[컴퓨터월드] 지난해 발생했던 3.20 전산대란은 보안 업계뿐만 아니라 국내 산업 전반에 걸쳐 큰 파장을 일으켰다. KBS, MBC, YTN 등 방송사들과 농협, 신한은행 등 은행들의 전산망이 동시에 마비되는 사상 초유의 사태가 발생했기 때문이다. 이는 더 이상 해킹이 단순한 침입과 정보 유출로만 끝나는 것이 아니라 특정 산업을 비롯해 국가 기반 시설까지 마비시킬 수 있다는 것을 보여줌으로써, 각 기업과 기관들이 보안의 중요성을 절감하는 계기가 됐다.

3.20 전산대란이 발생한지 3개월 후인 2013년 6월 25일. 6.25 사이버테러로 불리는 또 한 번의 대규모 해킹 사고가 발생했다. 이번에는 청와대를 비롯해 정부기관 및 언론사들이 주요 표적이었으며, 해당기관들이 보유하고 있던 개인정보가 유출되는 피해가 발생했다. 그러나 3.20 전산대란을 겪은 지 얼마 되지 않아 이런 대규모 해킹 피해를 입은 것이기에, 제대로 된 보안 대책이 수립되고 시행되는지에 대한 의문도 끊임없이 제기됐다.

어느덧 3.20 전산대란이 발생한 지 1년이 흘렀다. 6.25 사이버테러 이외에도 지난 1년 동안 크고 작은 보안 사고들이 발생했지만, 3.20 전산대란이 지금까지 그 영향력이 지속되고 있는 만큼 큰 이슈였음에는 틀림없다. 이에 본지는 ‘3.20 전산대란 그 후 1년, 국내 보안을 돌아보다’라는 주제로 보안 업무에 종사하는 전문가 4인에게 3.20 전산대란 이후 국내 보안 인식 및 환경 변화에 대해 들어본다.

정보보안 중요성 인식 확산됐지만, 장비·인력보다 관리가 중요

지난해 3.20 전산대란 이후 보안에 대한 인식은 크게 변했다. 우선 정보보안의 중요성에 대한 인식이 일반인 사이에서도 많이 확산됐다. 이는 장기적으로 사회 전반에 걸친 보안 투자의 확대로 이어지리라 예상한다.

또한 보안 관리자와 실무자 사이에서는 보안을 관리의 대상으로 바라보는 시각이 확산됐다. 기존에는 고성능 보안 장비 및 고급 인력의 도입 규모가 보안 역량과 비례한다고 인식했으나, 3.20 전산대란을 겪으며 아무리 많은 보안 장비도 관리되지 않으면 완벽한 보안 능력을 발휘하기 어렵다는 점을 확인했기 때문이다.

정보보안을 안보, 국방의 개념으로 이해하는 시각도 늘어났다. 특히 주요 언론사와 금융기관 등 국가의 주요 시설에 대한 사이버 공격이 실제 대중의 안전에 크게 위협을 준다는 사실을 체감했기 때문에 국가 차원의 정보보안 육성에 대한 목소리가 높아졌다.

비록 정부와 보안업체가 사고 재발을 막기 위해 최선을 다하고 있지만 현재 보안 대책의 대부분이 사후 대응에 초점이 맞춰져 있다. 따라서 근본적으로 보안 공격을 차단할 수 있는 선제적 대응에 대한 논의가 필요하다. 사이버 킬 체인이 대표적인 예인데, 사이버 킬 체인은 공격이 각 단계별로 진행 절차가 있고 그 진행 절차 중 하나를 미리 제거할 경우 대상에 대한 실제 공격까지 이어지지 않는다는 점에 착안한 것이다.

최근 사이버 공격이 장기간 동안 여러 단계에 걸쳐 이루어진다는 점에서 충분히 일리가 있는 접근 방식이다. 보다 효과적인 대책 수립을 위해서는 논의의 수준이 선제적 대응 단계로 끌어올려져야 할 것이다.

아직까지 보안에 있어 장비에 대한 의존, 혹은 보안 인력에 대한 의존이 높다. 장비와 인력이 중요한 것은 사실이지만 그것은 어디까지 보안의 한 요소일 뿐 전부는 아니다. 보안은 관리하는 것이 매우 중요하다.

최근 금융권 정보 유출 사건에서 볼 수 있듯 보안 관리가 허술할 경우 보안 장비와 인력이 제 역할을 하기 어렵다. 특히 내부정보 유출 사고가 점차 증가하고 있는 시점에서 장비에 대한 의존도를 낮추고 내·외부를 함께 관리하는 보안 프로세스와 관리 역량이 시급히 갖춰져야 한다.

