사이버 세상의 다양한 재해, 재난상황에 대한 구체적 준비 시작해야
△OS 패치 좀 안 했다고 우리나라 전체 인터넷이 중단되겠어?
-1.25 인터넷 대란
△글로벌 클라우드 서비스가 중단될 일이 있겠어?
-2018년 AWS 서울리전 DNS 오류로 한국 고객사 장애사건
△우리 업무를 수행하는 협력업체 직원이 설마 개인정보를 유출하겠어?
-2014년 카드3사 대규모 개인정보 유출 사건
△통신사 지사 한 곳 화재 났다고 영향이 얼마나 있겠어?
-서울KT 아현지사 지하 통신구 화재로 인근 지역 통신망 마비
△POS기기가 랜섬웨어에 감염된다고 얼마나 영향이 있겠어?
-2020년 POS 기기 악성코드로 유출된 대규모 한국인 카드정보 유출 랜섬웨어 공격
사이버 재난은 이미 발생하고 있다.
사이버 재난이 발생하면 그 피해는 사이버 상에서만 머무르지 않고, 현실 세계에 심각한 안전과 재산 피해를 유발하고 있다.
하지만, 아직까지 사이버 재난은 공식적으로 존재하지 않는다.
재난관리의 기본법인 [재난 및 안전관리 기본법]에서 ‘재난’을 국민의 생명ㆍ신체ㆍ재산과 국가에 피해를 주거나 줄 수 있는 것으로 정의하면서, 사이버 재난에 대해서는 용어 정의조차 없고, 자연재난과 사회재난 어디에도 포함되어 있지 않다.
■재난 및 안전관리 기본법 제3조(정의)
1. "재난"이란 국민의 생명ㆍ신체ㆍ재산과 국가에 피해를 주거나 줄 수 있는 것으로서 다음 각 목의 것을 말한다.
가. 자연재난: 태풍, 홍수, 호우(豪雨), 강풍, 풍랑, 해일(海溢), 대설, 한파, 낙뢰, 가뭄, 폭염, 지진, 황사(黃砂), 조류(藻類) 대발생, 조수(潮水), 화산활동, 소행성ㆍ유성체 등 자연우주물체의 추락ㆍ충돌, 그 밖에 이에 준하는 자연현상으로 인하여 발생하는 재해
나. 사회재난: 화재ㆍ붕괴ㆍ폭발ㆍ교통사고(항공사고 및 해상사고를 포함한다)ㆍ화생방사고ㆍ환경오염사고 등으로 인하여 발생하는 대통령령으로 정하는 규모 이상의 피해와 국가핵심기반의 마비, 「감염병의 예방 및 관리에 관한 법률」에 따른 감염병 또는 「가축전염병예방법」에 따른 가축전염병의 확산, 「미세먼지 저감 및 관리에 관한 특별법」에 따른 미세먼지 등으로 인한 피해
정보통신 사고에 대한 '재난관리 주관기관'으로 과학기술정보통신부를 지정하고 있지만, 재난관리 대상이 되는 중요시설인 '재난관리 책임기관'에는 사이버 재난과 관련된 기관이나 민간 기업을 찾아보기 어렵다.
IoT, AI, 자율주행, 개인정보 활용, 자동화 등 삶의 편리를 위해, 고도화되고 복잡해지는 ITC 기술이 일상생활 속에 깊이 스며들면서, 사이버 기반의 재난 상황이 더 자주 그리고 더 큰 임팩트로 발생할 가능성이 높아지고 있다.
따라서, 사이버 상에서 발생하는 이슈들을 침해사고 대응 수준(Incident)과 별도로, 재난관리(Disaster) 관점에서 바라볼 필요가 있다.
ITC 분야가 사회에 영향을 미칠 수 있는 다양한 재난, 재해의 정의부터 재정립할 필요가 있으며, 사회에 심각한 영향을 끼칠 수 있는 부분을 파악하고 국가재난관리 프레임웍과 연동시켜 관련된 법/제도를 정비해 나가야 한다.
개별 조직에서도 BCM, 사회적 책임 관점에서 조직과 사회에 재난을 일으킬 수 있는 다양한 이슈들을 파악하고 대비해야 한다.
품질을 강조하던 시기에 안전에 대한 인식의 전환을 가져온“Safety First”, “안전제일”이라는 용어가 보편화 된 것과 같이, "Security First"가 사회의 중요한 인식으로 자리 잡을 수 있도록 인식 개선 노력도 함께 해 나가야 한다.
설마 했던 일들이 일어날 수 있다는 ‘현실’을 회피하지 말고, 사이버 세상의 다양한 재해, 재난상황에 대한 구체적인 준비를 시작해야 할 시점이다.
재난은 안전할 때 대비해야 한다.
[글. 박나룡 보안전략연구소 소장/ isssi@daum.net]
★정보보안 대표 미디어 데일리시큐!★