• 최종편집 2024-04-16(화)

사이버보안
Home >  사이버보안

실시간 사이버보안 기사

  • [사이버안보 진단] (12) 군, ‘폐쇄성’ 버리고 민간 ICT 기술 상시 도입해야
    ▲ 지난 2016년 7월 26일 애쉬턴 카터 미국 국방부장관이 DIUX의 2번째 사무실 개소식에 참석해 의견을 말하고 있다. [사진제공=연합뉴스] 한국은 세계에서 ICT 인프라가 가장 발달된 나라 중 하나로 꼽힌다. 하지만 보안에 대한 인식은 낮아 사이버공격을 무기화하는 일부 국가나 해커 조직들에게 무방비로 노출된 상태다. 뉴스투데이는 한국의 사이버안보를 강화하기 위해 정부와 군 차원에서 과연 무엇을 어떻게 해야 할지 짚어보는 ‘사이버안보 진단’ 시리즈를 시작한다. <편집자 주> 합참 중심의 사이버작전 수행 가능토록 일원화된 지휘통제체제 정립 박호 육군 정보화기획부장, “군, 폐쇄성 때문에 뒤쳐져 위기감 느껴” [시큐리티팩트=김한경 안보전문기자] 지난 1∼2일 양일간 서울 삼성동 코엑스에서 국제 시큐리티 콘퍼런스인 ‘2019 ISEC’ 행사가 성황리에 개최됐다. “초연결 시대의 다양한 보안 위협은 우리 모두의 현실”이라며 ‘REAL’을 주제로 진행된 이번 행사에서 예년처럼 2일차에 ‘육·해·공군 사이버안보 워크숍’이 열렸다. 육군본부가 주관한 이날 워크숍은 이전과는 확연히 달랐다. 통상적인 세미나 형태로 진행되던 과거와 달리 20여명의 기관, 업체, 대학, 연구소를 대표하는 전문가들을 초청해 국방부와 합참이 그동안 사이버안보를 위해 추진한 내용을 발표한 후 의견을 청취하는 자리였다. 군이 만든 새로운 소통의 자리였고, 집단지성을 통해 해답을 구하는 최초의 시도였다. 이날 국방부는 발표를 통해 합참 중심의 사이버작전 수행이 가능토록 일원화된 지휘통제체제를 정립했고, 사이버작전 개념과 교리를 발전시켰으며, 사이버조직을 개편 및 보강했다고 말했다. 또 사이버 전문특기 신설 등 전문인력 인사관리제도를 마련하고, 직무능력 중심으로 교육체계를 개선했으며, 사이버방호체계도 고도화를 추진 중이라고 설명했다. 합참 또한 합동 사이버작전 개념을 정립했고, 사이버작전 지휘관계와 수행절차를 발전시켰으며, 사이버 전장관리체계 구축을 위한 운용개념과 사업추진 계획을 마련했다고 발표하면서 사이버 지휘통제체계는 금년 내에 구축할 것이라고 밝혔다. 국방부와 합참의 발표를 들으면서 군이 그동안 열심히 노력했고 나름대로 상당한 진전이 있었다는 것을 알 수 있었다. 이어 산·학·연 전문가들의 다양한 의견이 제기됐다. 행사를 기획한 박호 육군 정보화기획참모부장(육군소장)은 마무리 발언에서 “세상은 너무 빠르게 변하는데 군의 폐쇄성 때문에 뒤쳐져 위기감을 느낀다”고 말했다. 그는 “사이버 분야의 발전이 지지부진한데, 현장의 목소리를 듣고 반영하기 위해 이 자리를 만들었으며, 좋은 의견을 많이 내주어 감사하다”면서 미국 국방부가 2015년 실리콘밸리에 만든 ‘국방혁신실험사업단’((DIUX: Defence Innovation Unit-Experimental)을 언급하기도 했다. 미국은 DIUX를 통해 민간의 기술적 성과를 국방에 상시 도입하는 시스템을 구축했다. 최낙중 합참 사이버지통부장, “상용기술의 군사적 활용에 주력해야” 박종현 ETRI 소장, “ICT 기술 결합 못하면 미래전쟁 수행 주체 안 돼” 지난 22일에는 합참이 주관한 ‘합동 사이버지휘통신 발전 세미나’가 있었다. 이날 최낙중 합참 사이버지휘통신부장은 기조연설을 통해 “다양한 잠재적 위협에 동시 대비할 필요가 있다”면서 “정보유통 수준과 사이버방어 능력을 동시에 향상시키는 통합된 체계를 구축하되, 상용기술의 군사적 활용에 적극적인 노력을 기울여야 한다”고 강조했다. 그는 기조연설 마무리에 “지금이 C4I 체계를 획기적으로 발전시킬 적기”라면서 “작전과 정보(특히 보안) 그리고 정보통신의 통합된 노력이 필요하다”고 주장했다. 또 “합참과 육·해·공군 및 해병대 간 공감대 형성과 통합된 노력이 필요하고, 산·학·연의 적극적인 참여와 지원도 요구된다”고 목소리를 높였다. 이날 박종현 한국전자통신연구원 지능화연구소장도 기조연설에서 “ICT 기술 혁신을 국방에 효과적으로 결합시키지 못한 국가는 미래 전쟁의 수행 주체가 될 수 없다”면서 “미국은 신기술 도입을 위해 2015년 DIUX를 실리콘밸리에 설치했고, 에릭 슈미트 전 구글 회장을 국방부 혁신자문위원장으로 영입했다”고 말했다. 지난 23일 채널A와 동아일보가 주최한 ‘2019 K-디펜스 포럼’에서 강은호 방위사업청 기반전력사업본부장도 미국 연수 중 DIUX를 몇 차례 방문한 경험을 얘기하면서 “민간의 신기술을 군 무기체계에 적용할 방안을 찾아 2년 내에 개발을 완료하는 DIUX의 모습이 가장 부러웠다”고 말했다. 미국은 2018년 임시조직이던 DIUX를 ‘국방혁신단(DIU)’으로 전환해 국방부 내 정규조직으로 편성했다. 기존의 실험적이고 한시적인 조직을 상설기구 성격으로 전환한 것이다. 2018년 9월부터 DIU를 이끌고 있는 마이클 브라운은 실리콘밸리의 보안기업 ‘시만텍(Symantec)’의 CEO출신이다. 그는 군보다 민간이 앞서가는 분야로 AI와 사이버보안을 꼽았다. 집단지성으로 해법 찾으려는 노력 신선...“다소 늦었지만 희망 보여” 기술 바탕으로 개념과 교리 만들어야...‘한국형 DIU’ 필요한 시점 최근 국방 사이버안보 정책 결정에 상당한 영향을 미칠 수 있는 군 고위급 인사들이 보여준 신선한 모습과 집단지성으로 해법을 찾으려는 노력에 보안 전문가들은 “다소 늦은 감은 있지만 희망이 보인다”는 반응을 내놓았다. 하지만 한편에선 “정보통신 분야에서 나타나는 일부 변화일 뿐 군을 주도하는 정책 및 작전 분야의 변화는 감지되지 않는다”며 아쉬워했다. 이와 관련, 최근 정의당 김종대 의원은 “국방부장관의 과학참모가 없고 합참의장을 보좌하는 기술자 집단도 존재하지 않으며, 기술을 바탕으로 개념과 교리를 만드는 기능을 찾아보기 어렵다”면서 “우리 국방부는 지식과 기술에 관심이 없다”고 지적했다. 반면 “북한의 ‘국방과학원’은 창의적으로 일하는 교과서 같은 사례”라며 “우리는 기술전쟁에서 패배했다”고 말했다. 김 의원은 또 “우리는 국방과학원과 같은 고등 연구개발 기능이 없고, 연구를 관리하는 관리자 집단이거나 업체를 감독하는 행정관청 같다”고 주장했다. 이런 문제를 보완하기 위해 강은호 방사청 본부장은 K-디펜스 포럼에서 “국방과학연구소(ADD)를 핵심·비닉 기술 중심의 연구체계로 재구조화하겠다”고 발표했다. 국방부와 합참의 주요직위자들이 기술을 바탕으로 개념과 교리를 만드는데 관심을 갖고 강 본부장이 말한 ADD 재구조화가 완성될 때, 한국군은 비로소 4차 산업혁명 시대를 대비할 수 있다. 그러면 미국의 DIU 같은 조직도 생각할 수 있으며, 현재 육군이 그런 노력에 가장 앞서가는 듯하다. 머지않아 ‘한국형 DIU’가 만들어질 수 있기를 간절히 소망한다.
