• 최종편집 2025-05-21 (수)

시큐리티
Home >  시큐리티

  • home>

실시간 시큐리티 기사

  • [사이버안보 진단] (12) 군, ‘폐쇄성’ 버리고 민간 ICT 기술 상시 도입해야
    ▲ 지난 2016년 7월 26일 애쉬턴 카터 미국 국방부장관이 DIUX의 2번째 사무실 개소식에 참석해 의견을 말하고 있다. [사진제공=연합뉴스] 한국은 세계에서 ICT 인프라가 가장 발달된 나라 중 하나로 꼽힌다. 하지만 보안에 대한 인식은 낮아 사이버공격을 무기화하는 일부 국가나 해커 조직들에게 무방비로 노출된 상태다. 뉴스투데이는 한국의 사이버안보를 강화하기 위해 정부와 군 차원에서 과연 무엇을 어떻게 해야 할지 짚어보는 ‘사이버안보 진단’ 시리즈를 시작한다. <편집자 주> 합참 중심의 사이버작전 수행 가능토록 일원화된 지휘통제체제 정립 박호 육군 정보화기획부장, “군, 폐쇄성 때문에 뒤쳐져 위기감 느껴” [시큐리티팩트=김한경 안보전문기자] 지난 1∼2일 양일간 서울 삼성동 코엑스에서 국제 시큐리티 콘퍼런스인 ‘2019 ISEC’ 행사가 성황리에 개최됐다. “초연결 시대의 다양한 보안 위협은 우리 모두의 현실”이라며 ‘REAL’을 주제로 진행된 이번 행사에서 예년처럼 2일차에 ‘육·해·공군 사이버안보 워크숍’이 열렸다. 육군본부가 주관한 이날 워크숍은 이전과는 확연히 달랐다. 통상적인 세미나 형태로 진행되던 과거와 달리 20여명의 기관, 업체, 대학, 연구소를 대표하는 전문가들을 초청해 국방부와 합참이 그동안 사이버안보를 위해 추진한 내용을 발표한 후 의견을 청취하는 자리였다. 군이 만든 새로운 소통의 자리였고, 집단지성을 통해 해답을 구하는 최초의 시도였다. 이날 국방부는 발표를 통해 합참 중심의 사이버작전 수행이 가능토록 일원화된 지휘통제체제를 정립했고, 사이버작전 개념과 교리를 발전시켰으며, 사이버조직을 개편 및 보강했다고 말했다. 또 사이버 전문특기 신설 등 전문인력 인사관리제도를 마련하고, 직무능력 중심으로 교육체계를 개선했으며, 사이버방호체계도 고도화를 추진 중이라고 설명했다. 합참 또한 합동 사이버작전 개념을 정립했고, 사이버작전 지휘관계와 수행절차를 발전시켰으며, 사이버 전장관리체계 구축을 위한 운용개념과 사업추진 계획을 마련했다고 발표하면서 사이버 지휘통제체계는 금년 내에 구축할 것이라고 밝혔다. 국방부와 합참의 발표를 들으면서 군이 그동안 열심히 노력했고 나름대로 상당한 진전이 있었다는 것을 알 수 있었다. 이어 산·학·연 전문가들의 다양한 의견이 제기됐다. 행사를 기획한 박호 육군 정보화기획참모부장(육군소장)은 마무리 발언에서 “세상은 너무 빠르게 변하는데 군의 폐쇄성 때문에 뒤쳐져 위기감을 느낀다”고 말했다. 그는 “사이버 분야의 발전이 지지부진한데, 현장의 목소리를 듣고 반영하기 위해 이 자리를 만들었으며, 좋은 의견을 많이 내주어 감사하다”면서 미국 국방부가 2015년 실리콘밸리에 만든 ‘국방혁신실험사업단’((DIUX: Defence Innovation Unit-Experimental)을 언급하기도 했다. 미국은 DIUX를 통해 민간의 기술적 성과를 국방에 상시 도입하는 시스템을 구축했다. 최낙중 합참 사이버지통부장, “상용기술의 군사적 활용에 주력해야” 박종현 ETRI 소장, “ICT 기술 결합 못하면 미래전쟁 수행 주체 안 돼” 지난 22일에는 합참이 주관한 ‘합동 사이버지휘통신 발전 세미나’가 있었다. 이날 최낙중 합참 사이버지휘통신부장은 기조연설을 통해 “다양한 잠재적 위협에 동시 대비할 필요가 있다”면서 “정보유통 수준과 사이버방어 능력을 동시에 향상시키는 통합된 체계를 구축하되, 상용기술의 군사적 활용에 적극적인 노력을 기울여야 한다”고 강조했다. 그는 기조연설 마무리에 “지금이 C4I 체계를 획기적으로 발전시킬 적기”라면서 “작전과 정보(특히 보안) 그리고 정보통신의 통합된 노력이 필요하다”고 주장했다. 또 “합참과 육·해·공군 및 해병대 간 공감대 형성과 통합된 노력이 필요하고, 산·학·연의 적극적인 참여와 지원도 요구된다”고 목소리를 높였다. 이날 박종현 한국전자통신연구원 지능화연구소장도 기조연설에서 “ICT 기술 혁신을 국방에 효과적으로 결합시키지 못한 국가는 미래 전쟁의 수행 주체가 될 수 없다”면서 “미국은 신기술 도입을 위해 2015년 DIUX를 실리콘밸리에 설치했고, 에릭 슈미트 전 구글 회장을 국방부 혁신자문위원장으로 영입했다”고 말했다. 지난 23일 채널A와 동아일보가 주최한 ‘2019 K-디펜스 포럼’에서 강은호 방위사업청 기반전력사업본부장도 미국 연수 중 DIUX를 몇 차례 방문한 경험을 얘기하면서 “민간의 신기술을 군 무기체계에 적용할 방안을 찾아 2년 내에 개발을 완료하는 DIUX의 모습이 가장 부러웠다”고 말했다. 미국은 2018년 임시조직이던 DIUX를 ‘국방혁신단(DIU)’으로 전환해 국방부 내 정규조직으로 편성했다. 기존의 실험적이고 한시적인 조직을 상설기구 성격으로 전환한 것이다. 2018년 9월부터 DIU를 이끌고 있는 마이클 브라운은 실리콘밸리의 보안기업 ‘시만텍(Symantec)’의 CEO출신이다. 그는 군보다 민간이 앞서가는 분야로 AI와 사이버보안을 꼽았다. 집단지성으로 해법 찾으려는 노력 신선...“다소 늦었지만 희망 보여” 기술 바탕으로 개념과 교리 만들어야...‘한국형 DIU’ 필요한 시점 최근 국방 사이버안보 정책 결정에 상당한 영향을 미칠 수 있는 군 고위급 인사들이 보여준 신선한 모습과 집단지성으로 해법을 찾으려는 노력에 보안 전문가들은 “다소 늦은 감은 있지만 희망이 보인다”는 반응을 내놓았다. 하지만 한편에선 “정보통신 분야에서 나타나는 일부 변화일 뿐 군을 주도하는 정책 및 작전 분야의 변화는 감지되지 않는다”며 아쉬워했다. 이와 관련, 최근 정의당 김종대 의원은 “국방부장관의 과학참모가 없고 합참의장을 보좌하는 기술자 집단도 존재하지 않으며, 기술을 바탕으로 개념과 교리를 만드는 기능을 찾아보기 어렵다”면서 “우리 국방부는 지식과 기술에 관심이 없다”고 지적했다. 반면 “북한의 ‘국방과학원’은 창의적으로 일하는 교과서 같은 사례”라며 “우리는 기술전쟁에서 패배했다”고 말했다. 김 의원은 또 “우리는 국방과학원과 같은 고등 연구개발 기능이 없고, 연구를 관리하는 관리자 집단이거나 업체를 감독하는 행정관청 같다”고 주장했다. 이런 문제를 보완하기 위해 강은호 방사청 본부장은 K-디펜스 포럼에서 “국방과학연구소(ADD)를 핵심·비닉 기술 중심의 연구체계로 재구조화하겠다”고 발표했다. 국방부와 합참의 주요직위자들이 기술을 바탕으로 개념과 교리를 만드는데 관심을 갖고 강 본부장이 말한 ADD 재구조화가 완성될 때, 한국군은 비로소 4차 산업혁명 시대를 대비할 수 있다. 그러면 미국의 DIU 같은 조직도 생각할 수 있으며, 현재 육군이 그런 노력에 가장 앞서가는 듯하다. 머지않아 ‘한국형 DIU’가 만들어질 수 있기를 간절히 소망한다.
    • 시큐리티
    2019.10.26 11:30
  • 양자암호통신, 양자컴퓨팅 시대 사이버보안에 필수적
    ▲ 그레고아 리보디 IDQ 최고경영자(CEO)가 지난 17일 핀란드 헬싱키 파시토르니 회관에서 기자간담회를 열고 양자암호통신의 중요성을 설명하고 있다. [사진제공=SK텔레콤] 리보디 IDQ 최고경영자, "새로운 암호화 방식 도입 지금부터 준비해야" [시큐리티팩트=이원갑 기자] 양자컴퓨터가 모든 암호를 단시간 내에 풀 수 있어 우려가 커지는 가운데 양자암호통신이 이런 사이버보안 위협의 대처법이 될 수 있다는 주장이 나와 주목된다. 그레고아 리보디 IDQ 최고경영자(CEO)는 지난 17일(현지시간) 핀란드 헬싱키 파시토르니 회관에서 기자간담회를 열고 "새로운 암호화 방식의 도입을 지금부터 준비하는 것이 필요하다"며 양자암호통신의 중요성을 강조했다. 양자암호통신은 양자역학에 기반한 암호 기술로, 난수로 정보를 암호화한 뒤 빛 알갱이(광자)에 실어 보낸다. 제3자가 정보를 가로채려 할 경우 송·수신자가 이를 알 수 있어, 해킹이 불가능하다고 알려졌다. 그는 "특히 5G 시대에는 데이터가 많이 이동하고, 물리적 공간과 사이버 공간이 융합되는 만큼 보안을 더 강조해야 한다"면서 "정보를 보호할 수 있는 '믿을 수 있는 암호'의 중요성은 더 커졌다"고 힘주어 말했다. 빠른 연산 속도로 '꿈의 컴퓨터'라고 불리는 양자컴퓨터는 복잡해 보이지만 패턴이 있는 현재의 암호체계를 충분히 풀어낼 수 있어 이에 대비하려면 양자암호통신 기술이 필수라고 그는 덧붙였다. 양자컴퓨터가 가져올 '장밋빛 미래'뿐 아니라 위협에 대해서도 대비책을 세워야 한다는 것이다. 리보디 CEO는 "양자컴퓨터를 활용하면 15분 내 모든 암호를 풀 수 있다는 말이 있다. 현재의 암호가 아무 의미가 없게 될 것"이라며 "양자컴퓨팅은 긍정적인 면이 많지만, 이를 악용할 경우 현재 사이버 보안 체계에 지대한 위협이 될 수도 있다"고 경고했다. 그는 이어 "IDQ의 미션 중 하나가 이런 위험으로부터 사회를 지키는 것"이라며 양자암호통신 시대를 열기 위해 패턴이 없는 암호를 만드는 '양자난수 생성'과 암호키를 송신자와 수신자에게 나눠주는 '양자키 분배' 연구에 집중하고 있다고 전했다. 2001년 설립된 IDQ는 현재 양자암호기술을 선도하는 기업으로 꼽힌다. SK텔레콤은 작년에 700억 원을 투자해 IDQ 주식의 절반 이상을 확보, 자회사로 편입하고 양자암호기술을 5G 등 이동통신에 적용하기 위한 연구를 공동으로 수행하고 있다.
