“보안 스타트업 육성 필요”

인기협, 사이버보안 해법 전문가 토크쇼

“어떤 분이 다짜고짜 전화해서 랜섬웨어에 감염됐다며 무조건 정부가 복구해내라고 하더군요. 사연은 안타깝지만 기승전정부탓으로는 해결되지가 않는데 말이죠.”

“요즘은 해킹 능력이 없어도 돈을 얼마 내면 랜섬웨어를 뿌릴 수 있게 해주는 ‘랜섬웨어 as a Service’라는 신종 서비스 모델이 나왔습니다. 또 중국에서는 랜섬웨어가 다단계 비즈니스 모델과 결합해 기업형으로 확장되고 있는 추세죠.”

“특별한 방법이 있는 것이 아니라 기본적인 것을 지키면 사이버 보안 위협은 크게 줄어듭니다. 윈도우즈 업데이트만 제대로 해도 랜섬웨어 감염 우려는 없고요, 설사 감염됐다 해도 데이터 백업만 정기적으로 해놨다면 해커들의 돈 요구에 휘둘릴 이유가 없습니다.”

케르베르, 워너크라이, 페트야… 지구촌을 떠들썩하게 했던 랜섬웨어들이다. 사이버 보안 위협은 형태만 달리할뿐 사라지지 않는다. 오히려 가상화폐를 무기로 비즈니스 모델로 진화하면서 기업형을 띠고 있다. 지난 6월 서버가 랜섬웨어에 감염돼 해커에게 울며 겨자먹기로 13억원을 주고 타협할 수밖에 없었던 인터넷 업체의 사연이 안타까움을 자아내는 가운데 최근 국내 보안 전문가들이 사이버 보안 위협의 현황과 과제에 대해 종합적인 토론을 벌였다.

한국인터넷기업협회가 지난 25일 개최한 굿인터넷클럽 ‘사이버 보안난국을 벗어날 해법은 무엇인가’ 행사에서는 각 분야 사이버 보안 전문가가 토론자로 나서 사이버 보안 위협 실제 사례와 체계적인 사이버 보안 대응 방안, 민간 역할의 확대 필요성, 개인과 기업의 보안 수칙 등 광범위한 논의를 진행했다. 토크쇼 형태로 이뤄진 이날 토론에서는 김국현 에디토이 대표의 사회로 구태언 테크앤로 변호사, 김인순 전자신문 보안 전문기자, 이동근 한국인터넷진흥원 단장, 이준호 센스톤 대표 등이 참석해 토론을 벌였다.

굿인터넷클럽 토크쇼에서는 사이버 보안을 주제로 각계 전문가들이 현안과 해법을 모색하는 자리를 가졌다. ⓒ 조인혜/ ScienceTimes

인터넷기업협회가 개최한 굿인터넷클럽 토크쇼에서는 사이버 보안을 주제로 각계 전문가들이 현안과 해법을 모색하는 자리를 가졌다. ⓒ 조인혜/ ScienceTimes

이들 전문가들은 “자율주행차, 스마트 홈, IoT 등의 신기술이 출현하면서 사이버 보안 위협은 단순하고 일률적인 형태가 아닌 매우 복잡하고 개별화된 형태를 띠며 나타날 것”이라고 전망하고 “지난 20년동안 유지해온 정부 주도형 보안 대응을 민간의 창의성과 자율성을 높이는 방향으로 패러다임 전환해야 한다”고 입을 모았다. 이날 거론됐던 내용들을 이슈별로 모아 질문대답 형식으로 재구성했다.

– 랜섬웨어로 인한 피해가 심각한데

= 랜섬웨어가 다른 악성코드와 다른 점은 돈을 요구하면서 비즈니스 모델이 되고 있다는 점이다. 비트코인이라는 익명성이 보장되는 가상화폐 지불 수단이 생기면서 더욱 기승을 부리고 있다. 데이터를 암호화 해버리기 때문에 백업을 해놓지 않았다면 데이터를 다 날리거나 해커에게 돈을 주고 해결하는 수밖에 없다.

