“보안을 비즈니스 모델로 승화시키는 것은 CIO 몫”

최근 중국과 미국을 비롯해 국가 간 사이버 전쟁이 가속화됨에 따라 각국은 공격용 사이버 무기 개발에 박차를 가하고 있다. 그동안 방어에만 치중해왔던 보안기술 개발 양상이 점차 공격, 즉 해킹으로도 눈을 돌리고 있는 상황이다. 취약점을 찾아내고 공격코드를 만들어 냄으로써 이에 대응하는 방어 전략을 세울 수 있도록 돕는 것이 이른바 ‘화이트 해커’들의 역할이다.
류재철 충남대학교 컴퓨터공학과 교수는 인터넷침해대응기술연구센터에서 센터장을 겸임하며 화이트 해커 양성에 힘을 쏟고 있다. 각개전투로 활동하던 해커를 제도권으로 끌어들여 국가 사이버전을 대비하는 무기로 키워내야 한다는 류재철 교수. 그를 만나 해킹의 새로운 트렌드와 모바일 보안, 정보보호 교육 실정 등에 대한 생각을 들어봤다.

연보라 기자 bora@ciociso.com

▲ "이제는 공격코드를 공개하지 않고 오히려 해당 기업에 공격코드를 정당하게 되파는 것이 비즈니스화되고 있다.취약점을 알려주거나 공격코드를 만들어주는 해커들에게 적극적인 보상을 함으로써 자사의 프로그램을 개선해 나가는 방향으로 가고 있다." - 류재철 충남대학교 컴퓨터공학과 교수

해킹, 다가온 사이버전 시대 새로운 무기
“세계는 사이버전쟁 시대를 맞이했다”
류재철 충남대학교 컴퓨터공학과 교수는 화이트 해커 양성을 통해 다가오는 사이버전 시대에 대비해야 한다며 이와 같이 강조했다.
최근 들어 중국이 미국을 대상으로 엄청난 사이버 공격을 감행하고 있다. 이는 단순히 개인정보나 금융정보를 유출하는 차원이 아니라, 미국의 군수기술 및 군사정책 등 고급 정보들을 해킹하려고 시도하는 것이다. 피 한 방울 흘리지 않고도 핵심시설을 무력화시킬 수 있는 것이 오늘 날의 사이버 공격 행태다.
이에 미국은 지난해 11월 공격용 사이버 무기 개발에 속도를 올릴 것이라고 밝힌 바 있다. 정부가 비밀리가 아닌, 공식적으로 사이버전을 대비하는 시대가 된 것이다.
국내도 국방부 내에 사이버사령부가 설립되면서 사이버 무기 개발에 대한 필요성이 조금씩 거론되고 있는 상황이다.
“지금의 사이버전은 주로 미국과 중국의 정보쟁탈전으로 가고 있지만 인터넷강국인 우리나라도 안심할 순 없다”고 류 교수는 경고했다.
대학 내 인터넷침해대응기술연구센터의 센터장으로서 해킹에 대한 최신 사례를 분석ㆍ연구해 오고 있는 류 교수는 해커들과 가까이 지내며 연구가 깊어질수록 ‘방어 못지않게 공격도 중요하다’라는 생각을 갖게 됐다. 국가적 사이버전에 대비하기 위해서라도 사이버 무기를 개발할 필요가 있다는 것이 류 교수의 주장이다.
류 교수는 “현재까지 국내에는 방어 위주의 기술개발이 주를 이뤄왔으며 국가기관 등 특별한 경우를 제외하고는 공격보다는 방어 쪽 수요가 대부분이었다”면서 “그러나 방어를 잘하기 위해서는 공격기술이 필요하다”고 강조했다. ‘보안은 항상 방패와 창이 같이 발전하는 것’이라는 게 류 교수의 지론이다.
류 교수는 오늘날 해킹은 하나의 커다란 비즈니스로 성장하고 있다고 이야기한다.
과거 해커들은 ‘핵티비즘’에 입각한 순수한 재미나 유명세 혹은 돈벌이의 목적으로 해킹을 시도하는 경우가 대부분이었다. 즉 사이트에서 취약점을 찾아내 이를 이용해 공격코드를 만들고 공개 또는 공격을 감행하거나, 혹은 해당 기업 협박 또는 경쟁사에 정보를 파는 등의 불법행위를 통해 금전적인 이득을 취하는 경우다.
그러나 요즘은 양상이 많이 달라졌다. 이제는 공격코드를 공개하지 않고 오히려 해당 기업에 공격코드를 정당하게 되파는 것이 비즈니스화되고 있다.
기업들의 인식도 많이 바뀌어 예전처럼 쉬쉬하기보다는 취약점을 알려주거나 공격코드를 만들어주는 해커들에게 적극적인 보상을 함으로써 자사의 프로그램을 개선해 나가는 방향으로 가고 있다. 공격코드를 알아야 그에 대응할 수 있는 방어기술을 알아낼 수 있기 때문이다. 심지어 한 세계 해킹대회는 수상자가 만든 공격코드를 기업에게 판매하기도 한다.
류 교수는 “국내는 아직 취약점을 다루는 태도가 소극적이나 점차 해외의 경우처럼 변화해야한다”고 말했다.
류 교수가 이끌고 있는 인터넷침해대응기술연구센터가 바로 이에 대한 대응 역할을 한다. 새로운 취약점을 찾거나 그 취약점을 통해 공격코드를 만들어보고 그것을 기업에 알려줌으로써 기업들이 이에 따라 방어 전략을 세우거나 백신 개발에 참조할 수 있도록 하는 것이다.