    • 사이버보안
    • 전문가 분석
    2019-10-26
  • 양자암호통신, 양자컴퓨팅 시대 사이버보안에 필수적
    ▲ 그레고아 리보디 IDQ 최고경영자(CEO)가 지난 17일 핀란드 헬싱키 파시토르니 회관에서 기자간담회를 열고 양자암호통신의 중요성을 설명하고 있다. [사진제공=SK텔레콤] 리보디 IDQ 최고경영자, "새로운 암호화 방식 도입 지금부터 준비해야" [시큐리티팩트=이원갑 기자] 양자컴퓨터가 모든 암호를 단시간 내에 풀 수 있어 우려가 커지는 가운데 양자암호통신이 이런 사이버보안 위협의 대처법이 될 수 있다는 주장이 나와 주목된다. 그레고아 리보디 IDQ 최고경영자(CEO)는 지난 17일(현지시간) 핀란드 헬싱키 파시토르니 회관에서 기자간담회를 열고 "새로운 암호화 방식의 도입을 지금부터 준비하는 것이 필요하다"며 양자암호통신의 중요성을 강조했다. 양자암호통신은 양자역학에 기반한 암호 기술로, 난수로 정보를 암호화한 뒤 빛 알갱이(광자)에 실어 보낸다. 제3자가 정보를 가로채려 할 경우 송·수신자가 이를 알 수 있어, 해킹이 불가능하다고 알려졌다. 그는 "특히 5G 시대에는 데이터가 많이 이동하고, 물리적 공간과 사이버 공간이 융합되는 만큼 보안을 더 강조해야 한다"면서 "정보를 보호할 수 있는 '믿을 수 있는 암호'의 중요성은 더 커졌다"고 힘주어 말했다. 빠른 연산 속도로 '꿈의 컴퓨터'라고 불리는 양자컴퓨터는 복잡해 보이지만 패턴이 있는 현재의 암호체계를 충분히 풀어낼 수 있어 이에 대비하려면 양자암호통신 기술이 필수라고 그는 덧붙였다. 양자컴퓨터가 가져올 '장밋빛 미래'뿐 아니라 위협에 대해서도 대비책을 세워야 한다는 것이다. 리보디 CEO는 "양자컴퓨터를 활용하면 15분 내 모든 암호를 풀 수 있다는 말이 있다. 현재의 암호가 아무 의미가 없게 될 것"이라며 "양자컴퓨팅은 긍정적인 면이 많지만, 이를 악용할 경우 현재 사이버 보안 체계에 지대한 위협이 될 수도 있다"고 경고했다. 그는 이어 "IDQ의 미션 중 하나가 이런 위험으로부터 사회를 지키는 것"이라며 양자암호통신 시대를 열기 위해 패턴이 없는 암호를 만드는 '양자난수 생성'과 암호키를 송신자와 수신자에게 나눠주는 '양자키 분배' 연구에 집중하고 있다고 전했다. 2001년 설립된 IDQ는 현재 양자암호기술을 선도하는 기업으로 꼽힌다. SK텔레콤은 작년에 700억 원을 투자해 IDQ 주식의 절반 이상을 확보, 자회사로 편입하고 양자암호기술을 5G 등 이동통신에 적용하기 위한 연구를 공동으로 수행하고 있다.
    • 사이버보안
    • 종합
    2019-10-21
  • SK텔레콤, 유럽에 1천400㎞ 양자암호 통신망 구축
    ▲ IDQ가 스위스 제네바, 독일 베를린, 스페인 마드리드, 오스트리아 빈 등 총 14구간에 구축하는 OPEN QKD 프로젝트. [사진제공=SK텔레콤] 자회사 IDQ, EU 양자 플래그십 첫 프로젝트서 1위 공급사 선정 '퀀텀엑스체인지'와 함께 미국 최초의 양자암호 통신망도 구축 [시큐리티팩트=이원갑 기자] 복잡한 연산을 초고속으로 처리하는 '양자컴퓨터'와 해킹을 차단하는 '양자암호통신' 등 최근 양자 정보통신기술이 주목받고 있는 가운데, SK텔레콤이 유럽에 1천400㎞ 양자암호 통신망을 구축하게 된다. 유럽연합(EU)은 2028년까지 10억 유로(약 1조3천억 원)를 투자해 이 분야를 육성키로 했다. 올해는 첫 프로젝트로 유럽 주요국에 양자암호 시험망을 구축하는 사업을 진행하면서 사업 파트너로 SK텔레콤을 선택했다. SK텔레콤의 자회사인 IDQ의 그레고아 리보디 최고경영자(CEO)는 지난 17일(현지시간) 핀란드 헬싱키 파시토르니 회관에서 기자간담회를 열고 "EU 산하 양자 플래그십 조직(Quantum Flagship)이 처음 추진하는 OPEN QKD(오픈 양자키분배기) 프로젝트에 IDQ가 1위 공급사로 참여한다"고 밝혔다. 양자키분배기는 송신자와 수신자 양쪽에 위치해 통신망으로 양자를 주고받으며 해킹이 불가능한 암호키를 만든다. OPEN QKD 프로젝트에는 올해부터 3년간 총 1천500만유로(약 195억 원)의 예산이 투입된다. IDQ는 이번 프로젝트에서 스위스 제네바, 독일 베를린, 스페인 마드리드, 오스트리아 빈 등에 총 14구간의 양자암호 시험망을 구축하게 된다. 1구간 거리는 100㎞ 정도이므로 약 1천400㎞ 정도의 양자암호통신 시험망을 만들게 되는 셈이다. 이 프로젝트에서 6개 구간을 맡는 일본 도시바보다 두 배 이상 길다. 리보디 CEO는 "유럽은 양자(기술)에 투자를 적극적으로 추진하고 있다"면서 "이번 시험망 프로젝트를 거쳐 앞으로는 유럽 전체에 네트워크를 구축해 (사이버) 보안을 제공할 것"이라고 설명했다. IDQ는 작년에는 미국의 양자암호통신 구축 사업을 수주하기도 했다. 미국 양자통신 전문기업 '퀀텀엑스체인지'(Quantum Xchange)와 파트너십을 체결했고, 최근 미국 최초의 양자암호 통신망을 뉴욕과 뉴저지 사이에 구축했다. 이 통신망은 뉴욕 월스트리트의 금융정보를 지키는 데 활용된다. IDQ와 퀀텀엑스체인지는 내년에는 이 양자통신망을 워싱턴D.C.에서 보스턴까지 800㎞ 구간으로 확장할 예정이다. IDQ는 양자키분배기를 공급하고 퀀텀엑스체인지는 암호키 전송 거리를 확장하는 솔루션을 적용한다. 박진효 SK텔레콤 ICT기술센터장은 "5G 세상에는 모든 사물이 데이터화되는 만큼 보안이 절대적으로 중요해질 것"이라며 "양자암호통신이 대한민국의 '국보급 기술'로 거듭날 수 있게 지원을 아끼지 않을 계획"이라고 밝혔다.