인질로 몸값을 요구하는 소말리아 해적에게 돈을 주는 행위나 다름없어 취하지 말아야할 방법이지만 당장 비즈니스가 걸려있는 기업들은 울며 겨자먹기로 협상에 나서기도 한다. 최근에는 해킹 능력이 없어도 돈을 주고 랜섬웨어 서비스를 살 수 있는 것도 있고 중국의 경우 해커 1명당 10명씩의 하위조직을 층층이 두고 체계적으로 랜섬웨어를 뿌리는 다단계 형태도 출현하고 있다.

– 구체적인 사례에 대해 얘기해달라

= 랜섬웨어는 D-DoS와는 달리 형태적으로는 돈을 요구하는 것이고, 내용적으로는 데이터를 암호화해서 활용하지 못하도록 만들어버리는 것이다. 최근 큰 피해를 입은 모 인터넷 업체의 경우는 서버 백업을 해놓지 않아 꼼짝없이 당했다.

알려지진 않았지만 꽤 유명한 병원의 경우 10년치 암 관련 임상 데이터를 랜섬웨어로 날릴 뻔 했다. 불행 중 다행으로 당시에는 비트코인 가격이 낮았기 때문에 복원을 위해 지불한 비용이 얼마 되지는 않았지만 중요한 의료정보를 잃었다면 엄청난 손실이 있었을 것이다. 몇 선을 지낸 모 국회의원은 정치인생을 담은 3TB의 데이터를 다 날릴 뻔하기도 했다.

– 왜 랜섬웨어에 당한다고 보나

= 사실 랜섬웨어는 윈도우즈 업데이트만 제대로 해도 피해를 입지 않는다. 또 데이터 백업만 수시로 해놨다면 설사 감염됐다 하더라도 심각한 문제는 아니다. 돈을 줄 필요 없이 지우고 다시 깔면 된다. 랜섬웨어에 감염됐지만 1년째 해당 컴퓨터를 쓰는 사람도 있다. 어찌보면 랜섬웨어는 보이스 피싱처럼 대부분은 안걸리지만 노인 등 새로운 환경에 익숙하지 않는 이용자나 기본적인 사항을 소홀히 하는 사람 혹은 기업이 타깃이 된다.

최근 랜섬웨어 피해를 입은 업체도 조사 결과 모든 ID와 패스워드를 하나의 엑셀파일에 다 넣어놨었다고 한다. 해당 서버의 이 파일이 한번 털리면 모든 계정 정보가 해커의 손에 넘어가는 것이다.

또 랜섬웨어는 아니지만 2016년 공무원 시험을 준비하던 수험생이 정부청사에 침입해 성적을 조작하는 사건이 발생했는데 도어락 바로 옆에 비밀번호가 있었던 어처구니없는 사례가 있다. 보안 불감증이 문제를 키우는 것이다.

토크쇼에 참석한 구태언 테크앤로 변호사(왼쪽)와 김인순 전자신문 보안 전문기자. ⓒ 조인혜/ ScienceTimes

토크쇼에 참석한 구태언 테크앤로 변호사(왼쪽)와 김인순 전자신문 보안 전문기자. ⓒ 조인혜/ ScienceTimes

– 그렇다고 모든 문제를 보안 불감증으로만 돌릴 수는 없는데

= 여러가지 구조적인 문제가 있다. 우리나라의 사이버 보안 대응 체계는 지나치게 정부 의존적이다. 법적인 규제는 최소한의 가이드라인이라는 인식이어야 하는데 기업들은 이것까지만 지키면 문제가 발생해도 면죄부를 받을 수 있다고 생각한다. 법이 리드하다보면 이런 착시현상이 생긴다. CISO의 역할이 정보보안 자체가 아니라 규제 준수에 있다는 자조적인 얘기도 나오고 있으니.

그런데도 보안 사건이 터지면 그 문제를 일으킨 해커를 소탕하는데 힘을 쓰는 것이 아니라 피해를 입은 기업들을 법정에 세우고 사죄하도록 하고 책임을 묻는다. 물론 기업의 책임이 없는 것은 아니지만 원인 제공과 경중에 있어 지나치게 기업만 때리고 있는 느낌이다. 기업의 경우 형사적, 행정적인 책임까지 지우기보다는 민사적 방법을 통한 손해배상 개념을 적용하는 것이 효과적일 것으로 본다.

