김홍선 안철수연구소 대표이사
오늘날 우리는 인터넷으로 세계 각지의 소식과 정보를 실시간으로 접하는 사이버 문명의 시대에 살고 있다. 우리를 에워싼 컴퓨터와 네트워크 환경은 생각 이상으로 막강하며, 또한 의외로 취약하다. 통신 혁명과 지능화한 IT 기기의 보급, 소셜 네트워크를 통한 입체적 접속의 시대. 이는 우리에게 풍부하고 질 높은 삶을 가져다 주지만, 그 잠재적 위협도 가히 파괴적이다.
최근 신종 컴퓨터 악성 프로그램인 스턱스넷(Stuxnet)이 이란의 원자력발전소를 타깃으로 유포됐다는 소식이 화제가 되었다. 컴퓨터 바이러스를 이용한 사이버 전쟁이 영화가 아닌 실제 현실에서 나타날 수 있음이 입증된 것이다. 예전에 볼 수 없었던 이러한 위협의 정체는 무엇이고, 어떻게 해석해야 하는가? 그 실상을 명확히 이해할 필요가 있다.
첫째, 이 문제의 시작은 시스템을 제어하는 PC가 악성코드에 감염되는 것이다. 소위 SCADA(감시 제어 데이터 수집) 시스템은 기반 시설을 구성하는 핵심 인프라이다. 중요한 시스템이라 특별한 관리 장비가 있을 것 같지만, 예상과 달리 PC에 의해 관리된다. 물론 일반적인 사무용 PC와는 달리 특별하게 관리된다. 그렇다고 해서 PC의 구조적 문제에서 자유로운 것은 아니다. 사람이 관여하든, USB를 사용하든, 아니면 네트워크를 통해서든 접속이 이루어지기 때문에 악성코드에 감염될 여지는 항상 존재한다.
둘째, 위협의 성격이 은밀하면서 즉각적이다. 보통 사이버 침해는 끊임없이 취약점을 파고드는 연속적인 행위이다. 그러다 보니, 이를 막는 정보보안 시스템도 지속적인 방어의 형태를 띤다. “보안은 최종 목표가 아니라 영원한 여정이다”라는 표어는 이런 정신을 보여준다. 그래서 해킹과 방어를 창과 방패의 싸움에 비유하고, 대부분의 보안 제품은 이러한 개념에 충실하다.
그러나, 스턱스넷은 시한폭탄처럼 철저하게 숨어있다가 정해진 시각에 타깃을 무너뜨린다. 지속적인 공격 시도가 아니라 정해진 계획에 따른 치명적인 ‘일발(一發)’이 목표다. 따라서 그 공격을 막지 못하는 순간 수많은 보안 대책은 무의미해진다. DDoS 공격의 경우는 초기에 대응하지 못했더라도 피해를 최소화하기 위한 대응 노력이 의미가 있다. 하지만, 스턱스넷은 공격이 성공한 즉시 우리의 사회 인프라가 일시에 무너져 버린다.
셋째, 피해 범위가 특정 장비나 분야에 한정되지 않는다. 한 최고 경영자는 “우리는 지멘스 장비 없어서 괜찮다”라고 얘기하는데, 이는 문제의 핵심을 놓친 것이다. 또한 원자력, 전기, 철강과 같은 기반 시설에 국한된 문제도 아니다. 공장 관리, 의료 장비, 자동차 유지보수 등 산업과 생활 현장에서 PC로 장비를 제어하는 곳은 부지기수다. 따라서 겉으로 드러난 현상에 급급하기보다 문제의 핵심에 촛점을 맞춰야 한다.
지금까지 대부분의 문제는 IT 시스템의 범주에 속해 있었다. 이미 일반인들도 직·간접적으로 경험한 바 있는 DDoS 공격 역시 그러하다. 따라서 보안 문제를 바라볼 때 IT를 이용하는 개인이나 기업에 피해를 주는 정보화의 역기능으로 간주했다. 그리고 대책도 기존 보안 솔루션으로 세울 수 있었다.
하지만 이번에 스턱스넷 유포로 제기된 문제의 촛점은 우리 모두의 안전(Safety)이다. 전기가 끊어지고 물이 공급되지 않는다면 문명 사회로서 치명적인 타격을 입는다. 이는 곧 인간의 생명과 삶 자체가 위협을 받는 일이다. 더욱이 사회적 혼란은 불을 보듯 뻔하다. 안전 문제에 관한 한 일말의 가능성도 재앙이 된다. 만일 국가 차원에서 이 기술이 사이버 전쟁에 이용된다면 국가 안보가 심각한 위험에 빠지게 된다.
오늘날 전투는 사이버 무기가 선봉에 선다는 것이 주지의 사실이다. 따라서 대책도 달라야 한다. “우리는 각종 보안 솔루션을 잘 구비했다”는 인식이 오히려 독이 될 수 있다. 스턱스넷과 같은 유형의 공격은 개념도 다르고 목적도 다르다. 치명적인 단 한 차례의 공격을 막기 위한 근본적인 기술로 방비를 해야만 이 위협으로부터 안전할 수 있다.