• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[인터뷰] 임채호 센터장 “사이버공격 가상시나리오 공모전은...” 2009.10.23

공모전 취지 “정부가 더욱 확고한 대책 세우는데 도움 주기 위해”

“저작권은 당연히 응모자에 있고 논문 형식의 시나리오 원해”


방송통신위원회 주최, 한국인터넷진흥원·보안뉴스 주관 ‘사이버공격 가상시나리오 공모전’은 현재 접수중이며 오는 11월 15일 접수를 완료하고 12월 중, 시상식을 가질 예정이다.


이번 시나리오 공모전을 최초 제안한 임채호 보안뉴스 보안연구센터 센터장은 공모전 취지에 대해 “지금까지 보안은 Action과 Reaction의 연속이었다면 이제는 Indication & Warning이라는 ‘사전 예측’이 중요하다. 이번 공모의 가장 큰 목적은 정부가 더욱 확고한 보안대책을 세우는데 도움을 주기 위한 것”이라고 강조했다. 다음은 임채호 센터장과의 인터뷰 내용이다.


INTERVIEW

임채호 보안뉴스 보안연구센터장

(chlim@boannews.com)


-이번 공모전에 대한 반응은 어떻습니까?

전세계 인구만큼 사람들은 제 각각의 철학과 사고가 있습니다. 하지만 변하지 않는 것이 있다고 생각합니다. 시나리오 공모의 기획의도가 사람들에게 다르게 평가되고 있는 일이 있다는 말을 들었습니다. 오직 대한민국의 보안체계에 보탬이 되었으면 하는 취지에서 개최하는 공모전인 만큼 보안전문가분들의 오해가 없었으면 하는 바람이고 또 의미있는 일인 만큼 많은 참여가 있을 것으로 생각합니다.  


-공모전 기획 의도는 무엇입니까?

정부가 추진하는 여러 가지 보안 사업은 다방면의 의견을 충분히 고려하지 못한채 사업이 이루어지는 경우가 있었습니다. 사실 국내에 존재하는 여러 전문가들의 의견이 다 반영되기는 구조적으로 어려운 점이 있습니다. 지난 2001년 ‘1.25 대란’에서 정부는 네트워크 트래픽 분석에 심혈을 기울였습니다. 이번 ‘7.7 DDoS 대란’은 사실 악성코드 대응이 부족해 발생했습니다. 


정부에 어떤 문제가 있는 것일까요? 정부를 도와주는 많은 보안 전문가들이 완벽할까요? 완벽한 보안전문가는 없습니다. 많은 이들이 참여하여 제대로 된 방향과 결론을 이야기 해야만 합니다. ‘Action & Reaction’이라는 누구나 아는 논리만으로 대응하는 것은 아닐까요? 우리는 지금까지 ‘Indication & Warning’ 이라는 ‘사전 예측’이 항상 빠져 있었다고 생각합니다. 이번 공모전의 가장 큰 이유는 정부가 더욱 확고한 대책을 세우는데 도움을 주기 위한 것입니다. 다음에도 악성코드와 DDoS 공격일까요? DDoS에만 신경을 쓰다보면 개인정보 유출과 산업기밀 정보 유출 등 다른 보안문제에서 또 다시 사고가 터질 것입니다. 한꺼번에 무더기로 기밀정보가 유출될 일은 없을까요?


이번에는 주요 몇몇 사이트가 공격을 받았지만 다음에는 다른 형태의 공격으로 우리의 경제 및 안보 상 엄청난 일이 생길 공격이 생기지 않을까요? 금융기관은 만반의 준비가 되어 있을까요? 방송국과 발전소, 국방, 증권거래소 등은 과연 제대로 된 준비를 하고 있을까요? 우리의 적(Enemy)들은 우리의 경제, 안보, 인터넷 등의 취약점에 대해 얼마나 알고 있을까요? 실로 두려운 일입니다.


이번 시나리오 공모전은 여러분들의 메시지를 모아 정부가 보다 제대로 된 보안정책을 세울 수 있도록 하자는 차원에서 개최되는 것입니다. 정부의 보안 정책 마련에 여러분들의 아이디어가 필요합니다. 


-바라는 원고와 형식 그리고 논문작성 요령을 알려주신다면?

