현대경제연구원 ‘사이버 테러의 상시 감시 체제를 구축하자’
1. 문제 제기: 심각해지고 있는 사이버 테러 문제
이제 인터넷은 경제와 사회 전반에 걸쳐 필수 불가결한 삶의 일부가 되고 있다. 인터넷 이용자수는 2001년 2,438만명에서 2008년 3,536만명으로, 전자상거래액은 2001년 119조원에서 2008년 630조원으로, 인터넷 뱅킹은 2001년 1,364조원에서 2008년 8,298조원으로 급증하고 있다. 반면에 인터넷 이용이 확대될수록 역기능으로서 사이버 테러(인터넷 침해)에 의한 인터넷 피해 또한 기하급수적으로 증가한다. 인터넷 해킹, 바이러스 침해에 의한 사이버 테러가 2004년 13만 7,103건였던 것이 보안 의식과 기술이 강화되면서 2008년에 2만 4,409건으로 매년 감소세를 보였다. 하지만 사이버 테러로 인한 피해액은 인터넷 이용 확대와 맞물려 더욱 늘어났을 것으로 판단된다.
사이버 테러에 대한 대비는 인터넷 기반의 경제·사회 체제가 가져야 할 필수 기능의 하나이다. 하지만 2009년 7월 7일 발생된 DDoS 사이버 테러 사태에서 나타났듯이 아직 일사분란한 대응 체제가 갖추어져 있지 못했으며, 사태의 심각성을 인식하는 사회적 분위기도 미흡하다. 사이버 테러의 대응책을 시급히 강구해야 한다.
2. 7·7 DDoS 사이버 테러의 사례 : 경제적 피해액 추정
○ 개요
7월 7일부터 10일까지 3일간에 걸쳐 분산서비스거부(DDoS) 공격으로 청와대와 백악관 등 한미 주요 정부기관, 민간의 홈페이지를 이용하지 못하는 사건이 발생하였다.
* 분산서비스거부(DDoS : Distributed Denial of Service)란 다수의 컴퓨터를 이용해 특정 서버에 대량의 트래픽을 전송해 그 서버에 과부하를 발생시켜 정상적인 서비스 이용을 방해하는 사이버 공격법임
금번 DDoS 사이버 테러는 기존 컴퓨터 바이러스 침해에 따른 사태와 다른 몇 가지 특징을 보여주고 있다. 첫째, DDoS 공격을 받은 사이트라 하더라도 전혀 서비스 제공이 불가능한 것은 아니라는 점이다. DDoS 공격을 받은 서버라 하더라도 완전히 서비스 불능 상태에 빠진 것이 아니라 처리 능력에 따라 서비스 제공이 가능한 경우도 있어 침해시간 산정에 어려움이 있다. 둘째, 금번 DDoS 사태는 매일 공격 사이트를 지정해 옮겨 다닌 것이 특징이다. 따라서 공격받은 사이트별로 피해를 입은 시간이 차이가 나므로, 피해액 산출시 필요한 피해업체의 비중 산정시 중요히 감안해야 한다.
○ 7·7 DDoS 사이버 테러의 경제적 피해 규모 추정
시간당 GDP에서 인터넷이 기여하는 부분을 간접 추정하여 손실액을 산출하는 방법을 활용하였다. 하지만 정확한 피해 현황을 조사하지 않고 추정하는 관계로, 금번 사태의 특징과 가정을 고려하여 아래와 같은 피해액 추정 산식을 정하였다.
(산식)
7·7 DDoS 사이버 테러 피해액
= Σ {(피해 기관·업체 관련 부문의 2009년 추정 GDP × 피해 기관·업체의 비중) / 연간근무시간} × 10.9% × 피해 시간
(산정 결과)
피해 시간을 최소 24시간, 최대 72시간으로 보았을 경우, 금번 DDoS 사태로 인한 경제적 피해액은 최소 363억원에서 최대 544억원으로 산출되었다.