방어와 공격을 아우르는 보안 전문가
류재철 교수는 보안에 있어 방어와 공격을 아우르는 폭넓은 커리어를 갖고 있다.
류 교수가 현재 갖고 있는 직함만도 개인정보보호위원회 조사분석위원, 인터넷침해대응기술연구센터장, 한국정보보호학회 이사, 금융보안연구원 자문위원, 행정안전부 정부통합전산센터 보안 자문위원 등 열거하기 숨찰 정도다.
류 교수가 처음 보안과 연을 맺은 지도 20여 년이 됐다. 1991년 처음 인터넷 보안에 발을 들여놓았을 당시에는 암호 중심의 보안이 주류였다고 한다. 암호기술의 응용분야에 대해 지속적으로 연구해오다 해킹 분야에 대한 연구를 하면서 정보보호의 다양한 분야를 접하게 됐고 벤처기업 창업도 2년간 경험했다. 다양한 경험을 통해 그는 정보보호에 대해 폭넓게 바라볼 수 있는 시각을 가질 수 있었고 그런 탓인지, 전자정부 및 전자상거래 보안 등 각종 정부 부처의 보안 관련 정책을 수차례 컨설팅 해왔다.
류 교수는 2003년 충남대 내에 인터넷침해대응기술연구센터를 설립하면서 해킹 분야에 대해 본격적으로 연구를 시작했다. 센터 설립으로 산ㆍ학ㆍ연 협력을 통한 해킹 대응기술 등 정보보호 기술개발ㆍ보급과 전문가 양성에 대한 공로를 인정받은 류 교수는 지난 2010년 행정안전부가 개최한 ‘대한민국 사이버안전 대상’에서 국가사회 사이버안전에 기여한 공로를 인정받아 대통령 표창을 수상하기도 했다.