저는 이번 시나리오 공모에서는 공격코드를 원하지 않습니다. 더욱이 공상소설을 원하는 것도 아닙니다. 논문을 원하지 수필을 원하지 않습니다. 우리 스스로가 잘 알지만 놓치고 있는 어떤 허점, 기술적이든, 운영적이든, 관리적이든, 심리적이든 어떤 취약성을 이용해 대한민국의 경제적, 안보적, 사회적인 엄청난 피해를 몰고 오는 그 공격을 알고 싶은 것입니다. ‘적을 알고 나를 알면 백전백승’이라는 이야기는 현재 정보전(Information Warfare)에서도 적용되는 용어입니다.


이런 것들을 알고 싶습니다. 공격 목표, 목표의 취약점, 공격이 성공할 조건, 공격이 어떻게 성공할 수 있는지 방법, 성공한 경우 나타날 영향과 경제적 피해액, 잠재적인 피해액, 공격자가 받을 이득 등을 알고자 합니다. 물론 이러한 공격에 대하여 막을 수 있는 방법을 기술적으로, 물리적으로, 운영적, 법제도 및 정책적인 대응책을 제시해 준다면 더욱 귀중한 시나리오 논문이 될 것입니다.


만약 제가 여러분만큼 실력이 있다면 먼저 아이디어를 생각하고 고민을 해 보겠습니다. 대략적인 시나리오를 혼자 혹은 팀원끼리 상의하고 공감대를 형성한 후, 목차를 잡아 보겠습니다. 물론 목차는 논문과 같이 기승전결에 따라 목차를 잡을 수 있습니다. 목차를 만들고 각 장을 하나씩 채워가는 것입니다. 초안 완성 후 여러 번 반복하며 스스로의 글을 정독합니다. 물론 마음 속으로 그 생생한 상황을 그려가며 상상을 합니다. 부족한 부분을 수정하고 다시 작성하는 번거로운 일들이 반복될 것입니다.


또 작성시 유념해야할 부분이 있다면 절차와 프로세스를 플로우챠트, 블록다이어그램, 상상도 등의 형식으로 그림을 그리는 것도 중요합니다. 또한 명확성 확보를 위해 테이블을 준비하는 것도 좋습니다. 현실적임을 밝히기 위해 참고자료를 면밀하게 논문에 입력해 두는 것도 잊으면 안됩니다. 논문을 읽는 평가자와 독자를 위해 요약서도 필요합니다. 본문의 내용이 하나라도 빠지지 않게 완벽한 요약서를 작성하고 필요하면 요약된 그림과 절차 등이 포함된 요약을 하는 것이 필요합니다. 


<시나리오 작성 Tip>

A. 공격코드를 원하지 않는다: 공개적인 논문에서 공격코드가 있을 수 없습니다. 알고리즘, 플로우챠트 등만 있으면 됩니다, 공격코드는 자신만이 가지고 계시면 됩니다.


B. 영화 시나리오를 원하지 않는다: 다이하드를 벤치마킹 하고 싶진 않습니다. 대한민국 환경에 맞는 시나리오를 원합니다. 물론 전력, 교통 등 SCADA 등이 예외는 될 수 없지만 현실은 영화와 다르다는 사실, 잊지 마시기 바랍니다. 


C. 형식없이 써내려간 수필은 원하지 않는다: 논픽션이며, 정밀한 논문으로의 가치를 가져야 합니다. 여러분의 좋은 아이디어가 서술 불충분, 논리 불충분으로 품질이 떨어져서는 안될 것입니다.


-공모전 저작권과 활용방안에 대해 설명 부탁드립니다.

응모작품에 대해 공공기관과 정부가 저작권을 해치지 않습니다. 모든 저작권은 아이디어를 낸 응모자에게 있습니다. 정부나 공공기관이 여러분의 허락을 받지 않고 이를 공포하거나 다른 기관에 명시하지 않고 배포하거나 원작자의 이름을 삭제하거나 하진 않습니다. 왜냐하면 이런 우수한 시나리오를 제안한 여러분은 존경받아야 할 존재입니다. 또한 대한민국의 발전을 도와주는 애국자입니다. 모든 응모작의 저작권은 응모자에게 있으며 이 부분에 문제가 발생하지 않도록 하겠습니다.


-시나리오 작성 노고에 비해 상금이 작다는 이야기도 있는데?

저도 잘 모르겠습니다. 물론 많은 액수를 반영하고 싶었습니다. 하지만 올해 이 공모전 결과에 따라 내년에는 보다 격상된 상금과 부상이 마련될 수 있으리라 기대하고 있습니다.


