국경 없는 사이버 범죄, 국제 공조가 답이다!

최근 중국, 러시아 등의 해커들의 공격으로 전 세계 주요 인프라스트럭처가 피해를 입는 사건이 빈번한 가운데 미국은 사이버보안 최고 부서 신설 등을 골자로 한 ‘사이버보안 정책 리뷰’를 발표해 사이버전쟁에 총력을 기울이고 있음을 가시화했다. 국내의 경우 중국발 DDoS에 골머리를 앓고 있으며 중국 포털 등에서 해킹 툴이 한국어로 활발하게 거래되고 있는 만큼 국내 인터넷 위협에 대한 우려가 심각한 상황이다. 이와 관련해 국가간의 사이버 공조를 강조하고 있는 “사이버시큐리티 말레이시아(CyberSecurity Malaysia)”의 후신 자즈리(Husin Jazri) 대표에게 사이버 보안과 관련한 국제 공조에 대해 보다 자세히 들어봤다. 사이버시큐리티 말레이시아는 우리나라의 한국정보보호진흥원(KISA)과 유사한 기관으로, 후신 자즈리 CEO는 말레이시아 ‘사이버보안 진흥원 원장’으로 이해할 수 있다.

사이버시큐리티 말레이시아(CyberSecurity Malaysia)를 소개한다면?

사이버시큐리티 말레이시아는 정부 기관으로, 과학기술혁신부(Ministry of Science, Technology and Innovation, MOSTI) 산하의 국가 사이버보안 전문기관이다. 그러나 법 집행 기관은 아니기 때문에 사이버 범죄의 용의자를 체포하거나 컴퓨터를 압수하는 등의 일을 하지는 않는다. 말레이시아에서도 그것은 경찰의 몫이다. 대신 우리는 경찰과 같은 사법 집행부와 피해자들을 지원하는 역할을 한다. 특히 증거 분석이나 전문 증언 제공 등 사이버 포렌직이나 분석 수사에 도움을 준다.

우리는 각 분야의 전문가들로 지속적으로 연구, 분석 활동을 하고 있으며 끊임없이 변화하는 기술에 뒤쳐지지 않기 위해 훈련과 컨퍼런스 등에 참석하고 있다. 이런 면에서 우리는 뛰어남과 열정을 지닌 서비스지향의 문제 해결자라 할 수 있다.

아울러 우리의 역할은 국가의 본질과 웰빙 사회, 부 창출을 촉진하기 위한 안전한 사이버스페이스의 마련 및 유지이며 2020년에는 전 세계적으로 인정받는 국가 사이버 보안 레퍼런스와 전문가 센터로 거듭나는 것이 우리의 목표다. 이와 관련해 우리는 우리와 유사한 한국 기관인 KISA와도 협업하고 있다.

말레이시아에도 사이버 범죄들이 많이 발생하는지?

사이버시큐리티 말레이시아는 사이버 헬프 센터(help centre)인 Cyber999 서비스를 통해 수집한 통계 데이터를 갖고 있다. 이 통계에 따르면 현재 말레이시아 내의 사이버 범죄는 증가하는 추세를 보이고 있다. 지난 2008년 우리는 총 2,123건의 보안 침해 사고를 처리했는데 이는 전년 대비 100% 이상 증가한 수치다. 그러나 이것은 어디까지나 보안사고 내에서의 증가일 뿐 사이버범죄와는 연관이 없을 수도 있다.

말레이시아의 보안사고 증가 추세의 원인에는 여러 가지가 있을 수 있는데, 사이버 범죄가 증가했다는 것이 그 중 하나가 될 수 있겠다. 둘째는 인터넷 이용자의 수가 증가했기 때문으로 말레이시아에는 현재 인터넷 이용자가 1350만 명에 달하며 계속해서 증가하고 있다. 이처럼 기저가 확대되고 있기 때문에 우리 헬프 센터에 신고 되는 불만도 증가하고 있는 것이다.

정보보호와 관련해 말레이시아의 가장 큰 이슈는?

사이버 보안의 과제 중 하나는 사이버 범죄 수사의 증거를 수집하는 것이다. 향후 말레이시아에 사이버 법정이 마련될 것을 대비해 법원이 보다 훨씬 쉬운 방법으로 증거를 수집할 수 있는 권한 부여 등에 대한 준비가 필요할 것이다. 그러나 이는 ‘국경이 없는’ 인터넷의 본질과 증거가 2~3개 이상의 국가에서 나타날 수 있다는 점에서 비롯되는 복잡한 관할권 문제 때문에 어려움이 따른다. 국제 법정을 마련하려면 이러한 어려움과 이것이 손쉬운 증거 수집에 어떻게 도움이 될 수 있는지에 대한 고려가 반드시 필요하다.

