[재경일보 김동렬 기자] 국가의 핵심 인프라 정보통신 기반시설에 대한 물리보안이 취약한 것으로 밝혀져 대책 마련이 시급한 것으로 지적되고 있다.

3일 정부기관과 보안업계에 따르면 이동통신사, 주요 병원, 공공기관 등 국가 핵심 보안시설로 분류돼 특별 관리되고 있는 주요 정보통신 기반시설 중 상당수가 물리보안 설비 없이 해킹에 무방비 노출돼 있는 상태로 운영되고 있는 것으로 밝혀졌다.

현행 정보통신기반보호법은 국가 기반인프라를 보호하고, 사이버 테러를 예방하기 위해 주요 시설을 '정보통신기반시설'로 지정해 특별 관리하고 있다. 여기에는 정부행정망은 물론 군수장비, 경찰망, 금융전산, 통신장비, 운송시스템, 에너지 제어·관리시스템 등 국민기초생활에 직접적인 영향을 미치는 거의 모든 정보통신망과 디지털 설비가 포함돼 있다.

보안업계에 따르면 KT, SK텔레콤, LG유플러스 등 기간통신장비는 물론 서울시를 포함한 5대 광역시와 지자체, 법원, 검찰, 선관위, 가스공사, 대형병원, 제2금융권 등 주요정보통신 기반시설들이 대부분 물리보안 사각지대로 밝혀졌다. 여기에 교통제어설비, 철도-공항-항만관제시스템, 은행 전산단말기와 CD/ATM기기, CCTV, 지하철 운영-관제시스템 등 산업장비도 사실상 무방비 상태로 알려지고 있다.

보안전문업체 컴엑스아이 안창훈 대표는 "정보통신기반시설 대부분이 침입탐지, 방화벽, 네트워크 보안, 암호인증 등 SW방식의 정보보안에 의존하고 있다"며 "추가로 통신포트 물리보안 설비를 갖추지 못하면 내부 직원이나 협력사, 하청회사 직원이 악의적으로 USB로 바이러스를 흔적을 남기지않고 유포하거나, 해킹하고 정보를 유출할 수도 있다"고 지적한다.

일부기관 보안담당자들은 "통합정보보호시스템을 도입했기 때문에 통신포트를 통한 정보유출은 불가능하다"고 밝히고 있지만, 보안전문가들은 전혀 다른 입장이다. 지능화된 첨단 기술로 중무장한 해커들이 급증하고 있는데다, USB포트를 통한 바이러스형 해킹과 정보파괴 기술이 갈수록 교묘해져 SW방식 정보보호시스템만으로는 안전을 장담할 수 없다는 것이다.

무엇보다 산업기반시설에 침투, 엄청난 피해를 주는 '스턱스넷'(Stuxnet) 바이러스가 기승을 부리고 있기 때문에, 폐쇄시스템 내 정보통신기기와 각종 산업시설이라도 통신포트를 물리적으로 봉쇄해 침입경로를 차단하는 물리보안시스템 도입을 병행해야 안심할 수 있다는 지적이다.

스턱스넷이란 2010년 이란 원전 시설을 해킹해 핵심시설인 원심분리기 1천대에 심각한 피해를 준 대표적인 산업기반시설 공격 바이러스로,  교통·전기·수도·발전소 같은 사회기반 시설의 통제 시스템인 스카다(SCADA)를 정밀 공격해 국가 전반에 막대한 피해를 줄 수 있는 신종 바이러스다.

지난해 국가정보원이 주요 국가시설에 대한 정보보호실태를 점검한 결과 건강보험공사, 인천국제공항 등 일부를 제외하고 상당수 정보통신기반시설의 정보보호수준이 낮다고 지적한 바 있고, 안랩(舊 안철수연구소)도 2010년 7월부터 2011년 4월까지 국가기간시설의 전산망을 마비시키고 USB를 통해서 대부분 전염되는 스턱스넷 바이러스 침투시도가 9768건이나 된다며 피해를 우려하고 있다.

보안업계는 지난해 코레일 직원 과실로 군사정보 2만6000건을 해킹당했고, 80만명의 고객정보가 유출된 삼성카드 사건과 3500만명 정보가 빠져나간 네이트 사이월드 해킹사고, 1100만명 정보가 빼돌려진 GS칼텍스 사건 등 대형 정보유출 사건사고도 모두 USB포트를 통한 유출로 추정하고 있다.

안창훈 사장은 "올들어 항공교통관제, 서울접근관제시스템, 통합홍수예보시스템, 댐홍수경보시스템 등 주요정보통신 기반시설로 추가됐고, 최근에는 11일 제19대 국회의원 선거를 앞두고 재외선거관리시스템이 새롭게 지정됐지만 이들 시설이 대부분 물리보안 설비가 취약한 상태다"며 "사이버 전쟁시대에 대비해 SW 정보보호 시스템과 함께 이를 보완할 통신포트 물리보안 시스템 도입을 병행해야 할 것이다"고 지적했다.