| "보안, 제공자 보다는 수요자 중심으로 변해야 한다" | 2009.12.03 | |
임채호 센터장, ‘향후 사이버공격에 대한 중장기 보안정책 제안’ 발표
우선 이날 임채호 센터장은 “완벽한 보안은 불가능하다는 점에서 해커 시각의 보안과 피해 최소화가 중요하다”며 보안 위험(Risk) 관리의 중요성을 언급하고 “Security가 아닌 ┖Trusted┖ 개념으로 제공자가 아닌 수요자가 중심이 돼야 올바른 보안이 가능하다”고 역설했다. 이어 임채호 센터장은 최근 보안실무자들을 대상으로 한 ‘DDoS공격 대응방안’ 등의 설문조사 결과를 언급하고 예측되는 공격과 국가 위기 가능성에 대한 미래공격에 대해 “대한민국의 중요한 기관·시설이면서 보안이 잘되어 있다고 믿는 사이트, 인터넷과 직접 연결되지 않아서 철저한 보안을 하고 있다고 믿는 것은 착각이 될 것”이라며 “침입자(해커)는 서버를 곧장 공격하지 않으며, 서버와 비교적 친한 우회 경로를 이용한다. 또한 서버 주변에는 보안이 약한 많은 서버가 있으며, 1% 허약한 환경을 이용해 100% 해킹을 하는 것이 해커이며 이들은 1달에 한번 취약한 날을 기다리기도 한다”고 말했다. 또한 그러한 사람들의 인식 오류에 의한 대표적 사례로 기밀 및 개인정보 유출은 실제 외부에서의 공격이 73%이고 내부인 소행은 18%에 그친다는 Verizon Business가 2008년 발표한 자료를 토대로 이는 전체 실측데이터로 생각해도 무방하다고 임채호 센터장은 설명했다. 이어 임채호 센터장은 향후 나타날 공격 및 시나리오로 “공격 기법의 엄청난 변화는 없을 것”이라고 예견하면서도 하지만 ▲악성코드의 음성적 활동 및 기록 삭제, 악성코드의 복수 형태 변경 활동 ▲악성코드는 취약한 웹 서버를 통해 전파될 가능성이 큼 ▲새로운 악성코드 감염 전파 방법, 대규모 웹 취약점 공격 기법 활용 ▲침투, 유출, 수정 등의 효과 가능성, 사회공학 및 심리 취약성 노리는 방법 ▲복합적 공격 및 기반시설 공격 가능성 등과 같은 사항에 대해서는 우려해야 할 것이라고 발표했고, “향후 나타날 공격 대비에 앞서 현재 드러나 있는 취약점을 없애는 것이 더 중요하다”고 강조했다. 임 센터장은 중장기 보안대책으로 “대한민국 보안은 법·제도 및 대응력이 부족한 것이 현실”이라며 “정부는 무엇보다 ‘사이버침해 대응력 제고’나 ‘개인정보보호체계 강화’ 등 항상 비슷한 내용을 반복하는 것은 국민들이 식상해할 뿐만 아니라 혼란을 느끼게까지 한다”고 지적하고 “정부가 명확한 기준 후 촉진 제어를 해 주길 바란다”고 말했다. 또한 그는 “정부가 대응 기술 확보를 정의해서는 안되며 기술 확보는 민간이 하도록 함은 물론 정부가 어떤 공격에 어떤 대응 등의 논리는 보안문제를 반복적으로 여기게 한다”며 “정부는 기준과 법을 제시하고 독려·조장하는 한편 감시 및 제어가 필요하다”며 대한민국 보안이 나아가야할 방향을 제시했다. 결론적으로 이날 발표를 통해 임채호 센터장은 “대한민국 사이버보안은 중국이나 북한에 비추어 보안분야의 위상이 더욱 격상될 필요가 있다. 그런 측면에서 정부는 국정원·행안부·방통위는 보안제공자로, 경찰청·외통부·경찰청 등은 보안 수요자가 돼 객관적 판단이 가능한 보안 기준 및 관리 체계가 필요하다. 다만 보안제공자인 부처들은 감시나 강요가 아닌 수요부서 스스로가 할 수 있도록 토대를 마련해야 할 것”이라고 주장하고 “대한민국 보안이 나아가야할 방향에서 정부의 역할은 그런 만큼 큰데, 정부가 모범을 보이면 민간은 따라올 수 밖에 없을 것”이라고 역설했다. 한편 이날 발표에서 임채호 센터장은 방통위가 주최하고, KISA와 보안뉴스가 주관해 지난 11월 15일 접수마감한 ‘사이버공격 가상시나리오 공모전’에서 “신종 기법보다는 대한민국이 가진 허점과 취약성을 이용한 시나리오가 주를 이루었다”고 덧붙였다. [김정완 기자(boan3@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
