대한민국 보안 불감증…어떻게 할 것인가
청와대 중심 국가 컨트롤 타워 세우고 해커 양성해야

업계 전문가 8가지 대안 제시, 처벌 만능주의 버리고 법 정비도 시급

국가 정보보호는 거시적 관점에서 체계적인 로드맵에 따라 추진돼야 한다.
국내 정보보호 로드맵의 부재에 대한 지적이 높아지고 있는 지금, 각 계 정보보호 전문가들의 의견을 취합해 국가 보안체계의 방향을 모색해보는 것이 필요한 시점이다.
이에 국회의원, 금융권 보안 실무자, 정보보호전문기업 대표, 해커 출신 보안전문가, 정보보호 전문대학원 교수, 정보보호 전문 변호사 등 각 분야의 보안 전문가들을 만나 의견을 들어본 결과, 국가 보안체계 강화에 있어 가장 시급한 문제로‘컨트롤 타워 기능 부재’와‘보안인력 부족’이 가장 많이 지적됐다.

연보라 기자 bora@ciociso.com

사이버 전쟁이라는 말이 현실로 다가왔다. 적국이나 해커가 국가 기간시설에 대규모 사이버 공격을 가하면 정부기관, 금융거래 마비, 정전 등이 우려돼 사상자가 발생하는 전면전 없이도 적국에 큰 타격을 입힐 수 있는 시대인 것이다.
특히 이번 3\20 사태의 공격 대상이었던 언론, 금융산업은 전적으로 IT시설에 의존해 있기 때문에 이러한 사이버 위협은 더욱 치명적이다. IT 인프라 강국인 우리나라가 오히려 해커들의 좋은 먹잇감이 되고 있는 상황이다.
이미 북한에서는 국내 서버 관리자 계정 권한을 6만 8000여 개 이상 갖고 있다는 설까지 전해지고 있다. 또한 북한은 군 소속 전문 해커를 3천 명 이상 보유하고 있는데 그에 반해 우리나라는 국가가 운용하는 화이트 해커의 수가 고작 200~300명에 불과한 실정이다.
국가 보안체계에 대한 총체적인 수술이 필요한 시점이다.

보안컨트롤타워,“ 청와대VS 국정원”

국가 컨트롤 타워 역할에 대한 의견은 크게 두 가지로 갈리고 있다.
하나는 국정원이 컨트롤 타워 역할을 수행해야 한다는 의견이고 또 하나는 청와대가 이를 직접 맡아야 한다는 의견이다.
서상기 의원은 지난 4월9일 국가정보원이 사이버 테러 대응을 총괄하는 내용의 사이버테러방지법을 국회에 발의했다. 사이버 공격과 관련된 민·관 협의체를 운영하고 휘하에 국가사이버안전센터를 두는 등 국정원의 사이버 감찰 권한을 강화해주는 법안이다.
이에 대한 야권의 반대가 만만치 않다. 민간인 사찰, 사생활 침해, 정보독점, 권력 남용 등에 대한 우려 때문에 국정원에게 이와 같은 권한을 주는 것은 위험하다는 지적이다.
임종인 고려대 정보보호대학원장도 서 의원과 의견을 같이 하고 있다.
그는“국정원이 주도권을 갖고 정보보호 컨트롤 타워 역할을 수행하자는 것인데, 국정원에 과도한 권한이 주어지는 것에 대해 우려하는 의견이 있는 것도 잘 안다. 평상시라면 견제와 균형이 중요할 것이다. 그러나 지금은 사이버 위기상황이라는 점을 간과해선 안된다”고 반박한다. 가장 정보력이 높은 곳에 권한을 주고 견제장치를 충분히 만들면 된다는 의견이다. 그는“견제기구를 만들어 3개월마다 국정원이 받은 민간정보가 무엇인지 위법행위는 없는지 등에 대해 보고하고 감시하는 체계를 만드는 거다. 또한 타 기관과의 협조가 중요하므로 청와대 국가안보실에 사이버안보 비서관을 만들어 국정원을 견제하도록 Two-Top 체계를 만드는 것이 좋을 것 같다”는 의견을 제시했다.

▲ “외부 인사가 대통령을 만나려면 아무리 빨라도 한나절이 걸린다. 사이버공격은 분·초 단위로 급박한 사안이기 때문에, 청와대 내부에서 직속 보고가 이뤄져야 한다” - 주대준 카이스트 부총장/정보보호대학원 교수

