대한민국이 보안강국으로 나아가기 위한 전문가 제언 ⑥ 김승주 고려대학교 정보보호대학원 교수
 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
김승주 고려대학교 정보보호대학원 교수는 한국의 '신뢰(Trust)' 수준을 평가해달라는 <디지털데일리>의 질문에 이렇게 답했다. 올해 대규모 보안 사고가 이어진 데다, 화재로 정부 시스템이 멈추는 대대적인 사건까지 끊이지 않으면서 한국의 신뢰 수준을 되돌아봐야 한다는 취지였다.
김 교수는 한국이 '신뢰할 수 있는(Trustworthy)' 시스템을 갖추기 위해서는 판도(패러다임) 전환이 필요하다고 제언했다. 안전성과 안정성을 담보할 수 있는 체계를 갖춰야, 한국이 어떤 위협에도 흔들리지 않는 국가로 나아갈 수 있다는 제언이다. 기본을 지키는 주요국 사례를 벤치마킹할 필요성도 있다고 강조했다.
Q. 신뢰할 수 있는 환경은 왜 중요한가.
▲ 미국을 예로 들겠다. 미국은 걸프전을 기점으로 '신뢰'라는 단어를 전면에 쓰기 시작했다. 당시 미국은 워싱턴DC에 본부를 두고 전 세계에 군인을 파병했기 때문에 안정적이고 안전한 통신망을 갖추는 것이 무엇보다 중요했다. 현장에서는 모래 폭풍이 부는 등 예상하지 못한 일들이 많았기 때문이다. 통신이 해킹되지 않는 것은 기본이고 24시간 365일 끊기지 않는 통신망을 갖추는 데 집중했던 이유다.
한국은 패러다임 전환이 늦었다. (해킹뿐만 아니라) 국가정보자원관리원(이하 국정자원) 같이 중요한 시스템을 미국과 같은 관점에서 만들었다면 이러한 사달이 났을까 생각해 볼 때다. 대전 국정자원 화재로 온나라시스템이 피해를 입었다고 한다. 온나라시스템은 최근 프랙(Phrack) 보고서에서 해킹 공격을 당한 대표적인 대상이기도 했다. 안정성도 낙제, 안전성도 낙제였다는 의미다.
Q. 한국은 왜 신뢰할 수 있는 환경으로 전환이 늦었나. 장애물이 있었나.
▲ 생각 자체를 못한 것으로 보인다. 미국은 걸프전 이후 정보 보증(Information Assurance)라는 철학 하에 신뢰할 수 있는 시스템을 구축하는 것을 목표로 해왔다. 이후 전통적으로 소프트웨어를 연구하는 학회에서 보안을 이야기하기 시작했고, 보안에 특화된 전문가들도 소프트웨어 측면에서 고민을 하기 시작했다.
기술 개발을 이끌려면 정책 패러다임 변화가 그때그때 일어나야 하는데, 한국은 패러다임 전환이 제때 되지 않았다고 본다. 정보 보안(Information Security)에서 정보 보증으로 넘어가는 굉장히 큰 패러다임 변화가 일어나고 있는데 작게 보면 망분리를 비롯해 패러다임 변화가 제대로 되지 않은 것이 문제다.
정부의 한 발짝 씩 늦은 정책 패러다임 변화가 문제가 아닌지 살펴봐야 한다. 해킹만 잘 막아서 되는 게 아니라 24시간 365일 정보를 제대로 쓰지 못하면 전쟁에서 패한다.
Q. 올해 통신사를 노린 대규모 보안 사고가 이어졌다. 정부는 이를 계기로 경각심을 가졌다고 보나.
▲ 그렇다. 다만 중요한 것은 이제 이러한 사고를 국가안보 관점에서 봐야한다는 점이다. SK텔레콤 사고 당시 '유심(USIM) 정보' 이야기가 나왔고, 연달아 복제폰 우려가 제기된 바 있다. 이후 언론에서는 무단 결제가 일어날 수 있고 암호화폐가 탈취된다는 내용의 의혹을 쏟아냈다. 그러나 외국과 국내의 금융환경은 다르다는 점을 간과했고 지금 이 순간까지도 부정 결제가 신고된 건은 없다.
당시 '국가안보 관점에서 스파이 행위로 접근할 필요가 있다'고 의견을 제기한 이유도 여기에 있다. 통신사가 갖고 있는 정보 중 가장 중요한 것은 통화상세기록(CDR)인데 이 기록에 영향을 받는 사람들은 고위 공직자 혹은 정치인이다. 국가 배후 스파이는 이를 노릴 텐데, 이미 통신사들을 침입한 해커들은 오랫동안 자신을 숨기고 잠복하는 경향을 보이고 있다. SK텔레콤의 사고 또한 (해커가) 2021년경 처음 들어와 4~5년 동안 잠복해있었다는 사실이 드러났다. 해커가 돈을 노렸다면 이렇게까지 하지 않았을 것이다.
처음부터 안보 관점으로 접근했어야 하는데 개인정보 유출 관점으로 접근하니 엉뚱한 방향으로 나아갔다고 평가할 수 있다.