    • 사이버보안
    2019-10-21
  • 강경화 장관, "사이버공간, 국제규범과 실질 협력 필요" 강조
    ▲ 8일 서울 종로구 포시즌스 호텔에서 열린 바르샤바 프로세스 사이버안보 워킹그룹 회의에서 강경화 외교부 장관이 개회사를 하고 있다. [사진제공=연합뉴스] '바르샤바 프로세스 사이버안보 워킹그룹 회의' 서울서 개최 [뉴스투데이=이원갑 기자] 강경화 외교부 장관은 8일 사이버 위협에 대처하기 위해서는 국제규범을 마련할 필요가 있다고 밝혔다. 강 장관은 이날 서울 포시즌스 호텔에서 열린 '바르샤바 프로세스 사이버안보 워킹그룹 회의' 개회사에서 "오늘 회의에서는 국제규범과 실질 협력이라는 두 가지 주요 주제에 대해 논의할 것"이라며 이렇게 말했다. 그는 "이 두 사항은 안전하고 안정적이고 접근이 편하고 평화로운 열린 사이버공간에 있어 필수적"이라고 강조했다. 그러면서 "가장 약한 고리만큼 강할 뿐이라는 말이 있다. 이것이 안전한 사이버공간을 위한 협력이 필요한 이유"라며 개발도상국의 사이버안보 역량 강화를 적극적으로 지원할 필요가 있음을 강조했다. 야체크 차푸토비치 폴란드 외교장관과 로버트 스트레이어 미 국무부 부차관보도 환영사를 통해 사이버위협에 대처해 국제협력을 강화해야 한다고 밝혔다. 한국과 미국, 폴란드가 공동 주최한 이번 회의는 지난 2월 바르샤바에서 열린 '제1차 중동 평화·안보 증진을 위한 장관급 회의(일명 바르샤바 프로세스)'의 후속조치로 설립된 7개 워킹그룹 중 하나다. 이날 회의에는 50여 개국 120여명의 정부 인사 및 전문가들이 참석해 사이버안보와 관련한 국제협력 강화 방안에 대해 논의했다.
    • 사이버보안
    2019-10-08
  • 미국·영국 등, “향후 10년 내 ‘사이버공격’이 사업 활동 최대 리스크”
    ▲ 지난 2017년 12월 3일 옌스 스톨텐베르크 나토 사무총장(오른쪽)이 세계경제포럼(WEF·다보스포럼)에 참석해 나토에 대한 사이버공격이 전년 대비 60% 증가했다고 밝혔다. [사진제공=연합뉴스] 세계경제포럼(WEF), 전 세계 141개국 사업가 12,879명 상대로 조사 [시큐리티팩트=이원갑 기자] 미국·영국 등 선진국 대열에 오른 나라들은 향후 10년 내 사업 활동 최대 리스크로 '사이버공격'을 꼽았다. 반면 한국은 '실업 및 불완전 고용'을, 일본은 '자연 재해'를 사이버공격보다 더 두려워했다. 지난 6일 세계경제포럼(WEF)이 전 세계 141개국 12,879명의 사업가를 상대로 조사한 보고서에 따르면, 향후 10년 내 국가별로 사업 활동의 최대 리스크 5가지를 묻는 질문에 선진국이 다수 포함된 북미·유럽 지역은 '사이버공격'을 최대 위험요인으로 꼽았다. 반면, 한국·일본·중국 등이 속한 동아시아·태평양 지역의 최대 위험요인은 '자연 재해'였고 '사이버공격'이 뒤를 이었다. 보고서는 자연 재해의 사례로 지난해 인도네시아를 강타한 지진 및 쓰나미와 일본의 대홍수를 언급했다. 하지만 한국의 경우 '실업 및 불완전 고용'을 가장 큰 위험 요인으로 지목했다. '기상이변'과 '인간이 만든 환경 재해'가 각각 2위와 3위에 올랐으며, '사이버공격'과 '국가 간 분쟁'은 공동 4위를 기록했다. 앙골라·말라위·보츠와나·카메룬·가나·케냐 등 사하라 이남 아프리카 나라들이 최대 리스크로 꼽은 '실업 및 불완전 고용'은 동아시아·태평양 지역에서는 한국과 브루나이가, 유럽에서는 스페인이 유일하게 1위로 꼽았다. 향후 10년 내 사업 활동 최대 리스크를 묻는 이번 조사에서 전 세계 평균은 '재정 위기'가 1위를 차지했으며 '사이버공격'과 '실업 및 불완전 고용'이 2위와 3위로 그 뒤를 이었다. 미국·영국·캐나다는 '사이버공격'과 '데이터 사기 및 절도'를 각각 1위와 2위라고 답했다.