    • 시큐리티
    2019.10.21 17:05
  • SK텔레콤, 유럽에 1천400㎞ 양자암호 통신망 구축
    ▲ IDQ가 스위스 제네바, 독일 베를린, 스페인 마드리드, 오스트리아 빈 등 총 14구간에 구축하는 OPEN QKD 프로젝트. [사진제공=SK텔레콤] 자회사 IDQ, EU 양자 플래그십 첫 프로젝트서 1위 공급사 선정 '퀀텀엑스체인지'와 함께 미국 최초의 양자암호 통신망도 구축 [시큐리티팩트=이원갑 기자] 복잡한 연산을 초고속으로 처리하는 '양자컴퓨터'와 해킹을 차단하는 '양자암호통신' 등 최근 양자 정보통신기술이 주목받고 있는 가운데, SK텔레콤이 유럽에 1천400㎞ 양자암호 통신망을 구축하게 된다. 유럽연합(EU)은 2028년까지 10억 유로(약 1조3천억 원)를 투자해 이 분야를 육성키로 했다. 올해는 첫 프로젝트로 유럽 주요국에 양자암호 시험망을 구축하는 사업을 진행하면서 사업 파트너로 SK텔레콤을 선택했다. SK텔레콤의 자회사인 IDQ의 그레고아 리보디 최고경영자(CEO)는 지난 17일(현지시간) 핀란드 헬싱키 파시토르니 회관에서 기자간담회를 열고 "EU 산하 양자 플래그십 조직(Quantum Flagship)이 처음 추진하는 OPEN QKD(오픈 양자키분배기) 프로젝트에 IDQ가 1위 공급사로 참여한다"고 밝혔다. 양자키분배기는 송신자와 수신자 양쪽에 위치해 통신망으로 양자를 주고받으며 해킹이 불가능한 암호키를 만든다. OPEN QKD 프로젝트에는 올해부터 3년간 총 1천500만유로(약 195억 원)의 예산이 투입된다. IDQ는 이번 프로젝트에서 스위스 제네바, 독일 베를린, 스페인 마드리드, 오스트리아 빈 등에 총 14구간의 양자암호 시험망을 구축하게 된다. 1구간 거리는 100㎞ 정도이므로 약 1천400㎞ 정도의 양자암호통신 시험망을 만들게 되는 셈이다. 이 프로젝트에서 6개 구간을 맡는 일본 도시바보다 두 배 이상 길다. 리보디 CEO는 "유럽은 양자(기술)에 투자를 적극적으로 추진하고 있다"면서 "이번 시험망 프로젝트를 거쳐 앞으로는 유럽 전체에 네트워크를 구축해 (사이버) 보안을 제공할 것"이라고 설명했다. IDQ는 작년에는 미국의 양자암호통신 구축 사업을 수주하기도 했다. 미국 양자통신 전문기업 '퀀텀엑스체인지'(Quantum Xchange)와 파트너십을 체결했고, 최근 미국 최초의 양자암호 통신망을 뉴욕과 뉴저지 사이에 구축했다. 이 통신망은 뉴욕 월스트리트의 금융정보를 지키는 데 활용된다. IDQ와 퀀텀엑스체인지는 내년에는 이 양자통신망을 워싱턴D.C.에서 보스턴까지 800㎞ 구간으로 확장할 예정이다. IDQ는 양자키분배기를 공급하고 퀀텀엑스체인지는 암호키 전송 거리를 확장하는 솔루션을 적용한다. 박진효 SK텔레콤 ICT기술센터장은 "5G 세상에는 모든 사물이 데이터화되는 만큼 보안이 절대적으로 중요해질 것"이라며 "양자암호통신이 대한민국의 '국보급 기술'로 거듭날 수 있게 지원을 아끼지 않을 계획"이라고 밝혔다.
    • 시큐리티
    2019.10.21 16:25
  • 강경화 장관, "사이버공간, 국제규범과 실질 협력 필요" 강조
    ▲ 8일 서울 종로구 포시즌스 호텔에서 열린 바르샤바 프로세스 사이버안보 워킹그룹 회의에서 강경화 외교부 장관이 개회사를 하고 있다. [사진제공=연합뉴스] '바르샤바 프로세스 사이버안보 워킹그룹 회의' 서울서 개최 [뉴스투데이=이원갑 기자] 강경화 외교부 장관은 8일 사이버 위협에 대처하기 위해서는 국제규범을 마련할 필요가 있다고 밝혔다. 강 장관은 이날 서울 포시즌스 호텔에서 열린 '바르샤바 프로세스 사이버안보 워킹그룹 회의' 개회사에서 "오늘 회의에서는 국제규범과 실질 협력이라는 두 가지 주요 주제에 대해 논의할 것"이라며 이렇게 말했다. 그는 "이 두 사항은 안전하고 안정적이고 접근이 편하고 평화로운 열린 사이버공간에 있어 필수적"이라고 강조했다. 그러면서 "가장 약한 고리만큼 강할 뿐이라는 말이 있다. 이것이 안전한 사이버공간을 위한 협력이 필요한 이유"라며 개발도상국의 사이버안보 역량 강화를 적극적으로 지원할 필요가 있음을 강조했다. 야체크 차푸토비치 폴란드 외교장관과 로버트 스트레이어 미 국무부 부차관보도 환영사를 통해 사이버위협에 대처해 국제협력을 강화해야 한다고 밝혔다. 한국과 미국, 폴란드가 공동 주최한 이번 회의는 지난 2월 바르샤바에서 열린 '제1차 중동 평화·안보 증진을 위한 장관급 회의(일명 바르샤바 프로세스)'의 후속조치로 설립된 7개 워킹그룹 중 하나다. 이날 회의에는 50여 개국 120여명의 정부 인사 및 전문가들이 참석해 사이버안보와 관련한 국제협력 강화 방안에 대해 논의했다.
    • 시큐리티
    2019.10.08 14:44
  • 미국·영국 등, “향후 10년 내 ‘사이버공격’이 사업 활동 최대 리스크”
    ▲ 지난 2017년 12월 3일 옌스 스톨텐베르크 나토 사무총장(오른쪽)이 세계경제포럼(WEF·다보스포럼)에 참석해 나토에 대한 사이버공격이 전년 대비 60% 증가했다고 밝혔다. [사진제공=연합뉴스] 세계경제포럼(WEF), 전 세계 141개국 사업가 12,879명 상대로 조사 [시큐리티팩트=이원갑 기자] 미국·영국 등 선진국 대열에 오른 나라들은 향후 10년 내 사업 활동 최대 리스크로 '사이버공격'을 꼽았다. 반면 한국은 '실업 및 불완전 고용'을, 일본은 '자연 재해'를 사이버공격보다 더 두려워했다. 지난 6일 세계경제포럼(WEF)이 전 세계 141개국 12,879명의 사업가를 상대로 조사한 보고서에 따르면, 향후 10년 내 국가별로 사업 활동의 최대 리스크 5가지를 묻는 질문에 선진국이 다수 포함된 북미·유럽 지역은 '사이버공격'을 최대 위험요인으로 꼽았다. 반면, 한국·일본·중국 등이 속한 동아시아·태평양 지역의 최대 위험요인은 '자연 재해'였고 '사이버공격'이 뒤를 이었다. 보고서는 자연 재해의 사례로 지난해 인도네시아를 강타한 지진 및 쓰나미와 일본의 대홍수를 언급했다. 하지만 한국의 경우 '실업 및 불완전 고용'을 가장 큰 위험 요인으로 지목했다. '기상이변'과 '인간이 만든 환경 재해'가 각각 2위와 3위에 올랐으며, '사이버공격'과 '국가 간 분쟁'은 공동 4위를 기록했다. 앙골라·말라위·보츠와나·카메룬·가나·케냐 등 사하라 이남 아프리카 나라들이 최대 리스크로 꼽은 '실업 및 불완전 고용'은 동아시아·태평양 지역에서는 한국과 브루나이가, 유럽에서는 스페인이 유일하게 1위로 꼽았다. 향후 10년 내 사업 활동 최대 리스크를 묻는 이번 조사에서 전 세계 평균은 '재정 위기'가 1위를 차지했으며 '사이버공격'과 '실업 및 불완전 고용'이 2위와 3위로 그 뒤를 이었다. 미국·영국·캐나다는 '사이버공격'과 '데이터 사기 및 절도'를 각각 1위와 2위라고 답했다.
    • 시큐리티
    2019.10.07 16:07
  • [사이버안보 진단](10) 국방부, 방산업체 망분리 정책 강요 대신 보안 신기술로 해법 찾아야
    ▲ 정경두 국방부 장관이 지난 7월 24일 서울 용산구 국방 컨벤션에서 열린 ‘2019년 전반기 방산업체 CEO 간담회’에서 참석자들과 인사하고 있다. [사진제공=연합뉴스] 한국은 세계에서 ICT 인프라가 가장 발달된 나라 중 하나로 꼽힌다. 하지만 보안에 대한 인식은 낮아 사이버공격을 무기화하는 일부 국가나 해커 조직들에게 무방비로 노출된 상태다. 뉴스투데이는 한국의 사이버안보를 강화하기 위해 정부와 군 차원에서 과연 무엇을 어떻게 해야 할지 짚어보는 ‘사이버안보 진단’ 시리즈를 시작한다. <편집자 주> 국방부, 사이버안보 위해 방산업체 ‘물리적 망분리’ 구축 의무화 [시큐리티팩트=김한경 안보전문기자] 박근혜 정부 당시 사이버안보를 위협하는 징후들이 여러 분야에서 다양하게 나타났다. 급기야 국방부 업무망이 상당기간 사이버공격에 노출된 정황이 드러났고, 대기업 방산업체들도 해킹을 당하는 사례가 빈발했다. 이에 정부는 사이버안보를 강화하는 차원에서 2016년부터 ‘방산업체 망분리’를 적극 추진했다. 이와 관련된 훈령도 2016년 12월 개정되어 방산업체들은 2017년 12월 말까지 인증기관에서 CC(국제공통평가기준) 인증을 받은 제품으로 ‘물리적 망분리 시스템’을 구축하도록 기본 원칙이 정해졌다. 이에 방산업체들은 수억 원에서 수십억 원을 투입해 물리적 망분리 시스템을 구축했지만 일부 업체들은 망분리 비용을 감당하지 못해 방산업체 자격을 스스로 포기했다. 물리적 망분리를 하게 되면 업무망(내부망)과 인터넷(외부망)이 물리적으로 단절돼 망간 접근경로가 완전히 차단됨으로써 궁극적으로 정보 유출을 막을 수 있다. 하지만 내부망과 외부망 간 자료 교환이 불가능해 업무 효율성이 크게 떨어진다. 따라서 망분리의 보안 목적을 충족하면서도 안전한 망간 자료전송을 위해서는 ‘망연계 솔루션’을 필수적으로 구축해야 한다. 하지만 망연계 솔루션을 구축해도 운용 방법에 따라 보안취약점은 여전히 남는다. 즉, 자료전송 절차가 불편하다는 이유로 보안정책을 완화하거나, 보안환경이 다른 외부망으로 자료전송을 요구하는 예외 신청을 과도히 승인하는가 하면, 보안담당자들의 업무 미숙과 과오·나태 등으로 망간 자료전송이 허술해져 물리적 망분리의 목적을 무색하게 만드는 사례도 발생한다. 대기업 계열 방산업체, 그룹 ERP와 망분리 못해 해킹에 취약 게다가 대기업 계열사인 방산업체의 경우, 그룹 계열사가 공통으로 사용하는 서버들을 물리적으로 분리하기에는 엄청난 비용 부담이 따른다. 예를 들어 그룹 계열사 전체의 자원을 관리하는 ERP(Enterprise Resource Planning) 서버를 물리적으로 망분리하려면, 전산실에 있는 각종 정보처리시스템 및 해당 시스템의 운영·개발·보안을 목적으로 접속하는 단말기 등 적게는 수십에서 1백여 대의 서버를 외부망과 분리해야 한다. 