한국정보보호산업협회 20년사를 통해 본 한국 정보보호 20년 역사
1999년, 국내 컴퓨터 32만대 파괴한 CIH 바이러스 창궐...Y2K 공포감 커져
KISIA, 정보보호제품전시회 개최 등 업계 지원 활동 본격화
한국 정보보호 업계를 대표하는 한국정보보호산업협회(KISIA, 회장 이민수)가 꽃다운 나이 만 스무 살을 지나고 있다. 아직 완전하진 않지만 무한한 가능성과 희망으로 가득 찬 20살이라고 할 수 있다. 이를 기념하고자 지난 20년 동안의 정보보호산업과 함께 한 협회의 역사와 활동, 그리고 산업의 흐름을 모아 ‘한국정보보호산업협회 20년사’가 발간됐다. KISIA 20년사는 ‘이슈로 살펴본 정보보호 20년’이라는 주제로 KISIA의 역사와 함께 한 정보보호의 역사 20년을 되짚어보고 국내 정보보호산업의 발전방향을 전망하는 ‘읽을거리’가 풍성한 역사서로 제작됐다. 이번 KISIA 20년사의 기획·제작에 참여했던 <보안뉴스>는 KISIA의 동의를 얻어 20년사에 담긴 정보보호 역사의 생생한 현장을 주 1회 연도별로 소개하는 특별기획을 마련했다. [편집자주]
[이미지=iclickart]
[보안뉴스 권 준 기자] 1999년은 「전자거래기본법」과 「전자서명법」이 제정된 해이다. 인터넷의 발달로 전자상거래가 뿌리내리기 시작하면서 정부가 전자상거래 활성화를 위한 기본법 체계를 구축한 것이다. 이러한 전자상거래 관련법은 전자상거래의 안전성 확보와 전자문서 및 전자서명에 법적 효력을 부여하는 것으로, 공인인증기관이 확인한 디지털 서명을 서면 상의 기명날인과 동일한 법적 효력을 부여하여 전자문서에 서명과 같은 법적 효력을 인정했다. 전자상거래의 신뢰성 구축을 위해 거래자의 개인정보보호, 컴퓨터의 안전성 확보를 규정하게 된 셈이다. 이러한 전자서명법 제정이 현재까지도 논란이 되고 있는 공인인증서 이슈 등 보안 인증 분야의 본격적인 출발점이 됐다.
전자상거래 활성화, 전자서명법 제정으로 이어지다
인터넷 이용자의 폭발적 증가에 따라 전자상거래 규모도 급증하기 시작했다. 1999년 당시만 해도 미국의 경우 전체 인구의 30%가 전자상거래를 하고 있다고 밝혔고, 국내 전자상거래 시장은 1998년 456억 규모에서 1999년 1,000억 대로 연평균 100% 이상씩 성장했다. 이렇듯 기업간(B2B)은 물론 기업과 일반 소비자간(B2C) 거래에 있어 인터넷을 기반으로 한 전자상거래가 본격화되면서 본인의 신원증명을 위한 새로운 수단이 요구됐고, 이에 대한 해결책으로 고안된 게 바로 ‘전자서명’이었다.
이러한 전자서명에 대한 기본적인 사항을 정함으로써 전자문서의 안전과 신뢰를 확보하고, 그 이용을 활성화하기 위해 1999년 2월 5일 법률 제5,792호로 「전자서명법」이 제정됐다. 「전자서명법」은 ①공인인증기관이 인증한 전자서명은 법령이 정하는 서명 또는 기명날인으로 본다는 내용 ②전자서명이 있는 전자문서는 당해 명의자가 서명한 후 그 내용이 변경되지 않았다고 추정 ③정보통신부장관 은 인증 업무를 안전하고 신뢰성 있게 수행할 능력이 있다고 인정되는 자를 공인증기관으로 지정 ④공인인증기관은 전자서명을 이용하는 거래당 사자간의 분쟁에 대비하여 가입자의 인증서 등 인증업무 관련 기록을 10년 동안 보관 ⑤공인인증기관은 인증업무 수행에 필요한 최소한의 개인정보만을 수집해야 하며, 개인정보를 수집하는 경우에는 본인의 동의를 얻는 내용 등이 핵심조항으로 구성돼 있다. 이렇듯 1999년은 정부가 전자 서명 및 인증제도와 관련해서 「전자서명법」으로 대표되는 인증 인프라 구축·운영에 첫발을 뗀 시기라고 볼 수 있다.