    • 사이버보안
    2019-10-07
  • [사이버안보 진단](10) 국방부, 방산업체 망분리 정책 강요 대신 보안 신기술로 해법 찾아야
    ▲ 정경두 국방부 장관이 지난 7월 24일 서울 용산구 국방 컨벤션에서 열린 ‘2019년 전반기 방산업체 CEO 간담회’에서 참석자들과 인사하고 있다. [사진제공=연합뉴스] 한국은 세계에서 ICT 인프라가 가장 발달된 나라 중 하나로 꼽힌다. 하지만 보안에 대한 인식은 낮아 사이버공격을 무기화하는 일부 국가나 해커 조직들에게 무방비로 노출된 상태다. 뉴스투데이는 한국의 사이버안보를 강화하기 위해 정부와 군 차원에서 과연 무엇을 어떻게 해야 할지 짚어보는 ‘사이버안보 진단’ 시리즈를 시작한다. <편집자 주> 국방부, 사이버안보 위해 방산업체 ‘물리적 망분리’ 구축 의무화 [시큐리티팩트=김한경 안보전문기자] 박근혜 정부 당시 사이버안보를 위협하는 징후들이 여러 분야에서 다양하게 나타났다. 급기야 국방부 업무망이 상당기간 사이버공격에 노출된 정황이 드러났고, 대기업 방산업체들도 해킹을 당하는 사례가 빈발했다. 이에 정부는 사이버안보를 강화하는 차원에서 2016년부터 ‘방산업체 망분리’를 적극 추진했다. 이와 관련된 훈령도 2016년 12월 개정되어 방산업체들은 2017년 12월 말까지 인증기관에서 CC(국제공통평가기준) 인증을 받은 제품으로 ‘물리적 망분리 시스템’을 구축하도록 기본 원칙이 정해졌다. 이에 방산업체들은 수억 원에서 수십억 원을 투입해 물리적 망분리 시스템을 구축했지만 일부 업체들은 망분리 비용을 감당하지 못해 방산업체 자격을 스스로 포기했다. 물리적 망분리를 하게 되면 업무망(내부망)과 인터넷(외부망)이 물리적으로 단절돼 망간 접근경로가 완전히 차단됨으로써 궁극적으로 정보 유출을 막을 수 있다. 하지만 내부망과 외부망 간 자료 교환이 불가능해 업무 효율성이 크게 떨어진다. 따라서 망분리의 보안 목적을 충족하면서도 안전한 망간 자료전송을 위해서는 ‘망연계 솔루션’을 필수적으로 구축해야 한다. 하지만 망연계 솔루션을 구축해도 운용 방법에 따라 보안취약점은 여전히 남는다. 즉, 자료전송 절차가 불편하다는 이유로 보안정책을 완화하거나, 보안환경이 다른 외부망으로 자료전송을 요구하는 예외 신청을 과도히 승인하는가 하면, 보안담당자들의 업무 미숙과 과오·나태 등으로 망간 자료전송이 허술해져 물리적 망분리의 목적을 무색하게 만드는 사례도 발생한다. 대기업 계열 방산업체, 그룹 ERP와 망분리 못해 해킹에 취약 게다가 대기업 계열사인 방산업체의 경우, 그룹 계열사가 공통으로 사용하는 서버들을 물리적으로 분리하기에는 엄청난 비용 부담이 따른다. 예를 들어 그룹 계열사 전체의 자원을 관리하는 ERP(Enterprise Resource Planning) 서버를 물리적으로 망분리하려면, 전산실에 있는 각종 정보처리시스템 및 해당 시스템의 운영·개발·보안을 목적으로 접속하는 단말기 등 적게는 수십에서 1백여 대의 서버를 외부망과 분리해야 한다. 이렇게 망분리 구축 비용의 수십 배를 투자하여 ERP 서버를 물리적으로 분리한다는 것은 그룹 내부에서 도저히 수용하기 어려운 현실이다. 이러한 이유로 현재 방산 대기업들은 ERP 서버 등 방산과 민수가 공통으로 사용하는 시스템은 물리적 망분리를 하지 못한 상태다. 사실 상 이런 시스템들은 원활한 업무 수행을 위해 인터넷과도 연결돼 있어서 해킹 공격으로부터 안전하다고 볼 수 없다. 한편, 대다수 협력업체들은 체계종합업체인 방산 대기업과 협업 시 자료 교환을 위해 인터넷 메일을 사용한다. 이러한 상용 메일의 보안취약점을 해소하기 위해 ‘협력업체 보안 솔루션’을 구축해 운용하는 대기업도 있다. 하지만 여러 체계종합업체들과 자료를 교환해야 하는 협력업체들은 체계종합업체별로 다른 보안 프로그램을 사용할 경우, 충돌이 발생해 보안솔루션이 제대로 활용되지 않는 경우가 많다. 더구나 방산업무와 민수업무를 병행하는 대기업일수록 글로벌 영업망을 유지하려면 해외지사와 인터넷을 사용하지 않고 업무를 수행하기는 어렵다. 그런데 해외지사를 위한 별도의 전용망을 구축하려면 너무 많은 비용이 들기 때문에 인터넷 기반의 가상사설망인 VPN(Virtual Private Network)을 주로 사용한다. VPN은 인터넷 상에 별도의 가상 폐쇄망을 만드는 기술이지만, VPN 터널을 개통하려면 인터넷에서 인증을 받게 돼 해킹으로부터 안전하지 않다. 김승주 고려대 교수, “물리적 망분리, 4차 산업혁명 개념과 모순돼” 보안전문가인 김승주 고려대 정보보호대학원 교수는 “물리적 망분리를 하면 인터넷을 이용해 업무망에 접속할 수 없어 스마트워크(원격 근무)나 클라우드 서비스 도입이 불가능하다. 더 큰 문제는 인터넷으로 모든 것이 연결되는 4차 산업혁명의 개념이 본질적으로 물리적 망분리 정책과 맞지 않는다”라고 주장한다. 즉 외부와 인터넷을 기반으로 연결 및 융합이 이루어져 업무가 수행되는 초연결 시대에 업무 환경은 고려하지 않고 오로지 보안만 생각해 물리적 망분리를 추진하는 것은 시대착오적이란 얘기다. 지금은 외부와 안전한 연결을 제공하면서 정보보호가 되는 보안 및 망분리 신기술을 을 찾아 지속적으로 보완하는 지혜가 필요한 시대다. 더구나 방산업체는 국가안보를 위해 무기를 만들지만 이윤을 추구하는 기업이다. 따라서 이윤을 창출하는 투자는 환영해도 비용의 지출은 꺼리게 마련이다. 망분리 시스템 구축은 투자가 아니라 비용으로 간주되기 때문에 방산업체는 최소의 비용으로 정부가 요구하는 보안요건만 충족하려고 노력한다. 향후 해킹사고가 발생해 예기치 않은 위기에 처할 수도 있지만, 경영진은 요행을 바라면서 보안에 대한 우선순위를 두지 않는 경향이 농후하다. 국방부 또한 방산업체의 보안을 강화한다며 법규나 지침을 만들지만, 정작 자신들은 신기술을 이해하거나 받아들이지 못하고 낡은 규정에 얽매여 있다. 따라서 경제적이고 효율적인 보안 신기술이 나와도 기존 규정에 명시된 기술 유형이 도입을 차단하는 ‘사전 규제’로 작용한다. 결국 기업은 진짜 해법보다 비용을 적게 들여서 규제만 피하는 방법을 따르게 된다. 보안 전문가들, “방산업체 보안시스템 구축은 자율에 맡겨야” 이와 같이 방산업체들이 엄청난 예산을 들여 물리적 망분리를 했지만, 망연계 시스템 운용 간 보안취약점은 여전히 풀어야 할 숙제다. 게다가 협력업체와 자료전송을 위한 ‘협력업체 보안 솔루션’ 개발 없이 내부망을 외부망과 완전 격리시키는 것은 불가능하다. 따라서 국방부는 이러한 문제 해결을 위해 상용 보안 신기술의 신속한 도입과 개발을 적극 지원해야 한다. 보안 전문가들은 “국방부가 망분리 방식을 규정하지 말고, 보안이 강화되는 시스템을 구축하라는 원칙만 얘기하라”고 말한다. 그들은 “방산업체가 자신들의 업무 여건과 정보통신 환경에 가장 적합한 망분리 방식과 보안기술을 스스로 찾도록 하되, 이를 제대로 보완하지 않아 해킹 사고가 발생하면 강력히 책임을 묻는 구조가 바람직하다”고 목소리를 높인다. 이미 금융권에서 그 방향을 제시하고 있다. 금융권도 과거에 정부 주도의 방식을 시행하다가 문제가 나타났고, 이후 관련 법규를 개정해 스스로 보안을 책임지는 풍토로 변모하고 있다. 이런 분위기가 방산업계에도 자리를 잡으면 업체들은 사이버보안에 실질적 관심을 갖고 투자하게 되고, 그런 노력이 지속될 때 사이버위협에서 벗어날 수 있으며 보안 산업도 발전한다.
