조선비즈가 주최하고, 과학기술정보통신부가 후원하는 ‘2022 사이버보안콘퍼런스(CSC)’가 성황리에 막을 내렸다. 코로나19 이후 빨라진 디지털 전환 시대에 있어 가장 중요한 사이버 보안에 대한 흐름을 제대로 짚어 냈다는 평가를 받는다.
16일 ‘조용한 전쟁: 사이버보안’이라는 주제로 열린 2022 사이버보안콘퍼런스는 국내 최고 보안기업인 안랩을 창업한 안철수 국민의힘 국회의원과 사이버보안 분야에서 가장 두각을 나타내는 국가인 이스라엘의 아키바 토르 주한이스라엘대사의 축사로 시작됐다. 기조연설은 이스라엘 최고 수준의 정보부대 유닛 8200 사령관 출신인 나다브 자프리르 팀8 공동창립자가 맡았다.
온라인 중계 없이 서울 중구 웨스틴조선 호텔 현장에서 펼쳐진 이번 콘퍼런스에는 300명 이상이 강연장을 찾았다. 콘퍼런스 관람객들은 “막연했던 사이버보안에 대해 잘 알 수 있는 계기가 됐다”, “사이버보안에 대한 관심이 높아지는 이 시점에 가장 유익한 콘퍼런스가 아닐까 싶다”, “현장뿐 아니라 온라인 중계도 이뤄졌음 좋겠다” 등의 반응을 보였다.
♢ 100% 완벽한 사이버보안은 없어…언제든 해킹 발생할 수 있다고 직시해야
기조연설에서 나다브 자프리르 팀8 대표는 “운영기술(OT), 사물인터넷(IoT), ‘xIoT’ 등 모든 것이 연결된 만물 인터넷으로 인류가 위대한 일을 할 수 있게 됐지만 동시에 우린 더 취약해졌다”라며 “경제적 목적으로 공격하는 해커들은 대부분 잘 준비된 조직범죄단으로, 돈을 요구하는데, 랜섬웨어가 대표적이다”라고 했다.
자프리르 CEO는 “사이버 공격자들은 역동적이고 민첩하며 규칙도 없고, 사이버보안에는 정보의 비대칭성이 존재한다”라며 “사이버 공격보다 방어가 더 어려우며 개별 주체가 완벽하게 방어를 하는 것은 어렵다”라고 했다. 그러면서 “기업은 내게도 해킹이 일어날 수 있음을 직시해야 한다”라며 “공격을 받고 외부에 알리지 않는 기업도 있고 랜섬웨어에 돈을 주고도 공표하지 않는 경우도 있는데, 이는 기술적인 문제가 아니라 리더십의 문제다”라고 했다.
마지막으로 자프리르 CEO는 “생산성과 가능성을 중심으로 균형 잡힌 프로그램을 만들어 사이버보안을 준비해야 한다”라며 “사이버 리스크도 다른 리스크와 동등한 체계로 관리한다면 새로운 시대에서 성공할 수 있을 것이다”라고 했다.
이어 등장한 김래환 SK쉴더스 EQST사업그룹 EQST담당 팀장은 “해커의 단순한 취미에서 시작된 사이버 위협이 조직적으로 진화하면서 우리의 안보를 위협하고 있다”라고 했다. 김 팀장은 “랜섬웨어(몸값과 악성코드 합성어)도 구독 형태로 발전하는 등 누구나 돈만 있으면 해킹 공격을 할 수 있는 상황이 됐다”라며 “해커는 돈이 있는 곳에 몰리게 돼 있고, 보안이 취약한 곳을 집중적으로 공격하고 있다”라고 했다. 이어 “과거부터 연구한 기업 자료나 개인의 민감한 정보를 탈취해 돈을 요구하는 사이버 공격이 더욱 활발해질 것으로 예상한다”라고 덧붙였다.
국내 사이버안보 권위자인 임종인 고려대학교 정보보호대학원 석좌교수는 “코로나19로 인한 비대면 디지털 전환 가속화 등으로 사이버 보안의 중요성이 강조되고 있어, 체계적이고 범국가 차원의 국제협력이 필요하다”고 했다. 임 교수는 “새로운 국제협력에서 사이버안보는 중심 주제로 부각되고 있어, 사이버안보에 대한 국가 정책 수립이 필요하다”라며 “미국, 일본 등 동맹국과 주변국 외에도 여러 생각이 비슷한 국가들과의 지역간, 양자간 협력 등 사이버안보 국제 공조체계를 확립해야 한다”고 했다.