임 원장은“예전처럼 국정원이 절대적이고 강력한 권한을 함부로 행사할 수 있는 것은 아니다. 시대가 변한 만큼 강력한 컨트롤 타워의 역할보다는 조정관의 역할을 수행할 것이라고 기대한다”는 한편 “그러나 푸들이 집을 지키도록 할수 있는 건 아니지 않느냐. 위험하지만 도사견을 훈련시켜서 집을 지키도록 하는 것이다. 국정원이 강한 조직이어서 권한을 주면 안된다는 논리는 앞뒤가 맞지 않다”고 지적했다.
주대준 카이스트 부총장은 국정원이 이 역할을 맡는 것에 대해 강력히 반대하는 입장이다.
주 부총장에 따르면 국정원은 음지에서 정보를 수집해서 활동하는 집단이기 때문에 컨트롤 타워로서의 역할과는 어울리지 않는다는 의견이다. 예를 들어 국정원에서 타 기관에 자료를 요구하면 주지 않아도 청와대에서 요구할 때에는 줄 수밖에 없다는 것이다.
사실 주 부총장은 오래 전부터 대통령 직속의 사이버보안청 설립의 필요성에 대해 주장해왔다. 지난 1월에도 인수위를 방문해 이 같은 의견을 피력하기도 했다.
그는“정부조직에 17개 장관직이 있고 비서관직은 50여 개가 되는데 그 중 사이버보안 전문가는 아무도 없다”고 비판하면서“안보실장 하에 물리적보안과 통합해 사이버안보기획관을 두어야 한다”고 주장했다.
주 부총장은“사이버공격은 분ㆍ초 단위로 급박한 사안이기 때문에, 청와대 집무실에서 바로 뒤돌아서면 보고 받을 수 있도록 해야 한다”고 목소리를 높이고 있다.
특히 청와대 경호실장을 지낸 바 있는 주 부총장은 청와대의 내부 생리를 잘 아는 만큼, 외부 인사가 대통령을 만나려면 아무리 빨라도 한나절이 소요되므로 청와대 내부에서 직속 보고가 이뤄져야 한다고 말한다. 실시간으로 동시다발적으로 선방하고 조치할 수 있다는 의견이다.
구태언 변호사도 청와대가 컨트롤타워 역할을 맡는 것에 대해 지지하는 입장이다.
구 변호사는“국정원, 한국인터넷진흥원, 사이버수사대 등 정보보호 기관을 중앙에서 제어할 수 있는 컨트롤 타워가 필요하지만 이 컨트롤 타워는 지휘, 통솔하는 기관을 의미하는 것이 아니라 각 기관들이 제 역할을 할 수 있게 조정하는 역할, 즉 코디네이터의 역할에 가까워야 할 것”이라는 한편“국정원, 검찰, 경찰 등 중앙정부기관을 조정할 수 있는 코디네이터 타워는 아무래도 가장 상위기관에서 하는 게 맞을 것”이라며 청와대에게 그 역할이 돌아가야 한다는 의견을 내비쳤다. 그는“청와대 직속 사이버 보안청을 설치해 민·관·군 정보보안 체제를 총괄해야 한다”며“청와대는 이미 명령 권한을 갖고 있기 때문에 법의 개정 없이 실무기구만 만들면 할 수 있을 것”이라고 조언했다.
사이버대응을 위한 실무적인 컨트롤타워 기능을 어디에 두는가에 대한 의견은 갈리고 있지만 청와대가 깊이 개입해야 한다는 점에서는 모두 공통적인 모습을 보였다.
다행히 이러한 사회적 동의가 반영됐는지 지난 4월11일 청와대에서 사이버 보안을 위한 컨트롤타워의 역할을 수행하겠다는 발표가 나왔다. 이로써 보다 강력한 대응조치가 이뤄질 것으로 기대되지만, 과거 선례처럼 흐지부지 되지 않고 실효성 있는 법 집행이 되기 위해서는 대통령의 강력한 의지가 필요할 것으로 보인다.