    • 사이버보안
    2019-09-23
  • [사이버안보 진단](9) 국제협력의 핵심은 부다페스트 협약 가입과 한·미 협력
    ▲ 지난 4일 서울 중구 롯데호텔에서 열린 국방차관급 다자안보 협의체인 '2019 서울안보대화(SDD)'에서 '사이버워킹그룹' 회의 참가자들이 기념촬영을 하고 있다. [사진제공=연합뉴스] 한국은 세계에서 ICT 인프라가 가장 발달된 나라 중 하나로 꼽힌다. 하지만 보안에 대한 인식은 낮아 사이버공격을 무기화하는 일부 국가나 해커 조직들에게 무방비로 노출된 상태다. 뉴스투데이는 한국의 사이버안보를 강화하기 위해 정부와 군 차원에서 과연 무엇을 어떻게 해야 할지 짚어보는 ‘사이버안보 진단’ 시리즈를 시작한다. <편집자 주> 사이버스페이스 총회와 사이버 워킹그룹으론 국제협력 성과 미약 [시큐리티팩트=김한경 안보전문기자] 정부는 지난 4월 발간한 ‘국가사이버안보전략’에서 6가지 전략과제 중 하나로 ‘사이버안보 국제협력 선도’를 제시했다. 그리고 이 과제를 위해 국제적 파트너십 강화를 통해 실질적 협력방안을 모색하는 ‘양·다자 간 협력체계 내실화’와 국제규범 형성을 주도하는 ‘국제협력 리더십 확보’를 추진방안으로 내세웠다. 이와 관련, 우리나라는 지난 2013년 제3차 사이버스페이스 총회를 서울에서 개최했다. 2011년 영국에서 시작된 사이버스페이스 총회는 사이버 분야와 관련된 문제를 포괄적으로 논의하는 국제회의다. 회원국이란 틀이 없이 정부기관, 국제기구, 시민단체, 기업, 학계 등 다양한 이해관계자가 참여해 공론의 장을 마련하는데 의미를 두며, 한국은 핵심적 참여자에 속한다. 지난 4일 열린 ‘서울안보대화(SDD)’의 첫 행사는 ‘사이버 워킹그룹’ 회의였다. 2014년부터 한국 주도로 시작된 사이버 워킹그룹은 사이버안보에 특화된 전문가 대화체로 사이버 현안에 대한 의견과 경험을 공유하며 신뢰를 구축하는 다자 대화의 장이다. 올해로 6회를 맞는 이 회의에 20여 개국 140여 명의 국방관료와 민간 전문가가 참가했다. 하지만 우리나라가 적극적으로 참여하는 사이버스페이스 총회나 SDD의 사이버 워킹그룹 모두 대화의 장 마련에 의미가 있다. 즉 대다수 논의가 의견교환 수준에 머물러 국제규범을 만들고 함께 대처하는 등 실질적인 성과는 도출되기 어렵다. 따라서 좀 더 적극적인 정부 차원의 노력이 이루어져야 국제협력 리더십 확보가 가능하다는 지적이 제기된다. 사이버범죄 규정한 부다페스트 협약 가입해야 국제협력 성과 나와 이와 관련해 우선 부다페스트 협약 가입 필요성이 거론된다. 이 협약은 인터넷을 이용한 모든 범죄행위를 상세히 규정하고 처벌하도록 한 최초의 국제협약이다. 2001년 열린 부다페스트 회의에서 출발된 사이버범죄 협약이어서 ‘부다페스트 협약’으로 불린다. 2004년부터 공식 발효됐고, 현재 전 세계 50여 개국이 가입했지만 우리나라는 아직 가입하지 않았다. 여기에 가입하면 가입된 국가들끼리 각국에서 겪고 있는 사이버범죄에 대해 핫라인이 설치돼 공동으로 대처할 수 있게 된다. 우리나라는 2013년부터 협약 가입 여부를 논의해 왔으나 부처 간 의견이 달라 결론을 내지 못했다. 올해 1월 외교부 당국자가 “부다페스트 협약 가입을 검토 중”이라고 밝힌 상태다. 우리나라가 ‘국가사이버안보전략’에서 제시한대로 국제규범 형성을 주도해 국제협력 리더십을 확보하려면, 우선 사이버범죄를 다루는 부다페스트 협약에 가입하는 것이 급선무이다. 손영동 한양대 교수도 “부다페스트 협약에 가입하는 것이 사이버안보를 위한 국제협력의 시작이니 여기에 집중해야 한다”고 주문했다. 일본처럼 미국과 사이버안보 위한 양자 간 실질적 협력 추진 절실 한편, 2015년 4월 미국과 일본은 미·일 방위협력을 위한 지침, 일명 ‘가이드라인 2015’를 함께 발표했다. 아·태 지역 안보에 대한 공동의 목표와 대응방식을 담은 이 가이드라인에서 양국은 상호 협력의 범위를 우주 및 사이버공간까지 확장시켰다. 사실 미국은 사이버방어를 위한 국제규범 확립을 서두르면서 그동안 일본과 긴밀한 협력관계를 만들어왔다. 2015년 6월 “미국이 이른바 ‘사이버 우산’을 일본까지 연장해 제공하기로 합의했다고 미·일 안보 당국이 밝혔다”는 언론 보도가 있었다. 당시 나카타니 겐 일본 방위상은 미국과 공동성명에서 “사회기반시설 뿐만 아니라 일본 자위대와 미군 시설에 대한 다양한 사이버위협을 해결하기 위해 공조할 것”이라고 힘주어 말했다. 이에 대해 국방 정책에 정통한 한 예비역 장성은 “사이버 우산이란 용어는 언론이 임의로 사용했을 것”이라면서 “그런 표현은 ‘핵’처럼 자국의 능력이 없어 전적으로 타국에 의존할 때만 쓸 수 있다”고 말했다. 그는 “한국도 미국과 사이버 분야 협력을 논의해 왔고, 한·미 사이버정책위원회도 있다”고 말했지만 “그동안 실질적 협력은 진행되지 않았다”라고 덧붙였다. 따라서 ‘국가사이버안보전략’에서 제시한 양·다자 간 협력체계 내실화 차원에서 “일본처럼 미국과 사이버안보를 위한 실질적 협력을 추진해야 한다”는 목소리가 높아지고 있다. 손영동 교수도 “사이버공간의 길은 인터넷이다. 미국이 인터넷을 만들었고 여전히 영향을 미치는 나라이므로 미국과 협력이 최우선돼야 한다”고 강조했다.
