국내 금융사와 방송사 6곳의 내부 전산망을 마비시킨 '3·20 사이버테러'가 발생한 지 한 달이 지났다. 민·관·군 합동대응팀은 최근 해킹의 배후(背後)로 북한을 지목했고, 해킹 초기 들끓었던 여론은 언제 그랬냐는 듯 빠르게 잠잠해지고 있다. 본지는 이번 사건을 계기로 한국의 보안 현실을 짚어보고, 대응방안을 모색하기 위해 국내 보안전문가 5명을 초청해 좌담회를 가졌다.
좌담에는 정태명 성균관대 컴퓨터공학과 교수, 김휘강 고려대 정보보호대학원 교수, 이경봉 소프트포럼 대표, 정경원 시만텍코리아 대표, 이재일 한국인터넷진흥원 인터넷침해대응센터 본부장이 참석했다.
◇북한발 해킹, 원전까지 이어질 수 있어
이재일 북한의 이번 사이버테러의 의도는 명확하다. 국민 생활과 밀접한 방송·금융사를 공격, 파괴해 사회 혼란을 주기 위한 것이다. 금전을 목적으로 하거나, 해킹 실력을 자랑하기 위한 것이 아니다. 문제는 이 같은 공격이 방송·금융에 그치지 않고 원자력발전소와 같은 주요 기반시설로 이어질 수 있다는 것이다. 의료에까지 미치면 인명 피해도 발생할 수 있다. 우리의 통신 인프라는 세계 최고지만 정보 보호 수준은 이에 미치지 못한다. 이번 사건을 계기로 철저한 대비를 해야 한다.
이경봉 북한이 블랙해커를 많이 양성하는 이유는 물리적 공격과 달리 사이버공격은 돈이 별로 들지 않기 때문이다. 인건비만으로 공격할 수 있는 셈이다. 북한은 인터넷에 별로 연결돼 있지 않아 손해 볼 게 없다는 점도 작용했을 것이다. 보복당해도 별 피해가 없기 때문이다.
정태명 이번에 해킹을 당한 방송사들만 해도 사내에 제대로 된 정보 보호 인력이 한 명도 없었다. 방송이 끊기진 않았지만 자칫 했으면 방송사고 직전까지 갈 수 있었다. 이처럼 정보 보호에 관심을 갖지 않는 기업에는 페널티를 줘야 한다고 본다. 정보 보호를 그저 비용으로만 인식하기 때문에 이 같은 사태가 온 것이다.
◇"한국 보안수준은 평균 60점대"
김휘강 한국의 보안수준에 점수를 매긴다면 65점을 주고 싶다. 기관마다 보유한 취약점 정보나 해킹 분석내용을 공유할 수 있는 시스템이 없다. 모든 기관이 각개약진하는 셈이다. 지금은 보안 사고가 터지면 백신 회사, 정보기관 등이 각자 정보를 취합하는데 초기 시간을 상당히 소진하고 있다. 취약점에 대한 근본적인 데이터베이스(DB)를 만드는 게 가장 중요하다.
정경원 동의한다. 보안의 경쟁력은 백신 제품, 보안 인력, 인텔리전스의 세 가지 측면이 있다. 우리의 제품, 인력은 충분히 경쟁력이 있다. 문제는 인텔리전스다. 시만텍 같은 글로벌 기업은 전 세계 200여개 국가에서 정보를 취합한다. 국내만 대상으로 한 업체들과는 경쟁력 면에서 차이가 날 수밖에 없다. 그런 측면에서 66점이라고 본다. 한국과 글로벌 보안 기업의 DB가 X축, Y축처럼 만나면 훨씬 강력한 시너지가 날 것이다.
이경봉 50점 수준이다. 일단 금융·공공·일반분야 모두 보안에 대한 투자를 제대로 하지 않는다. 이건 비즈니스 하려고 하는 얘기가 아니다. 최고보안책임자를 둔 금융기관도 없다. 보안 담당 임원이 있다면 문제점을 사장에게 보고할 수 있고, 사내에서 소위 말발이 먹힌다. 하지만 직급이 낮으면 아무도 얘기를 귀담아듣지 않는다.
정태명 20점과 80점이 공존한다. 대다수 중소기업은 언제든 뚫릴 수 있는 20점 수준이고, 병원·금융 분야 등은 80점 수준이다. 문제는 20점짜리를 어떻게 80점으로 끌어올리느냐에 있다. 기업 CEO들은 '나는 안 당하겠지'란 생각부터 버리고, 보안 인력에 투자해야 한다.
◇인재는 보안 업계로 오지 않는다
이경봉 해킹을 막으려면 '화이트 해커'가 많아야 하는데 우리나라는 심각한 수급 불균형을 갖고 있다. 공부 잘하는 학생들은 다 의대 간다. 직원 뽑으려고 눈 씻고 찾아 봐도 좋은 인재는 좀처럼 찾기 어렵다. '코드게이트' 같은 국제 해킹대회를 여는 것도 자칫 블랙 해커로 빠질 수 있는 인재들을 화이트 해커로 이끌기 위해서다.
정경원 국내 보안 인력의 근무 환경이 열악하다는 것도 문제다. 보통 2교대로 밤새워 가면서 시스템을 들여다본다. 공격자는 한 번만 뚫으면 되지만, 수비자는 24시간 모니터를 보면서 긴장을 늦추면 안 된다. 매일 넉다운돼서 집에 가는 환경에선 감시를 제대로 할 수 없다. 외국처럼 시스템이 잘 갖춰져 있어서 기기가 알아서 경고를 잘 해주는 것도 아니다.
◇화이트 해커 키우고, 정책적 혜택 마련해야
김휘강 현재 고등학생에서 대학생, 취업을 앞둔 세대들의 해킹 방어 실력은 국제대회 본선에도 나갈 수 있는 수준이다. 문제는 이들이 보안 업계로 오지 않는다는 것이다. 실력자들은 보안이 아니어도 할 수 있는 게 무궁무진하다. 정부 차원에서 이들에게 인센티브, 자부심, 사명감을 부여해 보안 업계로 올 수 있는 사다리를 만들어줘야 한다. 중·고등학교 때부터 전산에 대한 기초원리를 교육해 호기심을 불러일으키는 것도 중요하다.
이재일 정부에서 기업들이 보안에 투자했을 때 세제 감면 혜택을 준다든지, 국가 차원의 유도 정책도 필요하다. 억지로 이끌기보다 기업이 스스로 보안에 투자할 수 있도록 해야 한다.