– 어떻게 대응하는 것이 효과적인가

= 거창한 묘수가 있는게 아니라 기본적인 수칙을 일상적으로 수행해내는 것이 가장 중요하다. 기업에 CISO가 있고 보안 지침이 있으면 뭐하나. 처음에만 반짝 신경을 쓰다가 어느 시점이 되면 흐지부지되고 체크도 잘 안한다. 건강관리 하듯 매일매일 보안의 기본 사항들을 점검하고 이상 징후들을 캐치해내는 것이 필요하다.

스타트업이나 중소기업에 대한 보안 교육이나 컨설팅도 확대돼야 한다. 요즘 스타트업 지원이 활발해지고 있지만 특허, 비즈니스모델, 글로벌 전략, 마케팅 등에 초점을 맞추고 있지 보안 분야는 소홀히 취급된다.

기업의 사람관리, 자산관리도 중요하다. 기업 해킹 사고의 90%는 사람 관리의 문제에서 나온다는 말도 있다. 기업은 자신들의 사이버 자산에서 문은 어디에 있고 자물쇠는 어디에 있는지를 제대로 파악하지 못하는 경우가 많다. 특히 임원들의 보안 불감증은 보안 피해를 더욱 심각하게 만든다.

정부 및 기업 쪽의 현안을 언급하는 이동근 한국인터넷진흥원 단장(왼쪽)과 이준호 센스톤 대표 ⓒ 조인혜/ ScienceTimes

정부 및 기업 쪽의 현안을 언급하는 이동근 한국인터넷진흥원 단장(왼쪽)과 이준호 센스톤 대표 ⓒ 조인혜/ ScienceTimes

– 정부의 사이버 보안 대응 체계는 괜찮은 편인가

= 전반적으로 사이버 보안 위상이 너무 낮다. 국가 CISO도 없고 새 정부의 100대 국정과제에 사이버 보안이 포함되지도 못했다. 국방 분야의 경우 사이버 보안 사령관이 2스타에 그친다. 그러니 의사결정에서 힘을 갖기가 어려운 구조다. 이스라엘의 경우 국가적 특성이 있긴 하지만 육해공군 위에 사이버 사령관이 위치하고 총리가 보안 행사의 키노트 발표자로  나올 정도다.

또 정보 공개, 공유가 안되고 있는 것도 피해를 크게 만든다. 최근의 랜섬웨어 사건에 앞서 6개월 전에도 유사한 사례가 있었으나 신고하지 않고 쉬쉬하며 넘어갔다. 그 때 만약 신고가 되어 접근 형태나 피해 유형이 공개됐다면 최근 사태는 막을 수 있었을지 모른다. 국정원이 개입하면 국가 기밀사항으로 간주돼 민간기업이 해당 정보를 전혀 얻을 수 없는 것도 크게 아쉬운 대목이다.

정부 공공 기관 내부적으로 이메일 활용은 심각하다. 공무원들이 정부 메일 계정을 쓰지 않고 네이버나 다음, 심지어 구글 등 상용 메일 계정을 업무용으로 많이 쓰고 있는데 큰 문제다. 아이디, 패스워드 관리도 허술하게 하면서 해킹, 개인정보 도용의 위험에 놓여있다.

– 미래의 사이버 보안은 어떻게 대비해야 하나

= 정부 주도형 사이버 보안 대응은 한계에 왔다. 정부도 이제 정말 버겁다고 생각할 것이다. 자율주행차나 스마트홈 기기들이 쏟아지는데 이 모든 것에 대해 어떻게 국가에서 신속하게 효과적으로 대응하겠나. 내 보안은 내가 지킨다는 인식을 심고 민간 영역, NGO를 키우면서 자율적으로 보안 대응을 하도록 만드는 수밖에 없다.

또 화이트해커의 활동을 전향적으로 고려할 필요가 있다. 현재 정보통신망법 48조에 따르면 아무리 좋은 취지라도 남의 시스템에 접근하면 처벌을 받도록 돼있다. 화이트해커 등록후 활동을 허용하거나 혹시 문제가 생겼을 때도 면책 조항을 두는 것이 필요하다.

앞으로는 보안이 내재화될 것이다. 로봇을 만들 때, 인공지능 시스템을 구현할 때 보안이 기본적으로 필요해지기 때문에 이에 대한 준비가 필요하다. 보안 스타트업을 육성해 국내에서 보안 산업 생태계를 만드는 것도 바람직한 접근이다.

(1777)

뉴스레터 구독신청
태그(Tag)

전체 댓글 (0)

과학백과사전