와 같이 기존의 금전적 이득에서 정치적인 이유로 확대되고 있다. 한마디로 대한민국의 사이버 공간은 적절한 대책이 없을 경우 바람 앞 등잔불과 같은 상황이라고 볼 수 있다. 그동안 장기간에 걸쳐 특정 조직의 취약성을 탐지하고 기업 정보시스템을 해킹하는 지능형지속공격(APT) 등이 빈번히 발생했고 앞으로도 지속될 전망이다. 지난해 빈번했던 대규모 정보보호 사고는 대부분의 국내 주요 포털 등 온라인 기업들이 최신 공격에 적절히 대응할 만한 보안 수준을 갖추지 못하고 있음을 방증한다. 또한 스마트폰의 보급 확대로 인해 악성 모바일 앱 출현은 사이버 위협을 모바일 망으로까지 확대시키고 있다.

대규모 개인정보 유출 사고는 기업들이 필요 이상으로 개인정보를 수집하는 관행과 수집한 개인정보를 완벽하게 지키지 못한 것에 원인이 있다. 민간부문 180만개 웹사이트 중 약 32만개(27%)가 주민번호를 수집·이용하는 것으로 알려져 있어 주민번호의 수집 및 처리는 우리나라 웹사이트에서 보편화돼 있다. 그러나 해외 주요 웹사이트에서는 이용자 고유식별정보를 거의 수집하지 않고 이름, 이메일 등 필수항목만 수집하고 필요시 선택적으로 추가 개인 정보를 수집하고 있어서, 우리의 개인정보 수집 관행은 글로벌 추세에도 어긋난다고 볼 수 있다.

최근의 지능형 사이버 위협 환경에 걸맞은 민간 부문의 대응 방안으로는 우선 DDoS 공격의 경우 선제적인 예방 체계를 마련할 필요가 있다. 악성코드 확산경로인 콘텐츠, 게시판 등의 자료에 악성코드가 포함됐는지 여부를 효과적으로 탐지하고 이를 신속히 제거할 수 있는 체계를 구축해야 한다. 현재 국회에 계류 중인 가칭 좀비PC 확산방지법의 조속한 제정도 요구된다. 또한 DDoS 공격 발생시 긴급 대응이 가능하도록 하는 대용량 사이버대피소를 준비 또는 운영해야 한다.

공공 및 민간 조직의 보안관리 강화를 통해 정보보호수준을 높이는 것도 시급하다. 최근 국회에서 개정된 가칭 정보통신망보호법의 개선 조항에 근거해 기업의 정보보호 역량을 강화해야 한다. 특히 온라인 기업의 개인정보보호 관련법 준수 사항을 상시 검사하고 유출 방지를 체계화하기 위해 개인정보 보호 관리체계를 확대 채택할 필요가 있다.

또한 기업이 법적 근거가 명확한 경우를 제외하고는 온라인상에서 주민번호를 수집하지 못하도록 엄격히 제한해야 한다. 기업이 불가피하게 개인정보를 수집하게 만드는 기존 법 제도도 개선돼야 한다. 이렇게 함으로써 외부 유출시 가장 문제가 되는 주민번호 유출 자체를 막을 수 있다. 다만 이 정책은 영세 중소기업들이 연착륙할 수 있도록 시장 규모를 고려해 단계적 확대 추진과 정부에 의한 다각적인 지원 방안 마련도 병행돼야 한다.

클린 사이버 공간을 실현해 인터넷 이용 환경을 안전하게 만드는 일은 정부의 노력만으로는 달성될 수 없다. 인터넷 포털, 소프트웨어 제조업자 등 민·관 협력을 통해 달성될 수 있으며, 일반 국민의 인식을 높이는 노력도 필요하다.

염흥열 < 순천향대 교수·정보보호학 >

ⓒ 한경닷컴, 무단전재 및 재배포 금지