1999년 국내 컴퓨터 32만대 파괴, CIH 바이러스의 위력
밀레니엄을 한해 앞둔 1999년은 전자서명법 제정 못지않게 역사적인 한 획을 그은 보안사고 및 이슈들이 다수 발생했다. 그 가운데서도 대표적인 게 바로 전 세계를 공포에 빠트렸던 CIH 및 멜리사 바이러스와 밀레니엄 버그(Y2K) 사태다. CIH 바이러스는 일명 체르노빌 바이러스로도 불리는데, 1998년 대만에서 제작된 것으로 알려졌다. 이 바이러스는 컴퓨터에 상주해 있다가 체르노빌 사건이 발생했던 4월 26일에만 작동해 컴퓨터를 파괴하면서 1999 년 국내에서도 무려 30여만 대에 달하는 공공기관·기업·개인 PC를 무력화시키면서 큰 피해가 발생했다.
CIH 바이러스가 체르노빌 바이러스로 잘못 알려진 이유는 PC를 타깃으로 한 대규모 파괴 증상이 발생한 4월 26일이 구 소련의 체르노빌 원자력 발전소에서 발생한 방사능 유출사건과 날짜가 같았기 때문이다. 대만의 ‘첸잉하오’라는 해커가 만든 컴퓨터 바이러스로 윈도 95 및 98을 사용하는 컴퓨터에 인터넷 등 통신망을 통해 유포됐다. CIH 바이러스에 감염된 파일을 실행시킬 경우 시스템이 곧바로 다운되며, 컴퓨터 내 BIOS 정보가 들어있는 플래시 메모리 안의 정보가 모두 삭제될 뿐만 아니라 HDD 정보도 임의의 데이터로 모두 덮씌워 버려 데이터 복구가 불가능 한 치명적인 피해를 야기했다.
당시 한국정보보호센터에 따르면 1999년과 2000년을 기준으로 국내 PC 보급대수 8백만대 중 32만여 대가 감염되면서 한국에서만 1천억 원 이상의 피해를 입은 것으로 집계됐다. 1999년 세기말에 발생한 치명적인 CIH 바이러스로 인해 전 세계가 악성 바이러스에 대응하는 각종 대책들을 본격적으로 마련하기 시작했고, 우리나라도 한국정보보호센터 내에 컴퓨터 바이러스 전담팀을 구성해 국내외에서 새로 발생하는 바이러스 동향을 분석하고, 차세대 백신 프로그램 연구개발을 지원하는 바이러스 예방 대책을 발표했다.
[이미지=iclickart]
사회공학적 기법 활용한 APT 공격의 시초! 멜리사 바이러스 출현
CIH 바이러스와 함께 전 세계적으로 큰 피해를 입혔던 바이러스가 바로 멜리사 바이러스다. 1999년 2월 처음 발견된 멜리사 바이러스는 당시 MS사 회장이었던 빌 게이츠의 부인 이름을 따 명명됐는데, 이메일을 통해 자동 발송된 최초의 바이러스로 유명하다. 현재 이메일에 악성코드를 첨부해 받아보는 사람의 컴퓨터를 감염시키는 타깃형 APT 공격이나 사회공학적 기법의 시초 격이라고 할 수 있다.
미국인 프로그래머 데이비드 스미스가 제작·유포한 것으로 알려진 멜리사 바이러스는 유렵에서 처음에 발견됐는데, 마이크로소프트(MS)의 워드 프로그램 첨부파일 형식으로 메일로 전송됐다. 해당 메일에는 ‘긴급메시지’라는 제목으로 ‘요청하신 문서입니다. 아무에게도 보여주지 마시오’라는 영문 글자가 적혀 있었다. 멜리사 바이러스의 경우 메일에 첨부된 워드 파일을 클릭하는 순간 감염되며, 감염된 컴퓨터 사용자에게 메일을 보낸 50명의 상대편 이메일 주소로 자동 전달되면서 피해가 크게 확산됐다. 이렇듯 이메일이라는 도구를 악용해 인터넷망을 타고 순식간에 전 세계 컴퓨터로 전파되면서 당시 언론은 멜리사 바이러스를 ‘인터넷 흑사병’이라고 표현했다. 무엇보다 멜리사 바이러스는 현혹할 수 있는 문구를 이메일 제목으로 삼아 이메일에 첨부된 악성파일을 다운로드하게끔 유도하는 현재의 대표적인 사이버공격 기법 상당수가 최초로 적용된 바이러스라고 할 수 있다.
세기말 종말론과 함께 온 Y2K 버그 ‘공포’
앞서 언급한 두 가지 바이러스와 함께 1999년 전 세계에 걸쳐 가장 큰 보안이슈가 바로 밀레니엄 버그를 뜻하는 ‘Y2K’였다. Y2K는 컴퓨터가 2000년 이후의 연도를 제대로 인식하지 못해 컴퓨터를 사용하는 모든 일이 마비될 수 있다는 경고에서 출발했다. 특히, 1999년 말에 이르러서는 종말론과 연계되면서 전 세계적으로 큰 혼란이 야기됐다. 일례로 2000년이 시작됨과 동시에 비행기는 공중에서 미아가 되고, 전기와 통신 공급이 끊기며, 전 세계 신용 시스템과 컴퓨터의 모든 데이터가 사라져 금융시장은 대혼란에 빠진다는 등의 지나친 우려들이었다.