Q. 패러다임 전환을 위한 기본 작업은 무엇인가.
▲ 예전에는 '쥐잡기의 날'이 있었다. 이처럼 민간뿐만 아니라 정부 영역까지 포함해 산하 기관 모두가 전수조사를 해야 한다. 백도어가 있는지, 모르는 사이에 인터넷과 연결된 접점이 있는지 현황을 파악하는 것이 필요하다. 한 구역에서만 쥐를 열심히 잡아봤자, 다른 쥐들이 돌아다니면서 새끼를 낳는다면 의미가 없지 않는가.
전수조사를 통해 현황을 파악했다면, 탐지·방어·무력화에 집중한 사이버 3축 체계를 갖춰야 한다. 먼저 탐지를 고도화하기 위해서는 사이버인텔리전스를 강화해야 한다. 소극적인 인텔리전스는 다크웹에서 정보를 수집하고 취약점 정보를 공유하는 수준에 그치는데, 능동적으로 가면 국가 배후 해커로 의심되는 시스템을 공격해 실제 '프랙' 보고서에 나온 것과 같은 정보를 입수할 수 있게 된다.
방어를 고도화하기 위해서는 예방 업무를 철저히 해야 한다. 롯데카드 사고에서 정보보호관리체계인증(ISMS)에 대한 관리가 부실했다는 점이, KT 사태에서 펨토셀을 보안성 평가 대상에 포함시키지 않다는 점이 드러났다. 예방, 그리고 방어를 강화하기 위해서는 보안성 평가 체계를 내실화하고 통신 기능이 있는 모든 장비로 (대상을) 확대하는 작업이 있어야 한다.
무력화 측면에서는 원천을 들여다 봐야 하는데, 로그 기록의 연한을 충분히 확보하고 이를 분석할 인력이 있어야 한다. 보안사고가 나면 '로그 기록이 부족하다'는 말이 나오는데, 더 이상 이런 말을 못 하게 해야 한다.
Q. 이런 체계를 갖춘 해외 사례가 있나.
▲ 있다. 일본은 능동사이버보안법을 입법화했다. 실제 일본에 위해가 된다고 생각하는 전산 자원을 공격할 수 있도록 한 것이 핵심이다. 관련 첩보를 입수할 수 있도록 한 것이다. 3축 체계라는 용어를 쓰지 않았을 뿐이지, 개념은 같다.
전수조사 측면에서 보면, 미국은 2005~2006년경 연방정부가 크게 해킹을 당한 적이 있다. 당시 미국은 '트러스티드 인터넷 커넥션(Trusted Internet Connection·TIC)' 정책을 펼쳤다. TIC 1.0에는 모든 연방정부 컴퓨터 시스템을 전수조사해, 인터넷 연결 현황을 파악하고 불필요한 부분을 모두 끊으라는 내용이 담겼다.
기본에 충실한 정책이다. 해당 정책은 강화를 거쳐 현재 3.0까지 와 있고, 이때 제로트러스트(Zero Trust)가 언급됐다. (이러한 과정 없이) 덜컥 제로트러스트를 말하는 한국과 다른 부분이다.
Q. 결국 패러다임을 바꾸기 위한 움직임이 필요해 보이는데.
▲ 맞다. 한국의 컨트롤타워는 전체적인 흐름을 보고 보안 패러다임 변화 과정을 고려해 '키워드'를 던져줘야 한다. 그리고 그 방향으로 움직이도록 유도해야 한다. 그러나 우리는 너무 단편적으로 접근하려 한다. 한국에서는 국가안보실이 큰 키워드를 던져주고, 모든 부처가 이 안에서 세부 정책을 만들도록 해야 한다.
◆ 김승주 고려대학교 정보보호대학원 교수는?
[프로필]
- 2011년~현재 : 고려대학교 정보보호대학원 교수 및 디지털정보처 처장
- 2024년~현재 : 중앙선거관리위원회 보안자문위원회 위원장
- 2023년~현재 : (사)국방혁신기술보안협회 협회장
- 2024년~2025년 : 대통령직속 국가인공지능위원회 위원
- 2023년~2025년 : 대통령직속 국방혁신위원회 위원
- 2018년~2020년 : 대통령직속 4차산업혁명위원회 위원
- 2018년~2019년 : 육군사관학교 초빙교수
- 2004년~2011년 : 성균관대학교 정보통신공학부 부교수
- 1998년~2004년 : 한국인터넷진흥원(KISA) 팀장
- 1996년~1999년 : 성균관대학교 대학원 공학박사 (정보보호 전공)
[저서]
- 2021년 : 부의 대전환, 코인전쟁
- 2022년 : 세븐 테크 - 3년 후 당신의 미래를 바꿀 7가지 기술
- 2022년 : 암호화폐와 NFT 무엇이 문제일까?
- 2022년 : NFT 초보자가 가장 알고 싶은 최다질문 TOP 50
- 2022년 : 웹 3.0 넥스트 이코노미
- 2024년 : 생성형 AI와 법
- 2025년 : 머니트렌드2026
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