    • 사이버보안
    2019-09-13
  • 한국 주도한 보안 관련 권고안 4건 국제표준 사전 채택
    ▲ 이번 ‘ITU-T SG17’ 국제회의에서 보안 관련 권고안 4건 사전 채택을 이끌어낸 국립전파연구원. [국립전파연구원 홈페이지 캡처] ‘ITU-T SG17’ 회의에서 결정...지능형자동차 보안, 양자암호통신 등 ‘분산원장 기술’ 관련 신규 표준화 과제 4건도 제안해 통과시켜 [시큐리티팩트=김한경 안보전문기자] 과학기술정보통신부 국립전파연구원은 8월 27일부터 9월 5일까지 스위스 제네바에서 열린 ‘ITU-T SG17’ 국제회의에서 한국 주도로 개발한 지능형자동차 보안, 양자암호통신, 스마트그리드 권고안 등 4건이 국제표준으로 사전 채택됐다고 6일 밝혔다. ITU-T(국제전기통신연합 전기통신표준화 부문)는 전화·인터넷 등 네트워크와 사물인터넷(IoT), 빅데이터, 정보보호 등 관련 정보통신기술 및 활용, 요금 정산 등 분야의 국제표준 권고를 제정하는 정부 간 국제기구다. SG(Study Group)17은 보안 관련 ITU-T 권고 표준의 제·개정 활동을 수행하는 연구그룹을 말한다. 첫 번째 권고안인 'V2X 통신 환경 보안 가이드라인'(X.1372) 국제표준은 자율주행자동차 서비스에 가장 기본이 되는 차량 통신에 대한 보안기술을 정의하는데, V2X 통신은 차량과 차량, 차량과 교통인프라, 차량과 모바일기기, 차량과 보행자 간의 통신을 의미한다. 본 표준은 2014년부터 한국전자통신연구원, 현대자동차, 카카오모빌리티 주도로 개발됐다. 각 통신 간 보안 위협, 보안 요구사항 및 이용사례를 정의하고 있어 자율주행차를 연구하는 산업체의 제품 개발, 중복투자 방지 및 자동차 안전성 확보에 유용한 자료로 활용될 전망이다. 두 번째 권고안인 '커넥티드 카 보안 위협 정의'(X.1371) 국제표준은 지능형 자동차 보안서비스를 제공하기 위한 이용사례를 정의하고, 각 사례에서 발생할 수 있는 보안 위협을 식별하고 정의한다. 본 표준은 지능형 자동차 보안을 위한 외부 해킹, 백엔드 서버, 통신 채널, 업데이트 절차 등을 고려한 보안 위협을 식별 및 정의하고 있어 향후 국내 차량 보안 연구에 활용돼 기술적 우위를 확보함으로써 수출에도 도움이 될 것으로 기대된다. 세 번째 권고안인 '양자 잡음 난수생성기 구조'(X.1702) 국제표준은 세계 최초로 보안 관점에서 양자 기술을 적용한 난수 생성 방법을 정의한다. 본 표준은 2018년부터 SKT 주도로 개발됐으며, 예측이 불가능하고 패턴이 없는 순수 난수를 생성하는 양자 기술로서 사물인터넷, 자율주행차, 스마트시티 등 최첨단 서비스의 보안성을 강화할 것으로 기대된다. 네 번째 권고안인 '스마트 미터링 서비스 보안 가이드라인'(X.1332) 국제표준은 스마트그리드 환경에서 사용자의 스마트 미터(스마트 계량기)로부터 수집한 데이터를 안전하게 활용하기 위한 보안 대책을 정의한다. 스마트그리드는 전기공급자로부터 전기 소비자 전 구간에 전기 사용량 및 품질 정보를 원격 자동화해 효과적인 전기 공급을 관리해주는 서비스를 의미한다. 본 표준은 2016년부터 국가보안기술연구소 주도로 개발됐고, 최근 국내 에너지 신산업 계획을 통해 확대되고 있는 전력에너지 빅데이터 공동 활용에 응용될 것으로 기대된다. 한편, 이번 회의에서 한국은 ‘분산원장 기술 용어 정의’ 표준을 비롯한 신규 표준화 과제 4건을 제안하여 통과시켰으며, 향후 블록체인 기술을 비롯한 보안기술 연구 개발에 우리나라 표준화 입지가 더욱 확대될 것으로 기대된다. 이경희 국립전파연구원 국제협력팀장은 이번 국제회의 성과를 근거로 “ITU-T 내에 정보보호 분야에서 한국의 위상을 다시금 확인했고, 국내 정보보호 산업의 국제 시장 경쟁력 향상에 크게 기여할 것으로 기대된다”고 밝혔다.
    • 사이버보안
    2019-09-07
  • [사이버안보 진단](8) 사이버보안 신기술, 인증 평가기준이 족쇄로 작용
    ▲ CC 인증과 보안적합성 검증으로 인해 보안 기업이 겪는 애로를 과기정통부와 함께 해결할 수 있는 실질적인 기관인 국가정보원 전경. [국가정보원 홈페이지 캡처] 한국은 세계에서 ICT 인프라가 가장 발달된 나라 중 하나로 꼽힌다. 하지만 보안에 대한 인식은 낮아 사이버공격을 무기화하는 일부 국가나 해커 조직들에게 무방비로 노출된 상태다. 뉴스투데이는 한국의 사이버안보를 강화하기 위해 정부와 군 차원에서 과연 무엇을 어떻게 해야 할지 짚어보는 ‘사이버안보 진단’ 시리즈를 시작한다. <편집자 주> 정부·공공기관 및 국방에 제품 도입하려면 ‘국내용 CC 인증’ 필요해 CC 인증 제품 아닌 시스템과 네트워크 장비 ‘보안적합성 검증’ 받아야 [시큐리티팩트=김한경 안보전문기자] 사이버보안의 획기적인 신기술이 개발되더라도 정부·공공기관 또는 국방 영역에 그 기술이 반영된 제품이나 솔루션을 도입하려면 정부가 법적으로 인정한 권한을 가진 기관으로부터 ‘CC(Common Criteria, 공통평가기준) 인증’ 또는 국가정보원이나 군사안보지원사령부의 ‘보안적합성 검증’을 받아야 한다. CC 인증은 정보보호제품의 보안성을 평가기관에서 평가하고 이에 대한 결과를 인증기관에서 인증하는 제도다. 한국인터넷진흥원·한국시스템보증·한국정보통신기술협회·한국정보보안기술원 등 6개 기관에서 평가하고, 국가보안기술연구소 IT인증사무국이 인증업무를 담당하는데, 국제상호인정협정(CCRA) 회원국이 공통으로 사용하는 평가기준 및 평가방법론을 적용한다. CC 인증은 국제용과 국내용으로 구분된다. 우리나라는 CCRA 회원국이어서 CCRA에서 정한 기준 및 절차를 엄격히 준수한 국제용 CC 인증서를 발급할 권한이 있다. 국제용 CC 인증은 CCRA 회원국 상호간 인정된다. 하지만 국제용 CC 인증을 받으려면 시간과 비용이 많이 들어 우리나라에서만 인정되는 국내용 CC 인증도 함께 운영하고 있다. 보안적합성 검증은 국가정보원에서 정부·공공기관이 도입하는 정보보호시스템과 네트워크 장비에 대한 안정성을 검증하는 제도다. 단일 정보보호제품이 아닌 시스템과 네트워크 장비를 사용하려면 국가정보원의 보안적합성 검증 절차를 따라야 하며, 국방 분야는 이 권한이 군사안보지원사령부에 위임돼 있다. 도입 기관들은 국정원이나 군사안보지원사의 보안적합성 검증을 받은 후, 이 과정에서 발견된 취약점을 해결한 다음 해당 정보보호시스템 또는 네트워크 장비를 운영해야 한다. 