국내 보안전문가들은 국내 기업이나 공공기관의 전산보안 실태가 선진국에 비해 취약한 것으로 지적하고 있다.
문제가 되는 것은 관련 시설 및 관리체계의 부족이다. 보안 전문가들에 따르면 국내 기업과 공공기관 등은 전산망 가장 외곽에 위치한 방화벽과 침입탐지시스템 구비에 그치고 있다.
그러나 정작 중요한 것은 각종 응용 프로그램과 자료들이 보관된 애플리케이션 서버와 데이터베이스(DB)이다. 이를 보호하려면 전산망 가장 외곽에 마련하는 방화벽 외에 별도의 애플리케이션 방화벽과 데이터베이스 방화벽을 마련해야 한다.
안철수연구소 최홍진 부장은 “해킹 기술이 외곽 방화벽은 간단히 뚫을 수 있을 정도로 발전했기 때문에 애플리케이션 방화벽과 데이터베이스 방화벽을 갖추지 못하면 해킹을 통한 우회 공격에 속절없이 당하게 된다”며 “이를 막으려면 관련 방화벽 시스템을 갖추는 것이 중요하다”고 말했다.
지난해 5월에 국회 디지털포럼과 국가정보원이 실시한 국가기관 전산망 모의해킹 결과에 따르면 당시 57개 정부 기관이 해킹에 무방비 판정을 받았다. 당시 문제는 외부 인터넷 망과 내부 전산망 사이에 위치한 중간지대가 취약하다는 점이었다.
보안업계에 따르면 해커들은 방화벽이 외부에서 내부 접근을 할 경우 차단하지만 내부에서 외부로 접근하는 경우 차단하지 않는 점을 악용해 역방향 연결 기술을 사용해 내부 연결 방법을 찾는다. 이 경우 내부망 연결고리가 뚫리면 순식간에 각종 자료를 빼내갈 수 있다.
최근들어 인터넷 서비스 업체 위주로 각 단계별 방화벽을 갖추는 추세지만 공공기관 등은 상대적으로 기업만큼 전산보안을 능동적으로 갖추지 못하고 있다는 지적이다. 실제로 기업체들이 애플리케이션 방화벽이나 DB 방화벽을 갖추기 시작한 것은 지난해부터이어서 미국 등 선진국에 비하면 많이 뒤쳐져 있다.
실제로 장비와 인력 등 국내 기업들의 보안 관련 투자는 인색하다. 한국정보보호진흥원에 따르면 지난해 국내 기업들이 정보화에 투자한 비용 중 보안 시스템이나 관련 인력에 투자를 전혀 하지 않은 기업이 50%에 이른다. 선진국 기업들의 경우 매출 대비 7% 수준을 보안에 투자하는 실정인데, 국내에서는 이 정도 투자를 하는 기업은 3%에 불과하다.
아울러 보안 전문가 양성도 시급한 단계다. 보안 업계에서는 기업보다 공공 기관의 보안 전문가 배치가 시급하다고 입을 모은다. 보안업체 관계자는 “공공 기관에서는 보안 관련 인력을 민간 기업에 외주 형태로 의존하고 있다”며 “그렇다보니 공공 기관의 비상시 보안 대응 능력이 떨어진다”고 지적했다.
최연진 기자 wolfpack@hk.co.kr
ⓒ 인터넷한국일보, 무단전재 및 재배포 금지
<인터넷한국일보는 한국온라인신문협회(www.kona.or.kr)의 디지털뉴스이용규칙에 따른 저작권을 행사합니다>
기사 URL이 복사되었습니다.
댓글0