• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[보안칼럼] 사이버 안보 이대로 좋은가? 2011.01.25

사이버 위협에 대한 범정부 차원의 통합 논의 필요
 

지난 해 전세계를 강타했던 보안 이슈 하나는 바로 스턱스넷(Stuxnet)이다. 최초의 사이버 무기로 기록될 이 스턱스넷의 출현은 이미 수많은 영화에서 보여졌고 이것을 미국 정부에서 APT(Advanced Persistent Threat)이라는 용어를 사용함으로써 공식적으로 예견되었다.

지난 수년 간, 아니 지금도 흔히 볼 수 있는 크래커와 사이버 범죄자들의 단지 돈을 벌기 위한 악의적인 활동과는 달리 APT는 특정 국가나 어떤 조직으로부터 풍부한 자금력의 후원 아래 정치적인, 군사적인 목적을 달성하기 위해 고도로 숙련된 사이버 부대나 조직에 의한 위협을 뜻한다. 이미 1990년대부터 시작된 사이버 부대의 창설 및 그에 준하는 조직을 각국에서 앞다투어 갖추어 왔고 현재의 평가는 미국과 중국을 주축으로 상당한 수준에 와 있다는 것이 일반적이다.

작년 국정감사에서 국정원 발표 기준만 보더라도 북한도 이미 1,000명에 육박하는 사이버 부대원을 보유하고 있다고 한다. 늦은 감이 있지만 국내에서도 사이버 전에 대응하기 위해 정보보호사령부를 2012년 창설을 목표로 국방부와 국군기무사, 육·해·공군 소속 전문요원을 중심으로 준비하고 있다고 한다. 또한 행정안전부와 서울시청 등을 비롯한 여러 정부 부처에서 스턱스넷 대응 관련 많은 대책들이 논의되고 있다고 한다. 그러나 국내 정보보안 관련 대응을 바라보고 있자면 아직까지 많은 부족함을 느낀다.

첫째, 범국가적인 사이버 위협에 대한 많은 논의가 있었음에도 불구하고 정작 범정부 차원의 통합된 논의는 없는 듯하다. 물론 실무자 차원에서 서로간의 교류와 협업에 대해 논하기는 하지만 전략적 관점과 범정부 차원의 통합된 결정을 빠르게 할 수 있는 그런 역할을 가진 정부 고위 담당자, 관련 협의체 혹은 조직 등이 필요하지 않을까. 이를 볼 때 2009년 12월말에 미국 백악관에서 미국 정부와 민간의 사이버 보안 문제를 총괄하는 사이버 보안 조정관을 두었다는 사실은 매우 시사성이 크다. 더구나 숙련된 보안 인력은 단기간 내에 양성될 수 있는 것이 아니며 민간의 보안 전문가들을 충분히 활용해야 한다. 따라서 사이버 위협에 대한 대응은 민, 관, 군 모두가 합심해야 하며 이러한 전국민적인 역할 조정과 구심점의 역할을 정부가 해야 하지 않을까.

둘째, 국내의 주요 사이버 인프라에 대한 보안 취약점을 연구하는 조직이 크게 부족하다. 이미 전세계적으로 많이 사용하는 운영체제와 애플리케이션에 대한 공개되지 않은 취약점은 사이버 무기로써 그 가치가 매우 높다. 따라서 알려진 악성코드나 웜에 대한 대응도 중요하지만 사이버 전에서 보다 우위를 점하기 위해서는 제로데이 공격에 활용될 수 있는 공개되지 않은 취약점들을 많이 발굴하고 이를 관리하는 것이 필요하다. 그러나 이러한 연구에는 많은 선투자가 필요하고 발견된 취약점이 악용되지 않도록 강제화하는 것이 중요하기 때문에 국가 차원에서 이뤄지는 것이 바람직하다.

정부에서도 이런 필요성에 따라 취약점 통합 관리 체계 및 취약점 정보 활용 체계를 만든다고 한다. 그러나 대외 발표된 취약점을 수집하여 대응하는 것만이 아니라 현 시점에 있어서는 보다 선제적으로 취약점을 발굴하여 먼저 대응하고 유사시 공격에도 활용할 수 있는 보다 고도화된 체계가 필요하다. 이미 비밀리에 정부에서 그런 조직이 있는지는 모르겠지만 말이다.

셋째, 국내에서 발생된 모든 이슈와 해답에 대해 국내 안티 바이러스 업체에 대한 의존도가 너무 크다. 물론 그동안의 국내 보안 수준 향상에 있어 국내 안티 바이러스의 노고에 대해서는 어느 누구보다 잘 알고 크나큰 감사와 격려를 드린다. 하지만 보안 프레임워크 상에서 보면 안티 바이러스 영역은 보안의 전 영역 중 일부에 불과하다. 물론 대국민 보안 인프라로써 중요한 역할을 수행함에는 분명하지만 기업과 정부의 기간 인프라에 대해서도 동일한 잣대를 두고 안티 바이러스 업체에게 그러한 역할을 기대한다는 것은 너무 무거운 짐이 아닌가 싶다.

하나의 보안 사고나 악성코드에 대해서도 그 대응은 안티 바이러스 업체뿐만 아니라 다양한 보안 영역에서의 적절한 역할을 수행하고 대안을 제시해야 비로소 최선의 안을 만들어 낼 수 있을 것이다.


국내 사이버 안보에 대해 할 말은 많지만 우선 급하다고 생각하는 세 가지에 대해 언급하는 것으로 마무리한다. 국내 보안 수준의 지속적 향상을 기원하며… 다음에는 ‘해커 양병론?, 그 많은 해커를 어디다 쓰게?’란 제목으로 정보보안 전문가가 갖춰야 할 소양에 대해 논의해 보고자 한다.
[글 _ 박형근 시큐리티플러스 운영자(phk@kr.ibm.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>