또 국정원이 필요성을 인정하는 24개 정보보호시스템 유형은 CC 인증 제품을 반드시 사용해야 한다. 따라서 정부·공공기관 및 국방 분야에 납품하려면 최소한 국내용 CC 인증은 받아야 한다. 보안 신기술, 24개 정보보호 유형과 기존 평가기준으로 평가 어려워 그러면 24개 정보보호시스템 유형에 해당하지 않는 보안 신기술일 경우 어떻게 해야 할까? 또 24개 유형에 포함되더라도 새로운 기술이라서 기존 평가기준과 방법으로는 평가가 어려울 경우 해법은 무엇일까? 이에 대해 국정원 관계자는 “도입하려는 기관에서 먼저 시스템을 구축하고, 보안적합성 검증을 받으면 가능하다”고 말한다. 이와 관련, 새로운 개념의 보안 신기술을 개발한 한 업체 대표는 CC 인증을 받기 위해 자신의 제품을 과기정통부에 문의하자, “24개 유형에 해당하지 않아 CC 인증은 어려우며, 도입하려는 기관에서 국정원의 보안적합성 검증을 받으면 된다”는 얘기를 들었다고 했다. 하지만 현실은 어떤 기관도 그런 모험을 시도하는 실무자가 거의 없다는 것이다. 이 기업의 대표는 과거 국정원에서 CC 인증 업무를 담당했던 고위관계자도 만났다. 그로부터 “24개 유형은 보안에 관한 모든 것을 커버하는 고속도로”라면서 “신제품은 그 고속도로에 차선을 그리는 일이므로 국정원과 과기정통부가 협의하면 가능함에도 선례가 없다는 핑계로 기피하는 것”이라는 얘기를 들었다고 한다. 보안적합성 검증 대신하는 ‘시험성적서 발급’에도 한계 존재해 국방 분야, 국정원 보안적합성 검증 받았어도 다시 검증 거쳐야 보안적합성 검증 대신 시험성적서를 발급받는 방법도 있다. 과거에 국정원이 네트워크 장비를 대상으로 실시하던 것을 2016년부터 정보보호제품으로 확대한 제도다. 공인된 시험기관으로부터 보안기능 평가를 거쳐 시험성적서를 발급받은 네트워크 장비와 정보보호 제품은 정부·공공기관에 도입되더라도 보안적합성 검증을 별도로 받지 않는다. 하지만 이런 시험기관들도 신기술에 대해서는 “시험성적서를 내줄 제품이 아닌 것 같다”는 애매한 답변으로 일관한다. 따라서 신기술은 시험성적서 발급도, 평가기관들의 평가를 통한 인증서 발급도 쉽지 않은 상황이다. 결국 아무리 획기적인 보안 신기술이 나와도 기관장이 책임을 지겠다는 자세로 결심하지 않는 한 도입이 어려운 실정이다. 국방 분야에 진출하려는 기업은 과정을 한 단계 더 겪어야 한다. 국방 분야의 인증 권한은 앞서 언급했듯이 군사안보지원사가 갖고 있다. 따라서 국정원의 보안적합성 검증을 통과했더라도 다시 군사안보지원사의 검증을 받아야 한다. 군사안보지원사 정보보호인증센터 관계자는 “이 경우 서류 검토로 끝나기 때문에 시간은 오래 걸리지 않는다”고 말했다. 하지만 이미 검증을 받았더라도 시스템 구성이나 제품 사양이 변경되면 얘기는 달라진다. 이 경우 달라진 부분은 다시 보안적합성 검증 과정을 거쳐야 한다. 안보지원사는 2017년에 정보보호인증센터가 만들어져 국정원보다 축적된 경험과 노하우가 부족하기 때문에 국정원과 협의하면서 부족한 부분은 지원 받는다고 센터 관계자는 말했다. 보안기업, 소통 창구 개설되지 않아 애로...기존 틀에 맞지 않아 막막 정부, 신기술 테스트해 도입할 길 열고 관련업무 전담조직도 만들어야 CC 인증과 보안적합성 검증을 받는 과정에서 보안 기업들이 가장 힘들어 하는 것은 전문적인 분야임에도 소통 창구가 제대로 개설되지 않아 어느 기관 누구를 통해서 접근해야 할지 모른다는 것이다. 여러 번 시행착오 끝에 인증과 검증 절차를 알게 되더라도 기존 제도의 틀에 맞지 않을 경우 또 다시 막막한 상황에 부딪히게 된다. 정부가 CC 인증을 받도록 제도화하고 국정원과 군사안보지원사가 보안적합성 검증을 실시하는 근본 이유는 해당 시스템의 보안성을 높이기 위해서다. 그런데 보안성을 높일 수 있는 신기술들이 제도의 걸림돌 때문에 도입되지 못하는 이율배반적 상황이 만들어진다. 이 때 가장 바람직한 해결책은 무엇일까? 결국 정부가 나서서 신기술의 테스트베드를 만들고, 우리만의 평가기준과 방법을 개발해 테스트를 통과하면 그것을 근거로 정부·공공기관과 국방에서 도입할 수 있도록 길을 열어줘야 한다. 언제까지 남이 만들어주길 바라고 그것이 족쇄가 돼서 세계적인 신기술을 개발하고도 국내에서 적용하지 못하는 상황을 보고만 있을 것인가? 이를 지원하기 위해 전문성을 가진 조직이 관련부처 산하에 별도로 만들어져야 하고 보안 기업들과 유기적인 소통도 이뤄져야 한다. 그래야 우수한 기술력을 가진 보안 벤처기업들이 국내에서 레퍼런스를 만들고, 이를 바탕으로 해외로 진출할 기회를 갖게 된다. 정부가 한·일 갈등으로 국내 기업의 중요성을 인식한 지금이 추진할 적기다.
    • 사이버보안
    2019-09-03
  • [사이버안보 진단] (7) 사이버위협에 노출된 국방부, 하루빨리 ‘버그바운티’ 도입해야
    ▲ 우리나라 국방부가 사이버 위협에 노출돼있음에도 불구하고 적극적인 대응시스템 구축이 부족하다는 지적이 높다. 사진은 지난 2016년 9월 10일 서울 마포구 상암동 한국지역정보개발원 내 사이버침해대응지원센터 상황실에서 북한의 5차 핵실험 이후 사이버 위협에 따른 휴일 비상근무를 하고 있는 모습. [사진제공=연합뉴스] 한국은 세계에서 ICT 인프라가 가장 발달된 나라 중 하나로 꼽힌다. 하지만 보안에 대한 인식은 낮아 사이버공격을 무기화하는 일부 국가나 해커 조직들에게 무방비로 노출된 상태다. 뉴스투데이는 한국의 사이버안보를 강화하기 위해 정부와 군 차원에서 과연 무엇을 어떻게 해야 할지 짚어보는 ‘사이버안보 진단’ 시리즈를 시작한다. <편집자 주> 미 국방부, ‘버그바운티’ 도입해 보안 취약점 찾는 해커에게 포상 [시큐리티팩트=김한경 안보전문기자] 2015년 8월 한국 20대 초반의 해커 팀(DEFKOR00T)이 세계 최고의 해킹방어대회인 ‘데프콘(DEFCON)’에서 최초로 우승했다. 1년 뒤인 2016년 8월 카네기멜론대학 연구팀이 만든 인공지능 컴퓨터 ‘메이헴(Mayhem)’은 미국 방위고등연구계획국(DARPA)이 개최한 인공지능 해킹방어대회인 ‘사이버그랜드챌린지(CGC)’에서 우승했다. 메이헴은 곧바로 데프콘에 참가해 인간 해커 팀들과 자웅을 겨뤘고, 비록 하위권에 머물렀지만 가능성을 충분히 인정받았다. 당시 한 보안업계 관계자는 "이번 데프콘을 계기로 인공지능이 해킹방어대회 우승을 차지하는 날이 점차 가까워질 것"이라고 내다봤다. 