▲안철수연구소 안철수 대표이사 ⓒ 이종호
국내 대표적인 인터넷 보안업체인 안철수연구소를 이끌고 있는 안철수 사장이 정보보안 사고로 인한 피해 규모가 태풍피해를 능가한다며 국내의 취약한 정보보안 시스템에 대한 국가적인 관심과 대책을 촉구했다.
안 사장은 2일 자사 홈페이지의에 게재한 '보안사고 피해, 태풍 매미보다 무섭다'라는 제목의 CEO칼럼에서 "작년 1·25 인터넷 대란 때 우리나라 컴퓨터가 전 세계 감염 컴퓨터의 12%였던 것을 감안하면 대략 한국이 세계 피해규모의 12%를 차지한다고 추정할 수 있다"며 "여기에 작년 한해동안 악성코드로 인해 발생한 전세계 피해 추정액인 550억 달러를 곱하면 우리나라가 입은 피해 규모는 66억달러(7조8500억원)라는 계산이 나온다"고 밝혔다.
안 사장은 "지난해 발생한 태풍 매미의 피해액이 4조원이었음을 생각하면, 우리가 미처 깨닫지 못하는 사이 정보보안 사고로 1년에 태풍 매미 피해액의 두 배에 달하는 금액이 허공으로 사라져 버린 셈"이라며 "보수적으로 감염률을 더 낮추어 계산하더라도 최소 매년 조단위의 피해가 생기고 있다고 볼 수 있다"고 정보보안 사고에 대해 경각심을 갖을 것을 강조했다.
그는 특히 "우리나라의 IT예산이 전세계에서 차지하는 비율이 1.2%정도로, 만약 우리의 정보보호 수준이 세계 평균 수준이라면 피해규모도 그 정도에 그쳐야 하지만 1·25 대란 때 최악의 경우 우리가 전세계 피해의 12%를 차지할 수 있음이 입증됐다"며 국내 정보보안 시스템과 보안의식의 부재를 꼬집었다.
안 사장은 "태풍이 지나갈 때는 정부차원에서 비상대책반을 가동시키고 피해복구를 위해 성금이 줄을 있지만 반면 국가 경쟁력을 크게 훼손하고 있는 보안사고는 통계로 잡히지도 않고 그냥 모르고 넘어가는 경우가 대부분"이라며 "국가 전체의 보안사고 피해 규모를 산출하는 등 보안 사고에 대한 기초 자료를 만드는 일이 시급하다"고 강조했다.
다음은 안철수 사장의 칼럼 전문.
보안사고 피해, 태풍 매미보다 무섭다
우리나라 사람들은 차를 무서워하지 않습니다. 차들 역시 사람들을 무서워하지 않습니다. 그럼에도 불구하고 주위에서 교통사고를 당하는 사람들이 별로 없는 것이 신기할 정도입니다. 많은 사람들이 길을 걸을 때나 운전할 때나 사고에 대한 큰 두려움 없이 일상을 살아갑니다.
그러나 국가적인 큰 스케일로 보면 문제는 달라집니다. 한 사람 한 사람의 태도만 보면 큰 차이가 없는 것 같지만, 이러한 태도들이 모여서 국가 단위의 규모가 되면 큰 차이를 만들어냅니다. 우리나라의 교통사고 사망률이 세계 최고 수준이 되어버린 것은 결코 우연이 아닙니다. 한 사람 한 사람의 입장에서는 요행이 있을 수 있지만, 한 나라 정도의 규모가 되면 요행은 없기 때문입니다.
정보보호 분야에서도 마찬가지입니다. 우리 스스로 인식하고 있듯이, 우리는 정보보호에 대해서 중요하다는 것은 알고 있지만 실제로 행동으로 옮기는 경우는 많지 않습니다. 그럼에도 불구하고 주위에서 큰 사고가 나는 것 같지 않기 때문에, 사고가 나면 그때 대처하겠다는 생각을 가지는 경우가 대부분입니다.
그러면 우리나라 전체에서 정보보호 문제로 얼마나 많은 피해가 발생할까요? 불행하게도 교통사고와는 달리 국가적인 통계가 나와 있지 않습니다. 한 기업의 내부에서도 웬만큼 피해가 크지 않으면 위로 보고하지 않고 그냥 넘어가는 경우도 있으며, 심지어는 피해를 당한 당사자가 모르고 있을 수도 있기 때문에, 국가 전체의 정확한 피해 규모를 파악하기는 더 어려울 수도 있습니다.
그러나 경영에서는 '숫자로 표현할 수 없는 것은 비즈니스가 아니다'라는 말이 있습니다. 계량화하고 측정할 수 없는 것은 의사 결정을 하기도 힘들고 그 결과에 대해서 평가하기도 힘들다는 뜻입니다. 국가 단위의 정책 결정도 이러한 측면에서는 비즈니스와 크게 다르지 않을 텐데, 정보보호 문제로 인한 피해 규모와 같은 기본적인 자료가 없는 상황에서는 올바른 정책 결정을 하기도 힘들고 그 정책의 효과를 평가하기는 더 힘들 수 있을 것입니다.
최소 매년 조단위 피해 발생
그러나 피해 규모의 추정이 불가능한 것은 아닙니다. 우리나라의 피해 규모를 알기 위해서는 전 세계 피해 규모에 우리나라가 차지하는 비율을 곱하는 방법으로 대략적인 산출이 가능합니다.