7·7 DDoS 사이버 테러의 경제적 피해액 :
< 최소 363억원 ~ 최대 544억원 >
*참고: 작년 풍수해 피해액 580억원
(가정 및 유의사항)
1. 본 피해액 산정 산식은 개별 업체·기관의 정확한 피해 파악을 근거로 산출하는 것은 아니며, 또한 통일된 기준 적용으로 개별 업체의 특성을 제대로 반영하지 않은 관계로 산정된 피해액에 오차가 존재함에 유의
2. 피해액 산정 방법으로는 한국정보보호진흥원 (2008)의 방법인 시간당 GDP에서 인터넷이 기여하는 부분을 간접 추정하여 손실액을 산출한 방법을 원용. 다만 전산업이 아닌 피해 업체만 고려하는 관계로 상기와 같이 산식을 변경하였고, 복구비용은 추정 어려움으로 산정에서 제외
3. “피해 업체·기관 소속 부문의 2009년 추정 GDP”에서 당 연구원(HRI)의 2009년 추정 GDP를 활용하였으며, 피해 업체·기관이 소속된 부문(국가기관, 신문, IT서비스업, 소매업, 은행)의 GDP내 비중은 산업연관표(2006년도)에 기초해 전산업 부가가치에서 차지하는 각 부문의 비중과 동일하다고 가정
4. “피해 업체·기관의 비중”은 소속 부문의 GDP에서 피해 업체·기관이 차지하는 비중으로서, 여기서 비중 계산시 고려된 매출(민간업체)과 예산(국가기관) 규모는 GDP에 비례한다고 가정
5. “10.9%”는 한국정보보호진흥원(2008)이 인터넷의 GDP 기여도로서 적용한 수치로서, 본 피해액 산출에서도 10.9%의 기여도가 있다고 가정
6. “피해 시간”은 DDoS 공격 시간 중에서 업체·기관이 피해를 본 시간을 의미하는 것임. 피해 업체·기관별 정확한 피해 시간 추정이 어려워 총 72시간 공격 중에서 1차 공격 시간인 24시간을 최소 피해 시간으로, 그리고 72시간 중의 절반인 36시간을 최대 피해 시간으로 가정하였음. 그러므로 피해시간 24시간~36시간이 과대 추정되었을 가능성도 존재
금번 DDoS 사이버 테러는 과거 1.25 인터넷 대란과는 달리 일부 사이트의 접속 지연이라는 특징으로 피해 시간은 길었으나 피해 금액은 크지 않은 것으로 판단된다. 하지만 참고로 최대 544억원은 작년의 풍수해 피해액인 580억원에 거의 근접한 수치여서 피해 정도는 심각하다고 할 수 있다.
3. 사이버 테러 대응책
DDoS, 바이러스에 의한 사이버 테러로 인한 피해는 유비쿼터스 사회 등 IT 네트워크가 대규모화하는 사회로 진전될수록 더욱 대형화하므로 이에 대하여 정부, 민간기업, 일반인이 공조하여 국가 차원에서 대응책을 시급히 강구해야 한다.
첫째, 고도의 통제 수준을 갖추기 위한 국가 차원의 사이버 대응 체제를 구축해야 한다. 사이버 테러는 국지적 공격이 아닌 글로벌 차원에서 행정, 민간, 가계 등 다양한 분야에 걸쳐 전면적으로 전개되는 속성을 지닌다. 그러므로 사전 예방과 사태 발생시 필요한 자원의 신속한 동원 및 대응을 위해 국가 차원에서 이루어지는 고도의 통제 수준이 요청된다. 국가 차원의 CSO(Chief Security Officer: 최고 보안 책임자)를 임명하고 유관기간, 그리고 ISP, 보안 관련 민간기업이 참여하는 합동 통제 제체를 구축하고, 인터넷 침해 여부를 신속히 탐지하고, 공격 유형을 분석, 대응하는 통합 관제 체제를 구축, 운영해야 한다.
둘째, 사이버 테러 방지를 위한 국가 기관, 민간 기업내 ‘사이버 테러 신속대응 팀'을 조직해야 한다. 사이버 테러는 일반적으로 동시 다발적, 대규모적으로 진행되기 때문에 더 이상 피해 확산을 방지하기 위해서는 조기 대응이 절대 중요하다. 국가 기관과 민간 기업 내부에 ‘사이버 테러 신속대응팀’을 조직하여 다양한 분야의 전문 인력이 모여 상황 파악과 대응 방법을 강구하고, 단위 조직별 바이러스 퇴치 활동 체제를 구축한다.
셋째, 국가 차원에서 민간업체의 기술 개발 및 인력 양성을 지원해야 한다. 바이러스와 같은 악성 코드의 기술 개발 또한 컴퓨터 발달에 따라 빠르게 변하기 때문에 사전적으로 진화된 대응 기술을 개발하고 필요한 인력을 양성하는 노력이 필요하다. 국가 차원에서 민간업체의 바이러스 백신 개발 및 배포, 그리고 인력 양성을 지원하는 방안을 마련해야 한다.
넷째, ‘바이러스 색출의 날’을 정해 매달 전국적으로 바이러스 검사를 실시해야 한다. 사이버 테러의 핵심 수단은 자신은 알지 못하는 사이에 불법적인 행동에 사용되고 있는 PC이다. 일반인들은 금번 7·7 사태로 알 수 있듯이 개인 자신의 PC가 ‘나’만의 PC가 아니라 테러에 동원된 ‘무기’가 되고 있음을 심각하게 인식해야 한다. 인터넷에 연결된 PC라면 이런 불법적인 데에 이용될 가능성이 항상 존재하기 때문에 개인 스스로의 사전 예방이 무엇보다 중요하다. 정부는 일반 국민 대상의 보안 의식 강화 및 사전 예방 활동을 전개해야 한다. 과거 있었던 ‘쥐잡기 날’ 같이 한달에 한번씩 컴퓨터 바이러스 검사를 행하는 ‘바이러스 색출의 날’을 정해 시행하는 것도 바람직하다.
웹사이트: http://www.hri.co.kr
연락처
현대경제연구원
이장균 수석연구위원
02-3669-4119
이메일 보내기