보안을 비즈니스로 바라본 스티브 잡스
류재철 교수는 2009년부터 스마트폰에서의 보안문제에 큰 관심을 갖고 연구를 해오고 있다.
류 교수는 “아직까지 스마트폰은 럭비공처럼 어디로 튈지 모르는 새로운 기기로 백지 상태에 가까운 영역이기 때문에 모바일 보안에 대한 연구가 더욱 중요하다”고 이야기한다.
정보 유출의 위험성도 PC 못지않게 큰데다가 기기의 종류도 다양하고 제약 없는 영역이기 때문이다. 또한 사용자가 항상 휴대하고 있기 때문에 사용자들이 보안에 대해 특히 예민할 수 있고, 보안을 위해 지갑을 열 소지가 많은 것이 모바일 보안이기도 하다.
류 교수는 다양한 보안 분야를 연구해왔지만 스마트폰 보안을 연구하면서 비로소 ‘보안철학’에 눈 뜨게 되었다고 말한다. 특히 보안에도 비즈니스가 필요하다는 것을 느꼈다고 한다. 그는 애플사가 보안을 어떻게 비즈니스화 했는지에 대해 설명하면서 “아이폰을 보며 많은 교훈을 얻는다”며 감탄을 마지 않았다.
대개 보안이라고 하면 거추장스럽고 귀찮은 일로 여기는 경향이 있어서 사용자뿐 아니라 정작 보안을 담당하는 사람조차 보안을 부담스러워하는 것이 보통이다. 그런 부담스러운 존재인 보안기술을 가지고 돈을 번 회사가 바로 애플이라고 류 교수는 평하고 있다. “애플은 사용자들을 불편하게 하는 보안기술을 가져다가 사용자들이 안전하게 사용할 수 있는 멋진 비즈니스 모델을 만들었다”는 게 그의 설명이다.
류 교수에 따르면 애플사 아이폰의 운영체제인 iOS와 여타 안드로이드 운영체제는 보안에 관해 서로 다른 철학을 갖고 있다.
애플이 사용자들에게 보안상 여러 제약을 둠으로써 안전한 환경을 제공해주고 그에 대한 대가를 지불하도록 하는 방식이라면, 안드로이드는 사용자들에게 모든 자유를 허용하는 대신 보안에 대한 책임도 사용자에게 두고 있다. 때문에 보안 측면에서는 아이폰이 안드로이드에 비해 안전한 것이 사실이다.
예를 들면 안드로이드에서는 동시에 여러 가지 프로세스를 구동시킬 수 있는 멀티프로세싱이 가능한데 만약 악성코드가 삽입돼 있는 위변조 애플리케이션을 다운받았다면  악성코드와 정상 애플리케이션이 동시에 구동됨으로써 SMS 등 기기 내 각종 정보를 유출하는 것이 가능해진다.
반면 아이폰에서는 앱스토어라는 전용마켓을 통해서만 애플리케이션을 다운받을 수 있을뿐더러 애플사로부터 승인절차를 거쳐야만 마켓에 등록될 수 있다. 또한 멀티프로세싱 자체도 원천적으로 막아놓았다.
류 교수는 “사용자들에게 일정 부분 불편함을 주는 대신 안전성을 제공한다는 발상 자체가 보안을 더 높은 차원에서 바라본 스티브 잡스의 창의적 면모”라고 극찬하면서 “20여 년간 보안을 연구해 왔지만 비전문가인 잡스가 나보다 한 단계 앞선 보안 마인드를 지녔다고 생각한다”고 전했다. 그리고 “이는 잡스가 카리스마를 갖고 추진하지 않으면 힘든 일이었을 것”이라고 그는 덧붙였다.
이제까지는 보안이 정부 지침에 따라서만 움직이는 형태였다면 향후 이 보안기술을 적극적으로 활용해 비즈니스로 연결하려는 움직임이 생길 것이라고 류 교수는 전망하고 있다. 그는 “우리는 보안이라는 기술에만 너무 매몰돼 있어 활용이라는 측면에서는 약한 모습을 보인다”고 지적하면서 “제2의 스티브 잡스가 나오기 위해서는 각 기업의 CIO들이 안전성을 유지하면서 사용자에게 좋은 서비스를 제공할 수 있는 방법을 강구하는 방향으로 보안에 대한 시각을 달리해야 할 것”이라고 강조했다.