이는 수십 년전에 쓰인 구식 컴퓨터 코드가 날짜를 기억할 때 끝에 두 자리로만 인식해 왔기 때문에 99 이후에 00을 제대로 인식하지 못할 것이라는 예상으로부터 출발했다. Y2K 버그라고 이름 붙여진 이 문제의 코드를 추적해서 네 자리로 수정하기 위해 각국 정부와 기업들은 IT 기술자들을 고용하는데 많은 비용을 쏟아 부었다. 그러나 모든 문제가 수정되었다고 확신할 수 있는 사람은 아무도 없었다. 드디어 새로운 천년이 시작되는 순간 Y2K 버그로 인한 시스템 붕괴 가능성에 촉각을 곤두세웠지만, 전 세계에서 오류 몇 건이 보고되는 것 외에 큰 문제는 발생하지 않았다. 다행 히 별다른 피해는 없었지만, 한 리서치 회사의 조사결과에 따르면 밀레니엄 버그 수정 비용이 8,286억 달러로 기록될 정도로 큰 후유증을 남겼다.
블록 암호 알고리즘 ‘SEED’ 국내 기술로 자체 개발
1999년에는 국내 기술로 블록 암호 알고리즘 ‘SEED’를 개발했다. SEED는 전자상거래, 금융, 무선통신 등에서 전송되는 중요 정보를 보호하기 위해 1999년 2월 한국정보보호센터(현 한국인터넷진흥원)을 중심으로 국내 암호 알고리즘 전문가들이 참여해 순수 국내 기술로 개발한 128 비트 블록 암호 알고리즘이다. 개발된 블록 암호 알고리즘은 정보보호산업 활성화의 씨앗이 되라는 의미에서 ‘SEED’라 명명됐으며, 같은 해 9월 한국정보통신기술협회 (TTA) 표준으로 제정된 이후, TTA 표준 가운데 가장 높은 활용도를 보이는 것으로 알려졌다.
특히, SEED는 TTA 표준 제정 이후, 2005년에는 국제 표준화 기구인 ISO/IEC 국제 블록 암호 알고리즘 표준으로 제정됐고, 같은 해에는 IETF 표준으로도 제정됐다. SEED의 경우 암호 알고리즘 자체에 대한 표준 외에도 보안 프로토콜에서 SEED를 사용하기 위한 다양한 국내외 표준들이 제정되면서 이름처럼 정보보호 산업 초기 활성화 기반을 마련하는 ‘씨앗’ 역할을 충실히 담당했다는 평가를 받았다. 이후 2008년에는 한국정보보호진흥원(현 한국인터넷진흥원)에서 국내외 표준을 기반으로 보안 이메일 및 IPsec, TLS 등 보안 프로토콜에서의 SEED 사용을 위한 방법을 제시하는 ‘다양한 보안 프로토콜에서의 SEED 이용 가이드라인’을 제작·배포해 큰 관심을 불러일으켰다.
전자서명법 제정에 따른 공인인증기관 설립 추진
정보보호 업계에서는 「전자서명법」 제정에 따라 설립이 추진된 공인인증기관이 큰 이슈가 됐다. 정부에서는 전자서명 공인인증서를 발급하는 공인인증기관의 난립을 막기 위해 최소 80억 원의 자본금 12명 이상의 전문인력 등을 보유하고, 6개월여에 걸친 서류·기술 심사를 통과해야 당시 주무부처인 정보통신부(현 과학기술정보통신부)가 지정할 수 있도록 엄격 한 자격조건을 부여했다.
이러한 가운데 한국정보통신진흥협회(KAIT)에서는 공인인증기관 컨소시엄 구성을 위한 간담회를 개최해 삼성SDS, LG인터넷, SKT, 한국통신 (KT), 일진, 한국정보통신 등 6개사를 주요 주주로 확정했다. 그 이후 추 가로 21개사가 컨소시엄에 참여해 자본금 200억원의 한국정보인증이 설립됐다. 한국정보인증이 공인인증서를 발급하는 기관으로서, 1999년 전자서명법에 의해 정부 주도로 설립된 대한민국 제1호 공인인증기관이 됐다. 1999년 설립된 한국정보인증이 공식인증기관으로 지정받은 건 2000년 2월이었으며, 같은 날 한국증권전산(현 코스콤)이 제2호 공인증기관으로, 4월에 금융결제원이 제3호로 지정받으면서 공인인증기관도 본격적인 경쟁시대를 열었다.
방화벽 업체들, 초기 정보보호 시장 주도권 장악
1999년 국내 정보보호 시장의 경우 전 세계 정보보호 시장의 흐름과 마찬가지로 방화벽(침입차단) 솔루션 업체들이 초기 시장의 주도권을 장악한 가운데 점차적으로 시스템 보안과 침입탐지 시스템(IDS) 등 유관 분야로 확산됐다. 초기에 외국산 제품 중심으로 시장이 형성된 가운데 독자 기술로 국산 방화벽 솔루션을 개발해온 국내 소프트웨어 개발업체들이 국내 실정에 맞는 자체 기술로 개발한 국산 제품을 출시했다.