공격 조기 발견 및 차단하는 보안체계 구축 필요

3.20 전산대란 이전에는 다수의 기업과 기관에서 보안 사고에 대비하기 위한 활동이 ‘전통적인 형태의 보안솔루션의 운영과 도입’을 통해 정형화된 공격에 대한 사고 후 대응수준에 머물러 있었다.

그러나 3.20 전산대란 이후 실질적으로 APT와 같은 지능형 타깃 공격에는 기존의 백신, 방화벽 같은 전통적인 보안솔루션이 큰 효과를 발휘하기는 어렵다는 것을 기업 및 기관에서도 인식하게 된 지금 보안공격의 시도 자체를 차단하기 보다는 1차적인 공격이 성공하여 침해사고가 발생 했을 경우라도, 더 큰 사고로 내부에 확산되는 것을 방지하기 위한 형태의 대응이 필요하다는 쪽으로 인식이 변화됐다.

흔히 알려진 것으로 ‘하인리히의 법칙’이 있다. 큰 사고는 우연히 발생하는 것이 아니라, 경미한 사고들이 반복되는 과정 속에서 발생한다는 것이다. 보안 사고의 발생 역시 이와 유사한 것으로, 대형 규모의 사고가 발생하기 전 다양한 형태의 징후들과 작은 형태의 보안 사고들이 발생하기 마련이다.

이러한 징후들은 대형사고 발생 이전에 발견하게 되면 보안체계를 재점검하고 보완할 수 있는 기회이지만, 대다수의 기업과 기관에서는 대부분 대형사고로 이어질 수 있다는 사실을 지나치는 것이 현실이다. 내부에 공격이 확산되는 것을 막지 못한 채, 최종적인 정보유출 포인트를 막는 데만 집중하는 임기응변식의 사고대응은 사고가 반복적으로 발생하게 만드는 주요한 원인이다.

최근엔 사전에 공격할 대상, 유출할 정보들을 치밀하게 준비하고 공격하는 타깃 공격이 주를 이루고 있어, 보안 사고를 100% 예방하는 것은 불가능하다고 생각하고 보안체계를 구축해야 한다. 공격을 조기에 발견하고 차단하여 확산을 방지할 수 있는 보안체계 구축이 최우선이며, 보안시스템 운영의 관리기준을 재정립하고, 다양한 공격 시나리오 준비를 통해 사전훈련 및 대책마련이 필수적이다. 또한, 이러한 보안시스템의 운영과 더불어 임직원 변화관리를 강화해야 한다.

보안 관심사 확대 및 예상되는 보안 이슈 대비 필요

’09년부터 국내는 약 2년 주기로 홀수 해에 대형 침해사고가 발생했다. 물론 중간 중간 해킹사고가 없었다는 것은 아니다. 해킹 사고가 발생하고 나면, 당연히 보안에 투자도 증가하고, 보안 인력 채용도 늘어나는 등 보안에 대한 관심이 증가한다.

하지만 시간이 지나고 나면 보안에 대한 투자를 줄이고, 보안 전문가에 대한 관심과 처우가 낮아지는 등 악순환에 빠지고 있는 것이 계속해서 문제점으로 지적되고 있다. 한 기업의 CEO가 어떠한 정책적 일관성을 갖고 있는지 생각해 볼 문제다.

국내 인터넷 경제 규모가 80조원을 넘고 있다. 앞으로 국내 인터넷 경제 규모는 더 커질 것으로 생각한다. 인터넷 경제의 성장의 기초는 안전한 인터넷에 기반하므로, 정보보호 인프라 투자 및 보안 인력 전문성에 대한 지속적으로 투자하는 것이 필요할 것으로 생각한다.

이제는 기업의 CEO가 기업의 안정성을 위협하는 보안에 전폭적으로 참여를 해야 한다. 기업의 생사가 걸릴 수도 있다는 것을 최근 사고에서 누구나 알 수 있을 것이다. 모른다면 회사 일만 너무 열심히 하고 있는 것일 것이다.

동일한 해킹 범죄 단체가 유사한 악성코드나, 해킹 기법이 전 세계적으로 돌아가면서 해킹하고 있다. 그러므로 항상 침해사고 발생 시 전문적인 인력으로 사고를 정확하게 조사하고, 사례를 공유한다면 유사한 공격은 어느 정도 막을 수 있다고 생각한다.