해커 양성, 출구전략 마련해야

이번 3.20 사태가 발생한 후 여러 언론을 통해 북한의 해커부대에 대한 보도가 전해지면서 이에 대한 우려의 목소리도 높아졌다. 북한은 최대 1만2000여 명의 해커부대를 보유하고 있으며 해커 전문 양성 대학을 통해 매년 200명의 해커인력을 배출해내고 있는 것에 반해 우리 정부 소속 화이트해커는 고작 200명에 불과해 해커 및 정보보안 인력 양성에 대한 방안이 시급한 실정이다.
해커 출신인 홍민표 에스이웍스 대표는“화이트 해커 양성을 위한 사회적 분위기를 지속적으로 유도하는 것은 물론 이들을 양성하기 위한 투자가 필요하다”며 의견을 같이 했다. 그는“지금은 미사일 한 방보다 해커 한 명이 더 효율적이고 공격적인 방어 수단이 될 수 있다”며“각종 취약점 정보 및 제로데이 공격 코드를 사이버 기술 무기화 체계로 분류해 국가 경쟁력에 도움이 되는 부분으로 활용하면 보안체계 강화에 도움이 될 것이다. 방어보다는 공격능력을 갖추는 것이 더 뛰어난 방어가 될 것이라 본다”고 피력했다.
주대준 카이스트 부총장/정보보호대학원 교수는 인력 양성과 더불어 정부가 출구전략을 제시해야 한다는 의견이다.
“북한에서는 해커를 정부에서 고용해 평생 보장을 해주고 있다. 그러나 우리나라는 출구전략이 없다. 아무리 열심히 보안인력을 양성한다 한들, 이들이 갈 곳이 없다”고 지적했다. 사고가 났을 때만‘인력 없다’고 난리지만, 이것이 지속적인 출구전략으로 이어져야 한다는 이야기다.
주 부총장은“과거에는 보안업체들이 Cert라고 해서 해커 조직을 보유하고 있었으나 이제는 그런 조직들이 사라져 해커들이 프리랜서로 여러 업체를 돌아다니고 있다. 출구전략이 없는데 누가 그런 전망을 보고 해커를 지망하겠는가? 결국 블랙 해커로 빠질 수밖에 없다”라며“정부와 대기업의 과감한 투자로 정보보안시장의 파이를 키워 보안인력이 맘껏 활약할 수 있는 생태계를 만들어야 한다”고 피력했다.
현재 미국은 국가가 주도적으로 IT 및 보안 기술을 개발하고 있지만 우리는 정부 예산 중 IT예산은 10%도 채 안되며 사이버보안 예산은 1%에도 못 미친다.
주 부총장은 이에 대해 어떠한 기관 또는 기업이든 보안전담 조직이 필요하다는 의견이다. 아직도 많은 기업들이 보안인력을 아웃소싱으로 두고 있는 실정이지만 주 부총장은“인소싱으로 보안전담 조직을 두고 체계적이고 주도적으로 보안을 해나가야 한다”고 강조했다.
구태언 변호사는 보안전문 인력을 체계적으로 양성할 수 있는 기관 자체가 절대적으로 부족하다는 지적이다. 현재 우리나라 4년제 대학 정보보호학과는 20개에 불과하며 연간 978명의 보안인력이 배출되고 있다.
구 변호사는“일부 사이버보안과 외에는 제대로 된 보안전문학과가 부재하다. 전문대학원 2년 과정만으로는 보안의 기초밖에 배울 수 없다. 전문가가 되려면 4년학부 과정부터 총 6년간 교육을 받아야 한다”며 보안 학부과정 증설을 주장했다.

▲ “보안전문 인력을 체계적으로 양성할 수 있는 기관 자체가 절대적으로 부족하다. 또한 차세대 정보보안 인력들은 경영과 보안을 체계적으로 이해하는‘융합형 보안인력’이 돼야 한다” - 구태언 테크앤로 법률사무소 대표변호사

더불어 구 변호사는 보안인력을 이공계 인력으로 생각하는 것은‘착각’이라고 꼬집었다. 보안은 경영지원의 한 부분이며, 기업 조직에 대해 잘 알아야 하기 때문에 문과도 이과도 아닌 융합형 인력이어야 한다는 것이다.
“기업을 사람에 비유한다면 보안은 면역 시스템이라 할 수 있는데, 면역체가 몸 구석구석에서 바이러스들과 싸우려면 몸 전체를 잘 알아야 하는 것 아니겠는가”라고 구 변호사는 말한다. 따라서 차세대 정보보안 인력들은 경영과 보안을 체계적으로 이해하는‘융합형 보안인력’이 돼야 한다는 주장이다.
이러한 움직임은 이미 학계에서 먼저 발견되고 있다.
구 변호사는“서울과학종합대학원에 산업보안 MBA 과정이 신설되고, 상명대 경영대에서 정보보안 전문가를 전공교수로 임용한 것만 보아도 이러한 융합형 보안인력에 대한 시대적 요구가 드러난다”고 설명했다.
또 그는 공공기관 정보보호 인력을 체계적으로 양성하기 위해서는 통합 양성이 좋은 방안이 될 수 있다고 제시한다. 각 기관이 알아서 보안인력을 채용해 양성하면 체계적인 양성이 이뤄지기 힘들 것이라는 이유에서다. 구 변호사는“보안인력은 기능형 보직이므로 한 기관에서 전담해 체계적으로 인력을 양성하고 이를 각 기관에 공급하면 좋을 것”이라며“마치 조달청이 공공기관의 구매업무를 일괄 대행하는 것과 마찬가지”라고 설명했다.
한편 신수정 인포섹 대표는 화이트해커가 보안 문제를 해결해주는 만능열쇠는 아니라고 경고한다. 신 대표는“공격자와 수비자가 다르듯 공격자와 개발자가 다르기 때문에 공격관점에서의 사이버 해커에만 초점을 맞춰서는 안된다. 공격을 대응하는 사이버 방어/분석 전문인력 양성도 필요하며, 다양한 보안프로그램을 개발할 수 있는 개발자도 양성해야 한다”고 강조했다.

