복사본을 퍼트림으로써 시스템을 감염시킨다. 주요 차이점은 ILOVEYOU가 주말이 아닌 주중에 전달됨으로써 멜리사보다 빠르게 증식한다는 것이다. 또 멜리사가 50개 주소에 복사본을 보내는 것과 달리 ILOVEYOU는 수령인의 주소록 전체에 메일을 보낸다.
5월 4일 아시아에서 이 웜/바이러스에 대한 첫 보고가 이루어진 이후, ILOVEYOU는 빠르게 전 세계에 퍼졌다. 당일 오후 6시에 카네기멜론의 CERT 조정센터는 420,000 인터넷 호스트와 관련하여 400회의 보고를 받았다. 다음날 ILOVEYOU는 "어머니의 날", "농담", "매우 웃김" 등의 새로운 제목으로 등장하였다. DOD 합동작업팀-컴퓨터네트워크방어팀에 의하면 주말까지 14종 이상의 바이러스가 발견되었다. 이러한 변종은 초기 ILOVEYOU 웜/바이러스 해결책을 우회하여 새로운 문제를 발생시켰다. "VIRUS ALERT!!!"라는 변종은 중요한 컴퓨터기능의 시스템파일 위에 덧쓸 수 있는 등 원형보다 위험한 것으로 보고되었다.
여러 미디어, 정부기관 및 컴퓨터 보안전문가의 보고 등을 통해 ILOVEYOU의 피해가 광범위했음을 알 수 있다. 이 바이러스는 AT&T, TWA, 포드자동차와 같은 대기업 및 워싱턴 포스트, ABC 뉴스 등의 미디어 기관과 IMF, 영국의회, 벨기에 금융시스템 등의 국제조직, 정부, 학교시스템, 소비자신용조합 등을 강타함으로써 수 시간동안 네트워크를 중지시켰다.
또 ILOVEYOU 바이러스/웜은 최소한 14개 이상의 연방기관에 침입하였다고 보고되었다. 여기에는 국방성(DOD), 사회보장행정, 중앙지식기관, 이민귀화서비스, 에너지부, 농업부, 교육부, 미국항공우주국(NASA)과 상원이 포함되었다. 현재까지 바이러스에 감염된 기관의 피해는 알 수 없다. 많은 기관들이 이메일 네트워크를 장시간 중지해야 했다. 그러나 상당수의 기관이 주요 시스템 및 운영작업이 영향을 받지 않았다고 보고하였다. 물론 기관의 사업이 이메일을 통해 정책결정 및 서비스를 전달한다면, 바이러스/웜은 일상작업의 생산성 감축 측면에서 상당한 영향을 미쳤을 것으로 예상된다.
이 사건 이후, GAO는 컴퓨터보안에 있어서의 관리 및 일반통제문제의 여섯개 영역을 강조하였다.
- 대부분 보안기획 및 관리가 부실하였다. 주요 시스템의 위험에 대한 보안계획이 개발되지 않았고, 공식보안정책을 문서화하지 않았으며, 통제효과성 검토 및 평가프로그램이 실시되지 않았다. 이들은 정보보안 관련위험을 비용효과적으로 관리하기 위한 기본 활동임에도 불구하고 시행되지 않았으며, 개별 문제마다 임시방편적으로 조치되었다.
- 기관은 그들의 컴퓨터 자원(자료, 설비, 시설)에 대한 효과적 접근 통제를 못하였다. 결과적으로 이러한 자산을 부적절한 수정, 손실, 침해로부터 보호하지 못하였다. 일반적으로 통제방법은 게이트, 가드, 논리적 통제와 같은 물리적 보호책과 소프트웨어 내에 (1) 암호나 인증을 통해 사용자를 확인하는 방법이나 (2) 접근권자만이 사용할 수 있도록 파일 및 자원을 제한하는 방법 등을 포함한다.
- 응용소프트웨어 개발과 변화통제가 취약하였다. 예를 들면 검토과정에 규칙이 없었고, 소프트웨어운영을 기대대로 실행하지 못했으며, 소프트웨어 프로그램 저장소에 대한 접근통제가 불충분했다.
- 기관들은 분리된 임무를 효과적으로 관리할 수 있는 정책 및 절차를 수립하지 못하였다. 일반적으로 컴퓨터프로그래머와 운영자는 프로그램 수정을 독립적으로 행하고, 검사하며, 승인할 수 있는 다양한 권한을 부여받고 있다. 이를 통해 그들은 시스템보안책을 변환, 우회, 무력화할 수 있는 능력을 갖는다.
- 시스템검토를 통해 컴퓨터 시스템운영(예. 운영시스템, 시스템유틸리티, 보안 소프트웨어, 데이터베이스 관리시스템)과 관련있는 프로그램 및 파일에 대한 접근제한이 불충분함을 알 수 있다. 자유로운 접근은 통제시스템을 파괴하거나 우회할 수 있는 가능성을 높인다.
- 기대하지 못한 사건(일시적 전력중단, 실수로 인한 파일손실, 화재 등과 같은 재앙, 고의적 파괴) 발생 시 중요한 작업운영이 계속될 수 있도록 보장하는 서비스 지속성통제가 완전하게 수립 및 검토되지 않았다.
이 사건은 국경을 넘나드는 국제사이버 보안문제의 대표적 예라 할 수 있다. 이러한 사건은 단일 IT프로젝트을 형성하고 개발하며 관리하여 해결되지 않는다. IT 관리의 모든 측면을 고려하여 전세계 전자 인프라의 잠재적 취약성을 보완하여야 한다. 때문에 이는 Y2K문제와 매우 유사하며, 향후 수년동안 기존 IT 인프라 갱신, 대규모 IT프로젝트 형성 및 관리에 지대한 영향을 미칠 것이다. 여기서 얻을 수 있는 교훈은 사이버보안의 위험, 사이버 보안의 취약약성 및 IT프로젝트 설계 구성이 중요하다는 것이다. 지금 변화하지 않는다면 이러한 취약성으로 인해 심각한 실패가 발생할 수 있다. 변화하지 않는 오래된 IT 프로젝트는 새로운 문제들을 안게 된다.
제4절 교훈
요약하면 다음 요인들이 정부 IT프로젝트의 성공 및 실패에 영향을 미쳤다.
- IT 프로젝트는 사업목표를 지원해야 한다. IT 프로젝트 자체는 목표가 아니다.
- 모듈에 의한 IT프로젝트 설계는 상황, 기술 및 필요요건에 맞게 변화할 수 있는 기회를 제공한다. 그렇기 때문에 "거대한 설계"보다 성공확률이 높다.
- IT 프로젝트 개발 및 집행을 계약자에게 의뢰하는 경우, 건실한 사업관계를 위한 동기를 유발하는 것이 중요하다.(단순히 계약서에 따르는 것이 아님)
- IT 프로젝트는 국제 전자인프라(네트워크, 분산된 데이터베이스 등)에의 의존도를 높이고 있다. 때문에 이로 인한 기회 및 취약성 모두를 포함하여 설계해야 한다.
제5절 참고자료
- IT 프로젝트 관리방향, 정책, 관련문헌을 담고있는 웹사이트는 다음과 같다.
관리예산처(OMB) www.whitehouse.gov/OMB/index.html
회계감사원(GAO) www.gao.gov
총무처(GSA) www.gsa.gov
정보화책임관협의회 홈페이지 www.cio.gov
GSA IT정책 문헌 목록
www.policyworks.gov/policydocs/policy_list.htm