이렇게 망분리 구축 비용의 수십 배를 투자하여 ERP 서버를 물리적으로 분리한다는 것은 그룹 내부에서 도저히 수용하기 어려운 현실이다. 이러한 이유로 현재 방산 대기업들은 ERP 서버 등 방산과 민수가 공통으로 사용하는 시스템은 물리적 망분리를 하지 못한 상태다. 사실 상 이런 시스템들은 원활한 업무 수행을 위해 인터넷과도 연결돼 있어서 해킹 공격으로부터 안전하다고 볼 수 없다. 한편, 대다수 협력업체들은 체계종합업체인 방산 대기업과 협업 시 자료 교환을 위해 인터넷 메일을 사용한다. 이러한 상용 메일의 보안취약점을 해소하기 위해 ‘협력업체 보안 솔루션’을 구축해 운용하는 대기업도 있다. 하지만 여러 체계종합업체들과 자료를 교환해야 하는 협력업체들은 체계종합업체별로 다른 보안 프로그램을 사용할 경우, 충돌이 발생해 보안솔루션이 제대로 활용되지 않는 경우가 많다. 더구나 방산업무와 민수업무를 병행하는 대기업일수록 글로벌 영업망을 유지하려면 해외지사와 인터넷을 사용하지 않고 업무를 수행하기는 어렵다. 그런데 해외지사를 위한 별도의 전용망을 구축하려면 너무 많은 비용이 들기 때문에 인터넷 기반의 가상사설망인 VPN(Virtual Private Network)을 주로 사용한다. VPN은 인터넷 상에 별도의 가상 폐쇄망을 만드는 기술이지만, VPN 터널을 개통하려면 인터넷에서 인증을 받게 돼 해킹으로부터 안전하지 않다. 김승주 고려대 교수, “물리적 망분리, 4차 산업혁명 개념과 모순돼” 보안전문가인 김승주 고려대 정보보호대학원 교수는 “물리적 망분리를 하면 인터넷을 이용해 업무망에 접속할 수 없어 스마트워크(원격 근무)나 클라우드 서비스 도입이 불가능하다. 더 큰 문제는 인터넷으로 모든 것이 연결되는 4차 산업혁명의 개념이 본질적으로 물리적 망분리 정책과 맞지 않는다”라고 주장한다. 즉 외부와 인터넷을 기반으로 연결 및 융합이 이루어져 업무가 수행되는 초연결 시대에 업무 환경은 고려하지 않고 오로지 보안만 생각해 물리적 망분리를 추진하는 것은 시대착오적이란 얘기다. 지금은 외부와 안전한 연결을 제공하면서 정보보호가 되는 보안 및 망분리 신기술을 을 찾아 지속적으로 보완하는 지혜가 필요한 시대다. 더구나 방산업체는 국가안보를 위해 무기를 만들지만 이윤을 추구하는 기업이다. 따라서 이윤을 창출하는 투자는 환영해도 비용의 지출은 꺼리게 마련이다. 망분리 시스템 구축은 투자가 아니라 비용으로 간주되기 때문에 방산업체는 최소의 비용으로 정부가 요구하는 보안요건만 충족하려고 노력한다. 향후 해킹사고가 발생해 예기치 않은 위기에 처할 수도 있지만, 경영진은 요행을 바라면서 보안에 대한 우선순위를 두지 않는 경향이 농후하다. 국방부 또한 방산업체의 보안을 강화한다며 법규나 지침을 만들지만, 정작 자신들은 신기술을 이해하거나 받아들이지 못하고 낡은 규정에 얽매여 있다. 따라서 경제적이고 효율적인 보안 신기술이 나와도 기존 규정에 명시된 기술 유형이 도입을 차단하는 ‘사전 규제’로 작용한다. 결국 기업은 진짜 해법보다 비용을 적게 들여서 규제만 피하는 방법을 따르게 된다. 보안 전문가들, “방산업체 보안시스템 구축은 자율에 맡겨야” 이와 같이 방산업체들이 엄청난 예산을 들여 물리적 망분리를 했지만, 망연계 시스템 운용 간 보안취약점은 여전히 풀어야 할 숙제다. 게다가 협력업체와 자료전송을 위한 ‘협력업체 보안 솔루션’ 개발 없이 내부망을 외부망과 완전 격리시키는 것은 불가능하다. 따라서 국방부는 이러한 문제 해결을 위해 상용 보안 신기술의 신속한 도입과 개발을 적극 지원해야 한다. 보안 전문가들은 “국방부가 망분리 방식을 규정하지 말고, 보안이 강화되는 시스템을 구축하라는 원칙만 얘기하라”고 말한다. 그들은 “방산업체가 자신들의 업무 여건과 정보통신 환경에 가장 적합한 망분리 방식과 보안기술을 스스로 찾도록 하되, 이를 제대로 보완하지 않아 해킹 사고가 발생하면 강력히 책임을 묻는 구조가 바람직하다”고 목소리를 높인다. 이미 금융권에서 그 방향을 제시하고 있다. 금융권도 과거에 정부 주도의 방식을 시행하다가 문제가 나타났고, 이후 관련 법규를 개정해 스스로 보안을 책임지는 풍토로 변모하고 있다. 이런 분위기가 방산업계에도 자리를 잡으면 업체들은 사이버보안에 실질적 관심을 갖고 투자하게 되고, 그런 노력이 지속될 때 사이버위협에서 벗어날 수 있으며 보안 산업도 발전한다.
    • 시큐리티
    2019.09.23 14:58
  • [사이버안보 진단](9) 국제협력의 핵심은 부다페스트 협약 가입과 한·미 협력
    ▲ 지난 4일 서울 중구 롯데호텔에서 열린 국방차관급 다자안보 협의체인 '2019 서울안보대화(SDD)'에서 '사이버워킹그룹' 회의 참가자들이 기념촬영을 하고 있다. [사진제공=연합뉴스] 한국은 세계에서 ICT 인프라가 가장 발달된 나라 중 하나로 꼽힌다. 하지만 보안에 대한 인식은 낮아 사이버공격을 무기화하는 일부 국가나 해커 조직들에게 무방비로 노출된 상태다. 뉴스투데이는 한국의 사이버안보를 강화하기 위해 정부와 군 차원에서 과연 무엇을 어떻게 해야 할지 짚어보는 ‘사이버안보 진단’ 시리즈를 시작한다. <편집자 주> 사이버스페이스 총회와 사이버 워킹그룹으론 국제협력 성과 미약 [시큐리티팩트=김한경 안보전문기자] 정부는 지난 4월 발간한 ‘국가사이버안보전략’에서 6가지 전략과제 중 하나로 ‘사이버안보 국제협력 선도’를 제시했다. 그리고 이 과제를 위해 국제적 파트너십 강화를 통해 실질적 협력방안을 모색하는 ‘양·다자 간 협력체계 내실화’와 국제규범 형성을 주도하는 ‘국제협력 리더십 확보’를 추진방안으로 내세웠다. 이와 관련, 우리나라는 지난 2013년 제3차 사이버스페이스 총회를 서울에서 개최했다. 2011년 영국에서 시작된 사이버스페이스 총회는 사이버 분야와 관련된 문제를 포괄적으로 논의하는 국제회의다. 회원국이란 틀이 없이 정부기관, 국제기구, 시민단체, 기업, 학계 등 다양한 이해관계자가 참여해 공론의 장을 마련하는데 의미를 두며, 한국은 핵심적 참여자에 속한다. 지난 4일 열린 ‘서울안보대화(SDD)’의 첫 행사는 ‘사이버 워킹그룹’ 회의였다. 2014년부터 한국 주도로 시작된 사이버 워킹그룹은 사이버안보에 특화된 전문가 대화체로 사이버 현안에 대한 의견과 경험을 공유하며 신뢰를 구축하는 다자 대화의 장이다. 올해로 6회를 맞는 이 회의에 20여 개국 140여 명의 국방관료와 민간 전문가가 참가했다. 하지만 우리나라가 적극적으로 참여하는 사이버스페이스 총회나 SDD의 사이버 워킹그룹 모두 대화의 장 마련에 의미가 있다. 즉 대다수 논의가 의견교환 수준에 머물러 국제규범을 만들고 함께 대처하는 등 실질적인 성과는 도출되기 어렵다. 따라서 좀 더 적극적인 정부 차원의 노력이 이루어져야 국제협력 리더십 확보가 가능하다는 지적이 제기된다. 사이버범죄 규정한 부다페스트 협약 가입해야 국제협력 성과 나와 이와 관련해 우선 부다페스트 협약 가입 필요성이 거론된다. 이 협약은 인터넷을 이용한 모든 범죄행위를 상세히 규정하고 처벌하도록 한 최초의 국제협약이다. 2001년 열린 부다페스트 회의에서 출발된 사이버범죄 협약이어서 ‘부다페스트 협약’으로 불린다. 2004년부터 공식 발효됐고, 현재 전 세계 50여 개국이 가입했지만 우리나라는 아직 가입하지 않았다. 여기에 가입하면 가입된 국가들끼리 각국에서 겪고 있는 사이버범죄에 대해 핫라인이 설치돼 공동으로 대처할 수 있게 된다. 우리나라는 2013년부터 협약 가입 여부를 논의해 왔으나 부처 간 의견이 달라 결론을 내지 못했다. 올해 1월 외교부 당국자가 “부다페스트 협약 가입을 검토 중”이라고 밝힌 상태다. 우리나라가 ‘국가사이버안보전략’에서 제시한대로 국제규범 형성을 주도해 국제협력 리더십을 확보하려면, 우선 사이버범죄를 다루는 부다페스트 협약에 가입하는 것이 급선무이다. 손영동 한양대 교수도 “부다페스트 협약에 가입하는 것이 사이버안보를 위한 국제협력의 시작이니 여기에 집중해야 한다”고 주문했다. 일본처럼 미국과 사이버안보 위한 양자 간 실질적 협력 추진 절실 한편, 2015년 4월 미국과 일본은 미·일 방위협력을 위한 지침, 일명 ‘가이드라인 2015’를 함께 발표했다. 아·태 지역 안보에 대한 공동의 목표와 대응방식을 담은 이 가이드라인에서 양국은 상호 협력의 범위를 우주 및 사이버공간까지 확장시켰다. 사실 미국은 사이버방어를 위한 국제규범 확립을 서두르면서 그동안 일본과 긴밀한 협력관계를 만들어왔다. 2015년 6월 “미국이 이른바 ‘사이버 우산’을 일본까지 연장해 제공하기로 합의했다고 미·일 안보 당국이 밝혔다”는 언론 보도가 있었다. 당시 나카타니 겐 일본 방위상은 미국과 공동성명에서 “사회기반시설 뿐만 아니라 일본 자위대와 미군 시설에 대한 다양한 사이버위협을 해결하기 위해 공조할 것”이라고 힘주어 말했다. 이에 대해 국방 정책에 정통한 한 예비역 장성은 “사이버 우산이란 용어는 언론이 임의로 사용했을 것”이라면서 “그런 표현은 ‘핵’처럼 자국의 능력이 없어 전적으로 타국에 의존할 때만 쓸 수 있다”고 말했다. 그는 “한국도 미국과 사이버 분야 협력을 논의해 왔고, 한·미 사이버정책위원회도 있다”고 말했지만 “그동안 실질적 협력은 진행되지 않았다”라고 덧붙였다. 따라서 ‘국가사이버안보전략’에서 제시한 양·다자 간 협력체계 내실화 차원에서 “일본처럼 미국과 사이버안보를 위한 실질적 협력을 추진해야 한다”는 목소리가 높아지고 있다. 손영동 교수도 “사이버공간의 길은 인터넷이다. 미국이 인터넷을 만들었고 여전히 영향을 미치는 나라이므로 미국과 협력이 최우선돼야 한다”고 강조했다.