▲ “사이버테러방지법을 통해 사이버보안 관련 산업을 육성하고 전문인력 양성 및 교육홍보를 위한 체계적인 시스템 구축이 시급하다” - 서상기 새누리당 의원/국회 정보위원장

“산발적 사이버 대응 기능 통합기구필요하다”

국회 정보위원장을 맡고 있기도 한 서상기 새누리당 의원은 이번 3ㆍ20사태와관련,“ 국민들은대한민국을 IT 강국으로 알고 있으나, 사실 국가 규모 사이버테러에 대한 대응체제는 부족한 것이 사실”이라고 문제를 제기했다. 그는“특히 사이버테러에 대한 종합적이고 체계적인 대응이 가능키 위해서는 대응을 총괄하는 기관이 필요하나 그 기관도, 관련 법률도 미비한 상태로, 사이버테러에 대한 조기 발견 및 대응, 테러행위 자체에 대한 예방은 물론 상황 발생 후 대응에도 쩔쩔 매고 있다”고 전하며“하루빨리 대응 총괄기관이 규정되고 관계 법률이 제정돼 또 다른 사이버테러 기도를 철저히 봉쇄해야 한다”고 강조했다.
서 의원이 국가 보안체제에 있어 가장 큰 문제점으로 지적하는 것은‘사이버테러 대응 기능이 여기저기 분산돼 있다는 점’이다. 또한 관련 법규가 대통령훈령에 불과해 강제력이 부족하다고 그는 지적한다.
현 사이버테러 대응체계는 대통령 훈령인‘국가사이버 안전관리규정’에 의거, 공공부문은 국정원이, 민간은 방송통신위원회(현재 미래창조과학부로 이관)가, 군은 국방부가 보안 관제를 담당하고 있다. 하지만 이를 총괄하는 법률이 없고, 부문별로 법률들이 산재해 범국가적인 사이버보안 원칙이 부재한 상태라는 것이 그의 설명이다.
“특히 주요정보통신기반시설이 아닌, 금융, 철도, 원전 등은 국가안보에 직결하는 기관임에도 현재의 무분별한 법률체계로는 제대로 된 대응을 하지 못한다. 만약 해당기관들이 공격당한다면 엄청난 불상사를 초래할 것이다”라고 전했다.
이에 서 의원은 지난 4월9일 국정원이 국가규모 사이버테러에 대응하는 총괄기관의 역할을 맡도록 하는 내용을 골자로 하는‘국가 사이버테러방지에 관련한 법률’을 대표발의하고 나섰다.
서 의원은 국정원장 소속으로 국가사이버안전센터를 설치해 총괄 기능을 수행하고, 사이버테러 정보를 상호 공유하는 민·관 협의체를 구성/운영하는 한편 현재 대통령 훈령에 불과한 법적 근거를 강화해 민·관 책임기관의 예방·복구조치를 의무화한다는 의견이다.
또한 사이버테러 징후의 수집·분석·전파를 통해 위협을 사전에 차단하고, 위기상황 발생 시 국정원장이 사이버위기경보를 발령하고, 사이버위기대책본부를 구성·운영할 수 있도록 해 신속한 대응이 가능토록 해야 한다는 설명이다.
특히서의원은화이트해커와관련해“, 최근어나니머스의‘우리민족끼리’웹사이트 해킹으로 인해 화이트 해커에 대한 관심이 뜨거운 것으로 알고 있다. 북한은 현재 우수한 인재들을 해커로 양성하는 전문 교육을 실시하고 있음에도 불구하고 우리는 정보통신분야 인재 육성이 미비한 것이 현실”이라고 지적하며“사이버테러방지법을 통해 명기한 바와 같이 우리도 사이버보안 관련 산업을 육성하고 전문인력 양성 및 교육홍보를 위한 체계적인 시스템 구축이 시급하다”고 주장했다. 또 그는“능력 있는 인재들이 화이트 해커가 아닌, 국가 안위를 지키는 사이버테러의 파수꾼으로 양성화될 수 있는 제도적기반을 마련해야 한다”고 덧붙였다.
민간기업도 마찬가지겠지만 공공기업은 보안을 위한 정부 지침이 나날이 강화되고 있음에도 불구하고 전담조직 구성조차 수월하지 않은 상황이다. 이는 예산과 조직, 인원에 대한 결정권을 갖고 있는 재경부에서 쉽사리 승인이 나지 않기 때문인 것으로 관계자들은 지적하고 있다.
이에 대해 서 의원은“이러한 문제를 해결하기 위해서라도 사이버테러방지법 제정이 필요하다”고 강조하며 “법률을 통해 책임기관을 확고히 하고, 그 책임과 의무를 명확히 해야함은 물론, 모든 기관에 보안관제 시스템을 구축하는 낭비를 피하고 유기적인 통합 시스템 운영을 통해 비용을 최소화해야 한다. 현재 산발적으로 구성된 보안관제 시스템을 체계화한다면 충분히 가능하다고 본다. 개별 운영이 현실적으로 불가능한 부문에 대한 지원을 위해서도 사이버테러방지법안은 큰 의미를 가진다”고 설명했다.