이와 같이 미국은 해킹에 악용될 수 있는 보안 취약점을 자동으로 찾아주는 로봇을 개발하고 있다. 미국 국방부는 2016년부터 자체 시스템을 대상으로 화이트 해커들이 보안 취약점을 찾아내면 포상금을 지급하는 ‘버그바운티(bug bounty)’ 행사를 'Hack the Pentagon'이란 이름으로 시행하고 있다. 사이버전에서는 상대 시스템의 보안 취약점을 많이 파악할수록 확실한 군사적 우위를 차지할 수 있기 때문이다. 첫 행사에서 전 세계 50개국 해커 1410명이 버그(보안 취약점) 138개를 찾아냈고 7만 5000달러가 포상금으로 지급됐다. 이 행사 이전에 미 국방부는 전문업체에게 3년간 500만 달러의 거액을 주고 겨우 10개의 버그를 찾았다. 버그바운티 행사가 비용대비 효과가 매우 뛰어나자 미국은 공군과 연방 정부 등으로 버그바운티를 확대했다. KISA, 미 국방부 버그바운티 벤치마킹한 'Hack the KISA' 개최 한국 국방부, 시스템의 보안 취약점 파악하려는 노력 없어 한국도 2018년 11월 한국인터넷진흥원(KISA)이 미국 국방부의 버그바운티 행사를 참고해 'Hack the KISA'를 개최했다. KISA에서 실제 운영하는 5개의 웹 사이트를 대상으로 진행한 버그바운티 행사에서 유효한 보안 취약점 60개를 찾아내 28명에게 2,555만 원의 포상금을 지급했다. KISA는 국내 기업들의 버그바운티 참조 모델을 만들어 국내에 버그바운티 프로그램을 활성화시키는데 목적이 있다고 행사 개최 이유를 밝혔다. 민간의 이런 움직임에 비해 한국 국방부는 아직도 버그바운티 프로그램을 도입하지 않고 있다. 따라서 자체 시스템에 어떤 보안 취약점이 있는지 알지 못한다. 취약점이 파악돼야 보완이 이루어져 사이버방어가 튼튼해지는데도 이런 노력을 하지 않는 이유는 무엇일까? 일각에서는 “버그바운티 행사를 기획했다가 예상치 못한 취약점이 드러나 책임질 상황이 초래될 것을 우려하기 때문”이란 주장이 제기됐다. 또 “포상금을 많이 줄 수 없어 행사 효과보다 해커에게 취약점 노출 기회만 제공할 수 있다”는 의견도 나온다. 손영동 교수, “정보 공유, 침해사고 대응과 확산 방지에 결정적 역할” 버그바운티 행사를 통해 수집되는 정보통신망·정보통신기기·소프트웨어의 보안 취약점 관련 정보 외에도 사이버공격에 관한 정보, 악성코드 및 이와 관련된 정보 등 수집해야 할 사이버위협 정보는 다양하다. 이러한 위협정보를 필요한 조직끼리 공유하는 것은 사이버방어에 대단히 중요하다. 손영동 한양대 교수는 “침해사고가 발생했을 때 신속한 정보 공유는 국가 차원의 대응과 피해 확산을 방지하는데 결정적 역할을 한다”고 강조했다. 현재 정보 공유에 가장 심혈을 기울이는 나라는 미국이다. 미국은 자국에 대한 사이버공격 표적이 군사시설은 물론 통신·전력·교통 등 사회기반시설로 보고 이에 대한 보안을 법제화했다. 정부기관의 사이버위협 정보 수집과 공유는 국토안보부(DHS) 산하의 국가사이버보안정보통합센터(NCCIC)가 관문 역할을 하고 있다. 민간 부문의 위협정보는 2015년 2월 대통령 행정명령으로 설립된 정보공유분석기구(ISAO)가 관장한다. 이를 제도적으로 뒷받침할 ‘사이버안보정보공유법(CISA)’이 2015년 12월 시행됐다. 이 법은 정보공유 절차를 명확히 하고 참여기관 간 정보공유 과정에서 발생할 수 있는 일부 부작용에 대해 소송의 원인이 되지 못하는 면책권을 부여하고 있다. 한국, 침해사고 터질 때마다 부문별 보유 위협정보 공유 주장 제기 한국은 대규모 사이버침해사고가 터질 때마다 각 부문별로 보유하고 있던 위협정보를 통합·공유해야 한다는 주장이 제기돼왔다. 특히 사이버공격이 공공부문보다 보안이 허술한 민간부문을 이용하는 경향이 두드러지자, 과학기술정보통신부는 2014년 8월 KISA를 통해 민간부문의 위협정보를 공유하는 사이버위협정보 분석·공유시스템(C-TAS)을 구축했다. 같은 시기에 행정안전부는 중앙부처와 지자체가 참여하는 사이버침해대응센터를 국가정보자원관리원과 한국지역정보개발원 산하에 만들었고, 금융위원회는 2015년 4월 금융보안원 산하에 은행·증권 등 금융기관이 참여하는 통합보안관제센터를 만들었다. 기반시설관리기관은 이미 2002년 3월부터 정보공유분석센터(ISAC)를 구축해 정보를 공유해오고 있다. 국방부는 자체적으로 안보지원사와 사이버작전사, 각 군의 사이버작전센터 및 사이버방호조직 사이에 위협정보를 공유하고 있다. 군이 활용하는 위협정보의 대부분은 국가기관과 민간에서 수집된 정보로서 주로 국정원, 경찰청, KISA 등을 통해 받게 되며, 군 자체적인 활동으로 수집된 위협정보는 일부에 지나지 않는 것으로 알려졌다. 정부기관 간 정보 공유 취약...미국처럼 정보공유법 도입 검토해야 이처럼 국가기관 및 민간부문은 상호 연관된 조직끼리 침해사고 정보를 단편적으로 공유하는 수준에 머물러 있다. 또 부처별, 산업별로 제각기 정보공유시스템을 구축함으로써 효율성이 떨어지고 상호간 정보 공유도 잘 되지 않는다. 게다가 정보 가치에 대한 객관적 판단 기준이 모호하고 정보 제공에 대한 피드백이나 보상이 없어 정보 공유가 활성화되지 못하는 상황이 지속되고 있다. 이런 문제를 인식한 정부는 2015년 12월 전 부문의 위협정보를 통합하기 위해 유관부처가 합동으로 ‘국가 사이버위협 정보공유시스템(NCTI)’을 구축했다. 2016년 6월 전체 중앙행정기관이 연결됐고, 광역지자체와 공공기관을 대상으로 연결을 확대하고 있다. 또 첨단기술 보유기업, 방위산업체, KISA, 금융보안원 등에도 제공하고 있다. 이와 같은 사이버위협 정보 공유의 중심에 국정원이 있다. 한 보안 전문가는 “정말 필요한 정보가 관련 부처 및 기관 간에 공유되려면 상호 신뢰를 바탕으로 원활한 소통이 이뤄져야 한다”면서 “각각의 입장과 여건을 고려한 국정원의 실질적인 역할이 필요하다”고 말했다. 가장 큰 과제는 정부와 민간 기업 사이의 정보 공유다. 기업은 법적 보호 없이는 정보를 공유할 수 없다고 생각한다. 좋은 의미로 정보를 제공했다가 불이익을 당할 수도 있기 때문이다. 하지만 우리는 아직 미국처럼 정보공유법이 도입되지 않았다. 따라서 정보공유 활성화를 위한 법적 근거를 마련하고 정보제공 기관 및 기업들이 혜택을 받을 수 있도록 해야 한다.
    • 사이버보안
    2019-08-23
비밀번호 :