당시 국내 방화벽 및 침입탐지 솔루션 시장은 닉스테크(현 바이오닉스진), DACOM ST, 동부정보기술, 삼양데이타시스템, 싸이버텍홀딩스, 아이네트, 테라, 한국디지탈, 한국IBM, 시큐어소프트(1999년 5월 사이버게이트인터내셔널+아이에스에스 합병), 어울림정보기술, 켁신시스템, 지란 지교소프트, 인젠, 한국정보공학, 대정아이앤씨 등이 직접 개발 또는 수입한 국내외 제품들 간에 치열한 시장경쟁이 펼쳐졌다.
바이러스 백신 시장의 경우 네트워크를 타고 들어오는 바이러스와 해커에 의한 피해가 확산되면서 보안 소프트웨어 업체들과 바이러스 백신 공급업체들이 서로 영업활동을 제휴하거나 기술교류를 확산하려는 움직임이 가속화된 한해였다. 1998년 국내에서만 발견된 컴퓨터 바이러스가 총 256종에 달하면서 이에 대한 대비책 마련이 시급해졌기 때문이다. 이에 바이러스 백신이 한글·워드 프로그램 다음으로 PC 사용자들의 필수 소프트웨어로 인식되기 시작한 한해이기도 했다. 바이러스 백신의 경우 안철수컴퓨터바이러스연구소(현 안랩)의 V3가 대표적이었으며, 1998년 3월 설립된 하우리가 1999년 1월 ‘바이로봇 for Windows 95/98’을 본격 출시하면서 국내 업체 간에도 본격적인 경쟁구도가 조성됐다.
특히, 1999년 들어서면서부터는 통합보안을 위한 위험분석, 보안대책 수립, 보안관리, 보안점검 등을 수행하는 보안 컨설팅·서비스 분야도 성장했는데, 체크포인트, 시큐어컴퓨팅, 네트워크솔루션 등 미국 및 이스라엘 업체들이 보안 컨설팅·서비스 사업에 적극 뛰어들었다. 우리나라의 경우에는 대부분 정보보호 솔루션 개발업체가 컴퓨터 시스템의 취약성을 분석하는 제품을 공급하거나 분석 및 대처방안에 대해 자문해주는 컨설팅 사업을 병행하는 형태로 시장이 형성됐다.
다만, 1999년 8월 KT 사내 벤처로 출발해 11월 벤처기업으로 설립된 한국통신인터넷기술은 KT IDC 보안/백업 서비스를 시작으로, 2002년에는 월드컵조직위원회 정보보안 업무 등을 맡으면서 본격적으로 컨설팅·서비스 사업을 수행했다. 그 당시 정보보호 업체들은 보안 시스템 전반에 걸쳐 토털 솔루션을 확보하려는 방향으로 개발 및 제품영업의 우선순위를 두고 있었지만, IMF 경제 위기 여파에 따른 정보보호 수요 감소와 사용자 인식 부족, 정보보호 전문인력 및 자금의 부족 등으로 시장 확산에 어려움을 겪었다. 그러나 한편으로, 국가경쟁력 차원에서 정보보호가 중요한 요소로 대두됨에 따라 정부 주도로 공인인증기관이 설립되는 등 정부의 지원과 관심이 높아진 때였다.
▲한국정보보호산업협회 제2차 정기총회 모습[사진=KISIA]
KISIA, 정보보호제품전시회 개최 등 업계 지원 활동 본격화
1998년 법인 등록과 함께 창립총회를 열었던 한국정보보호산업협회(KISIA)는 1999년부터 본격적인 활동에 들어갔다. 1999년 4월 KISIA 중심으로 제2회 정보보호제품전시회를 개최했으며, 10월 제3차 정기총회를 열어 당시 시큐어소프트 김홍선 대표(현 SC제일은행 부행장)를 제2대 회장으로 선출했다. 창립 당시 부회장으로 활동했던 김홍선 2대 회장은 3대 회장까지 역임하면서 초창기 KISIA가 업계의 대표 단체로 정착하는데 크게 기여했다. 또한, 협회의 경우 1999년 11월에는 한국정보통신망 침해사고대응팀 해킹방지워크샵을 개최했으며, ‘정보보호산업 표준화 수요분석연구’를 주제로 한 위탁과제에 대한 최종발표를 진행했다. 1999년에는 예산도 1억 3,700만원으로, 1998년에 비해 2배 가량 증가했으며, 사무국 직원도 3명으로, 회원사도 85개사로 각각 증가했다.
*해당 기사의 저작권은 한국정보보호산업협회(KISIA)에 있습니다.