    • 시큐리티
    2019.09.13 16:29
  • 한국 주도한 보안 관련 권고안 4건 국제표준 사전 채택
    ▲ 이번 ‘ITU-T SG17’ 국제회의에서 보안 관련 권고안 4건 사전 채택을 이끌어낸 국립전파연구원. [국립전파연구원 홈페이지 캡처] ‘ITU-T SG17’ 회의에서 결정...지능형자동차 보안, 양자암호통신 등 ‘분산원장 기술’ 관련 신규 표준화 과제 4건도 제안해 통과시켜 [시큐리티팩트=김한경 안보전문기자] 과학기술정보통신부 국립전파연구원은 8월 27일부터 9월 5일까지 스위스 제네바에서 열린 ‘ITU-T SG17’ 국제회의에서 한국 주도로 개발한 지능형자동차 보안, 양자암호통신, 스마트그리드 권고안 등 4건이 국제표준으로 사전 채택됐다고 6일 밝혔다. ITU-T(국제전기통신연합 전기통신표준화 부문)는 전화·인터넷 등 네트워크와 사물인터넷(IoT), 빅데이터, 정보보호 등 관련 정보통신기술 및 활용, 요금 정산 등 분야의 국제표준 권고를 제정하는 정부 간 국제기구다. SG(Study Group)17은 보안 관련 ITU-T 권고 표준의 제·개정 활동을 수행하는 연구그룹을 말한다. 첫 번째 권고안인 'V2X 통신 환경 보안 가이드라인'(X.1372) 국제표준은 자율주행자동차 서비스에 가장 기본이 되는 차량 통신에 대한 보안기술을 정의하는데, V2X 통신은 차량과 차량, 차량과 교통인프라, 차량과 모바일기기, 차량과 보행자 간의 통신을 의미한다. 본 표준은 2014년부터 한국전자통신연구원, 현대자동차, 카카오모빌리티 주도로 개발됐다. 각 통신 간 보안 위협, 보안 요구사항 및 이용사례를 정의하고 있어 자율주행차를 연구하는 산업체의 제품 개발, 중복투자 방지 및 자동차 안전성 확보에 유용한 자료로 활용될 전망이다. 두 번째 권고안인 '커넥티드 카 보안 위협 정의'(X.1371) 국제표준은 지능형 자동차 보안서비스를 제공하기 위한 이용사례를 정의하고, 각 사례에서 발생할 수 있는 보안 위협을 식별하고 정의한다. 본 표준은 지능형 자동차 보안을 위한 외부 해킹, 백엔드 서버, 통신 채널, 업데이트 절차 등을 고려한 보안 위협을 식별 및 정의하고 있어 향후 국내 차량 보안 연구에 활용돼 기술적 우위를 확보함으로써 수출에도 도움이 될 것으로 기대된다. 세 번째 권고안인 '양자 잡음 난수생성기 구조'(X.1702) 국제표준은 세계 최초로 보안 관점에서 양자 기술을 적용한 난수 생성 방법을 정의한다. 본 표준은 2018년부터 SKT 주도로 개발됐으며, 예측이 불가능하고 패턴이 없는 순수 난수를 생성하는 양자 기술로서 사물인터넷, 자율주행차, 스마트시티 등 최첨단 서비스의 보안성을 강화할 것으로 기대된다. 네 번째 권고안인 '스마트 미터링 서비스 보안 가이드라인'(X.1332) 국제표준은 스마트그리드 환경에서 사용자의 스마트 미터(스마트 계량기)로부터 수집한 데이터를 안전하게 활용하기 위한 보안 대책을 정의한다. 스마트그리드는 전기공급자로부터 전기 소비자 전 구간에 전기 사용량 및 품질 정보를 원격 자동화해 효과적인 전기 공급을 관리해주는 서비스를 의미한다. 본 표준은 2016년부터 국가보안기술연구소 주도로 개발됐고, 최근 국내 에너지 신산업 계획을 통해 확대되고 있는 전력에너지 빅데이터 공동 활용에 응용될 것으로 기대된다. 한편, 이번 회의에서 한국은 ‘분산원장 기술 용어 정의’ 표준을 비롯한 신규 표준화 과제 4건을 제안하여 통과시켰으며, 향후 블록체인 기술을 비롯한 보안기술 연구 개발에 우리나라 표준화 입지가 더욱 확대될 것으로 기대된다. 이경희 국립전파연구원 국제협력팀장은 이번 국제회의 성과를 근거로 “ITU-T 내에 정보보호 분야에서 한국의 위상을 다시금 확인했고, 국내 정보보호 산업의 국제 시장 경쟁력 향상에 크게 기여할 것으로 기대된다”고 밝혔다.
    • 시큐리티
    2019.09.07 16:32
  • [사이버안보 진단](8) 사이버보안 신기술, 인증 평가기준이 족쇄로 작용
    ▲ CC 인증과 보안적합성 검증으로 인해 보안 기업이 겪는 애로를 과기정통부와 함께 해결할 수 있는 실질적인 기관인 국가정보원 전경. [국가정보원 홈페이지 캡처] 한국은 세계에서 ICT 인프라가 가장 발달된 나라 중 하나로 꼽힌다. 하지만 보안에 대한 인식은 낮아 사이버공격을 무기화하는 일부 국가나 해커 조직들에게 무방비로 노출된 상태다. 뉴스투데이는 한국의 사이버안보를 강화하기 위해 정부와 군 차원에서 과연 무엇을 어떻게 해야 할지 짚어보는 ‘사이버안보 진단’ 시리즈를 시작한다. <편집자 주> 정부·공공기관 및 국방에 제품 도입하려면 ‘국내용 CC 인증’ 필요해 CC 인증 제품 아닌 시스템과 네트워크 장비 ‘보안적합성 검증’ 받아야 [시큐리티팩트=김한경 안보전문기자] 사이버보안의 획기적인 신기술이 개발되더라도 정부·공공기관 또는 국방 영역에 그 기술이 반영된 제품이나 솔루션을 도입하려면 정부가 법적으로 인정한 권한을 가진 기관으로부터 ‘CC(Common Criteria, 공통평가기준) 인증’ 또는 국가정보원이나 군사안보지원사령부의 ‘보안적합성 검증’을 받아야 한다. CC 인증은 정보보호제품의 보안성을 평가기관에서 평가하고 이에 대한 결과를 인증기관에서 인증하는 제도다. 한국인터넷진흥원·한국시스템보증·한국정보통신기술협회·한국정보보안기술원 등 6개 기관에서 평가하고, 국가보안기술연구소 IT인증사무국이 인증업무를 담당하는데, 국제상호인정협정(CCRA) 회원국이 공통으로 사용하는 평가기준 및 평가방법론을 적용한다. CC 인증은 국제용과 국내용으로 구분된다. 우리나라는 CCRA 회원국이어서 CCRA에서 정한 기준 및 절차를 엄격히 준수한 국제용 CC 인증서를 발급할 권한이 있다. 국제용 CC 인증은 CCRA 회원국 상호간 인정된다. 하지만 국제용 CC 인증을 받으려면 시간과 비용이 많이 들어 우리나라에서만 인정되는 국내용 CC 인증도 함께 운영하고 있다. 보안적합성 검증은 국가정보원에서 정부·공공기관이 도입하는 정보보호시스템과 네트워크 장비에 대한 안정성을 검증하는 제도다. 단일 정보보호제품이 아닌 시스템과 네트워크 장비를 사용하려면 국가정보원의 보안적합성 검증 절차를 따라야 하며, 국방 분야는 이 권한이 군사안보지원사령부에 위임돼 있다. 도입 기관들은 국정원이나 군사안보지원사의 보안적합성 검증을 받은 후, 이 과정에서 발견된 취약점을 해결한 다음 해당 정보보호시스템 또는 네트워크 장비를 운영해야 한다. 또 국정원이 필요성을 인정하는 24개 정보보호시스템 유형은 CC 인증 제품을 반드시 사용해야 한다. 따라서 정부·공공기관 및 국방 분야에 납품하려면 최소한 국내용 CC 인증은 받아야 한다. 보안 신기술, 24개 정보보호 유형과 기존 평가기준으로 평가 어려워 그러면 24개 정보보호시스템 유형에 해당하지 않는 보안 신기술일 경우 어떻게 해야 할까? 또 24개 유형에 포함되더라도 새로운 기술이라서 기존 평가기준과 방법으로는 평가가 어려울 경우 해법은 무엇일까? 이에 대해 국정원 관계자는 “도입하려는 기관에서 먼저 시스템을 구축하고, 보안적합성 검증을 받으면 가능하다”고 말한다. 이와 관련, 새로운 개념의 보안 신기술을 개발한 한 업체 대표는 CC 인증을 받기 위해 자신의 제품을 과기정통부에 문의하자, “24개 유형에 해당하지 않아 CC 인증은 어려우며, 도입하려는 기관에서 국정원의 보안적합성 검증을 받으면 된다”는 얘기를 들었다고 했다. 하지만 현실은 어떤 기관도 그런 모험을 시도하는 실무자가 거의 없다는 것이다. 이 기업의 대표는 과거 국정원에서 CC 인증 업무를 담당했던 고위관계자도 만났다. 그로부터 “24개 유형은 보안에 관한 모든 것을 커버하는 고속도로”라면서 “신제품은 그 고속도로에 차선을 그리는 일이므로 국정원과 과기정통부가 협의하면 가능함에도 선례가 없다는 핑계로 기피하는 것”이라는 얘기를 들었다고 한다. 보안적합성 검증 대신하는 ‘시험성적서 발급’에도 한계 존재해 국방 분야, 국정원 보안적합성 검증 받았어도 다시 검증 거쳐야 보안적합성 검증 대신 시험성적서를 발급받는 방법도 있다. 과거에 국정원이 네트워크 장비를 대상으로 실시하던 것을 2016년부터 정보보호제품으로 확대한 제도다. 공인된 시험기관으로부터 보안기능 평가를 거쳐 시험성적서를 발급받은 네트워크 장비와 정보보호 제품은 정부·공공기관에 도입되더라도 보안적합성 검증을 별도로 받지 않는다. 하지만 이런 시험기관들도 신기술에 대해서는 “시험성적서를 내줄 제품이 아닌 것 같다”는 애매한 답변으로 일관한다. 따라서 신기술은 시험성적서 발급도, 평가기관들의 평가를 통한 인증서 발급도 쉽지 않은 상황이다. 결국 아무리 획기적인 보안 신기술이 나와도 기관장이 책임을 지겠다는 자세로 결심하지 않는 한 도입이 어려운 실정이다. 국방 분야에 진출하려는 기업은 과정을 한 단계 더 겪어야 한다. 국방 분야의 인증 권한은 앞서 언급했듯이 군사안보지원사가 갖고 있다. 따라서 국정원의 보안적합성 검증을 통과했더라도 다시 군사안보지원사의 검증을 받아야 한다. 군사안보지원사 정보보호인증센터 관계자는 “이 경우 서류 검토로 끝나기 때문에 시간은 오래 걸리지 않는다”고 말했다. 하지만 이미 검증을 받았더라도 시스템 구성이나 제품 사양이 변경되면 얘기는 달라진다. 이 경우 달라진 부분은 다시 보안적합성 검증 과정을 거쳐야 한다. 안보지원사는 2017년에 정보보호인증센터가 만들어져 국정원보다 축적된 경험과 노하우가 부족하기 때문에 국정원과 협의하면서 부족한 부분은 지원 받는다고 센터 관계자는 말했다. 보안기업, 소통 창구 개설되지 않아 애로...기존 틀에 맞지 않아 막막 정부, 신기술 테스트해 도입할 길 열고 관련업무 전담조직도 만들어야 CC 인증과 보안적합성 검증을 받는 과정에서 보안 기업들이 가장 힘들어 하는 것은 전문적인 분야임에도 소통 창구가 제대로 개설되지 않아 어느 기관 누구를 통해서 접근해야 할지 모른다는 것이다. 여러 번 시행착오 끝에 인증과 검증 절차를 알게 되더라도 기존 제도의 틀에 맞지 않을 경우 또 다시 막막한 상황에 부딪히게 된다. 정부가 CC 인증을 받도록 제도화하고 국정원과 군사안보지원사가 보안적합성 검증을 실시하는 근본 이유는 해당 시스템의 보안성을 높이기 위해서다. 그런데 보안성을 높일 수 있는 신기술들이 제도의 걸림돌 때문에 도입되지 못하는 이율배반적 상황이 만들어진다. 이 때 가장 바람직한 해결책은 무엇일까? 결국 정부가 나서서 신기술의 테스트베드를 만들고, 우리만의 평가기준과 방법을 개발해 테스트를 통과하면 그것을 근거로 정부·공공기관과 국방에서 도입할 수 있도록 길을 열어줘야 한다. 언제까지 남이 만들어주길 바라고 그것이 족쇄가 돼서 세계적인 신기술을 개발하고도 국내에서 적용하지 못하는 상황을 보고만 있을 것인가? 이를 지원하기 위해 전문성을 가진 조직이 관련부처 산하에 별도로 만들어져야 하고 보안 기업들과 유기적인 소통도 이뤄져야 한다. 그래야 우수한 기술력을 가진 보안 벤처기업들이 국내에서 레퍼런스를 만들고, 이를 바탕으로 해외로 진출할 기회를 갖게 된다. 정부가 한·일 갈등으로 국내 기업의 중요성을 인식한 지금이 추진할 적기다.