임 교수는 “국가안보실에 신설되는 ‘국가사이버안보위원회’가 실효성을 갖고 쟁점 사항들을 해결할 수 있게 권한과 역할을 부여하는 동시에 인력도 구성돼야 한다”라며 “대통령이 국가 사이버안보의 최고 책임자임을 인식하고 사이버안보의 비전과 우선순위 등을 제시할 필요가 있다”라고 했다.
♢ 늘어나는 클라우드 사이버 위협…단계별 보안의 중요성
최상명 NSHC 데이터&AI팀 매니저는 “올해 초 랩서스(LAPSUS)라는 해커 조직이 국내외 빅테크 기업의 내부 자료를 유출하는 사건이 발생했다. 이들은 다크웹에서 구매한 임직원 계정 정보를 통해 해당 기업의 내부에 침투하는 데 성공할 수 있었다”라며 “이미 다크웹에 유출된 계정 정보는 VPN을 통해 탈취된 경우가 많다”라고 했다.
최 매니저는 “이렇게 유출된 계정 정보는 전 세계적으로 약 400억건에 달한다”며 “한국 기업과 공공기관도 적잖은 피해를 입고 있다”라며 “공공기관 중에는 1만건 이상의 계정 정보가 유출된 곳이 10곳, 1000건 이상의 계정 정보가 유출된 곳이 100여곳 있는 것으로 파악됐다”고 했다.
최 매니저는 “우리 기업이 털린 게 아니라고 나몰라라 하면 안 된다”라며 “우리와 협업하는 파트너사, 기관이 해킹당하면 우리의 정보까지 유출될 수 있다”라고 했다. 그는 이어 “남들이 해킹당할 때 어느 해커 조직이, 어떤 방식으로, 무슨 정보를 유출했는지를 다크웹 인텔리전스 플랫폼을 통해 파악해야 한다”고 전했다.
천준호 삼성SDS 클라우드보안서비스 그룹장은 클라우드 전환에 있어 단계적 보안에 대해 강연했다. 천 그룹장은 “클라우드 환경의 라이프사이클이 (기존 서버의)몇 년 단위에서 몇 주, 몇 시간 단위로 짧아지고 업무 구조도 완전히 달라질 수 있다”라며 “클라우드는 마우스 클릭 한번으로 엄청난 규모의 작업이 가능하기 때문에, 연간 보안 점검 만으로는 보안 체계를 유지하기 어려워 클라우드 전환을 단계 별로 나눠 구체적인 보안 정책을 운용할 필요가 있다”고 했다.
천 그룹장은 “클라우드 시장의 규모가 커지면서 클라우드 보안에 대한 위협이 높아지고 있다”며 “기업들이 클라우드 도입을 꺼려하는 이유도 사용자 데이터 보호 등 보안 이슈가 많기 때문이다”고 했다. 이어 “앞으로 클라우드 전환의 각 단계별로 어떤 보안 과제가 나올 지 모르겠지만, 기업들이 각 단계별로 보안을 대응할 필요가 있다”고 덧붙였다.
박성원 한드림넷 전략기획부 마케팅팀 선임 부장은 “초연결사회가 현실화하면서 보안 위협이 커지고 있다”라며 “현실적인 대처 방안이 중요하다”고 했다. 박 부장은 “기술의 발전으로 단말기 종류가 늘어나는 데다, 코로나19 팬데믹(대유행) 이후 원격으로 수업을 듣거나 근무를 하는 환경이 뉴노멀로 자리잡으면서 네트워크 환경이 급변하고 있다”라며 “이런 가운데 발전소, 전력소 등 사회 기반 시설은 그에 발맞춘 새로운 보안 체계를 도입하는 게 말처럼 쉽지 않다”라고 했다.