[권 준 기자(editor@boannews.com)]
1999년, 국내 컴퓨터 32만대 파괴한 CIH 바이러스 창궐...Y2K 공포감 커져
KISIA, 정보보호제품전시회 개최 등 업계 지원 활동 본격화
한국 정보보호 업계를 대표하는 한국정보보호산업협회(KISIA, 회장 이민수)가 꽃다운 나이 만 스무 살을 지나고 있다. 아직 완전하진 않지만 무한한 가능성과 희망으로 가득 찬 20살이라고 할 수 있다. 이를 기념하고자 지난 20년 동안의 정보보호산업과 함께 한 협회의 역사와 활동, 그리고 산업의 흐름을 모아 ‘한국정보보호산업협회 20년사’가 발간됐다. KISIA 20년사는 ‘이슈로 살펴본 정보보호 20년’이라는 주제로 KISIA의 역사와 함께 한 정보보호의 역사 20년을 되짚어보고 국내 정보보호산업의 발전방향을 전망하는 ‘읽을거리’가 풍성한 역사서로 제작됐다. 이번 KISIA 20년사의 기획·제작에 참여했던 <보안뉴스>는 KISIA의 동의를 얻어 20년사에 담긴 정보보호 역사의 생생한 현장을 주 1회 연도별로 소개하는 특별기획을 마련했다. [편집자주]
[이미지=iclickart]
[보안뉴스 권 준 기자] 1999년은 「전자거래기본법」과 「전자서명법」이 제정된 해이다. 인터넷의 발달로 전자상거래가 뿌리내리기 시작하면서 정부가 전자상거래 활성화를 위한 기본법 체계를 구축한 것이다. 이러한 전자상거래 관련법은 전자상거래의 안전성 확보와 전자문서 및 전자서명에 법적 효력을 부여하는 것으로, 공인인증기관이 확인한 디지털 서명을 서면 상의 기명날인과 동일한 법적 효력을 부여하여 전자문서에 서명과 같은 법적 효력을 인정했다. 전자상거래의 신뢰성 구축을 위해 거래자의 개인정보보호, 컴퓨터의 안전성 확보를 규정하게 된 셈이다. 이러한 전자서명법 제정이 현재까지도 논란이 되고 있는 공인인증서 이슈 등 보안 인증 분야의 본격적인 출발점이 됐다.
전자상거래 활성화, 전자서명법 제정으로 이어지다
인터넷 이용자의 폭발적 증가에 따라 전자상거래 규모도 급증하기 시작했다. 1999년 당시만 해도 미국의 경우 전체 인구의 30%가 전자상거래를 하고 있다고 밝혔고, 국내 전자상거래 시장은 1998년 456억 규모에서 1999년 1,000억 대로 연평균 100% 이상씩 성장했다. 이렇듯 기업간(B2B)은 물론 기업과 일반 소비자간(B2C) 거래에 있어 인터넷을 기반으로 한 전자상거래가 본격화되면서 본인의 신원증명을 위한 새로운 수단이 요구됐고, 이에 대한 해결책으로 고안된 게 바로 ‘전자서명’이었다.
이러한 전자서명에 대한 기본적인 사항을 정함으로써 전자문서의 안전과 신뢰를 확보하고, 그 이용을 활성화하기 위해 1999년 2월 5일 법률 제5,792호로 「전자서명법」이 제정됐다. 「전자서명법」은 ①공인인증기관이 인증한 전자서명은 법령이 정하는 서명 또는 기명날인으로 본다는 내용 ②전자서명이 있는 전자문서는 당해 명의자가 서명한 후 그 내용이 변경되지 않았다고 추정 ③정보통신부장관 은 인증 업무를 안전하고 신뢰성 있게 수행할 능력이 있다고 인정되는 자를 공인증기관으로 지정 ④공인인증기관은 전자서명을 이용하는 거래당 사자간의 분쟁에 대비하여 가입자의 인증서 등 인증업무 관련 기록을 10년 동안 보관 ⑤공인인증기관은 인증업무 수행에 필요한 최소한의 개인정보만을 수집해야 하며, 개인정보를 수집하는 경우에는 본인의 동의를 얻는 내용 등이 핵심조항으로 구성돼 있다. 이렇듯 1999년은 정부가 전자 서명 및 인증제도와 관련해서 「전자서명법」으로 대표되는 인증 인프라 구축·운영에 첫발을 뗀 시기라고 볼 수 있다.