“기업 처벌수위만 높아져, 국가 차원 보호 해줘야”

김병섭 하나SK카드 정보보안팀장은“이번 3ㆍ20 사태 이전에도 최근 몇 년 간 정보유출 및 해킹 사고가 지속적으로 발생해 왔으나 매번 제대로 된 수습이 이뤄지지 못해왔다”고 지적했다.
“언론이나 감독기관이나 모두 원인과 경로에 대해 정보공개가 이뤄지지 않고 있다. 사고 원인과 경로를 명확하게 파악해 이를 공개하고 재발방지 대책을 세워야 하는데, 사고결과만 가지고 이야기 하고, 제재 수위만 높여갈 뿐이다”라는 의견이다.
특히 김 팀장은 제재와 처벌에만 의존하는 정부 보안정책 방향에 대해 아쉬움을 나타냈다.
“명확한 원인 규명은 생략한 채 피해를 당한 기업에 대한 문책 수위만 계속 높이고 있다. 국가적인 차원에서 전체 보안체계를 가져가야 하는데 그런 것들은 부재한 채제재 수위만 높이고 있다”는 것이다.
그는“매번 사고가 날 때마다 이에 대한 대응으로 법만 강화되고 새로 조항이 추가될 뿐이다. 물론 재발방지 차원에서 그럴 수도 있겠지만, 국가적인 차원에서 종합적인 매뉴얼이 나오는 것이 우선이라고 생각한다”며“각 비즈니스나 업종에 따라 보안의 방법은 달라질 수 있겠지만, 깊이 들어가면 기본 골격은 동일하다. 즉 원인규명 및 재발방지에 대한 국가 차원의 기술적 지원이 필요하다. 따라서 법 간 상충되는 조항에 대해 통합 및 조정이 우선돼야 한다”고 김 팀장은 주장한다.
그는“각 분야별로 관리감독하는 기관이 다르고 법도 다르다. 조금씩 입장이 다르고 조항이 달라 법 간 상충되는 부분이 있다. 이를 통일시켜야 한다.”고 주장했다.
이렇듯 산재한 법을 하나로 통합하고 국가 보안의 컨트롤 타워가 있어야 한다는 데에 김 팀장도 의견을 같이 한다. 어느 기관이 컨트롤 타워 기능을 맡아야 하는지 구체적으로 지목하지는 않았지만, 정치적인 이해관계가 없는 기관에서 맡는 게 맞다는 의견이다.

▲ “명확한 원인 규명은 생략한 채 기업 담당자의 문책 수위만 계속 높이고 있다. 국가적인 차원에서 전체 보안체계를 가져가야 하는데 그런 것들은 부재한 채 제재 수위만 높이고 있다” - 김병섭 하나SK카드 정보보안팀장

그러나 컨트롤 타워 기관이 설치됐을 경우 자칫하면 관리기능만 추가되는‘옥상옥(屋上屋)’이 될 수 있다고 김 팀장은 우려를 나타냈다.
그는 민간기업에게 모든 책임을 전가하는 정부의 보안정책에 대해 아쉬움을 나타냈다. 정부의 역할은 없고, 모두 기업에게만 보안 의무를 떠맡기고 있다는 것이다. 예를 들어 APT 공격의 경우 각 사별로 외부 CNC 서버를 통제하도록 했는데, 사실상 각 사의 CNC 서버를 막는 것 보다는 각 통신사의 ISP에서 일괄적으로 막는 것이 훨씬 효율적이라는 설명이다.
김 팀장은“경찰이 유해업소를 이용한 사람만 처벌하는 게 아니라, 유해업소를 색출하고 처벌해야 할 책임 또한 있는 법이다. 동일하게 국가는 각 사에 책임을 묻기 전에 국가차원에서의 보호막 역할도 충분히 해줘야 한다”고 비유했다.
사고에 대한 책임만 묻는 게 아니라 국가가 마땅히 해야할 일을 먼저 해야 한다는 게 김 팀장의 주장이다.
그는“해커가 작정하고 뚫으면 안 뚫리는 기업은 없다. 다만 할 수 있는 모든 조치를 하고 기도만 열심히 할 뿐이다. 항상 악성코드가 먼저 출현하고 백신은 그 뒤에 따라 나오는 것이기 때문에 신종 악성코드는 막을 방법이 없다. 아예 인터넷을 차단하는 방법밖에 없다”고 강조했다.
이에 하나SK카드는 인터넷을 통한 해킹 사고를 막기 위해 IT센터는 모든 인터넷을 차단했으며 본사직원은 업무상 필요한 120여 개 사이트를 제외하고 모든 사이트 접속을 차단했다. USB 사용도 전면 금지시켰다. 이메일에 파일을 첨부할 시에는 모두 부서장의 결제를 받도록 돼있다. 직원들의 반발이 적지 않지만 인터넷의 위험성이 너무 크기 때문에 강력한 보안수위를 유지하고 있다는 설명이다.

▲ “인력들이 모이기 위해서는 산업에서 수익이 된다는 신호들이 있어야 한다. 이를 위해서는 컨설팅이나 관제 인력들의 대가 기준들이 높아져야 하고 솔루션 유지보수율들이 보장돼야 한다” - 신수정 인포섹 대표

“보안 산업 성장 우선돼야 인력 모인다”