박 부장은 “네트워크도 화이트리스트를 바탕으로 구성해야 한다”라며 “쉽게 말해 총무팀 직원은 총무와 관련된 서버에만 접속할 수 있고, 고객관리 서버에는 접속할 수 없게 만드는 것이다”라고 했다. 그러면서 “실제로 그간의 정보 유출 사례를 살펴 보면 내부 직원의 실수에 의한 것이 많다”며 “집에서 쓰던 USB를 회사에 가져와 사용하는 것만으로도 설비들은 악성 코드에 감염될 수 있다”고 했다.
♢ 보안의 미래, 양자 보안…절대 뚫리지 않는 방패는 가능한가
양자역학에 대한 책 ‘퀀텀(양자)의 세계’를 쓴 이순칠 카이스트 물리학과 교수는 “양자정보기술이 미래 보안을 바꿀 것이다”라며 “양자통신은 이미 상용화됐으며 양자컴퓨터도 10~20년 후 상용화돼 여러 영역에서 혁신을 가져올 것이다”라고 했다.
이 교수는 “암호를 많이 쓰는 국방·안보 분야, 비밀열쇠암호를 활용하는 금융거래 분야, 공개열쇠암호를 쓰는 디지털자산 분야에서 양자컴퓨터가 미래에 큰 영향을 줄 것이다”라며 “4차산업혁명의 특징이 초연결성과 초지능성인데, 양자컴퓨터가 초지능성에서 ‘퀀텀 점프’를 이뤄낼 것이다”라고 했다.
이 교수는 “IBM, 구글 등 종합서비스를 하는 하드웨어 회사뿐 아니라 아마존, 마이크로소프트 등 클라우드 서비스를 제공하는 회사까지 다양한 회사가 양자컴퓨터에 주목하고 있다”라고 했다. 그러면서 “비트 수 증가에 따라 필요한 게이트연산 수가 기하급수적으로 늘어난다는 점, 그리고 나노기술의 한계로 인해 개발이 병목 현상을 겪고 있다는 점 등 어려움도 있다”라며 “그러나 이론적으로 양자컴퓨터에 있어서 불가능한 요소는 존재하지 않으며, 양자통신은 이미 상용화됐으며 양자컴퓨터 역시 10~20년 후 상용화될 수 있다”라고 했다.
김형수 KT 융합기술원 퀀텀(Quantum) 팀장은 “선진국 수준인 반도체, 디스플레이, 6G 기술과 달리, 한국의 양자 기술은 신흥 기술 수준으로, 글로벌 차원의 경쟁력을 갖추는 게 시급한 상황이다”라며 “선진국의 양자기술 수준이 100이라고 할 때, 한국의 양자기술 수준은 85.2점 수준으로 기술 추격자 수준에 불과하지만, 정부가 양자기술에 대한 중요성을 인지하고 본격적인 투자를 집행하기 시작한 상태로, 빠른 기술 성장이 예상된다”라고 했다.
김 팀장은 “양자 기술은 각 국가의 첨단 경쟁으로 도입이나 협업이 어렵다”며 “아날로그 시대에서 디지털 시대로 전환됐고, 향후에는 양자 시대가 오고 있다. 변화를 빠르게 인식하고 적극적인 기술 개발과 규범 설정을 위한 글로벌 논의 참여가 시급하다”고 했다.
강봉호 ICTK홀딩스 기술부문 총괄은 “양자내성암호(PQC)는 미래 보안을 보장할 유일한 알고리즘이다”라며 “양자컴퓨터는 앞으로 10년 이내에 상용화될 것으로 예상된다”라고 했다.
강 총괄은 “공개키 암호를 해독한 쇼어 알고리즘과 대칭키 암호 분석을 향상한 그로버 알고리즘으로 양자컴퓨터의 불안전성이 입증됐고, 이에 대한 해결책으로 떠오른 게 새로운 수학적 난제를 활용한 PQC다”라며 “또 다른 양자암호통신기술인 양자키분배(QKD)의 경우 확실한 보안성을 제공하지만 별도의 장치와 안정적인 채널을 필요로 해 확장성이 떨어진다”고 했다. 그러면서 “미국 국가안보국(NSA)과 영국 사이버보안센터(NCSC)도 공공서비스에 QKD 대신 PQC를 사용할 것을 권고한다”고 덧붙였다.