서울 송파구 중대로 IT벤처타워 5층. 이 곳은 일년 내내 24시간 불이 꺼지지 않는다. 대한민국 인터넷 보안의 심장부 한국인터넷진흥원(KISA)의 인터넷침해대응센터(CERT) 상황실이 있는 곳이다.
CERT 상황실은 국내 인터넷 현황을 한 눈에 파악한다. 어느 곳에 인터넷 접속 신호가 몰리며 어디에서 해킹 시도가 일어나는 지 손바닥 보듯 들여다 본다. 이를 위해 국내 주요 인터넷 기간통신망을 이 곳에 연결해 12대의 대형 모니터로 24시간 감시한다. 그만큼 중요한 곳이어서 KISA 직원들도 상황실 근무자 외에는 이중 보안문을 통과할 수 없다.
좀비PC 매일 7만6,000대 탐지
1년 전 이 곳은 디도스(DDoSㆍ분산서비스거부) 사태로 아비규환이었다. 디도스란 특정 사이트에 과도한 접속 신호를 보내 마비시키는 사이버 공격 행위다. 지난해 7월7일, 정체를 알 수 없는 해커가 인터넷에 뿌린 악성코드에 감염된 수 많은 컴퓨터(PC)가 청와대 등 정부 및 주요 포털, 기업 홈페이지 등을 3차례에 걸쳐 무차별 공격하며 대대적인 접속 불능 사태를 만들었다. 오죽했으면 7.7 대란이라고 부를가.
당시 CERT 상황실은 온갖 문의 전화와 언론, 정부 관계자들의 방문에 시달리며 며칠 동안 모든 직원들이 뜬 눈으로 밤을 지샜다. 신대규 CETR 상황관제팀장은 지금도 그때 일을 악몽으로 기억한다. "그날 오후 6시30분에 첫 번째 공격신호를 포착해 대응에 들어갔지만 악성코드에 감염된 좀비PC가 급속도로 확산됐습니다. 결국 7.7 대란의 범인은 잡지 못했습니다."
그로부터 1년, 국내 인터넷 보안이 얼마나 달라졌는 지 확인하기 위해 5일 CERT 상황실을 찾았다. 35명의 CERT 근무자들은 바짝 긴장한 채 비상근무중이었다. 1년을 맞은 7.7 대란도 문제이지만 미국 독립기념일인 7월4일을 겨냥한 사이버 공격이 매년 되풀이되고 있기 때문이다. 특히 주ㆍ야간에 걸쳐 4조 2교대로 24시간 근무하는 상황실 근무자들은 잠시도 모니터에서 눈을 떼지 못했다.
"다행히 올해는 이상 징후가 보이지 않네요. 하지만 안심하긴 이릅니다." 해외에서 국내로 들어오는 인터넷 신호(인바운드) 현황판을 유심히 지켜보던 신 팀장이 국가별 해킹 시도가 표시되는 곳을 가리켰다. "디도스 공격은 매일 일어납니다. 그 중 절반 가량이 중국에서 들어오고, 최근 러시아에서도 디도스 공격 신호가 포착되고 있어요."
CERT는 국내 주요 인터넷 기간통신망에 디도스 탐지장치를 부착해 공격 신호를 잡아낸다. CERT 상황실에서 포착하는 디도스용 좀비PC는 매일 7만6,000대에 달한다. 그만큼 디도스 공격시도가 매일 일어난다. "좀비PC는 대부분 10개 이상의 악성코드에 중복 감염된 경우가 많습니다. 그만큼 이용자들이 보안에 신경을 써야 합니다."
최근에는 포털에 악성코드를 숨겨놓고 전파하는 방법이 늘고 있다. 포털 뉴스코너에서 조회수가 많은 인기 뉴스에 악성코드를 숨겨놓으면 좀비PC를 쉽게 늘릴 수 있기 때문이다. 신 팀장은 이렇게 늘어나는 악성코드에 혀를 내둘렀다. "2003년 1만9,000개였던 악성코드가 지난해 290만개로 100배 이상 늘었어요."
신 팀장이 특히 심각하게 보는 것은 변종 악성코드다. "아무리 보안태세를 잘 갖춰도 새로 나온 악성코드는 탐지 및 대응이 힘듭니다. 특히 소프트웨어의 취약점을 발견과 동시에 공격하는 '제로데이 어택'은 속수무책입니다. 그 만큼 디도스 사태가 늘 일어날 수 있기 때문에 절대 안전하다고 장담할 수 없습니다."
부족한 인력, 그나마 2년 계약직
지난 1년 동안 CERT에서 가장 많이 달라진 것은 예산과 인력이다. 지난 해 7.7 대란 이후 104억원이었던 보안 예산이 올해 384억원으로 4배 가까이 늘었다. 비용의 대부분은 하반기에 새로 도입할 최신 디도스 탐지장비 및 다음달부터 운영 예정인 디도스 대피소 설치 비용에 쓰인다.
인건비로 들어가는 비용은 20억원. 문제는 비용이 아니다. 정부에서 공공 기관의 인력을 묶어놓고 늘려주지 않아 보안요원을 고용하고 싶어도 뽑을 수가 없다. 그렇다 보니 지난해 7.7 대란을 겪고 나서 KISA에서 보안전문가 35명을 새로 뽑았는데 모두 계약직이다. 즉, 2년이 지나 일이 익숙할 만 하면 이들은 모두 나가야 한다.
계약직 굴레에 묶여 있는 한 2년 마다 사람을 새로 뽑는 악순환이 되풀이 될 수 밖에 없다. 그렇다보니 보안전문가를 데려올 엄두를 내지 못한다. 신분보장이 안되니 포털, 보안업계 등으로 이직도 잦다."외국 CERT는 약 300명 정도의 보안전문가가 있습니다. 지난해 100명의 인력을 요청했더니 계약직 35명을 늘려주더군요. 사실상 충원이 아닙니다. 충원은 커녕 기존 인력 유지도 힘들죠."KISA 관계자는 푸념 끝에 "인터넷 침해 사고는 인재"라며 한숨을 내쉬었다. 지금 이 상태라면 디도스 사태가 재발돼도 대응이 쉽지 않은 지경이다. 정부에서 보안전문가 양성을 위한 인력 운용 방침을 재고해야 할 대목이다.
최연진기자 wolfpack@hk.co.kr
기사 URL이 복사되었습니다.
댓글0