    • 시큐리티
    2019.09.03 16:23
  • [사이버안보 진단] (7) 사이버위협에 노출된 국방부, 하루빨리 ‘버그바운티’ 도입해야
    ▲ 우리나라 국방부가 사이버 위협에 노출돼있음에도 불구하고 적극적인 대응시스템 구축이 부족하다는 지적이 높다. 사진은 지난 2016년 9월 10일 서울 마포구 상암동 한국지역정보개발원 내 사이버침해대응지원센터 상황실에서 북한의 5차 핵실험 이후 사이버 위협에 따른 휴일 비상근무를 하고 있는 모습. [사진제공=연합뉴스] 한국은 세계에서 ICT 인프라가 가장 발달된 나라 중 하나로 꼽힌다. 하지만 보안에 대한 인식은 낮아 사이버공격을 무기화하는 일부 국가나 해커 조직들에게 무방비로 노출된 상태다. 뉴스투데이는 한국의 사이버안보를 강화하기 위해 정부와 군 차원에서 과연 무엇을 어떻게 해야 할지 짚어보는 ‘사이버안보 진단’ 시리즈를 시작한다. <편집자 주> 미 국방부, ‘버그바운티’ 도입해 보안 취약점 찾는 해커에게 포상 [시큐리티팩트=김한경 안보전문기자] 2015년 8월 한국 20대 초반의 해커 팀(DEFKOR00T)이 세계 최고의 해킹방어대회인 ‘데프콘(DEFCON)’에서 최초로 우승했다. 1년 뒤인 2016년 8월 카네기멜론대학 연구팀이 만든 인공지능 컴퓨터 ‘메이헴(Mayhem)’은 미국 방위고등연구계획국(DARPA)이 개최한 인공지능 해킹방어대회인 ‘사이버그랜드챌린지(CGC)’에서 우승했다. 메이헴은 곧바로 데프콘에 참가해 인간 해커 팀들과 자웅을 겨뤘고, 비록 하위권에 머물렀지만 가능성을 충분히 인정받았다. 당시 한 보안업계 관계자는 "이번 데프콘을 계기로 인공지능이 해킹방어대회 우승을 차지하는 날이 점차 가까워질 것"이라고 내다봤다. 이와 같이 미국은 해킹에 악용될 수 있는 보안 취약점을 자동으로 찾아주는 로봇을 개발하고 있다. 미국 국방부는 2016년부터 자체 시스템을 대상으로 화이트 해커들이 보안 취약점을 찾아내면 포상금을 지급하는 ‘버그바운티(bug bounty)’ 행사를 'Hack the Pentagon'이란 이름으로 시행하고 있다. 사이버전에서는 상대 시스템의 보안 취약점을 많이 파악할수록 확실한 군사적 우위를 차지할 수 있기 때문이다. 첫 행사에서 전 세계 50개국 해커 1410명이 버그(보안 취약점) 138개를 찾아냈고 7만 5000달러가 포상금으로 지급됐다. 이 행사 이전에 미 국방부는 전문업체에게 3년간 500만 달러의 거액을 주고 겨우 10개의 버그를 찾았다. 버그바운티 행사가 비용대비 효과가 매우 뛰어나자 미국은 공군과 연방 정부 등으로 버그바운티를 확대했다. KISA, 미 국방부 버그바운티 벤치마킹한 'Hack the KISA' 개최 한국 국방부, 시스템의 보안 취약점 파악하려는 노력 없어 한국도 2018년 11월 한국인터넷진흥원(KISA)이 미국 국방부의 버그바운티 행사를 참고해 'Hack the KISA'를 개최했다. KISA에서 실제 운영하는 5개의 웹 사이트를 대상으로 진행한 버그바운티 행사에서 유효한 보안 취약점 60개를 찾아내 28명에게 2,555만 원의 포상금을 지급했다. KISA는 국내 기업들의 버그바운티 참조 모델을 만들어 국내에 버그바운티 프로그램을 활성화시키는데 목적이 있다고 행사 개최 이유를 밝혔다. 민간의 이런 움직임에 비해 한국 국방부는 아직도 버그바운티 프로그램을 도입하지 않고 있다. 따라서 자체 시스템에 어떤 보안 취약점이 있는지 알지 못한다. 취약점이 파악돼야 보완이 이루어져 사이버방어가 튼튼해지는데도 이런 노력을 하지 않는 이유는 무엇일까? 일각에서는 “버그바운티 행사를 기획했다가 예상치 못한 취약점이 드러나 책임질 상황이 초래될 것을 우려하기 때문”이란 주장이 제기됐다. 또 “포상금을 많이 줄 수 없어 행사 효과보다 해커에게 취약점 노출 기회만 제공할 수 있다”는 의견도 나온다. 손영동 교수, “정보 공유, 침해사고 대응과 확산 방지에 결정적 역할” 버그바운티 행사를 통해 수집되는 정보통신망·정보통신기기·소프트웨어의 보안 취약점 관련 정보 외에도 사이버공격에 관한 정보, 악성코드 및 이와 관련된 정보 등 수집해야 할 사이버위협 정보는 다양하다. 이러한 위협정보를 필요한 조직끼리 공유하는 것은 사이버방어에 대단히 중요하다. 손영동 한양대 교수는 “침해사고가 발생했을 때 신속한 정보 공유는 국가 차원의 대응과 피해 확산을 방지하는데 결정적 역할을 한다”고 강조했다. 현재 정보 공유에 가장 심혈을 기울이는 나라는 미국이다. 미국은 자국에 대한 사이버공격 표적이 군사시설은 물론 통신·전력·교통 등 사회기반시설로 보고 이에 대한 보안을 법제화했다. 정부기관의 사이버위협 정보 수집과 공유는 국토안보부(DHS) 산하의 국가사이버보안정보통합센터(NCCIC)가 관문 역할을 하고 있다. 민간 부문의 위협정보는 2015년 2월 대통령 행정명령으로 설립된 정보공유분석기구(ISAO)가 관장한다. 이를 제도적으로 뒷받침할 ‘사이버안보정보공유법(CISA)’이 2015년 12월 시행됐다. 이 법은 정보공유 절차를 명확히 하고 참여기관 간 정보공유 과정에서 발생할 수 있는 일부 부작용에 대해 소송의 원인이 되지 못하는 면책권을 부여하고 있다. 한국, 침해사고 터질 때마다 부문별 보유 위협정보 공유 주장 제기 한국은 대규모 사이버침해사고가 터질 때마다 각 부문별로 보유하고 있던 위협정보를 통합·공유해야 한다는 주장이 제기돼왔다. 특히 사이버공격이 공공부문보다 보안이 허술한 민간부문을 이용하는 경향이 두드러지자, 과학기술정보통신부는 2014년 8월 KISA를 통해 민간부문의 위협정보를 공유하는 사이버위협정보 분석·공유시스템(C-TAS)을 구축했다. 같은 시기에 행정안전부는 중앙부처와 지자체가 참여하는 사이버침해대응센터를 국가정보자원관리원과 한국지역정보개발원 산하에 만들었고, 금융위원회는 2015년 4월 금융보안원 산하에 은행·증권 등 금융기관이 참여하는 통합보안관제센터를 만들었다. 기반시설관리기관은 이미 2002년 3월부터 정보공유분석센터(ISAC)를 구축해 정보를 공유해오고 있다. 국방부는 자체적으로 안보지원사와 사이버작전사, 각 군의 사이버작전센터 및 사이버방호조직 사이에 위협정보를 공유하고 있다. 군이 활용하는 위협정보의 대부분은 국가기관과 민간에서 수집된 정보로서 주로 국정원, 경찰청, KISA 등을 통해 받게 되며, 군 자체적인 활동으로 수집된 위협정보는 일부에 지나지 않는 것으로 알려졌다. 정부기관 간 정보 공유 취약...미국처럼 정보공유법 도입 검토해야 이처럼 국가기관 및 민간부문은 상호 연관된 조직끼리 침해사고 정보를 단편적으로 공유하는 수준에 머물러 있다. 또 부처별, 산업별로 제각기 정보공유시스템을 구축함으로써 효율성이 떨어지고 상호간 정보 공유도 잘 되지 않는다. 게다가 정보 가치에 대한 객관적 판단 기준이 모호하고 정보 제공에 대한 피드백이나 보상이 없어 정보 공유가 활성화되지 못하는 상황이 지속되고 있다. 이런 문제를 인식한 정부는 2015년 12월 전 부문의 위협정보를 통합하기 위해 유관부처가 합동으로 ‘국가 사이버위협 정보공유시스템(NCTI)’을 구축했다. 2016년 6월 전체 중앙행정기관이 연결됐고, 광역지자체와 공공기관을 대상으로 연결을 확대하고 있다. 또 첨단기술 보유기업, 방위산업체, KISA, 금융보안원 등에도 제공하고 있다. 이와 같은 사이버위협 정보 공유의 중심에 국정원이 있다. 한 보안 전문가는 “정말 필요한 정보가 관련 부처 및 기관 간에 공유되려면 상호 신뢰를 바탕으로 원활한 소통이 이뤄져야 한다”면서 “각각의 입장과 여건을 고려한 국정원의 실질적인 역할이 필요하다”고 말했다. 가장 큰 과제는 정부와 민간 기업 사이의 정보 공유다. 기업은 법적 보호 없이는 정보를 공유할 수 없다고 생각한다. 좋은 의미로 정보를 제공했다가 불이익을 당할 수도 있기 때문이다. 하지만 우리는 아직 미국처럼 정보공유법이 도입되지 않았다. 따라서 정보공유 활성화를 위한 법적 근거를 마련하고 정보제공 기관 및 기업들이 혜택을 받을 수 있도록 해야 한다.