보안전문업체인 인포섹 신수정 대표는 이번 3ㆍ20 사태가 발생한 결정적인 원인에 대해‘디바이스 간의 Trust 문제’라고 지적했다. 신뢰관계를 맺고 있는 시스템에 대한 관리 방안이 부재하다는 이야기다. 신뢰할 수 있다면 언제까지, 어떤 업무에 대해, 누구에게까지, 어떻게 검증할지 등에 대한 방안이 있어야 한다고 그는 주장한다.
신 대표는“스턱스넷 이후로 어떠한 환경이라도 사이버 테러가 발생할 수 있다는 점이 확인된 후 더 이상 안전한 곳은 없다는 사실에 대해 적극적인 대응이 이뤄지지 않은 것이 3ㆍ20사태를 만들었다고 생각한다”며“특히 이전에 발생한 APT공격으로 인한 사고를 유추할 때 정보유출, 주요 서비스 중단과 같은 형태의 공격에서 에이전트 배포 시스템을 통해 전체 클라이언트로 악성코드를 확산하고 동시에 서비스를 중단시키는 공격은 예상 가능한 위협 시나리오였으며, 이는 현재도 전 국민 대상의 서비스 중단이라는 시나리오가 크게 대두된다”고 전망했다.
발생 가능한 위협시나리오에 맞춰 선제적 점검과 대응이 이뤄야 하는데 이러한 위험관리 측면의 관리환경 미흡, 기업전반의 계정 및 권한관리 미흡, 지속적 취약점 제거 및 위협관리 미비, 다계층/다단계 접근통제의 틀이 깨져있는 상황이 가장 심각한 문제라는 것이 그의 의견이다.
신 대표는 우리나라 보안체제가 지극히 솔루션 중심으로만 이뤄지고 있는 것에 대해 안타까움을 전했다. 보안솔루션을 도입하면 그것으로 공격이 방어되는 것으로 오해하고 있다는 것이다.
그는“보안은 솔루션으로만 이룰 수 없으며 전반적인 관리체계, 인식교육 등 총체적인 시스템 관점으로 문제를 해결해야 한다”는 한편“운영능력이 더 배가돼야 하고 관제도 확대돼 주기적인 점검과 컨설팅이 정착돼야 한다”고 강조했다.
신 대표는 국가 보안체계를 강화하기 위해서는 정부의 역할이 무엇보다 중요하다고 주장한다. 이를 위해 우선 보안 R&D 기능을 강화해야 한다는 의견이다.
“새로운 공격을 탐지하고 대응하는 근원적 보안기술의 개발이 정부차원에서 활성화되고, 이러한 기술 이전이 민간에 활발하게 이뤄져야 한다. 물론 지금도 이러한 업무를 하고 있지만 과연 실효성과 성과가 있는지 다시 한 번 검토해야 할 단계”라고 그는 지적했다.
또한 그는 보안 산업 성장이 우선돼야 한다는 생각이다.
산업이 약해지면 인력들이 모이지 않으므로, 인력들이 모이기 위해서는 산업에서 수익이 된다는 신호들이 있어야 한다는 것이다. 이를 위해서는 컨설팅이나 관제 인력들의 대가 기준들이 높아져야 하고 솔루션 유지보수율들이 보장돼야 한다고 그는 주장했다. 더불어“각 기관이나 기업에 보안투자 비용에 대한 가이드가 제시되고, 조직구성을 의무화해 각 기업이나 기관에서 보안에 대한 투자들이 의무적으로 이뤄질 수 있도록 해야 하며 징벌적 배상 등을 통해 보안에 최선을 다하지 않은 경우 기업이 큰 처벌을 받을 수 있음을 깨닫게 해야 한다”고 목소리를 높였다.
한편 신 대표는“국가적인 보안사고는 국가만이 대응한다고 해결되는 것은 아니며, 국가와 더불어 일반 기업에서도 국가에서 권장하는 보안 사항을 준수해야만 국가적 차원의 보안수준이 올라갈 수 있다”며 기업의 역할에 대해서도강조했다.“ 이제국가, 사회적으로‘보안’에대한인식이 예민해졌기 때문에 기업들은‘보안’이 더 이상 비용이 아니며, 회사의 흥망을 좌우하는 것임을 인식해야 한다”는 것이다. 이를 위해서 기업에서도 반드시 보안을 책임지고 리딩할 수 있는 보안전문가를 채용해야 하며, 이를 중심으로 하는 보안 조직이 확보돼야 하고, 해당 기업의 보안강화 방안을 수립해 이행해야 한다고 의견이다.
그는 또 기업의 보안조직은 국가보안컨트롤센터와 유기적 네트워크를 통해 사이버테러 발생 시 즉시적인 공동 대처를 해야 한다고 덧붙였다. 신 대표는“우선 국가차원의 보안위기관리 조직을 신설해야 하며 그 아래 각 부처, 기관에도 보안전담조직을 설치함과 동시에 정보화 조직과 유기적인 협업체계를 구성해야 한다. 민·관·군의 실질적 협력을 유도하기 위한 정책과 법제도 개선이 시급해 보인다”는 한편“또 국가적 사이버 전쟁에 대응하기 위한 고도화된 프로그램 및 공격무기를 개발하고 디펜스 체계를 정비해야 할 것”이라고 말했다.

