▲신종 바이러스 발생 현황 ⓒ 정통부
트로이목마 주의보, 트로이목마 확산 긴급경보, '막스' 윔 주의보, '러브게이트' 윔 주의보, '센드메일' 취약점 주의 예의보, '딜로더' 윔 긴급경보, IIS웹서버 보안취약점 긴급경보.
정보통신 강국 건설의 견인차였던 인터넷이 단 몇 시간만에 철저히 무력화됐던 사상 초유의 '1.25 인터넷 마비대란'이 일어난 지 50여 일이 지났다. 하지만 바이러스와 해커들의 위협은 사그러들 줄 모르고 있다.
정통부는 위에서 언급한 것처럼 '1.25 대란' 이후에만 '긴급경보' 3차례에 '주의보'도 4차례 공식 발표했다. 다행스럽게도 그때마다 관련 보안업체가 보안 패치 등을 보급하며 발빠르게 대응해 '1.25 대란'과 같은 대형사고는 없었지만, 앞으로는 더욱더 보안 취약점을 이용한 바이러스가 본격화될 것이라는 것이 관련 업계 전문가들의 일치된 의견이다.
전문가들은 또 당시 사고의 직접적인 원인으로 지목된 '슬래머SQL 웜 바이러스'의 출현을 코드레드 이후 한 세대를 진화한 바이러스가 본격적인 영역을 확장하기 시작했다는 신호탄으로 해석하고 있다.
"슬래머 웜은 단순 시험판에 불과"
보안업체인 하우리의 조현혁 전략기획팀장은 "웜의 진화상태를 볼 때 이번 대란을 일으킨 슬래머 웜은 파일럿(시험적)적 성격이 강하다"고 밝혔다. 만약 어떤 해커가 슬래머 웜에 악성 바이러스를 가미해 변종을 유포시킨다면 그 파괴력은 상상을 불허할 것이라는 것이다.
조 팀장은 "현재 윈도나 윈도기반 응용소프트웨어의 보안 취약점은 밝혀진 것만도 수백 가지가 넘는다"면서 "따라서 비슷한 유형의 바이러스가 나타나 우리나라의 발달된 인터넷 인프라와 결합될 경우 사태는 걷잡을 수 없이 확대될 가능성이 많다"고 지적했다. 역설적이지만 초고속 인터넷 인프라가 발달된 만큼 바이러스가 활동할 수 있는 여건이 충분히 갖추어져 있다는 얘기다.
실제로 우리나라는 널리 보급된 초고속망을 통해 웜바이러스가 급속히 확산될 수 있는 여건을 갖추고 있다. 초고속인터넷 보급률이 OECD의 경우 1.12%, 캐나다 8.4%, 스웨덴 4.96%, 미국, 4.7%, 일본 2.3%인데 반해 한국은 17.16%에 이르기 때문이다.
▲슬래머 웜 확산 30분간 감염분포 ⓒ 정통부
또 지난해 11월 보안전문가들이 모인 'AVAR 국제 컨퍼런스'에서 발표된 자료에 따르면 한국은 '와일드리스트'(Wild list, 현재 활동중인 바이러스 목록)에서 아시아 1위라는 불명예를 안았다. 감염 후 다시 다른 나라를 공격하는 위험도 면에서도 세계 4위에 링크 돼 '해커 경유지'라는 오명을 뒤집어쓰고 있다.
그나마 우리나라는 이번 대란의 주범인 슬래머 윔의 확산된 시점이 주말인데다 낮이었던 관계로 최악의 상황을 막을 수 있었다. 또 유럽, 미국 등도 주말연휴가 시작되는 새벽시간대, 중국은 춘절 연휴기간이어서 인터넷 이용률이 저조해 피해가 적었다. 그러나 전세계적으로 슬래머 웜으로 인한 피해규모는 약 12억 달러에 이를 것으로 추산하고 있다.
인터넷데이터분석협력협회(CAIDA) 보고에 따르면, 1월 25일 출현한 웜에 의해 전세계의 취약점이 존재하는(패치를 깔지 않은) 마이크로소프트SQL서버2000의 90%가 10분 이내에 감염됐다고 한다. 국내에서는 전 세계 감염시스템(약 7만5000개)의 11.8%인 8800여 개가 감염되어 일본의 약7배, 중국의 약 2배에 달했다. 하지만 국내에서는 아직도 이번 바이러스로 인한 피해규모를 정확히 산출하지 못하고 있다.
"더 센 놈이 온다" 예고된 재앙 인터넷대란
그러나 무엇보다도 중요한 것은 제2의 인터넷 대란은 언제 어느 때 어떤 형태로 우리 곁을 찾아올 줄 모른다는 것이다. 그리고 다시 찾아올 인터넷 대란은 그 동안 우리가 쌓아온 정보통신의 신화를 일거에 무너뜨릴 수도 있다.