또 다른 문제는 인증된 사이버보안 전문가의 숫자다. 현재 말레이시아의 보안 전문가들은 약 800명에 불과하다. 이러한 전문가들을 3년 내 약 7,000명으로 확충할 필요가 있다고 생각한다. 대학들은 이미 이를 위해 관련 과정을 제공하고 있다. 그러나 여전히 보안 전문가에 대한 수요는 이 보다 엄청나다.

세 번째 이슈는 사이버 보안에 대한 교육의 필요성과 보안 인식 정립이다. 현재 이를 위한 전담 기관이 없다. 다만 우리 사이버시큐리티 말레이시아가 다소의 컨텐츠 마련과 파일럿 프로젝트를 통한 학계와의 제휴를 하고 있는 정도다.

말레이시아의 정보보호 인식에 대해 좀 더 말해 달라.

앞서 언급한 바와 같이 전담 정부 기관이 현재 없기 때문에 사이버보안에 대해 대중을 교육하고 보안 인식을 정립하는 것은 더욱 어려운 문제다. 이에 사이버시큐리티 말레이시아는 다소간의 컨텐츠 작성과 다양한 언론 및 길거리 이벤트 등을 통한 프로모션 활동을 실시해왔다. 우리는 또한 젊은층 사이의 사이버보안 문화 개발을 위한 파일럿 프로젝트를 통해 학계와 협력하고 있다. 한편 Cyber999이 접수한 보안사고의 증가 추세에서 한 가지 긍정적인 점을 발견할 수 있었는데 바로 보안사고 증가추세만큼 사이버보안에 대한 대중의 인식 또한 증가하고 있다는 것이다.

정보보호와 관련해서 말레이시아 정부는 어떠한 역할을 하고 있는가?

말레이시아 정부는 사이버보안 이슈에 대비해 현명하게 준비해왔다. 사이버보안 과제에 직면하기 위해 사이버시큐리티 말레이시아와 같은 협회를 설립했던 것도 그 일환이다.

우리 정부는 또한 현안에 직면하고 빠르게 증가하는 사이버 관련 범죄를 해결하기 위해서는 경우에 따라 사이버 법안이 개정될 필요가 있다는 것을 인지하고 있다. 일례로 과학기술혁신부(MOSTI)는 사이버 법안과 모든 관련 법안들을 살펴보기 위해 지난해부터 사이버시큐리티 말레시이아와 공조해오고 있다.

또한 국가 사이버보안 경찰(NCSP : National Cyber Security Policy)은 말레이시아의 주요 IT 인프라스트럭처의 ICT 시스템과 네트워크의 취약점 감소를 목표로 하고 있다. 아울러 인터넷 이용자들의 사이버보안 문화 정립과 기술과 인적 자원의 측면에서 말레이시아의 자가 의존도 강화 등도 NCSP의 목표다. 아울러 말레이시아에는 컴퓨터 범죄 법안 1997, 커뮤니케이션 및 멀티미디어 법안 1998과 같은 법률 규정과 정책이 마련되어 있다.

그렇다면 말레이시아의 사이버보안 수준에 대해 어떻게 평가하는가?

말레이시아 사이버공간의 보안과 안전에 관한 수준은 다른 개발도상국들보다 낫거나 비슷하다고 생각된다. 예를 들어 악성 바이러스가 말레이시아의 사이버공간에 나타나면 우리는 이를 24시간 이내에 막을 수 있다. 이는 우리가 관련 당국들과 ISP 업체들, 국제 파트너들과의 긴밀한 협력 관계를 이루고 있기 때문이다. 100미터 달리기에 비유한다면 우리는 가장 빠른 선수들 중 하나라고 말할 수 있다. 우리의 사이버공간은 훌륭하게 관리되고 있다.

최근 사이버 전쟁, 사이버 테러가 종종 언급되고 있는데, 이에 대한 명확한 정의는 없다고 말했던 것으로 안다. 당신이 생각하는 사이버 전쟁, 사이버 테러는 무엇인가?