“내·외부 보안체계에 복합적 투자 필요”

국내 3대 해커 중 한 명으로 꼽히는 홍민표 에스이웍스대표는 현재 국내 보안현황과 관련해“알려지지 않은 패턴 및 악성코드 등이 특정 제로데이 취약점을 통한 감염으로 사용자 PC 등을 통해 설치되는 경우가 빈번이 발생하고 있다”고 설명했다. 이러한 알려지지 않은 취약점은 기존의 보안 솔루션으로는 대응이 매우 어려운데다 공격자가 상당히 치밀한 공격 설계를 통해 공격하기 때문에 이를 막는 것이 어렵다는 이야기다.
그는 현재 많은 기업들이 외부에서 내부로 들어오는 공격을 차단하는 보안장비들에만 너무 치중해 있는 것 같다고 지적했다.

▲ “방화벽이나 IPS 등 외부 공격 차단장비들이 우선적으로 적용 돼있어 내부 사용자가 정상적인 웹 서핑 활동 및 문서 등을 실행하다가 떨어지는 공격 파일에 대한 대응은 상대적으로 부족한 부분이 있다. 다양한 내·외부 보안체계에 대한 복합적인 투자가 필요하다” - 홍민표 에스이웍스 대표

“방화벽이나 IPS 등 외부 공격 차단장비들이 우선적으로 적용돼 있어 특히 네트워크 진입에 대한 부분은 방화벽에만 의존하는 경우가 많다. 그러나 내부 사용자가 정상적인 웹 서핑 활동 및 문서 등을 실행하다가 떨어지는 공격 파일에 대한 대응은 상대적으로 부족한 부분이 있다”는 홍 대표는“특정 방화벽류는 물론이고 다양한 내·외부 보안체계에 대한 복합적인 투자가 필요하다”고 전했다.
또한 홍 대표는 국가 보안 컨트롤 타워 설립에 대해 강력히 주장하며“민간 기업 및 오랫동안 활동해온 화이트 해커들까지 항상 채널을 열어두고 종합적으로 정보를 취합해 대응하는 역할을 수행했으면 한다”는 의견을 밝혔다.

“정보보호기본법 제정 시급”

“우리나라가 IT 강국이라고 하지만, 아직 사이버 공간이 오프라인과 마찬가지로 하나의 영토이고 사회라는 인식은 하지 못하고 있는 듯하다.”
임종인 고려대 정보보호대학원장은 우리나라가 사이버 위협에 대한 인식이 부족하다며 이 같이 말했다.
그에 따르면 사이버보안 문제가 다른 사안에 비해 우선순위에서 밀리기 때문에 2003년부터 10년 간 사고가 이어졌음에도 불구하고‘사람이 죽은 건 아니잖아?’라고 가볍게 넘기며 제대로 된 후속 조치가 이뤄지지 않았다는 것이다. 설령 대책을 마련했다 해도 실행이 안되고 있는 것도 문제점으로 꼬집었다.
임 원장은“기업들은 정부가 정보보호와 관련된 법적 책임을 강제화했기 때문에, 컴플라이언스 준수 측면에서 접근하지만 이미 일반 국민들은 이러한 법적 책임만으로는 충분하지 않다고 느끼고 있다. 소비자 보호가 시대적 화두인 만큼 보다 적극적이고 능동적인 보호조치를 원하고 있는 것”이라며“게다가 사이버 전쟁은 창과 방패의 싸움이기 때문에 실시간 업데이트 되는 악성코드를 방어하는 것을 일일이 법으로 강제할 수 없는 노릇”이라고 지적했다.
그는 SK컴즈 3500만 건 유출사고에 대해 최근 서부지검에서 피해자들에게 20만 원씩의 배상책임을 선고한 것을 근거로 들었다. 법에서 강제한 보호조치를 충분히 했음에도 불구하고 발생한 유출사고에 대해 기업의 책임을 물은 판례라는 것이다.
임 원장은 국가 보안체계 강화를 위해 무엇보다‘정보보호기본법 제정’이 시급하다고 주장하고 있다. 현재 정보보호 관련법들은 특정 조건 하에서만 적용돼 있기 때문에 일반법으로서의 기반보호법을 제정해 강력한 법 집행 체계를 잡아야 한다는 의견이다.
개인정보보호법은 개인정보에 국한돼 있고, 정보통신망법은 방송통신제공자에게만, 전자금융거래법은 금융사에게만 적용대상이 한정돼 있어 부처 간 업무영역이 중복되거나 또는 법의 사각지대에 놓인 영역이 발생할 수밖에 없다. 이를 체계적으로 교통정리 해줄 수 있도록 기본 원칙이 되는 기본법이 반드시 필요하다고 그는 강조한다.
또한 정보보호 전문인력 양성도 법적 근거가 우선돼야 가능하다고 그는 이야기한다.
임 원장은“당장 내일부터 해커를 양성한다고 단기간에 유능한 사람이 배출될 리 없다. 적어도 5~6년의 트레이닝이 필요한데, 우리는 벌써 지난 10년을 허비했다. 교육부든 정부부처에서 관심을 갖고 이를 추진해야 하는데, 법적 근거가 없기 때문에 아무도 자기 일로 생각하지 않고 있다”고 꼬집었다.
또 공공기관의 보안전담팀 구성이 아직 요원한 상황인 것에대해서도임원장은법이우선이라는의견이다“. 공공기관의 조직과 인력을 담당하고 있는 기획재정부에서 승인을 해줘야 하는데, 법적 근거가 없으니 담당자의 자의적 판단에 따라 보안전담팀 구성이 좌지우지 될 수밖에 없다”는 게 그의 분석이다.

