지난 7월 7일부터 세 차례에 걸쳐 청와대와 국회, 금융기관 등 주요 기관의 인터넷 홈페이지가 동시다발적 사이버 테러를 당해 마비되는 일이 벌어졌었다. 해커들이 해킹을 통해 특정 사이트 접속을 방해하는 식의 ‘분산서비스거부(DDoS: Distribute Denial of Service)’ 공격이라는 것이었다. 이는 수백만 대의 컴퓨터를 일제히 동작하게 하여 특정 사이트에 접속해 공격하는 해킹 방식의 하나로 한 명 또는 그 이상의 사용자가 시스템의 리소스를 독점하거나 파괴함으로써 시스템이 더 이상 정상적인 서비스를 할 수 없도록 만드는 것이다. 이 수법은 특정 컴퓨터에 침투해 자료를 삭제하거나 훔쳐가는 것이 아니라 목표 서버가 다른 정당한 신호를 받지 못하게 방해하는 작용만 한다. 다시 말해 대량의 접속을 유발해 해당 컴퓨터를 마비시키는 수법이다. 한 전화번호에 집중적으로 전화가 걸려오면 일시 불통되는 현상과 같다고 보면 된다. 7ㆍ7 사이버테러를 계기로 DDoS 공격에 대해 알지 못했던 대부분의 사람들이 그 위협과 정보보안의 중요성을 인식하게 되었다.

이러한 국가 정보시스템이나 주요 기관의 사이트들을 무력화하는 사이버테러는 언제 어디서든 재발할 수 있다. 그렇다면 나쁜 의도를 가진 해커들의 온라인 서비스 공격에 대한 대응책은 무엇인가? 가장 먼저 생각할 수 있는 것이 정보보안 시스템을 강화하는 일이다. 안철수연구소는 이 같은 전방위 보안위협에 신속하고 정확하게 대응할 수 있는 ‘클라우드 보안 서비스’라는 신기술을 선보였다. ‘클라우드 보안’이란 인터넷을 통해 보안과 관련된 복잡한 서비스 인프라 구조를 간결하게 제공하는 것을 말한다. 즉 보안 프로그램 등 모든 정보를 서버에 영구적으로 저장하고 데스크톱이나 노트북 등 클라이언트에서 인터넷에 연결해 서비스를 받아 사용하는 형태이다.

물론 이러한 기술적 대응이 필요하지만 더욱 중요하게 점검해야 할 것은 개인 컴퓨터 사용자들의 경제적 유인구조이다. DDoS 공격의 주요 수단은 눈먼 컴퓨터로 전락한 소위 개인들의 좀비 컴퓨터이다. 수많은 컴퓨터 시스템이 사용자도 모르는 사이에 이 방법에 의해 해킹의 숙주로 이용될 수 있다. DDoS 공격은 이용자의 정상접속이 불가능해지는 것은 물론 심하면 주컴퓨터 기능에 부분적인 손상을 입힐 수도 있다. 문제는 이렇게 이용될 수 있는 개인 컴퓨터의 사용자들은 굳이 돈을 내고 보안 프로그램이나 백신을 구입할 유인이 거의 없다는 것이다. 서비스 거부 공격의 방지를 위해서는 개인이 자신의 컴퓨터가 이에 사용되는 것을 방지하기 위한 노력을 기울이는 것이 바람직하나, 실제의 피해는 대규모 인터넷 사이트에서 발생하기 때문에 개인들은 이를 위해 특별한 노력을 기울이지 않을 것이다. 즉 개인은 자신의 컴퓨터가 서비스 거부 공격에 사용되는 것을 방지하는 백신 프로그램을 위해서는 단 한 푼의 금액도 지불하려 하지 않는다. 그렇다고 불특정 다수에게 온라인상의 도덕심이나 에티켓을 발휘해 달라는 것에도 한계가 있다. 정보보호 문제를 해결하기 위해 전적으로 윤리적인 의식에 의존하는 방법은 충분조건이 되지는 못한다. 사람들이 최소한의 보안수칙과 에티켓을 지키려는 행동이 자신에게 별다른 이익을 가져다주지 못한다고 여기기 때문이다. 사회 전반적으로는 보안수칙과 에티켓을 지키는 것이 그렇지 않은 것에 비해 훨씬 이익이 될 수 있으나, 경제적 유인구조 측면에서는 개인들에게 이러한 행동을 기대하기 어렵다.

컴퓨터, 네트워크 및 인터넷 등을 포함하는 IT가 급속하게 발전하기 시작한 이래로 정보보호 및 서비스 거부 공격에 대한 대부분의 과제와 임무는 컴퓨터, 네트워크와 가치 있는 정보들을 안전하게 보호하기 위해서 기술적인 수단을 연구하는 정보보호 전문가에게 의존하여 왔다. 그러나 시간이 지날수록 정보보호에 있어 인간행동에 대한 이해가 기술적인 측면의 중요성을 뛰어넘게 됨에 따라 정보보호 및 보안을 위한 적정투자 수준, 정보보안 이슈에 대한 정보공유 문제, 정보보호 및 보안 문제를 해결하기 위한 유인 체계의 정립 등 경제적인 접근방법들의 중요성이 향후 보다 부각될 것이다.

그러면 7ㆍ7 사이버테러의 근본적인 대응책은 무엇인가? 우선적으로 해커들을 찾아내 엄벌을 가하여 해킹의 기대비용을 크게 높이는 방안이다. 문제는 국경을 뛰어 넘어 활동하는 해커들을 적발하는 것이 용이하지 않다는 데 있다. 그러면 생각할 수 있는 차선책은 무엇일까? 서비스 거부 공격으로 인한 피해는 많은 사람들이 접속하는 대규모 사이트다. 이 대규모 사이트의 관련 이해 당사자 중 가장 적은 비용으로 이 문제를 해결할 수 있는 경제주체에게 책임을 부과하는 것이다. 이러한 서비스 거부 공격을 회피하는 데 가장 적은 비용으로 대처할 수 있는 경제주체, 즉 ‘최소비용 회피자(the cheapest cost avoider)’에게 책임을 부과하는 것이다. 사이트의 성격에 따라 최소비용 회피자가 공적 기관인지, 인터넷 서비스 제공업자나 네트워크 제공업자인지 아니면 개인인지를 판단하려면 객관적이고 합리적인 분석이 필요하다. 대부분의 경우는 정부 등 공공기관, 사이트 관리 담당기관, 서비스 제공업체, 네트워크 업체 및 일반 사용자들 간에 책임이 공유될 것으로 판단한다. 만약 책임을 공유한다면 이해관계자 간 어떠한 방법으로 책임을 분담해야 할 지는 앞으로 우리 사회가 풀어야 할 숙제이다.

이인권 (한국경제연구원 연구조정실장, iklee@keri.org)