사이버전쟁은 사이버스페이스에서 벌어지는 전쟁이다. 어떤 국가에 대한 공격과 주요 통신 채널 및 정보 시스템 인프라스트럭처 및 자산을 강제적으로 무너뜨리는 것 등이 이에 포함된다. 또한 외국 웹사이트 다운이나 접근 불가와 같은 공격도 해당된다. 반면 사이버테러는 사이버공간을 이용해 테러 행위를 자행하는 것이다. 즉, 사이버테러는 ‘테러리스트 그룹이나 단체가 사람들의 공포심을 유발하고 물리적인 해를 끼치기 위해 IT 수단을 이용하는 것’이라고 정의할 수 있다. 즉, 가해자가 정보 시스템이나 기타 전자 수단을 이용해 금융, 에너지, 수송, 정부 등과 같은 주요 IT 인프라스트럭처에 사이버 공격을 시도하는 것이다. 컨트롤 시스템 폐쇄를 통한 전기 보급망 무력화, 국가 통신 네트워크 서비스 중지, 항공관제 시스템 파괴, 은행 정보 대량 파괴와 이를 통한 금융 무력화, 혹은 댐 통제 시스템 접근 획득을 통한 홍수 유발 등의 목적으로 컴퓨터 시스템을 해킹하는 것을 예로 들 수 있다. 일례로 에스토니아 사태에서 우리가 배워야만하는 중요한 교훈은 테러리스트들이 사이버 공격의 수단을 통해 한 국가의 통치권을 통제할 수 있었다는 점이다. 이것이 바로 사이버보안은 국가 안보의 새로운 한 부분이며 국가 안보만큼 중요하게 다뤄야만 한다고 주장하는 이유다.

주요 인프라스트럭처를 보호를 강조하고 있는데 이와 관련해 어려움이 있다면?

보안 정책의 ‘실행’에 있어 가장 큰 어려움은 아마도 “인적 요인(people factor)”일 것이다. 우리가 훈련된 직원을 충분히 보유하고 있고 사이버 보안 문화를 개발했다면 기본을 갖추어 놓은 것이기 때문에 문제없을 것이다. 우리는 이미 국가 사이버보안정책(National Cyber Security Policy, NCSP), 컴퓨터범죄법안 1997, 통신 및 멀티미디어법안 1998 등을 갖추고 있다. 따라서 이제 우리는 훈련과 인지 프로그램의 측면에서 노력을 기울이고 있다.

사이버활동과 관련해 국제 공조가 필요하다고 강조했는데?

범죄가 둘 혹은 그 이상의 국가에서 발생할 수 있기 때문에 다수의 사법권이 얽히게 된다는 점과 ‘국경이 없다’는 인터넷의 본질 때문에 국경을 초월한 협력이 매우 중요하다. 일례로 에스토니아의 경우만 보아도 수백만 대의 컴퓨터를 이용한 사이버 공격이 전 세계에서 가해졌던 것이 나중에 밝혀졌다. 이에 우리는 전 세계 사이버 보안 단체들과 긴밀한 협력 관계를 유지하고 있다. 사이버 훈련 실시 또한 국제 공조의 예가 될 수 있다. 예를 들어 우리는 아시아 태평양 컴퓨터 비상대응팀(Asia Pacific Computer Emergency Response Team ; APCERT)의 회원들과 사이버 훈련을 시행해 회원국에 대한 새로운 맬웨어 공격을 대비해 국제적인 협력을 연습하고 있다. 이를 통해 실제 사이버 공격이 발생할 경우 모든 회원들은 무엇을 해야 하는지 알 수 있게될 것이며 매우 신속하게 대응할 수 있게 될 것이다.

사이버보안 기술 프레임워크가 필요하다고 했는데 이와 관련해 가장 중요한 것이 있다면?

사이버보안 기술 프레임워크(Cyber Security Technology Framework)는 기술 인프라스트럭처, 툴, 사건 처리부터 데이터 복구 또는 디지털 포렌직에 이르기까지 사이버보안의 모든 면을 커버하는 장치들로 구성된다. 사이버보안 기술 프레임워크에 있어 가장 중요한 것은 끊임없이 변화하는 기술에 대처하기 위해 지속적으로 업그레이드 할 수 있는 역량을 확보하는 것이다.

올해 CyberSecurity Malaysia의 가장 큰 목표, 또는 가장 큰 과제는 무엇인가?

우리의 관심사는 사람들의 보안 인식 수준이다. 사용자들, 즉 사람들이 무지하거나 무관심하다면 뛰어난 인터넷 보안 소프트웨어 또는 매우 정교한 툴도 아무 쓸모가 없다. 지금도 우리는 우리의 훈련과 사회적 범위를 확대하고 있으며 더 많은 인터넷 이용자들과 접촉하기 위해 노력하고 있다.

<글 : 김동빈 기자(foreign@boannews.com)>

[월간 정보보호21c 통권 제107호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>