이러한 유사성을 전반적으로 파악하는 일은 쉬운 일이 아니다. 국내는 물론이고 국외의 모든 정보까지 망라해서 조사하고 분석을 해야 예측이 가능할 것이다.

내부자에 의한 정보 유출은 과거에 빈번했지만 올해는 카드 3사의 유출 규모가 워낙 커서 국가차원의 문제로 발전했다. 정부, 국회차원에서 내부자 정보유출에 대해 규제와 처벌을 강화하면서 유출자체 사고는 줄어들 것으로 예상되나, 이미 유출된 정보를 이용한 사기 범죄가 기승을 부릴 것으로 생각한다.

또한 올해는 인터넷 연결 범위가 확장되면서 해커들의 입장에서는 공격할 수 있는 대상이 확대되고 있어 앞으로 새로운 문제에 대한 보안 위험이 증가할 것으로 예상된다. 특히 안드로이드 기반의 스마트폰이 공격 대상이 높을 것이라는 게 전문가들의 예상이다.

그리고 윈도우 스마트폰 및 모바일 기기 출시가 확대되고 사용자가 증가할 것으로 예상되어, 윈도우 스마트폰에 대한 새로운 보안 이슈가 증가할 것으로 예상한다.

오는 4월에 윈도 XP 패치 지원이 종료되지만 아직까지 대부분의 ATM 기기(국내 97.6% 사용 중, 금감원 조사), POS 시스템, 의료기기에서 윈도 XP가 사용되고 있어 이에 대한 보안 사고가 증가할 것으로 예상하고 있는 것이 지배적이다. 하지만 우리나라의 기업들은 아직까지 심각하게 느끼지 못하고 있는 것 같다.

최근 IT의 화두가 IoT고, 국내 전자업체도 다양한 IoT 관련 제품을 출시하고 있다. 원격 의료기기, 웨어러블 컴퓨팅 및 가정용 IoT에 대한 보안 위험도 올해부터 이슈가 될 것으로 예상하지만 아직은 구체적인 사례가 나온 것은 없다. 사고가 발생하면 그 때 또 대책을 만들고 보강을 해도 되겠지만, 수많은 경험을 갖고 있는 한국인터넷진흥원은 이에 대한 보안성 강화 연구도 진행할 계획이다. 미리 준비하는 자만이 성공적으로 방어할 수 있는 것이다.

관치 보안 벗어나 자율 보안 체제 구축해야

큰 보안 사고는 예전부터 있었다. 하지만 3.20 전산대란이 이전과 다른 것은 방송사가 당했다는 점이다. 3.20 전산대란을 기점으로 언론의 관심이 커졌다. 그러다보니 보안 이슈가 급증한 것으로 볼 수 있다. 언론의 관심이 커지니까 정부에서도 당연히 관심을 갖게 되는 것이다. 긍정적인 면은 있다. 단, 그것이 인력채용과 같은 실제 투자로 연결이 되어야 하는데 거기까지는 아직 미흡하다.

예를 들어서 언론사 보안 사고가 났다. 문제는 정부가 언론사를 건드릴 수 없었다. 정보보호 관리체계(ISMS) 인증을 봐주고 했지만, 언론을 사찰한다는 말이 나왔기 때문이다. 결국 정부가 방송사에게 스스로 보안 인력을 뽑아서 하라고 위임했다. 그러나 과연 어디서 보안 인력을 채택했나. 많아야 1~2명이었다. 게다가 그마저도 대부분 계약직으로 채용했다. 정직원을 뽑은 곳은 없다. 이런 부분들이 문제다. 보안에 대해 관심을 가진 것은 좋으나 실질적인 투자 및 확대로 연결되는 고리가 필요하다.

정부 조사에 따르면 전체 IT 예산 중 5% 이상을 보안에 투자하는 기업의 수는 영국이 50%, 미국이 41% 이상이다. 그러나 우리나라는 3% 밖에 되지 않는다. 수준의 차이다. 이슈는 되지만 투자로 직결되고 있지 않다.

외국에서는 보안 사고 문제가 생기면 사고를 당한 기업 및 기관이 보안 관련 조치를 다했는지 확인한다. 국제 표준을 준수했는지 여부 등이다. 그러나 우리나라는 법을 지켰는지 아닌지를 가지고 확인한다.

정부가 지침을 낼 때는 모든 업체가 다 따를 순 없다. 단지 최소한의 수준만 지정해줄 필요가 있다. 그러나 우리나라에서는 법정에만 가면 법규 준수 여부가 절대 기준이 된다. 이런 지침의 수를 줄일 필요가 있다.