    • 시큐리티
    2019.08.23 16:01
  • 국내 이공계 최상위권 인맥 형성 산실된 ‘과학기술전문사관’
    ▲ 과학기술정보통신부가 16일부터 다음달 16일까지 ‘제6기 과학기술전문사관 후보생’을 모집한다. [사진제공=과학기술정보통신부] 과기정통부, ‘탈피오트’ 벤치마킹한 과학기술전문사관 후보생 모집 후보생 기간 중 매년 등록금 전액과 전문역량 개발비 500만원 지원 [시큐리티팩트=김한경 안보전문기자] 과학기술정보통신부가 국내 이공계 최상위권 인맥 형성의 산실로 발전하고 있는 ‘과학기술전문사관’ 제6기 후보생을 16일부터 다음달 16일까지 공개 모집한다. 과학기술전문사관은 과기정통부가 국방부와 함께 이스라엘의 엘리트 과학기술전문장교 양성 프로그램인 ‘탈피오트’ 제도를 벤치마킹하여 마련한 제도다. 이공계 분야의 뛰어난 인재들을 선발, 소정의 교육을 거쳐 장교로 임관시킨 후 국방과학연구소에서 3년간 연구개발을 수행함으로써 군 복무로 인한 경력단절 없이 해당분야의 전문성을 배양하고 전역 후 취·창업까지 연계하자는 취지다. 과학기술전문사관 후보생으로 선발되면 대학 재학 중 국방과학교육·창업전문교육·국방과학연구소 현장실습 등 추가 의무교육을 받아야 하며, 후보생 기간 중 매년 등록금 전액과 전문역량 개발비로 500만원의 장학금을 지원 받는다. 2014년에 최초로 1기 후보생을 선발했다. 당시에는 KAIST, 포항공대, 광주과학기술원(GIST), 울산과학기술원(UNIST)의 전기, 전자, 컴퓨터, 기계, 항공, 순수과학(물리, 화학 등) 계열 전공을 선택한 학생만 지원할 수 있었다. 2015년에는 여기에 대구경북과학기술원(DGIST)이 추가됐고, 2017년 4기 모집부터 이공계열에 일정 범위의 학기를 이수한 재학생이라면 다른 조건 없이 지원할 수 있게 됐다. 매년 이공계 분야 전체에서 20-25명을 선발하고 있는데, 3기까지는 과기특성화대학교와 대통령과학장학금 및 이공계장학금 수여자가 지원 자격 기준이어서 국내 이공계 최상위권 인맥이 자연스럽게 형성된다. 한 기수의 전자전기 계열 중에 카이스트, 포스텍, 유니스트 수석이 모두 배출된 선례가 있다. 또 학부 시절에 SCI급 논문 1저자로 게재되거나 세계대회에서 수상한 사람들도 있으며, 해외 대학에서 박사과정 장학금을 포기하고 지원한 사람도 있다고 한다. 이번에 선발되는 과학기술전문사관 후보생은 대학 재학 중 2년의 국방과학기술 양성과정을 거치며, 졸업 후 육군학생군사학교에서 전문사관 과정 교육을 받고 연구개발장교로 임관해 2022년부터 국방과학연구소(ADD)에서 3년간 복무하게 된다. 과학기술전문사관이 되면 정부출연연구소에서 석·박사급이 하는 연구에 학사 출신이 참여해 경험을 쌓을 수 있는데다, 일과 이후 및 주말 시간을 이용해 석사학위를 취득할 수도 있다. 또 전역 후 국방과학연구소나 방위산업체 취업에도 도움이 된다. 과기정통부는 전국 4년제 이공계 분야 전공자 가운데 올해 9월 현재 제4∼5학기 재학생 또는 2020년 3월 제5∼6학기 복학 예정자를 대상으로 모집한다. 지원을 희망하는 학생은 서류를 구비해 과학기술전문사관 지원센터(대전광역시 유성구 문지로 193 한국과학기술원(KAIST) 학부동(F) 444호)로 직접 제출하거나 등기우편으로 보내면 된다.
    • 시큐리티
    2019.08.16 15:58
  • [사이버안보 진단](6) 사이버인재 양성과 활용, 북한과 이스라엘 벤치마킹해야
    ▲ 지난해 1월 30일(현지시간) 이스라엘 수도 텔아비브에서 열린 '2018 사이버테크 컨퍼런스'에서 한 이스라엘 군인이 마이크로소프트(MS)사 부스에서 해킹과 사이버 보안에 관한 영상물을 시청하고 있다. [사진제공=연합뉴스] 한국은 세계에서 ICT 인프라가 가장 발달된 나라 중 하나로 꼽힌다. 하지만 보안에 대한 인식은 낮아 사이버공격을 무기화하는 일부 국가나 해커 조직들에게 무방비로 노출된 상태다. 뉴스투데이는 한국의 사이버안보를 강화하기 위해 정부와 군 차원에서 과연 무엇을 어떻게 해야 할지 짚어보는 ‘사이버안보 진단’ 시리즈를 시작한다. <편집자 주> 북한, 수학 영재 조기 선발해 해커 양성...4년간 20억 달러 탈취 [시큐리티팩트=김한경 안보전문기자] 최근 발표된 유엔 안전보장이사회(대북제재위원회 전문가 패널) 보고서에 의하면, 북한은 사이버공격으로 4년간 약 20억 달러(2조 4천억 원)를 탈취해 탄도미사일 등 대량살상무기 개발에 사용했다고 한다. 북한 해커들은 주로 세계 각국의 은행과 암호화폐 거래소를 공격해 필요한 자금을 확보해온 것으로 알려졌다. 북한이 그동안 가장 공들여 양성해온 ‘사이버 전사’(해커)들이 진가를 발휘하고 있다. 북한은 전국적으로 수학 영재를 선발해 최우수 자원을 평양의 금성 1·2중학교 컴퓨터 영재반에 입학시킨다. 이곳을 졸업하면 김일성종합대학, 김책공업종합대학, 평양컴퓨터대학, 미림대학 등에 우선 입학시켜 특별 관리한다. 대학 졸업 후 우수한 인원을 외국에 유학 보내고, 귀국 후에는 대부분 해킹 전문부대에 배치한다. 따라서 ‘사이버 전사’들의 나이는 20대가 대부분이다. 또 수시로 리더급 컴퓨터 영재들을 장교로 발탁해 사이버공격에 대한 작전 지휘능력을 향상시키고 있다. 이렇게 국가 차원에서 조직적으로 양성한 해커가 수천 명에 이르며, 이들의 해킹 역량은 세계 최고 수준이다. 사이버국방학과, 3개기 90명 졸업...장교로 ADD 근무하나 인재 활용 미흡 박대섭 세종대 교수, “사이버국방학과 만들 때 이스라엘 ‘탈피오트’ 생각” 그러면 이런 북한과 사이버전을 해야 할 한국군의 상황은 어떨까? 우리는 2012년 최초로 국방부가 고려대와 계약을 맺고 사이버전에서 나라를 지킬 정예요원을 양성하기 위해 ‘사이버국방학과’를 신설했다. 이 학과에 입학하면 대학 4년간 전액 장학금을 받고, 매월 50만원의 학업 장려금도 받는다. 고려대 의대에 합격할 수준의 우수한 학생들이 지원한다. 이들은 졸업하면 정보통신 장교로 임관하고 사이버 부특기가 부여되며, 7년간 복무 후 전역한다. 장기복무를 원하면 일부 인원은 계속 군 복무가 가능하며, 국내외 대학원에서 석·박사과정 위탁교육도 받을 수도 있다. 2016년 1기 30명(육군 24명, 해·공군 각 3명)이 처음 졸업했고, 현재 3기까지 90명이 장교로 임관해 전원 국방과학연구소(ADD)에서 3년간 근무 중이다. 고려대에 사이버국방학과를 만들 당시 국방부 인사복지실장이었던 박대섭 세종대 교수는 “이스라엘의 엘리트 군인 육성 프로그램인 ‘탈피오트’를 생각했다”고 말했다. 하지만 탈피오트는 이스라엘군이 히브리대 교수들과 함께 선발, 교육, 훈련, 복무, 활동 등 모든 과정에 대해 종합적이고 세밀한 검토를 거쳐 만들어진 제도임을 국방부는 인식하지 못했다. 사이버국방학과 신설 후 4년이란 긴 시간이 있었지만 첫 졸업생이 나올 때까지 국방부는 사이버인재를 어떻게 양성해 활용할지 준비하지 않았다. 즉 탈피오트를 생각했지만 이스라엘이 인재를 양성하고 활용하는 과정은 정확히 들여다보지 못했다. 그 결과 1기 30명의 진로는 졸업 직전 논란 끝에 임종인 교수(전 청와대 사이버안보 특보)의 의견에 따라 ADD로 정해졌다. ADD 근무 효과 없어...내년 졸업생부터 모두 사이버작전사령부 배치 정홍용 전 ADD 소장, “이스라엘이 계획적 인재 육성의 대표적 모델” 하지만 ADD가 이들을 받아들여 효율적인 사이버인재 양성이 가능할지는 국방부의 어느 누구도 판단하지 않았고, 시간은 흘러 3년이 경과했다. 최근 사이버작전사령부 관계자는 “ADD 근무가 효과가 없는 것으로 나타나 내년에 졸업하는 4기부터는 모두 사이버작전사령부로 배치해 3년 동안 근무할 예정”이라고 말했다. 정홍용 전 국방과학연구소장(예비역 육군 중장, 합참 전략기획본부장 역임)은 “인재 양성은 지속적인 진단과 관리·보완이 필요하며, 양성된 자원의 활용이 제대로 되고 있는지에 대한 추적 관리가 되지 않으면 본래의 취지와 목적을 달성할 수 없다”고 강조했다. 그는 이스라엘 사례가 계획적 인재 육성의 대표적 모델이라고 말했다. 민간에서 사이버 인력을 선발하는 군무원의 경우, 2019년 국방부 주관 일반 군무원 채용 공고에 의하면 사이버작전사는 4급에서 8급에 이르기까지 전산 직렬로 130여명을 선발한다. 지난해 35명에 비해 상당히 많은 인원을 한꺼번에 충원한다. 국방개혁 차원에서 민간 직위를 확대하는 취지와 정부의 일자리 정책이 맞닿아 군무원 비중이 늘어나면서 생긴 공석이다. 군무원, 전문 역량 평가하기 힘들어 우수한 민간 인력 유입 한계 손영동 한양대 교수, “직무분석 통해 분야별 인재 모집·양성해야” 대부분 경력직 위주로 선발해 관련 분야에서 장교나 부사관으로 근무하던 인원들이 이 자리를 차지할 가능성이 높다. 게다가 국방부가 뽑는 전체 군무원 중 한 분야로 인식해 국방부의 일반적인 군무원 채용 방식을 따른다. 따라서 사이버 인력에게 필요한 전문 역량을 제대로 평가하기 힘들어 우수한 민간 인력이 유입되기에는 한계가 있어 보인다. 정 전 소장은 “이스라엘은 분야별로 필요한 인재 소요를 판단하고, 요구되는 자질과 능력이 무엇인지를 먼저 식별한다. 그 다음 심리학자를 포함한 전문가팀이 분야별 특성에 맞는 자질을 가진 인재를 선발하고, 학문적 지식을 갖추기 위한 전문교육에 이어 실무 경험을 쌓는 양성과정을 거친다. 그 후 목적에 맞는 인재를 적재적소에 배치해 활용한다”고 설명했다. 손영동 한양대 교수도 “국방 사이버 업무에 대한 직무분석을 통해 해킹뿐 아니라 관제, 암호, 포렌식, 빅데이터 등 분야별로 인재를 모집하고 양성해야 한다”면서 “군무원·부사관 위주로 전문성을 강화해 나가되, 해킹 대회를 통해 인재를 발굴하는 노력도 필요하다”고 강조했다. 또 “사이버 예비군을 창설하고, 전역자원 관리시스템도 구축해야 한다”고 말했다. 변재선 전 사이버사령관, “인원 선발권 갖고 민간 전문가 특채 가능해야” 변재선 전 사이버사령관은 “사이버작전사령부에 근무할 장교·부사관·군무원은 안보지원사령부처럼 사령관이 필요한 인원을 직접 선발할 권한이 있어야 한다”고 말했다. 또 “사이버작전사령관이 민간 전문가를 특별 채용할 권한을 갖고, 전문 역량에 따라 직급과 대우를 조정할 수 있는 제도가 필요하다”고 주장했다. 특히 사이버공격 분야에서는 뛰어난 역량을 가진 해커의 역할이 대단히 중요하다. 스턱스넷의 존재를 발견한 사이버보안 전문가 랄프 랭거는 자신이 직접 고른 10명의 전문가가 미국 사이버사령부에서 자신에게 제공해줄 수 있는 모든 자원보다 낫다고 말했다. 랄프가 과장한 측면은 있지만, 인력을 무조건 늘리는 것보다 전문가 역량을 가진 소수가 필요한 이유다. 정홍용 전 소장은 “이스라엘은 적은 인구와 좁은 국토, 빈약한 자원 그리고 적대적 세력에 둘러싸인 환경에서 생존하기 위해 계획적 인재 양성과 철저한 활용이 가장 중요하다고 판단했고, 이스라엘의 이러한 인식은 투철하다 못해 처절하다”고 말했다. 이스라엘과 유사한 환경에 처해 있는 한국군은 과연 인재 양성과 활용에 대해 그런 인식을 갖고 있는가?