무분별한 인터넷 문화 정화해야

구태언 변호사는 우리나라 기업CEO들 중 정보보안이나 IT에 무지한 이들이 너무나 많다고 이야기한다. CEO가 보안에 관심이 없으니 기업 내 보안문화 수준도 높지 않고 보안부서 상황도 상당히 열악하다는 지적이다.“ 보안은 경영자가 함께 고민해야 하는데 이런 고민이 부족하고 기업 내 보안담당자의 위상도 너무 낮다”는 것이다.
구 변호사는“보안은 비싼 장비만 도입해 놓는다고 해결되는 문제가 아니라 관리적 조치가 필요한 부분인데, 이를 수행할 수 있는 인력이 너무나 적다”며“장비로 사람을 변화시키려면 굉장히 많은 돈이 든다. 그러나 장비로 막는 것보다 더 중요한 것은 직원들이 보안수칙을 잘지키는 것”이라고 말한다.
한편 국내에는 정보보호와 관려해 전자금융법, 방송통신망법, 개인정보보호법, 금융IT보안강화 모범규준 등 분야별로 법이 집행되고 있는 실정이다.
헌데 이 법들 중 어느 법률로도 통제를 받지 않는 곳이 있어, 법의 사각지대에 높여있는 기관 및 기업에 대한 대책도 강구해야 하는 주장이 나오고 있다.
언론사, 수사기관, 우체국 등이 대표적인 사례다. 예외조항이 있어 평소 정부기관의 관리감독을 받지 않고 있다는 지적이다.
한 금융권 보안 담당자는“고객정보 수탁업체에 대해 점검 책임을 갖고 있는데, 우체국에 대해 수탁업체 점검을 나가려고 하자 개인정보보호법에 해당되지 않는다고 하더라”며“만약 우체국을 통해 개인정보가 유출될 경우 그 책임은 누구의 것이냐”고 호소했다. 개인정보보호법상 수탁업체 정보유출 시 그 책임은 수탁업체가 지도록 돼있기 때문이다.
또 한 보안담당자는“개인정보 유출은 대부분 금전적인 이유로 일어난다. 게다가 해킹도 전쟁에 준하는 사이버 테러 수준으로 심각해지고 있다. 한 국가나 사회를 혼동에 빠뜨릴 수 있는 부분인데 예외 되는 기관들이 있다는 것은 안 될 말”이라고 강하게 못 박았다.

▲ “일반법으로서의 정보보호기본법을 제정해 강력한 법 집행 체계를 잡아야 한다. 부처 간 업무영역이 중복되거나 또는 법의 사각지대에 놓인 영역을 체계적으로 교통정리 해줄 수 있도록 기본 원칙이 되는 기본법이 반드시 필요하다” - 임종인 고려대 정보보호대학원장

특히 언론사 경우는 악성코드 유포지로 악용될 위험성이 높다는 지적이다.
기업의 한 보안담당자는“요즘 신문사 등 언론사 사이트에 들어가 보면 양 옆으로 수십여 개의 광고 배너들이 줄줄이 달려있다.
이 중 대다수가 음란물 배너로 신문사 사이트를 19금 사이트로 만들어야 할 판”이라며“이들 음란물 배너를 클릭하면 연결되는 사이트가 어떤 곳인지 아무도 검증하지 않고 있다. 이러한 사이트는 악성코드 유포지가 될 위험성이 존재한다”고 비판했다.
신문사는 고객접점이 많은 사이트인 만큼 강력한 관리감독이 반드시 필요하다는 지적이다.
이러한 사이버테러 대응체계를 마련하는 것과 동시에, 무분별한 인터넷 문화를 바꿔야 한다는 목소리도 높아지고 있는 것이다.
인터넷을 통해 감염될 수 있는 악성코드로부터 보호하는 것은 물론 음란 콘텐츠를 정화하는 활동 또한 필요하다는 지적이다.
“인터넷 없이는 이제 어떤 업무도 가능하지 않은 것이 현재의 대한민국 실정이다. 그런 가운데 인터넷을 통해 PC가 악성코드에 감염된다면, 인터넷 환경을 청정하게 유지해야 할 필요성이 있다. 이는 각 민간기업에게만 책임을 전가할 문제는 아니다. 정부는 제재수준만 높일 것이 아니라 문화를 바꿔야 한다”고 한 보안담당자는 이야기한다.
이를 위해 인터넷 파파라치를 운영해 정부가 포상하는 방안도 제기되고 있다.
또한 정부는 국가적인 차원에서 전 국민을 대상으로 각 개인 PC에 대해 의무적으로 백신을 설치하도록 하는 관리감독이 필요하다는 의견도 있다. 무료백신을 보급한다던지, 강제백신설치를 의무화한다던지 하는 체제로 가야한다는 것이다.