뒤로가기
스페셜뉴스
[4차 산업혁명 ‘명암’③] 사이버침해 4년 새 3배 증가… ‘보안 투자’ 시급
2017. 10. 09 by 최수진 기자 jinny0618@gmail.com
4차 산업혁명 시대, 기술의 발달만큼이나 중요한 것이 ‘보안’이다. 하지만 보안 리스크에 대한 대비는 여전히 부족한 것이 현실이다.

[시사위크=최수진 기자] 지난달, 가정에 설치해 놓은 인터넷카메라(IP카메라)를 해킹한 사건이 발생했다. 해킹범들은 IP카메라를 통해 남의 집을 몰래 촬영하고 이를 유포하다 덜미를 잡혔다. 지나해에는 미국에서 트위터와 넷플릭스, 아마존 등 1,200여개 웹사이트가 마비되는 사건이 발생했다. 해커들은 당시 공격에 IoT 기기들을 활용한 것으로 알려졌다. 4차 산업혁명 시대, 기술의 발달만큼이나 중요한 것이 ‘보안’이다. 하지만 보안 리스크에 대한 대비는 여전히 부족한 것이 현실이다. 최근 국내외에서 발생하고 있는 각종 해킹사건이 던지는 메시지는 그래서 중요하다.

◇ 사이버침해 급증… 보안 경각심은 여전히 부족

자유한국당 송희경 의원이 과학기술정보통신부로부터 제출받은 국정감사 자료에 따르면, 2013년부터 올해 8월까지 한국인터넷진흥원에 신고된 민간기관 사이버테러 침해건수는 총 942건에 달했다. ▲2013년 82건 ▲2014년 175건 ▲2015년 225건 ▲2016년 247건 ▲2017년 8월말 현재 213건으로 4년 만에 3배 가까이 증가했다.

산업분류로는 정보통신업이 534건으로 가장 많았다. 주로 랜섬웨어, 개인정보 유출, 디도스(DDos) 공격 등이 주요사례로 꼽혔다.

국내 사이버테러의 대표적인 예로는 ‘인터넷나야나’가 랜섬웨어 감염으로 금전적 손실을 빚은 사건이다. 지난 6월 서버관리 업체인 ‘인터넷나야나’는 랜섬웨어에 감염돼 3,400여개의 사이트에서 피해가 발생했다. 나야나는 데이터 복구 조건으로 해커에게 13억원의 비트코인을 지불해야 했다. 당시 금전적 손해와 함께 업체의 신뢰도까지 추락하며 회사는 매각 위기까지 내몰렸다.

이 외에도 ‘여기어때’, ‘야피존(비트코인 거래소)’, ‘위메프(소셜커머스 업체)’이 사이버 침해로 인한 피해로 곤욕을 치렀다.

4차 산업혁명과 보안은 불가분의 관계다. 문제는 융·복합 ICT분야가 자리 잡으면 보안은 더 중요해진다는 사실이다. 4차 산업혁명 시대가 본격화 되면 아직 활성화되지 않은 분야인 자동차, 의료 등과 접목한 ICT 분야에서 사이버 위협은 더 심해질 것으로 전문가들은 보고 있다. 해킹에 따른 피해 규모 면에서 전통적인 사이버 공격 방식과는 차원이 다르다는 점에서 대책 마련이 시급하다는 지적이다.

4차 산업혁명 시대 IT산업의 특징은 여러가지 기술이 하나로 접목·통합된다는 점이다. 다양한 산업 분야에 ICT가 빠르게 확산되는 만큼 해킹 피해가 발생할 수 있는 범위도 더욱 넓어질 수 있다는 의미기도 하다.

한국전자통신연구원 정보보호연구본부 진승헌 본부장은 “4차 산업혁명에서 중요한 키워드는 초연결(IoT)과 초지능화(AI)”라며 “초연결은 여러 가지 편익을 얻기 위한 것이지만 보안적 측면에서는 공격의 경로가 넓어진다는 의미다. 초지능화 역시 해커들도 인공지능을 사용해 해킹을 하기 때문에 얼마나 효과적으로 막느냐라는 관점에서 중요하다”고 말했다.

진 본부장은 4차 산업혁명에 대비하는 보안 방식도 IT기술의 발전에 따라 변화할 것으로 전망했다. 진 본부장은 AI 기술을 이용한 △보안기술 강화 △보안축 강화 △AI 메커니즘 대응 등 크게 세 가지 방식을 설명했다.