1999년 국내 컴퓨터 32만대 파괴, CIH 바이러스의 위력
밀레니엄을 한해 앞둔 1999년은 전자서명법 제정 못지않게 역사적인 한 획을 그은 보안사고 및 이슈들이 다수 발생했다. 그 가운데서도 대표적인 게 바로 전 세계를 공포에 빠트렸던 CIH 및 멜리사 바이러스와 밀레니엄 버그(Y2K) 사태다. CIH 바이러스는 일명 체르노빌 바이러스로도 불리는데, 1998년 대만에서 제작된 것으로 알려졌다. 이 바이러스는 컴퓨터에 상주해 있다가 체르노빌 사건이 발생했던 4월 26일에만 작동해 컴퓨터를 파괴하면서 1999 년 국내에서도 무려 30여만 대에 달하는 공공기관·기업·개인 PC를 무력화시키면서 큰 피해가 발생했다.
CIH 바이러스가 체르노빌 바이러스로 잘못 알려진 이유는 PC를 타깃으로 한 대규모 파괴 증상이 발생한 4월 26일이 구 소련의 체르노빌 원자력 발전소에서 발생한 방사능 유출사건과 날짜가 같았기 때문이다. 대만의 ‘첸잉하오’라는 해커가 만든 컴퓨터 바이러스로 윈도 95 및 98을 사용하는 컴퓨터에 인터넷 등 통신망을 통해 유포됐다. CIH 바이러스에 감염된 파일을 실행시킬 경우 시스템이 곧바로 다운되며, 컴퓨터 내 BIOS 정보가 들어있는 플래시 메모리 안의 정보가 모두 삭제될 뿐만 아니라 HDD 정보도 임의의 데이터로 모두 덮씌워 버려 데이터 복구가 불가능 한 치명적인 피해를 야기했다.
당시 한국정보보호센터에 따르면 1999년과 2000년을 기준으로 국내 PC 보급대수 8백만대 중 32만여 대가 감염되면서 한국에서만 1천억 원 이상의 피해를 입은 것으로 집계됐다. 1999년 세기말에 발생한 치명적인 CIH 바이러스로 인해 전 세계가 악성 바이러스에 대응하는 각종 대책들을 본격적으로 마련하기 시작했고, 우리나라도 한국정보보호센터 내에 컴퓨터 바이러스 전담팀을 구성해 국내외에서 새로 발생하는 바이러스 동향을 분석하고, 차세대 백신 프로그램 연구개발을 지원하는 바이러스 예방 대책을 발표했다.
[이미지=iclickart]
사회공학적 기법 활용한 APT 공격의 시초! 멜리사 바이러스 출현
CIH 바이러스와 함께 전 세계적으로 큰 피해를 입혔던 바이러스가 바로 멜리사 바이러스다. 1999년 2월 처음 발견된 멜리사 바이러스는 당시 MS사 회장이었던 빌 게이츠의 부인 이름을 따 명명됐는데, 이메일을 통해 자동 발송된 최초의 바이러스로 유명하다. 현재 이메일에 악성코드를 첨부해 받아보는 사람의 컴퓨터를 감염시키는 타깃형 APT 공격이나 사회공학적 기법의 시초 격이라고 할 수 있다.
미국인 프로그래머 데이비드 스미스가 제작·유포한 것으로 알려진 멜리사 바이러스는 유렵에서 처음에 발견됐는데, 마이크로소프트(MS)의 워드 프로그램 첨부파일 형식으로 메일로 전송됐다. 해당 메일에는 ‘긴급메시지’라는 제목으로 ‘요청하신 문서입니다. 아무에게도 보여주지 마시오’라는 영문 글자가 적혀 있었다. 멜리사 바이러스의 경우 메일에 첨부된 워드 파일을 클릭하는 순간 감염되며, 감염된 컴퓨터 사용자에게 메일을 보낸 50명의 상대편 이메일 주소로 자동 전달되면서 피해가 크게 확산됐다. 이렇듯 이메일이라는 도구를 악용해 인터넷망을 타고 순식간에 전 세계 컴퓨터로 전파되면서 당시 언론은 멜리사 바이러스를 ‘인터넷 흑사병’이라고 표현했다. 무엇보다 멜리사 바이러스는 현혹할 수 있는 문구를 이메일 제목으로 삼아 이메일에 첨부된 악성파일을 다운로드하게끔 유도하는 현재의 대표적인 사이버공격 기법 상당수가 최초로 적용된 바이러스라고 할 수 있다.
세기말 종말론과 함께 온 Y2K 버그 ‘공포’
앞서 언급한 두 가지 바이러스와 함께 1999년 전 세계에 걸쳐 가장 큰 보안이슈가 바로 밀레니엄 버그를 뜻하는 ‘Y2K’였다. Y2K는 컴퓨터가 2000년 이후의 연도를 제대로 인식하지 못해 컴퓨터를 사용하는 모든 일이 마비될 수 있다는 경고에서 출발했다. 특히, 1999년 말에 이르러서는 종말론과 연계되면서 전 세계적으로 큰 혼란이 야기됐다. 일례로 2000년이 시작됨과 동시에 비행기는 공중에서 미아가 되고, 전기와 통신 공급이 끊기며, 전 세계 신용 시스템과 컴퓨터의 모든 데이터가 사라져 금융시장은 대혼란에 빠진다는 등의 지나친 우려들이었다.