    • 시큐리티
    2019.08.15 15:53
  • [사이버안보 진단](5) 군 수뇌부의 관심 비껴간 사이버작전사령부, 명확한 역할 정립 필요
    ▲ 2017년 11월 9일 한국을 방문한 마이클 로저스 미국 국가안보국장 겸 사이버사령관이 송영무 국방부 장관과 면담하기 전에 기념촬영을 하고 있다. 왼쪽부터 빈센트 브룩스 한미연합사령관, 마이클 로저스 미국 사이버사령관, 송영무 국방부 장관, 김병주 한미연합사 부사령관. [사진제공=연합뉴스] 한국은 세계에서 ICT 인프라가 가장 발달된 나라 중 하나로 꼽힌다. 하지만 보안에 대한 인식은 낮아 사이버공격을 무기화하는 일부 국가나 해커 조직들에게 무방비로 노출된 상태다. 뉴스투데이는 한국의 사이버안보를 강화하기 위해 정부와 군 차원에서 과연 무엇을 어떻게 해야 할지 짚어보는 ‘사이버안보 진단’ 시리즈를 시작한다. <편집자 주> 미 사이버사령부, NSA국장이 사령관 겸직하고 국가 기반시설 보호 조력 [시큐리티팩트=김한경 안보전문기자] 미국 사이버사령부(US-CYBERCOM)의 로고에는 매우 작은 글씨체로 ‘9ec4c12949a4f31474f299058ce2b22a’라는 이해할 수 없는 기호가 새겨져 있다. 사이버사령부의 임무를 암호생성기로 암호화한 것인데, 이를 해독하면 다음과 같다. “사이버사령부는 명시된 국방부 정보망을 운영하고 보호하기 위해 활동을 계획·조정·통합·동기화하며, 사이버공간에서 미국과 동맹국에 활동의 자유를 보장하고 적의 활동을 무력화시키기 위해 광범위한 군사적 사이버작전을 펼친다.” 미국은 2009년 6월 사이버사령부를 창설했고, 2010년 2월 ‘국방정책검토서(QDR)’에서 사이버공간을 육·해·공·우주와 함께 작전 영역에 포함시켰다. CYBERCOM 웹사이트에 명시된 사령부의 임무는 국방 네트워크와 시스템을 방어하고, 전투부대 지휘관의 임무 수행을 지원하며, 사이버공격에 대응하는 국가의 능력을 강화하는 등 크게 3가지 분야에 초점이 맞춰져 있다. ‘Cybersecurity and Cyberwar’의 저자이자 사이버전쟁 전문가인 미국 브루킹스 연구소의 ‘피터 싱어’ 박사는 그의 저서에서 CYBERCOM의 국가적 임무 수행은 중요한 국가기반시설의 보호를 돕는 것이라고 설명하고 있다. 초대 사령관은 국가안보국(NSA)을 2005년부터 이끌어온 키스 알렉산더 육군대장이 겸직했다. 즉 NSA 국장과 사이버사령관을 한 사람이 담당하는 체제다. 2014년 2대 사령관으로 마이클 로저스 해군대장이 부임했고, 2018년 5월부터 폴 나카소네 육군대장이 이어 받았다. 2017년 8월 전략사령부 예하의 사이버사령부는 독립적인 10번째 통합사령부로 격상됐다. 한국, 사이버사령부 창설시 역량 보유한 정보기관 정치 논리로 배제 한국도 미국처럼 정보기관장이 사이버사령관을 겸직하는 방안을 검토한 적이 있었다. 2009년 군 내부에서 사이버전 수행 역량을 보유한 조직은 기무사와 정보사였다. 당시 기무사 예하에 사이버사령부를 설치하는 안이 기무사 주도로 추진됐으나, 힘이 한 곳에 집중되는 것을 우려한 정치권의 반대로 2010년 1월 국방정보본부 예하 조직으로 변경돼 창설됐다. 이런 연유로 사이버사령부는 창설 이전에 군 관계자들과 충분한 협의가 없이 만들어졌다. 전문적인 임무를 수행할만한 정책적·제도적 기반이 미흡했고, 사이버전 임무를 수행할 전문인력 확보 및 양성도 어려웠다. 결국 경험이 부족한 인력들이 배치됐고 그마저도 전문성이 배양되기 전에 타 부서로 보직을 옮기는 일이 빈번했다. 군 내부에서는 ‘사이버 역량을 획기적으로 개선해야 한다’는 말만 무성할 뿐 누구 하나 책임 있게 업무를 추진하는 리더가 없었다. 변화를 선도해야 할 국방부 최고위층의 관심과 지원이 없다보니 사이버사령부 자체 노력만으로는 부여된 임무를 발전시키기에 역부족이었다. 게다가 댓글 사건과 국방망 해킹 사건까지 터지면서 사이버사령부는 만신창이 신세가 됐다. 역대 사이버사령관들이 소송에 연루되고 징계 대상이 되는 등 갖은 고초를 겪었다. 그런 어려움을 딛고 지난해 8월 사이버사령부는 국방개혁 차원에서 ‘국방 사이버안보 역량 강화방안’을 마련하고 10대 실행과제를 추진 중이다. 부대 명칭도 ‘사이버작전사령부’로 바뀌었고, 법령도 ‘국군사이버사령부령’을 ‘사이버작전사령부령’으로 전면 개정해 금년 2월부터 시행됐다. 개정된 법령, 국가기반시설 보호 등 국가 차원의 임무 불분명 사이버작전사령부령에 명시된 사령부의 임무는 사이버작전의 계획 및 시행, 사이버작전과 관련된 사이버보안 활동, 사이버작전에 필요한 체계개발 및 구축과 전문인력 육성 및 교육훈련, 사이버작전 유관기관 사이의 정보 공유 및 협조체계 구축, 사이버작전과 관련된 위협정보의 수집 분석 및 활용, 그밖에 사이버작전과 관련된 사항 등이다. 명시된 임무를 미 사이버사령부와 비교하면, ‘사이버작전의 계획 및 시행’은 전투부대 지휘관의 임무를 지원하는 의미로 해석이 가능하다. ‘사이버작전과 관련된 사이버보안 활동’이란 국방 네트워크 및 시스템 방어를 의미하는 것으로 볼 수 있다. 하지만 중요한 국가기반시설 보호를 돕는 국가적 차원의 임무는 드러나지 않는다. ‘유관기관과 정보 공유 및 협조체계 구축’이 임무에 포함돼 있지만 국방의 사이버안보를 위한 조항으로 이해된다. 이따금 사이버 상황이 발생하면 국정원이나 경찰청의 요청으로 사이버작전사령부에서 지원을 나가는 경우가 있지만, 미 사이버사령부처럼 명시된 임무에 근거한 것은 아니라고 한다. 이와 관련, 국방 사이버 분야를 경험한 몇몇 예비역 장성들은 “유사시 국가기반시설이 보호되지 않으면 국방의 사이버안보도 지키기 어렵다”면서 “국가 차원에서 중요한 시설들을 어떻게 보호할지 고민하고, 국방이 담당할 역할이 명확히 정립돼야 한다”고 말했다. 또 “군의 사이버 역량을 국가가 사용하려면 이에 대한 법적 근거도 필요하다”고 덧붙였다. 이명환 사이버군협회장, “사이버작전 교리 발전에 합참은 관심 없어” 손영동 한양대 교수, “미래전 담보할 핵심조직...사이버전에 최적화돼야” 이명환 사이버군협회장은 “전투부대 지휘관의 임무를 지원하려면 사이버공격작전과 사이버방어작전을 어떻게 수행할지 교리가 정립돼야 한다”면서 “현재 한국군 교리는 작전 전문가 참여 없이 미군의 교리를 번역해 보완한 수준으로 알고 있는데, 우리 사이버작전 환경에 부합된 교리가 합참 작전부서 주도하에 만들어져야 한다”고 주장했다. 그는 “미군은 2018년에 신교리가 나와서 이미 적용 중인데, 우리는 사이버작전 교리를 어떻게 발전시키고 있는지 알 수 없다”면서 “사이버군협회가 최근 자체적으로 미군의 신교리 번역을 완료했지만 합참의 어느 부서도 관심을 갖지 않는다”고 안타까워했다. 이번에 개정된 법령에서 특이한 점은 제8조에 사령관이 사이버작전 상 긴급한 조치가 필요한 경우 예하 부대가 아닌 다른 부대를 일시적으로 지휘·감독할 수 있다고 명시한 것이다. 변재선 前 사이버사령관은 “사령관이 필요하면 각 군의 ‘사이버작전센터’와 ‘사이버방호조직’을 언제든지 사용할 수 있어야 한다”면서 “이를 위한 근거 조항으로 보인다”고 말했다. ‘0과 1의 끝없는 전쟁’의 저자인 손영동 한양대 교수는 “사이버작전사령부는 미래전을 담보할 핵심조직이 돼야 하며, 예산 및 인력 지원을 아끼지 말아야 한다”면서 “현재 사이버전에 최적화된 조직으로 거듭나기 위해 재정비 중인데, 필요한 사이버무기를 적시에 개발해 사용할 수 있는 체계도 갖춰야 한다”고 강조했다.
    • 시큐리티
    2019.08.09 15:48
  • 사이버범죄 전년 대비 22.4% 증가...인터넷 사기가 75.9% 차지
    ▲ 경찰청이 최근 발표한 2019년 상반기 '사이버위협 분석보고서' 표지 일부. [자료제공=경찰청] 경찰청, 최근 2019년 상반기 '사이버위협 분석보고서' 발표해 쇼핑몰 사용자 노리는 '폼재킹'과 이메일을 매개로 한 위협 증가 [시큐리티팩트=김한경 안보전문기자] 2019년 상반기 사이버범죄는 85,953건이 발생하여 지난해 같은 기간에 비해 약 22.4% 증가했으며, 이 중 인터넷 사기가 65,238건으로 전체 발생 건수의 75.9%를 차지했다. 경찰청이 발표한 2019년 상반기 '사이버위협 분석보고서'에 의하면, 전체 사이버범죄 85,953건 중 인터넷 사기가 65,238건(75.9%)으로 대다수를 차지했고, 이어 사이버명예훼손·모욕 7,664건(8.9%), 사이버금융범죄 4,142건(4.8%), 사이버도박 3,155건(3.7%), 사이버저작권 침해 1,208건(1.4%) 등이 사이버범죄의 주종을 이루고 있다. 전체 범죄 중 해킹·악성프로그램 유포 등 정보통신망 침해 범죄는 지난해 동기간 대비 19.4% 증가했으며, 인터넷 사기 및 사이버금융범죄 등 정보통신망 이용 범죄는 21.5% 증가했다. 또한 사이버음란물, 사이버도박 등 불법컨텐츠 범죄도 지난해 동기간 대비 28.7% 증가했다. 보고서에 언급된 사이버범죄의 양상은 첫째로, 갠드크랩 랜섬웨어가 경찰서, 한국은행, 헌법재판소 등 다양한 기관을 사칭하여 유포됐다. 갠드크랩은 ‘서비스형 랜섬웨어’의 한 종류로, 감염된 PC의 파일을 암호화하고 확장자를 변경한 뒤 데이터를 복구하려는 피해자에게 금전(암호화폐)을 요구한다. 서비스형 랜섬웨어란 제작자가 공격까지 하는 일반적인 랜섬웨어와 달리 랜섬웨어를 제작할 기술적 역량이 없는 공격자에게 별도의 제작자가 랜섬웨어를 서비스하는 형태인데, 수익은 공격자와 제작자가 나눠 갖는다. 둘째로, 지인을 사칭해 송금을 요구하는 메신저피싱이 SNS와 모바일 메신저를 통해 광범위하게 발생하고 있다. 지인의 이름과 사진을 도용하고 휴대폰 고장 등을 이유로 통화를 회피하며, 지연 인출을 피하기 위해 1백만 원 이하의 소액을 계좌로 송금하도록 요구한다. 최근에는 문화상품권 등의 고유번호를 받아 온라인에서 현금화하는 수법도 이용되고 있다. 보고서에는 최근 독일에서 마약, 개인정보, 악성코드 등이 거래되던 '다크넷(Darknet)' 사이트 운영자가 체포된 사례도 제시됐다. 다크넷은 IP 주소가 공유되지 않는 인터넷 암시장으로 많은 범죄에 이용되고 있다. 경찰청 사이버안전국은 금년 말 '다크넷 불법정보 수집·추적 시스템'을 도입해 다크넷 상에서 발생하는 범죄에 대응할 계획이라고 밝혔다. 보고서는 또 이메일해킹, 유사 이메일 주소 이용 등의 방법을 통해 "거래계좌를 변경해 달라"는 이메일을 발송하고 물품대금을 중간에서 가로채는 이메일무역사기 건수도 발표했다. 이 범죄는 지난해에 총 367건이 발생해 전체 범죄에서 발생비율은 0.2%로 낮지만 한 건당 피해액은 4,186만원으로 가장 크며, 금년 상반기에는 138건으로 감소했다. 매크로 프로그램을 이용한 티켓 구매 문제도 보고서는 지적했다. 매크로는 마우스나 키보드로 여러 번 실행하는 동작을 한 번의 명령으로 자동 실행시키는 프로그램이다. 매크로를 이용해 대량 구매한 티켓들을 웃돈을 얹어 다시 재판매하는 행위가 문제이나, 현재 이를 처벌할 마땅한 규정이 없는 상태이며, 관련 법안이 국회에 계류돼 있다고 한다. 보고서는 시만텍의 위협보고서를 인용하여 최근 사이버위협 트렌드로 폼재킹(Formjacking)이 증가하고 있다고 기술했다. 폼재킹은 인터넷 쇼핑몰 등 웹사이트를 악성코드에 미리 감염시켜 사용자가 입력한 정보가 담긴 양식(Form)을 중간에서 납치(Hijacking)한다는 의미다. 해커는 특정프로그램(자바스크립트)으로 제작된 결제 웹페이지를 사용한 쇼핑몰을 공격대상으로 하였고, 온라인 소매업체에서 흔히 사용하는 챗봇이나 고객 리뷰 위젯 등에 미리 악성코드를 감염시켜 폼재킹을 시도했다고 한다. 또 KISA 위협보고서를 인용하여 이메일을 매개로 한 사이버위협이 증가하고 있다고 언급했다. 악성코드 배포의 92.4%, 피싱의 94%가 공격수단으로 이메일을 활용하며, 이메일무역사기의 67%도 웹메일 기반이고, 이메일에 첨부된 문서의 40%가 악성코드일 정도로 첨부파일을 통한 악성코드 유포는 심각하다고 설명했다. 보고서는 사이버위협 트렌드와 관련, 이메일 수신자는 의심스러운 이메일을 받았을 때 첨부파일을 실행하지 않는 것이 매우 중요하고, 해외 직구 등 쇼핑몰 사용자들은 신뢰할 수 있는 웹사이트인지 반드시 확인한 후 불필요한 정보 입력을 하지 않는 등 각별한 주의가 필요하다고 강조했다.