전 세계의 피해 규모에 대한 추정치는 이미 세계적으로 공신력 있는 여러 기관들을 통해서 매년 발표되고 있습니다. T사에서는 보안사고 중에서 특히 악성코드로 인한 피해 규모가 2003년에 550억 달러에 달했다는 추정치를 발표한 바 있습니다. 또한 리처드 클라크 미 대통령 사이버 보안 자문위원은 2003년 호주 시드니에서 열린 AVAR 컨퍼런스에서 보안 사고로 인한 전 세계의 피해 규모가 2002년에는 450억 달러, 그리고 2003년에는 1300억 달러에 이를 것이라는 견해를 발표한 적이 있습니다.
우리나라가 전 세계 피해 규모에서 차지하는 비율도 대략적인 추정이 가능합니다. 우리나라가 차지하는 IT 예산 규모는 전 세계의 1.2% 정도입니다. 따라서 만약 우리의 정보보호 수준이 세계 평균 수준이라면 피해 규모도 1.2% 정도라고 가정할 수 있습니다. 그러나 우리의 수준이 이 정도라고 믿는 사람은 아무도 없을 것입니다. 작년에 1.25. 인터넷 대란이 일어났을 때, 우리나라는 전 세계의 감염된 컴퓨터 중 12%를 차지했습니다. 최악의 상황이었다고 가정하더라도 우리나라가 전 세계 피해 규모의 12% 정도를 차지할 수 있다는 것이 입증된 셈입니다.
따라서 2003년의 전 세계 피해 규모 자료 중 악성코드에 의한 피해만을 계산한 보수적인 추정치인 550억 달러에 그 해 1.25. 인터넷 대란 때의 감염률 12%를 곱하면 작년 우리나라의 피해 규모를 추정할 수 있을 것입니다. 그 규모는 66억 달러, 2003년 평균 환율 1190원으로 계산하면 한화로 7조8500억원이라는 계산이 나옵니다.
작년에 발생했던 태풍 매미의 피해액이 4조원이었음을 생각해본다면, 우리가 미처 깨닫지 못하는 사이에 한 해에 태풍 매미 피해액의 두 배에 달하는 금액이 허공으로 사라져 버린 셈이라고 할 수 있습니다.
이러한 결과로 비추어볼 때, 보수적으로 감염률을 더 낮추어 계산하더라도 최소한 매년 조 단위의 피해가 생기고 있다는 것은 쉽게 계산이 가능할 것입니다.
국가적 보안사고 피해 규모 산출 필요
태풍이 지나갈 때는 정부차원에서 비상대책반을 가동시키고 피해 복구를 위해서 각계각층에서 성금이 줄을 잇지만, 보안 사고는 1.25 인터넷 대란과 같은 국가 규모의 사건을 제외하고는 깨닫지 못하고 그냥 지나가 버리는 경우가 많습니다. 보안 사고는 대부분이 교통사고와 마찬가지로 1년 내내 우리나라 전역에서 소규모지만 광범위하게 발생하는 특성이 있기 때문입니다.
사람과 자동차가 서로를 무서워하지 않다보니 국가적인 규모에서 교통사고 사망률이 세계 최고 수준이 된 것과 마찬가지로, 우리의 안전 불감증을 생각해본다면 국가적인 규모에서 이 정도 피해가 생기는 것은 어찌 보면 당연하다고 할 수 있을 것입니다. 만약 교통사고 사망률이 통계로 잡히지 않았다면 우리가 세계 최고 수준이라는 사실을 모르고 지나갔을 지도 모릅니다. 보안사고 역시 국가 경쟁력을 크게 훼손하고 있지만, 전체적인 통계로 잡히지 않아서 모르고 지나가는 것뿐입니다.
또한 교통사고 사망률이 전체 사망자수가 아닌 인구 10만 명당 사망자수로 계산하는 것처럼, 보안사고 규모도 절대 규모만으로 따진다면 미국보다 작겠지만 우리나라가 가지고 있는 전산 자원의 단위 규모 당 사고로 따진다면 교통사고 사망률처럼 세계 최고 수준일 가능성이 높다는데 문제의 심각성이 더욱 크다고 하겠습니다.
따라서 우리가 우선적으로 해야 할 일중의 하나는 국가 전체의 보안사고 피해 규모를 산출하는 일이라고 생각합니다. 특히 절대 규모뿐만 아니라 전산 자원 규모당 사고 규모에 대한 자료가 필요합니다. 이러한 기초 자료가 있어야 만이 올바른 정책 방향을 결정하고, 추후에 그 정책에 대한 평가도 가능할 것입니다.
그리고 이러한 일은 행정부나 그 산하 기관보다는 국회 산하 기관이나 감사원 또는 언론 등 공신력 있는 기관에서 하는 것이 적절하다고 생각됩니다. 행정부에서는 정책을 수립하고, 결과에 대한 평가는 다른 기관에서 하는 것이 바람직하기 때문입니다.
이제 인터넷은 없으면 불편한 단계를 벗어나 전화선만큼, 어쩌면 전화선보다 더 중요한 국가 기간망이 되었습니다. 인터넷의 개방성이 주는 장점을 최대한 살리면서, 동시에 수많은 역기능들을 슬기롭게 극복해나가는 것이 21세기를 살아갈 우리에게 남겨진 과제일 것입니다.