이는 수십 년전에 쓰인 구식 컴퓨터 코드가 날짜를 기억할 때 끝에 두 자리로만 인식해 왔기 때문에 99 이후에 00을 제대로 인식하지 못할 것이라는 예상으로부터 출발했다. Y2K 버그라고 이름 붙여진 이 문제의 코드를 추적해서 네 자리로 수정하기 위해 각국 정부와 기업들은 IT 기술자들을 고용하는데 많은 비용을 쏟아 부었다. 그러나 모든 문제가 수정되었다고 확신할 수 있는 사람은 아무도 없었다. 드디어 새로운 천년이 시작되는 순간 Y2K 버그로 인한 시스템 붕괴 가능성에 촉각을 곤두세웠지만, 전 세계에서 오류 몇 건이 보고되는 것 외에 큰 문제는 발생하지 않았다. 다행 히 별다른 피해는 없었지만, 한 리서치 회사의 조사결과에 따르면 밀레니엄 버그 수정 비용이 8,286억 달러로 기록될 정도로 큰 후유증을 남겼다.
블록 암호 알고리즘 ‘SEED’ 국내 기술로 자체 개발
1999년에는 국내 기술로 블록 암호 알고리즘 ‘SEED’를 개발했다. SEED는 전자상거래, 금융, 무선통신 등에서 전송되는 중요 정보를 보호하기 위해 1999년 2월 한국정보보호센터(현 한국인터넷진흥원)을 중심으로 국내 암호 알고리즘 전문가들이 참여해 순수 국내 기술로 개발한 128 비트 블록 암호 알고리즘이다. 개발된 블록 암호 알고리즘은 정보보호산업 활성화의 씨앗이 되라는 의미에서 ‘SEED’라 명명됐으며, 같은 해 9월 한국정보통신기술협회 (TTA) 표준으로 제정된 이후, TTA 표준 가운데 가장 높은 활용도를 보이는 것으로 알려졌다.
특히, SEED는 TTA 표준 제정 이후, 2005년에는 국제 표준화 기구인 ISO/IEC 국제 블록 암호 알고리즘 표준으로 제정됐고, 같은 해에는 IETF 표준으로도 제정됐다. SEED의 경우 암호 알고리즘 자체에 대한 표준 외에도 보안 프로토콜에서 SEED를 사용하기 위한 다양한 국내외 표준들이 제정되면서 이름처럼 정보보호 산업 초기 활성화 기반을 마련하는 ‘씨앗’ 역할을 충실히 담당했다는 평가를 받았다. 이후 2008년에는 한국정보보호진흥원(현 한국인터넷진흥원)에서 국내외 표준을 기반으로 보안 이메일 및 IPsec, TLS 등 보안 프로토콜에서의 SEED 사용을 위한 방법을 제시하는 ‘다양한 보안 프로토콜에서의 SEED 이용 가이드라인’을 제작·배포해 큰 관심을 불러일으켰다.
전자서명법 제정에 따른 공인인증기관 설립 추진
정보보호 업계에서는 「전자서명법」 제정에 따라 설립이 추진된 공인인증기관이 큰 이슈가 됐다. 정부에서는 전자서명 공인인증서를 발급하는 공인인증기관의 난립을 막기 위해 최소 80억 원의 자본금 12명 이상의 전문인력 등을 보유하고, 6개월여에 걸친 서류·기술 심사를 통과해야 당시 주무부처인 정보통신부(현 과학기술정보통신부)가 지정할 수 있도록 엄격 한 자격조건을 부여했다.
이러한 가운데 한국정보통신진흥협회(KAIT)에서는 공인인증기관 컨소시엄 구성을 위한 간담회를 개최해 삼성SDS, LG인터넷, SKT, 한국통신 (KT), 일진, 한국정보통신 등 6개사를 주요 주주로 확정했다. 그 이후 추 가로 21개사가 컨소시엄에 참여해 자본금 200억원의 한국정보인증이 설립됐다. 한국정보인증이 공인인증서를 발급하는 기관으로서, 1999년 전자서명법에 의해 정부 주도로 설립된 대한민국 제1호 공인인증기관이 됐다. 1999년 설립된 한국정보인증이 공식인증기관으로 지정받은 건 2000년 2월이었으며, 같은 날 한국증권전산(현 코스콤)이 제2호 공인증기관으로, 4월에 금융결제원이 제3호로 지정받으면서 공인인증기관도 본격적인 경쟁시대를 열었다.
방화벽 업체들, 초기 정보보호 시장 주도권 장악
1999년 국내 정보보호 시장의 경우 전 세계 정보보호 시장의 흐름과 마찬가지로 방화벽(침입차단) 솔루션 업체들이 초기 시장의 주도권을 장악한 가운데 점차적으로 시스템 보안과 침입탐지 시스템(IDS) 등 유관 분야로 확산됐다. 초기에 외국산 제품 중심으로 시장이 형성된 가운데 독자 기술로 국산 방화벽 솔루션을 개발해온 국내 소프트웨어 개발업체들이 국내 실정에 맞는 자체 기술로 개발한 국산 제품을 출시했다.