    • 시큐리티
    2019.08.07 15:45
  • [유니콘 보안] (4) 씨아이디스크의 DST, 특허 가치만 300억 대인 신개념 ‘데이터 은닉’ 기술
    ▲ 지난 2016년 미국 실리콘밸리 KOTRA 무역관에서 미 국방부 관계자들과 미팅 후 한 컷. 왼쪽에서 두 번째가 조성곤 씨아이디스크 대표다. [사진제공=CIDISK] ‘유니콘(Unicon)’은 신화 속에서 등장하는 ‘이마에 뿔이 하나 달린 말’을 뜻하는데, 최근 기업가치가 10억 달러 이상 되며 큰 성공을 거둔 스타트업을 지칭하는 용어로 사용된다. 뉴스투데이는 사이버보안 분야에서도 이와 같은 유망 기업이 나오길 바라면서 훌륭한 기술력을 가진 중견·중소기업의 신제품을 소개하는 ‘유니콘 보안’ 시리즈를 시작한다. <편집자 주> 해커 식별 불가능한 ‘스텔스 공간’ 생성해 악성코드 피해 원천 차단 [시큐리티팩트=김한경 안보전문기자] 인체를 공격하는 바이러스와 컴퓨터 바이러스의 공통점은 바이러스가 출몰해야 그 바이러스를 추출해 백신을 만들 수 있다는 점이다. 즉 새로운 바이러스가 만들어져 공격에 사용된 이후에야 그 바이러스의 백신을 만들 수 있는 구조다. 따라서 미래에 나타날 바이러스를 미리 알고 차단할 수 있는 보안기술은 전 세계 어디에도 없다. 이런 사실은 전 세계의 어떤 백신도 바이러스(악성코드로 통칭)에 적절히 대응할 수 없음을 의미한다. 백신 회사들이 새로운 백신을 만들긴 하지만 신종 악성코드가 짧은 시간에 워낙 많이 나타나 모두 대응하기는 불가능한 상태다. 오죽하면 세계 1위 보안 회사인 ‘Symantec’의 Bryan Die 수석 부사장이 지난 2014년 ‘월스트리트 저널’과 인터뷰에서 “백신은 죽었다”라고 고백했을까? 이와 같은 근원적인 보안 문제를 해결하기 위해 다년간 고민해온 국내 기업이 있다. 조성곤 대표가 이끄는 ‘씨아이디스크(CIDISK)’이다. 이 회사가 개발한 신개념의 데이터 은닉 기술인 ‘DST(Data Stealth Technology)’는 데이터가 저장되는 스토리지 기기나 컴퓨터 디스크에 해커가 식별할 수 없는 ‘Stealth 공간’을 생성하여 정상적인 사용자만 접근을 허용한다. 조성곤 대표는 지난 4일 기자와 만나 “50년 전 디스크가 처음 고안된 이후 현재까지 디스크 안에 데이터를 읽고 쓰는 방식은 달라진 것이 없다”고 말했다. “당시에는 보안을 고려할 필요가 없어 정보 저장의 효율성에만 초점을 맞췄다”면서 “디스크 접근 방식만 바꾸면 해커가 사용자의 데이터를 들여다볼 방법이 없게 된다”고 주장했다. 컴퓨터가 악성코드에 감염돼도 스텔스 공간에서 문서 작업 가능 개인용 마스터 키 하나만 만들고, 데이터는 2중 암호화 구조 사용 조 대표는 “설령 컴퓨터가 악성코드에 감염됐어도 Stealth 공간은 악성코드가 인식하지 못해 안전하다”면서 “정상적인 사용자는 악성코드와 관계없이 이 공간을 열어 문서 작성 및 편집, 저장 등이 가능하다”고 말했다. 또한 “저장장치에 DST 기술이 적용된 컴퓨터는 백신 같은 보안 제품에 의존하지 않기 때문에 컴퓨터 속도도 저하되지 않는다”고 덧붙였다. 소프트웨어 기술인 DST는 ‘Stealth 공간’을 생성할 때마다 해당 공간에 대한 개인용 마스터 키를 단 하나만 만드는 구조다. 이 디지털 키를 사용자가 지정한 비밀번호(다른 인증방식 대체 가능)를 통해 암호화하며, 데이터는 이 키에서 추출한 세계 유일의 키로 암호화되는 2중 암호화 구조를 사용한다. 또 통합 마스터 키가 없기 때문에 사용자의 신뢰도 제고된다. DST는 0.1초면 끝나는 간단한 설정만으로 디스크 내부의 논리적 구조를 변경해 기존 방식으로는 보이지 않는 보안 영역을 만들 수 있다. 기존의 운영체제(OS)가 인식하지 못하는 것은 물론 디스크를 통째로 포맷하거나 디스크를 분할하는 파티션 정보를 삭제해도 지워지지 않아 악성코드의 피해를 원천적으로 차단할 수 있다. 모든 데이터는 DST만의 독자적인 포맷으로 구성되고 완벽하게 실시간으로 암호화 처리돼 ‘Stealth 공간’에 저장된다. 이 과정에서 컴퓨터 성능이 저하되지 않고, 업데이트가 필요 없으며, 전용탐색기를 이용해서 편리하게 설정 및 사용할 수 있다. 모든 유형의 저장 장치에 적용 가능하며 저장장치를 사용(자동 백업 포함)하는 도중에 탈취 및 변조가 불가능하다. 조성곤 대표, “실리콘밸리서 1조원 이상의 기술가치 평가 받아” 정부가 나서 경쟁력 있는 국내 보안기술 지원하는 정책 펼쳐야 조 대표는 “보안 기술 측면에서 볼 때 해킹방지 기술은 1세대, 해킹 실시간 대응 기술은 2세대방식이라면 해킹을 선제적으로 대응하는 DST 같은 기술은 3세대 방식”이라고 설명했다. CIDISK는 2014년 DST 기술로 2건의 한국 특허를 취득했다. 이어 2017년 미국 특허를, 2018년 중국과 일본 특허를, 2019년 유럽연합(37개국) 특허를 취득했다. 조 대표는 지난 2016년 8월 미국 실리콘밸리의 인큐베이팅 전문가들을 만나 DST 기술의 시장 가치를 물었던 얘기를 꺼냈다. 당시 그들은 조 대표에게 “CIDISK가 보유한 기술 중 ‘랜섬웨어 바이러스 차단 기술’만으로도 엄청난 이슈가 될 것이며, 1조원 이상의 기술가치가 있다”고 평가했다고 한다. 2018년 6월에는 창조경제혁신센터의 지원을 받아 전 세계 정보보안 기술 1,680건과 DST를 비교 분석한 결과, 동종 기술이나 유사 기술이 한 건도 없다는 판정을 받았다. 같은 해 11월 국내에서 가장 보수적인 특허가치 평가기관인 특허청 산하 한국발명협회의 지원으로 한국 특허만 현물 가치를 평가받았는데 25억 5,700만원이란 평가가 나왔다. 미국 특허의 경우 글로벌 시장의 관문이라는 점에서 한국 특허의 최소 4배 이상이 된다고 하며, 여기에 중국·일본·유럽연합의 특허까지 가치 평가를 받게 되면 특허 가치만 최소 2∼3백억 원은 될 것이란 얘기도 나온다. 특허 현물 가치 평가를 담당했던 박사는 “한국 토종기술이 이렇게 좋은 평가를 받은 것은 반도체 발명 이후 처음 있는 일”이라고 말했다. 때마침 일본의 무역 보복조치로 인해 정부는 소재 및 원천 기술의 지원과 육성을 천명하고 있다. 보안 전문가들은 “CIDISK가 개발한 DST 같은 원천 기술이 한국 ICT 기술의 국제 경쟁력을 제고시키고 IoT 시장까지 선도적인 영향력을 미칠 수 있다”면서 “차제에 정부가 나서 경쟁력 있는 국내 보안기술을 적극 지원하는 정책을 펼쳐야 한다”고 목소리를 높였다. 윈도우·리눅스 환경에서 상용화 완료...금년 말 모든 기기 적용 가능 CIDISK의 기술은 현재 Microsoft 윈도우 환경과 오픈 소스인 리눅스 환경에서 100% 상용화를 완료한 상태다. 또한 유닉스, 모바일, 맥OS 등 기타 OS에 대한 지원도 각각 3개월 정도의 개발기간만 있으면 상용화될 것으로 예상된다. 현재 모바일 버전은 프로토 타입까지 완성됐는데, 금년 말이면 전 세계 모든 ICT 분야의 모든 기기에 적용이 가능하다. 조 대표는 “CIDISK는 아주 작은 벤처이지만 기술가치가 매우 높고 ICT 전반에 적용 분야가 매우 넓기 때문에 회사 가치는 매년 수직 상승할 것”이라며 “당분간 M&A는 하지 않겠다”고 말했다. 그는 “기기가 작아지는 IoT 시장이 도래하면 DST는 가정과 사회, 국가 전반의 정보보안뿐 아니라 생명보안 시장에서도 강력한 트랜드가 될 것”이라고 확신했다.
    • 시큐리티
    2019.08.05 17:49
처음181182183184185186
비밀번호 :