공공기관의 위독한 사이버보안 불감증

4차 산업혁명 시대에 진입하면서 갈수록 사이버공격이 고도화되고 있는 반면, 국내 공공부문의 관련 예산은 오히려 뒷걸음질 치면서 심각한 보안 불감증을 나타내고 있다. 게티이미지뱅크

“최악을 내다보고 두려워하라.”

이제 겨우 시작에 불과하단 협박처럼 들렸다. 의도적으로 내비친 추가 행동에선 공포감도 배가됐다. 지난해 1월 13일 밤부터 다음 날 새벽 사이, 무차별적 해킹으로 일시 마비된 70여 개의 우크라이나 정부 인터넷 사이트 화면에 등장한 메시지는 그랬다. 공격 대상엔 외교부와 재무부, 에너지부를 비롯해 주요 부처에서부터 응급의료기관까지 포함됐다. 세계 최고 수준의 사이버공격 능력을 보유한 러시아가 탱크 대신 악성코드를 국경 침범에 앞서 네트워크 공략에 대거 동원한 형태다. 러시아 침공 가능성에 신경이 곤두선 시점이어서 우크라이나의 사회적인 혼란과 불안감도 증폭됐다. 그로부터 1개월이 지난 그해 2월 24일, 러시아는 우크라이나 국경을 탱크 등으로 침투하면서 전면전에 돌입했다. 온·오프라인상에서 치밀하게 기획된 러시아의 ‘하이브리드 전쟁’ 시나리오는 그렇게 쓰였다.

정보통신기술(ICT)로 융합된 4차 산업혁명 시대에 진입하면서 사이버공격은 갈수록 고도화되고 있다. 최근 들어선 외교 안보와 금융, 가상화폐, 특허 등을 포함해 전선도 갈수록 확대일로다.

특히 막강한 해킹 능력을 갖춘 것으로 알려진 북한과 대치된 우리 현실에선 사이버보안 능력 배양은 필수다. 일찌감치 “사이버공격은 ‘만능의 보검’이다”라고 천명한 김정은 북한 국무위원장은 해커 부대를 직속으로 관리, 군사적 목적 이외의 분야에서도 핵심 전력으로 활용하고 있다. 징후는 곳곳에서 감지된다. 지난달 30일 국가정보원에 따르면, 북한은 작년 말 금융 보안 소프트웨어를 악용해 국가·공공기관 및 방산·바이오업체 등 국내외 주요기관 60여 곳의 컴퓨터 210여 대를 해킹했다. 북한은 간판 해킹그룹인 ‘APT43’을 내세워 한국과 미국, 일본 등에서 각국의 주요 기밀사항들을 빼내고 있는 것으로 전해졌다.

이처럼 해킹의 전방위적인 위협은 가속화하고 있지만 국내 공공부문의 사이버보안 인식은 오히려 뒷걸음질이다. 지난달 말 공개된 과학기술정보통신부의 ‘2023년도 공공부문 소프트웨어 및 정보통신기술장비, 정보보호 예산’에 따르면 관련 사업 규모는 6조2,239억 원으로 전년 대비 2.7% 증가했다. 하지만 공공부문의 정보보호 관련 제품과 서비스 구매 예산은 6,679억 원으로 전년 대비 10%가량 감소했다. 소 잃기 전, 외양간 관리 비용을 확 늘려도 모자랄 판에 되레 삭감한 꼴이다. 민감한 공공부문 정보가 해킹될 경우 입게 될 천문학적인 손실을 감안하면 지나치게 한가한 처사다. 윤석열 대통령이 지난달 22일 사이버작전사령부를 방문한 자리에서 “우수한 사이버 전문인력을 육성할 수 있는 시스템을 시급히 발전시켜야 한다”고 강조했던 기류에도 배치된다.

해킹과 보안은 ‘창과 방패’ 관계다. 완벽한 방패를 위해선 창에 대해 철저한 연구가 기본이다. 지금도 해킹 기술은 빛의 속도로 진화 중이다. 최근엔 생성형 인공지능(AI)으로 출몰한 ‘챗GPT’까지 해킹에 악용되는 추세다.

국경조차 무의미한 사이버 전쟁터에서 동맹국의 지원은 난센스다. 유일한 해법은 자생력이다. “제3차 세계대전은 사이버 공간에서 일어날 것이고, 그것은 곧 재앙이 될 것”이란 보안업계의 공공연한 비밀은 수면 위로 떠오른 상황이다. 초연결 네트워크 시대에 사이버공격으로부터 자유로운 안전지대는 없다.

허재경 이슈 365팀장

허재경 이슈365팀장 ricky@hankookilbo.com