-평가는 어떻게 이루어지나요?

보안에 전문적인 능력이 있는 분들이 판단할 것입니다. 기술적으로, 정책적으로 판단할 수 있는 분들을 모시고 공정하고 객관적으로 평가를 하겠습니다. 


-가상 시나리오 공모전을 처음 기획한 기관은 어디인가요?

최초로 보안뉴스에서 아이디어를 냈습니다. 하지만 행사의 권위와 참여 확대를 위해 방송통신위원회와 한국인터넷진흥원(KISA)과 함께 공모전을 진행하게 됐습니다. 보안은 정부 주도적으로만 해서도 안되고 민간에서만 노력한다고 해서 이루어지는 것이 아니라고 생각합니다. 이번 시나리오 공모전을 계기로 민·관이 협력해 유기적인 보안체계를 마련하는 것이 중요하다고 생각합니다.


-보안전문가로서 후배들에게 해주고 싶은 말씀이 있다면?

현재 보안뉴스 보안연구센터를 구축하고 있습니다. 센터명은 TSRC(Trusted Security Research Center)로 할 예정입니다. 저의 보안을 보는 관점을 고스란히 반영할 생각입니다. 일방적이지 않은 단순하면서도 굳은 보안사업을 펼쳐나갈 생각입니다. 저의 보안 개념 10자리를 소개합니다. 여러분, 항상 화이팅하시기 바랍니다. 주위를 보면서 전진합시다.

1. 보안은 한 사람이 아닌 대중이 만들어 가야 한다.

2. 보안 전문가는 국가의 소중한 자산이 되어야 한다.

3. 기술보다 실천 경험이 더 중요하게 여겨져야 한다.

4. 한 사람의 지식이 아닌 집단적인 지식이 필요하다.

5. 지식의 문서화, 전략정보화가 중요함을 알아야 한다.

6. 사용자들에게 단순 명료한 보안을 제공하여야 한다

7. 사용자들에게 풍부한 보안을 제공하여야 한다.

8. 절대적 보안 아닌 객관상대적 보안을 이루어야 한다.

9. 보안기술만이 보안의 필수 요소라고 믿지 말아야 한다.

10. 개방적이며 비용 효율적 보안이 중요함을 알아야 한다.


<사이버 공격 가상 시나리오 공모전 개요>

■ 행사명: 사이버공격 가상 시나리오 공모전(CFI, NSCA)

■ 주최: 방송통신위원회

■ 주관: 한국인터넷진흥원(KISA), 보안뉴스(http://www.boannews.com/)

■ 접수: 2009년 10월 7일~11월 15일까지

■ 시상식: 12월 중

■ 응모대상: 국내·외 한국인(한국인임을 증명 가능한 해외거주자 포함), 개인, 단체(동아리, 클럽 등 팀을 구성해 참가 가능)

■ 제출처: NSCA 운영사무국(nsca@boannews.com)

■ 시상규모: 총 5명, 총 상금1,100만원

-대상: 방송통신위원장상 1명, 상금 500만원

-최우수상: 2명, 상장 및 상금 각 200만원

-우수상: 2명, 상장 및 상금 각 100만원

■ 시나리오 제출 내용

-사이버공격 제출내용(예시)

·사이버공격 시나리오에 대한 구체적인 내용과 공격 메커니즘

·인터넷 사회에서 사이버공격이 미치는 영향력과 예상 피해규모

·코드 및 내용, 그림, 플로우차트, 객관적인 데이터 이용

·시나리오 내용은 논리적인 문서로 작성되어야 하며, 분량은 A4 용지

10~20page(10pt)이어야 함

·전체 내용 요약: 1page 분량 작성 필수

■ 심사위원: 총 10인 이내로 구성

·CFI, NSCA 운영 총괄: 임채호 운영위원장

·전문적인 기술을 이해하는 보안전문가

·국가의 정책 반영을 위한 행정관

■ 심사기준

·구체성, 현실성: 공격기법 등이 구체적이며 현실가능한 방법 제시

·논리성, 객관성: 객관적이며 공격 가능한 방법을 논리적으로 제시

·가시성, 이해도: 비전문가가 이해할 정도의 설명과 그림 등 인용

■ 문의처: NSCA 운영사무국

·Tel: 02-719-6931 ·E-mail: nsca@boannews.com

■ 홈페이지: http://www.boannews.com/scenario

[길민권 기자(reporter21@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>