• 북한의 사이버공격은 휴화산과 같다

    사이버테러방지법 제정해야

    차의현 /자유연구원 정책위원

     지난 6.25 사이버공격이 북한 해킹조직에 의한 것이라고 정부는 발표했다.
    사고가 발생하자마자 누구나 북한 소행이라고 예측은 했지만 ‘역시나’였다.
    대한민국의 상징인 청와대 홈페이지에 ‘김정은 만세’를 내걸다니 무례하기 그지없지만 이렇게 당한 우리를 자책해야 하지 않겠나?
     
     이번 사건의 조사결과 발표를 바라보면서, 이제는 공격주체가 북한 해킹조직이라고 밝히는 것이 중요사항이 아니라 “이러한 야비한 사이버공격이 언제까지 계속 될까?”와 “어떻게 해야 사이버안보를 굳건히 할 수 있느냐?”의 해결책 제안이라고 생각한다. 사고가 발생할 때마다 정부는 대책을 발표하고 있지만, 그 어떤 장애 없이 지속적으로 사이버공격이 발생하고 있는 것을 보면 크게 효과를 보지 못하는 것 같다.
     
     이번의 6.25 사이버공격의 특징을 살펴보면, 우리의 심장부인 청와대를 조준했다는 것이고, 보안이 허술한 민간업체는 언제든지 먹잇감이 될 수 있음을 보여주었으며, 하나의 공격유형에 그친 과거와 달리 홈페이지 변조, 디도스 공격, PC파괴를 동시에 복합적으로 수행한 사이버융단공격의 모델이란 점이다. 그리고 한번 사이버공격을 하고난 후 다시 다음의 공격을 준비하고 공격하는 것이 아니라 평시 끊임없이 공격준비를 해놓고 있다가 필요할 때 터뜨리는 형태의 공격을 감행한다는 것이다. 그러니까 지금 이글을 적고 있는 이 순간에도 공격준비가 이루어지고 있고 이것은 휴화산을 안고 있는 것과 다를 바 없는 것이다.
     
     - 북한의 공격사실을 입증하려 하지 말자 -
     
     또 하나의 특징으로 꼽는다면, 기존처럼 북한이 공격 소행을 은닉하고 역추적을 피하려고 PC파괴를 하였는데, 이번 6.25 사이버공격에서는 PC복구를 하지 못하도록 하려는 많은 노력을 한 흔적이 보였다고 한다. 앞으로 누가 공격을 했는지 모를 때가 나올 수 있다. 이쯤 되면 우리는 공격을 받고 그리고 조사결과를 발표하는 과정을 반복할 것이 아니라. 이제는 북한이 공격했다는 증거를 밝힐 것이 아니라 공개하지 않아야 한다. 그들이 궁금해 하는 성공 여부의 잘잘못을 알려주는 愚를 피해야 한다.
     
     북한이 어떻게 준비를 했느니 공격수법이 어쨌느니 하는 것은 당장의 궁금증을 풀 수는 있지만, 멀리 보면 북한이 더 몰래 숨어서 악랄하고 잔인한 공격을 하도록 자꾸 자극시키는 결과를 초래할 뿐이다. 그냥 북한이 공격했다면 “금번 사이버공격 소행은 북한의 짓이다”라고만 발표하면 좋겠고, 국민들도 異議를 달지 말고 그렇게 이해를 해주면 좋겠다. 그래야만 다음 사이버공격을 받았을 때 조속히 조사하고 복구하는데 도움을 줄 수 있기 때문이다. 우리의 IT자산을 보호하고 국민 개개인의 피해를 최소화하기 위함이란 것을 알고 가야 한다.
     
     - 북한의 사이버공격은 휴화산과 같다 -
     
     북한이 2000년대 초반 해킹인력을 본격적으로 양성하고 사이버戰을 준비한 지 10년이 되던 무렵에 ‘7.7 디도스공격’을 자행했고, 그 이후로 오늘 날까지 간헐적으로 대규모 공격을 일으키고 있다. 이는 해킹조직과 인력, 기술이 구비되었으니 사용하지 않을 수 없게 되었다는 증거이고, 그렇다면 앞으로 우리에게는 많은 공격이 있을 것임을 예상해야 하는 것이다.
     
     우리도 이번을 계기로 북한을 혼내주는 방법을 찾아야 하지 않을까? “북한이 공격했다”라고 말하고 지나갈 것이 아니라, 필요하면 공격진원지를 무력화시킬 수 있도록 준비를 해야 하고 국제협력을 통해 대북제재를 강화해야 하는 것이 아닐까? 그러면서 철옹 같은 방어태세를 갖추도록 해야 하겠다.
     
     혹자들은 사고가 나면 “정부는 뭐 했나?”라고 정부 탓을 하려는 경향이 많다. 그러나 정부는 나름대로 노력을 하고 있다고 본다. 오히려 이러한 지경이 되고 있음에도 국회는 사이버테러방지법 조차 논의를 하지 않고 있다. 이제부터는 “국회는 뭐 하냐?”라고 물어야 한다. 국가적 사이버안보를 강화하기 위해서는 법적․제도적 장치 없이는 많은 것을 이룰 것이라고 기대하는 것은 옳지 않다. 정부는 인명 피해까지 야기하는 더 심각한 사이버공격이 없도록 대비하여야 하고, 국회에 책임을 묻는 일이 없도록 국회도 사이버테러방지법 제정에 많은 노력을 해줄 것을 기대한다.