국내 정보보호 교육 체계 미흡해
지천명의 나이 오십을 넘어선 류재철 교수. 줄곧 학교에 몸담고 있던 그는 정보보호의 교육체계가 제대로 서있지 않은 국내 현실을 개선하는 데 조금이라도 기여할 수 있기를 열망하고 있다.
정보보호의 수준이 올라감에 따라 정보보호 교육의 수준도 올라가야 한다는 것이 류 교수의 지론이다. 그러나 국내에는 정보보호 교육체계는 고사하고 교재도 부실하고 강사 확보도 쉽지 않은 것이 현 실정이다.
류 교수가 이러한 생각을 구체적으로 갖게 된 것은 교과부의 정보보호교육센터 설립 프로젝트를 준비하면서부터다. 최근 교과부에서 전국 교직원 및 학생들의 정보보호 인식 제고를 위해 정보보호교육센터 3개소를 고려대, 부산대, 충남대에 각각 설립했다. 이 프로젝트를 준비하다보니 정보보호 교육체계가 지금보다는 업그레이드돼야 할 필요성을 절감하게 됐다는 류 교수다.
“미국의 경우 전국에 145개 정보보호 교육기관을 선정해 지원해주는데, 이 때 상당히 까다롭고 다각적인 검증을 거쳐 선정하고 있다. 국내에는 공인된 교육기관이나 프로그램과 더불어 객관적인 검증 체계가 부재하다”는 것이 그의 주장이다.
일례로 금융위원회의 ‘금융회사 IT부문 정보보호 모범규준’에 따르면 임직원들에게 정보보호교육을 일정 시간 이상 의무적으로 이수해야 하며, 이때 정보보호 교육을 금융위가 지정한 정보보호 전문교육기관에 위탁할 수 있도록 하고 있다. 그러나 아이러니하게도 현재 금융위에 의해 전문교육기관으로 지정돼있는 곳은 없다.
“정보보호 의무 교육시간은 규정하고 있으면서 공인 인증기관이 없다는 것 자체가 웃긴 이야기다”고 류 교수는 지적했다.
또한 류 교수는 화이트 해커 양성의 필요성에 대해서도 의견을 피력했다. 지금은 각개전투로 활동하고 있는 해커들을 잘 관리하는 것은 국가적으로도 큰 힘이 될 수 있다는 것이다.
“해커들 중 능력은 정말 뛰어난데 정상적인 제도권 교육을 마치지 못해 음지에서 벗어나지 못하는 이들이 많다. 그런 인재들을 발굴해 사이버 전사로 키워내는 방향도 정부에서 고민해야 한다”는 한편 “국내에 해킹대회가 십여 개가 있는데 이 대회 수상자들을 별도로 교육해 우수한 인력으로 키워내는 프로그램이 있으면 좋을 것”이라고 류 교수는 제안했다.

 

류재철 1981.3~1985.2 한양대학교 산업공학 학사 1986.6~1988.5 Iowa State University 전산학 석사 1989.1~1990.12 Northwestern University 전산학 박사 1991.2~현재 충남대학교 컴퓨터공학과 교수 1997.1~현재 한국정보보호학회 이사 2003.8~2011.12 충남대 인터넷침해대응기술연구센터 센터장 2007.4~현재 대검찰청 디지털포렌식 자문위원회 위원 2010.12 한국정보보호진흥원 정보보호 정책자문위원회 운영위원 2009.5~현재 국가정보원 보안관리실태 평가위원회 위원 2009.6~현재 행정정보공유추진위원회 자문위원 2010.6~2011.5 통일부 정책자문위원 2011.1~현재 정부통합전산센터 자문위원 2010.11 대한민국 사이버안전 대상 대통령 표창 2012.3~현재 개인정보보호위원회 조사*분석 전문위원회 전문위원 2012.7~현재 금융보안연구원 보안전문기술위원회 위원장