내가 뭘 지켜야 하고, 또 그것이 얼마만큼의 장비가 필요한 지 파악을 못할 수도 있고, 그것을 설득을 못할 수도 있다. 외국에서는 보안 경제학이라는 것이 있다. 특정 보안 장비가 도입됐을 때 얼마만큼 효과가 있는지를 경제적 가치를 따지며 매긴다. 그러나 우리나라는 없다. 단지 애국심에 호소할 뿐이다.

브루스 슈나이어라는 보안 컨설팅 담당자가 한 격언이 있다. “보안은 제품이 아니고 프로세스”라는 것이다. 프로세스에는 사람의 교육, 인적자원 관리, 물리보안, 제품설치 등 모든 것들이 들어가 있다. 하나라도 약하면 뚫린다. 장비만 사서 설치하는 것은 아니다.

우리나라는 다소 다르다. 만약 국내 업체들이 새로운 제품을 개발했다고 치자. 해킹 트렌드를 읽어보니까 이런 것이 필요하다고 금융권에 이야기한다. 그러면 금융권에서는 금융위나 금감원에서 사용하라고 한 적이 없다고 하며 거절한다.

원래는 금융 담당자가 보안 트렌드를 보면서 읽고 능동적 보안 대책을 세워야 하는데 그렇게 안 된다. 우리나라 업체들이 물건을 팔 수 있는 방법은 일단 취약점을 이슈화한 뒤, 정부부처 질문할 때 국회의원 통해서 시연하는 방법이 주로 이뤄진다.

지침에 반영되어 나오는 것과 실제 기술 발전에는 차이가 있다. 해커가 해킹하기 어렵게 하려면 모든 기관마다 다른 종류의 보안 제품이 설치돼야 한다. 우리는 전세계 트렌드에서 계속 한 발자국씩 늦게 반영되는 것이 문제다. 결국은 관치 보안이 문제라는 것이다.

관치 보안에서 자율 보안으로 넘어가려는데 정부는 어떤 대책을 내놓을 것이냐. 내놔도 매년 규제책이다. 우리나라는 지침이 엄청나게 많다. 각종 법에도 있고, 지침도 따로 있다. 부서도 안전행정부, 방송통신위원회, 금융위원회와 금융감독원 등 다양하게 나눠져 있다. 그래서 지침이 과도해진 면이 있다. 이러다보니 보안 사고가 발생했을 때 중앙 컨트롤 타워가 필요하다는 말이 나오는 것이다.

미국도 2000년대 초반에 정부부처 두 곳이 해킹을 당했다. 두 곳이 거의 같은 보안장비를 탑재하고 있었지만 한 쪽은 뚫렸는데 한 쪽은 막았다. 이는 운영자의 전문성 차이 때문이었다. 즉, 인력의 중요성을 느낀 것이다. 이때부터 미국은 본격적으로 전문 보안 인력 양성에 들어갔다.

보안 인력 양성에 대해서 보자. 미국에는 ‘NIAETP’라는 인증제도가 있다. 5년마다 재인증을 받게 되어 있다. 해당 인증을 획득하면 국가에서 보안 관련 장학금을 신청하거나 국방부 인턴십을 요청할 수 있는 자격을 준다.

인력을 양성하려면 돈을 뿌리는 것만이 아닌 교육시스템을 갖춰야 한다. SW나 컴퓨터 수준을 올리려면 교육 프로그램을 우선적으로 만들어놓고 어떻게 학생들을 많이 유치할 건지, 유도 정책을 어떻게 해야 하는지를 따질 필요가 있다.

미국이 제일 먼저 시행한 것은 보안을 공부한 학생들이 졸업한 이후 생활의 안정을 느낄 수 있도록 고용 불안을 없앤 것이다. 그러나 우리나라는 보안을 공부했다고 해서 곧바로 고용이랑 연계가 안 된다. 그러다보면 결과적으로 무용론이 나오는 것이다.

우리나라에도 정보보호대학원이 많다. 단순히 숫자놀음 말고 여기에 전임교수와 겸임교수 비율, 정보보호 전공 비율, 커리큘럼 구성을 정부가 체크해본 적이 없을 것이다. 또 배출 인력 수준은 어떤지, 각종 커리큘럼은 어떤지 파악 못했다. 단순히 정부는 예산 집행만 했다. 보안 인력 양성을 위해서는 이런 평가 체계도 만들어야 한다.