국내 2위의 컴퓨터 바이러스 백신업체인 하우리는 지난해 말 발표한 '2003년 전망'을 통해 앞으로 닥쳐올 신종 바이러스에 대해 이렇게 설명했다.
"바이러스 유입경로와 전파방법이 파일실행이라는 단순하고 고전적인 방법에서 벗어나, 점차 OS의 보안 취약점을 이용한 자동실행이나 네트워크를 통한 유입으로 확대되었다. 또 한가지 전파방법이 아닌 복합적이고 다양한 감염 방법을 보유하는 추세다."
또한 향후 신종 바이러스의 진화 형태에 대해 "더욱더 파괴 기능이 강화된 바이러스들이 등장하게 될 것"이라고 내다봤다.
"앞으로도 'Microsoft VM ActiveX Component', 'Incorrect MIME Header Can Cause IE to Execute E-mail Attachment'와 같은 취약점을 이용한 종류가 성행할 것으로 예상한다. 그러나 또다시 새로운 취약점이 발견될 가능성을 배제할 수 없기 때문에 정확하게 어떤 기능을 이용한 바이러스가 나올지는 점치기 어렵다. 또한 시스템 정보를 캐내가는 백도어나 트로이목마 등의 악성 프로그램의 수가 많아지고 있는데, 향후에는 사용자가 전혀 감지하지 못하는 사이에 정보를 유출해가거나, 혹은 PC를 완전 망가트리는 극단적 기능이 삽입될 전망이다."
▲참여연대는 지난 12일부터 안전한 인터넷환경을 만들기 위한 캠페인의 일환으로 네티즌행동 사이트(www.netizenrights.net)를 오픈 시켰다. ⓒ
보안전문가인 피스넷의 고양우씨는 "슬래머 웜은 현존 최고의 기술이 적용된 바이러스의 한 형태"라면서 "웜이 치명적인 코드를 가지고 침투한다면 그 피해는 예상할 수 없을 것"이라고 말했다.
고씨는 현재 기술로도 개발 가능한 슬래머 웜의 변종을 크게 4가지로 예를 들었다.
▲ "인터넷에 널리 퍼져 있는 컴퓨터 전체를 대상으로 골고루 공격을 하기 위해서는 각각의 감염된 컴퓨터에서 난수로 대상을 선택하는 것이 필요하다. 그런데 슬래머 웜에 포함된 난수의 생성코드는 한계가 있어서 충분히 정교한 난수를 생성하지 못했다. 만약 이 부분이 수정되었더라면 더 많은 컴퓨터를 공격 대상으로 삼을 수 있었을 것이다."
▲ "일반적으로 웜 자체는 자신을 전파하는 코드만을 갖지만 여기에 다른 자원을 고갈시키거나 파괴하는(예를 들어 파일을 삭제하는)코드가 포함된다면 충격도 훨씬 더 커질 것이다."
▲ "SQL 서버는 일반 사용자들은 설치할 필요가 없는 소프트웨어다. 따라서 감염될 수 있는 대상 자체가 한정된다. 따라서 더 널리 사용되는 소프트웨어의 거의 패치 되어 있지 않은 취약성을 대상으로 하는 웜이 온다면 그 충격은 더 커질 것이다."
▲ "만약 웹서비스를 위한 포트와 같이 외부에서 내부로 접근이 흔히 발생할 수 있는 포트를 대상으로 공격이 이루어졌다면 이를 방화벽에서 차단하기 어려워져 공격의 성공 가능성은 훨씬 더 높아질 것이다. 따라서 흔히 대외적으로 제공되는 서비스(웹, 도메인 이름 시스템 등)를 대상으로 한 웜이 더 큰 충격을 줄 수 있다. 재작년 크게 창궐했던 님다, 코드레드 등의 웜 바이러스가 이러한 특성을 활용한 바 있다."
고씨는 "즉 어떤 제품을 설치하거나 일시적인 보완을 한다고 해서 보안이라는 문제가 해결되는 것은 아니라"며 "100% 방어가 어려운 만큼 피해를 최소화할 수 있는 방비책과 대응체계가 필요하다"고 지적했다.
초라한 인터넷 강국 한국의 초상
하지만 1.25대란으로 인해 잠시나마 강조됐던 '보안'의 중요성은 벌써부터 우리 뇌리에서 멀어져가고 있다. 올 들어서 만도 은행권 현금카드 유출사고, 인터넷뱅킹 사고 등 적지 않은 사고들이 발생하고 있지만 이에 대한 대응책 마련은 지지부진하다.