당시 국내 방화벽 및 침입탐지 솔루션 시장은 닉스테크(현 바이오닉스진), DACOM ST, 동부정보기술, 삼양데이타시스템, 싸이버텍홀딩스, 아이네트, 테라, 한국디지탈, 한국IBM, 시큐어소프트(1999년 5월 사이버게이트인터내셔널+아이에스에스 합병), 어울림정보기술, 켁신시스템, 지란 지교소프트, 인젠, 한국정보공학, 대정아이앤씨 등이 직접 개발 또는 수입한 국내외 제품들 간에 치열한 시장경쟁이 펼쳐졌다.
바이러스 백신 시장의 경우 네트워크를 타고 들어오는 바이러스와 해커에 의한 피해가 확산되면서 보안 소프트웨어 업체들과 바이러스 백신 공급업체들이 서로 영업활동을 제휴하거나 기술교류를 확산하려는 움직임이 가속화된 한해였다. 1998년 국내에서만 발견된 컴퓨터 바이러스가 총 256종에 달하면서 이에 대한 대비책 마련이 시급해졌기 때문이다. 이에 바이러스 백신이 한글·워드 프로그램 다음으로 PC 사용자들의 필수 소프트웨어로 인식되기 시작한 한해이기도 했다. 바이러스 백신의 경우 안철수컴퓨터바이러스연구소(현 안랩)의 V3가 대표적이었으며, 1998년 3월 설립된 하우리가 1999년 1월 ‘바이로봇 for Windows 95/98’을 본격 출시하면서 국내 업체 간에도 본격적인 경쟁구도가 조성됐다.
특히, 1999년 들어서면서부터는 통합보안을 위한 위험분석, 보안대책 수립, 보안관리, 보안점검 등을 수행하는 보안 컨설팅·서비스 분야도 성장했는데, 체크포인트, 시큐어컴퓨팅, 네트워크솔루션 등 미국 및 이스라엘 업체들이 보안 컨설팅·서비스 사업에 적극 뛰어들었다. 우리나라의 경우에는 대부분 정보보호 솔루션 개발업체가 컴퓨터 시스템의 취약성을 분석하는 제품을 공급하거나 분석 및 대처방안에 대해 자문해주는 컨설팅 사업을 병행하는 형태로 시장이 형성됐다.
다만, 1999년 8월 KT 사내 벤처로 출발해 11월 벤처기업으로 설립된 한국통신인터넷기술은 KT IDC 보안/백업 서비스를 시작으로, 2002년에는 월드컵조직위원회 정보보안 업무 등을 맡으면서 본격적으로 컨설팅·서비스 사업을 수행했다. 그 당시 정보보호 업체들은 보안 시스템 전반에 걸쳐 토털 솔루션을 확보하려는 방향으로 개발 및 제품영업의 우선순위를 두고 있었지만, IMF 경제 위기 여파에 따른 정보보호 수요 감소와 사용자 인식 부족, 정보보호 전문인력 및 자금의 부족 등으로 시장 확산에 어려움을 겪었다. 그러나 한편으로, 국가경쟁력 차원에서 정보보호가 중요한 요소로 대두됨에 따라 정부 주도로 공인인증기관이 설립되는 등 정부의 지원과 관심이 높아진 때였다.
▲한국정보보호산업협회 제2차 정기총회 모습[사진=KISIA]
KISIA, 정보보호제품전시회 개최 등 업계 지원 활동 본격화
1998년 법인 등록과 함께 창립총회를 열었던 한국정보보호산업협회(KISIA)는 1999년부터 본격적인 활동에 들어갔다. 1999년 4월 KISIA 중심으로 제2회 정보보호제품전시회를 개최했으며, 10월 제3차 정기총회를 열어 당시 시큐어소프트 김홍선 대표(현 SC제일은행 부행장)를 제2대 회장으로 선출했다. 창립 당시 부회장으로 활동했던 김홍선 2대 회장은 3대 회장까지 역임하면서 초창기 KISIA가 업계의 대표 단체로 정착하는데 크게 기여했다. 또한, 협회의 경우 1999년 11월에는 한국정보통신망 침해사고대응팀 해킹방지워크샵을 개최했으며, ‘정보보호산업 표준화 수요분석연구’를 주제로 한 위탁과제에 대한 최종발표를 진행했다. 1999년에는 예산도 1억 3,700만원으로, 1998년에 비해 2배 가량 증가했으며, 사무국 직원도 3명으로, 회원사도 85개사로 각각 증가했다.
*해당 기사의 저작권은 한국정보보호산업협회(KISIA)에 있습니다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