그에 따르면 AI기술을 이용해 보안을 강화한다는 의미는 쉽게 말해 ‘지능형CCTV’를 의미한다. 인공지능을 도입해 자동으로 해킹을 감지하자는 것이다. 현재와 같은 수동적인 방식으로 악성코드를 탐지하는 것은 한계가 있기 때문이다.

또, 보안축을 강화하자는 것은 ‘사이버 자가 방어’를 의미한다. 해커들도 인공지능 등 신기술을 이용한 공격을 하기 때문에 상황에 대응하기엔 한계가 있으므로, 시스템 구성과 IP 주소를 바꾸는 ‘자가 변이’를 통한 대응방식을 말한다. 업계에서는 이를 ‘카멜레온’이라고 부른다는 게 진 본부장의 설명이다.

마지막으로 진 본부장은 “AI 메커니즘 대응은, AI 메커니즘 자체에 대해 대응을 해보자는 것”이라며 “사람이라면 실수하지 않을 문제도 컴퓨터는 문자 그대로를 받아들이기 때문에 실수하는 경우가 있다. 이와 같은 문제를 이용한 공격이 늘고 있어 AI 자체에 대한 안전성을 높이자는 의미”라고 말했다.

◇ '보안'에 대한 의식 전환 중요, 비용 아닌 투자로 생각해야 

KISA 사이버보안기획팀 임진수 팀장은 <시사위크>와의 통화에서 “사실 사이버테러 등의 문제는 외국도 마찬가지”라며 “우리나라는 다른 나라에 비해 IT기술이 발전함에 따라 더 많은 문제가 발생하는 측면도 있다. 다만 보안 기술이 고도화되기 위해서는 투자를 통해 산업이 커지는 게 먼저”라고 말했다.

임 팀장은 정보 보호를 ‘비용’의 문제가 아닌 ‘투자’라고 생각하는 보안 의식이 중요하다고 지적했다. 기업의 ‘망분리’도 사이버 보안의 예방 수칙 중 하나로, 망분리를 잘 시행하면 지금보다 더 보안이 강화된다는 것이다. 다만, 비용이 발생하기 때문에 기업이 가진 자원에 따른 투자가 필요하다는 게 그의 설명이다.

실제 보안에 대한 IT산업 전반의 인식 실태는 부족한 상황이다. 한국인터넷진흥원이 발표한 ‘2016년 정보보호 실태조사’에 따르면, 민간기업 내 11%만이 공식적인 정보보호 조직을 운영하고 있는 실정이다. 또 정보보호 관련 분야에 예산을 배정한 사업체는 전체의 32.5%에 불과한 것으로 조사됐다. 이 중 정보보호 예산 비중이 5% 이상은 민간 기업은 1.1%에 불과했다.

해커들이 기업 등의 서버에 있는 중요 파일을 암호화한 뒤 돈을 요구하는 ‘랜섬웨어’의 세계적인 사이버 해킹피해가 확산되고 있어 보안에 대한 대책마련이 시급하다는 지적이 나오고 있다. 사진은 지난 5월, 한국인터넷진흥원(KISA) 내 인터넷침해대응센터 종합상황실에서 관계자들이 대책 회의를 하고 있는 모습. <뉴시스>

임진수 팀장은 “투자가 증가해야 보안 산업에도 여유가 생긴다”며 “보안 기업이 출시하는 제품 수요가 늘어야 하는 것도 중요한 문제다. 이 수요는 B2B(기업 간 거래)를 통해 시작돼야 한다. 기업의 보안 담당자가 아무리 중요하다고 판단해도 결정권한이 없기 때문에 관리자들의 보안 의식이 개선돼야 하고 지속적인 관심도 필요하다. 수요를 촉진시킨다면 보안 기술은 따라오게 될 것”이라고 강조했다.

IT기기를 사용하는 개인의 경각심도 부족한 실정이다. 임 팀장은 ICT 기술이 발전해 사이버 범죄가 증가하기 전에 스스로를 보호할 교육도 필요하다고 말한다. 인터넷 접속 전 항상 패치를 확인하는 등 기본을 철저히 지키는 것이 습관화 돼야 한다는 것이다.

전문가들은 4차 산업혁명 시대 ‘Security(보안)’의 개념이 ‘Safety(안전)’으로 영역이 확대되고 있다고 진단한다. 사이버 공격 피해가 기존 사이버 공간에만 머무르지 않고 실제 생활, 생명, 안전에 위협을 주는 상황에 이르게 되기 때문이다. 향후 지능화된 4차 산업혁명 시대에서 사이버 보안의 중요성과 역할이 커질 수밖에 없는 배경이자, 제도적인 보완과 근본적 대책마련이 시급한 이유다.