▲연도별 해킹 신고 현황과 국경간 해킹 현황 ⓒ 정통부
정통부가 지난해 6월 네트워크를 구축한 기업체를 대상으로 보안제품 도입 현황을 조사한 결과 ▲ 방화벽 19.1% ▲ 침입탐지 시스템 6.5% ▲ 인증 및 암호화제품 11.1% ▲ 통합보안관리도구 1.0%라고 발표했다. 선진국에 비해 대단히 낮은 수치다.
한국정보보호진흥원(KISA) 자료에 따르면 실제로 국내기업 가운데 방화벽(firewall)을 설치하고 있는 곳은 전체적으로 40% 수준에 불과하다. 이 가운데 대기업이 75%를 차지하고 있어 중소기업들의 '보안구멍'은 심각한 실정이라는 거다.
국내 중소기업의 숫자는 대략 10만여 개로 추산하지만 이들 중소기업의 97%는 직원수가 100명 미만이고, 50명이 안 되는 곳도 허다하다. 보안업계의 지난해 조사에 따르면 중소기업의 20% 정도만이 바이러스 백신 소프트웨어를 사용중인 것으로 나타났다.
또 최근 급속히 시장이 확대되고 있는 인터넷상점도 마찬가지다. 전자 상거래 업체 가운데 정보보안 전담 부서를 두고 있는 곳은 단 26%에 그치고 있다. 도처에 깔린 PC방 운영자들은 아예 보안에 대한 인식조차 없는 경우가 많다.
게다가 지난해 해킹 및 바이러스로 인한 피해 신고건수는 전년대비 무려 3배나 늘어난 1만5192건에 이르렀다. 신종 바이러스 출연건수도 갈수록 늘어나고 있다. 2001년에 194건에 불과하던 것이 2002년에는 232건으로 증가했다.
더구나 한국의 보안체계가 허술하다는 것이 알려지면서 전세계 해커들이 한국을 경유지로 활용하는 사례가 잦아졌고 우리 나라의 피해규모는 갈수록 대형화되고 있다. 지난 1월 정통부 발표에 따르면 2001년도 408건에 불과하던 것이 2002년에는 1954건에 이른다.
이러한 보안에 대한 불감증은 정부정책에도 여실히 드러난다. 예컨대 미국은 정부 IT예산의 8% 선을 보안에 투자하는 반면 한국은 그 비율이 1% 미만이다.
"철저한 책임 규명을 통한 재발 방지해야"
"'1.25 인터넷 대란'으로 우리가 얻은 교훈은 분명하다. 바이러스 패러다임의 변화에 맞춰 이에 대응하는 제도나 관리자의 대응태세가 바뀌지 않으면 인터넷대란은 언제든지 재발할 수 있다."
사이버테러정보전학회 김귀남(경기대 정보보호기술공학부 교수) 회장은 "사고에 대한 원인 분석과 철저한 책임 규명을 통해 다시는 이 같은 일이 재발하지 않도록 우리 모두가 노력해야 한다"며 "만약 막을 수 없다면 피해를 최소화하는 방법밖에 없다"고 지적했다.
하지만 '1.25대란'에 대한 원인규명은 어느 정도 됐으나, 책임 규명은 전혀 이루어지지 않았다는 것이 시민단체 일각의 지적이다.
"피해자는 있는데 아무도 자신의 책임은 아니라고 한다. 원인이 명확히 밝혀지지 않고, 책임 추궁이 이루어지지 않는 사고 처리, 우리는 그런 사고가 또다시 재발하고 더 큰 피해를 유발한다는 것을 최근 10년간의 우리 역사에서 잘 알고 있다."
따라서 참여연대 등 시민단체들은 "이번 대란에 책임이 있는 정보통신부와 KT등 통신서비스업체, 그리고 마이크로소프트 등이 모르쇠로 일관하고 있다"며 이들 기업들을 대상으로 피해보상을 요구하고 나서고 있다.
이에 대한 일환으로 참여연대는 지난 12일부터 안전한 인터넷환경을 만들기 위한 캠페인의 일환으로 네티즌행동 사이트(www.netizenrights.net)를 오픈시키고 손해배상소송 원고를 모집했다. 또한 3월말 경 모집된 원고를 대상으로 소송을 진행할 예정이다.
참여연대 배신정 간사는 "정통부는 관련 전문가와 기관을 동원하여 20여일 간을 조사하고는 인터넷대란의 원인이 '웜 바이러스'와 '네티즌의 낮은 보안의식'때문이라고 발표했는데 이는 단지 관련 부처와 기업에 면죄부를 주기 위한 것으로 판단한다"며 "원인을 명확히 밝히지 않고 책임 추궁이 이루어지지 않는 사고처리는 향후 똑같은 사고가 재발하고 더 큰 피해를 유발할 것"이라고 지적했다.