| [인터뷰] 내부의 보안 문제에도 지속적 연구와 투자 필요 | 2011.03.02 |
김진우 미국 뉴욕 John J. 형사사법대학 교수
[보안뉴스 김태형] 보안은 방패와 같은 방어쪽 개념이 강하다고 보면 포렌직은 일단 보안에 문제가 생겨 범죄 행위가 일어난 후에 누가 언제 어떤 방식으로 무엇을 목적으로 해서 들어왔는지 그 흔적를 찾아가는 과정이라고 하겠다. 우리가 매일같이 생활하는 사이버 세상에서 이제는 많은 범죄들이 디지털 증거들을 남기고 있고 사건을 해결하는 중요한 단서로서 자리를 잡아가고 있는 실정이다. 이와 같은 디지털 포렌식 분야에 관심을 갖고 서울과학종합대학원 산업보안전문가과정과 산업보안MBA과정에서 디지털포렌식 강의를 하고 있는 김진우 미국 뉴욕 John J. 형사사법대학 교수를 만나, 미국에서의 디지털 포렌식과 보안, 그리고 보안교육 등에 대해 들어보았다.
컴퓨터 사이언스를 공부한 사람으로서 자연스럽게 컴퓨터 보안분야에 관심을 갖게되었고 이는 컴퓨터 포렌직이라는 다소 생소한 분야에 이르게 되었다. 디지털 혹은 사이버 포렌직이라고 불리는 이 분야는 궁극적으로 범죄 현장의 재구성에 초점이 맞추어 진다는 점에서는 법의학이나 법과학과 상통하는 면이 있으나 디지털 매체가 주 대상이라는 점이 다른 점이다. 현재 주로 연구하는 분야는 디지털 포렌직 분야와 더불어서 사이버 보안과도 밀접한 관계가 있기에 연관된 연구와 강의를 하고 있다. -강의에서 가장 중점을 두고 가르치고 있는 부분은 무엇인가? 기본으로 돌아가 보자는 것이다. 우리가 현재 가장 간과하고 있는 것 중 하나가 지금 현재의 문제에만 급급해 하고 있다는 점이다. 디지털 컴퓨터의 역사를 60년으로 보고 현재 인터넷의 근간이 된 ARPA-Net이 40여년 전에 시작이 되었다고 보면 2011년에 이른 지금까지 시대를 대표하는 사건들이 있어왔다. 단편적으로 이 사건들을 보지 말고 테크놀로지가 진화해 온 과정을 유심히 보면 그 사건이 왜 그 때 일어 났는지 이해가 되며 앞으로 다가올 미래에는 그러면 어떠한 일들이 일어날 수 있는지에 대한 영감 같은 것이 떠오를 수 있을 것이다. -한국의 보안 교육에 대한 평가는? 7-8년 전과 비교하면 보안에 대한 인식도 많이 달라졌다는 점에서는 고무적이라고 할 수 있다. 그러한 사회 분위기에 동참할 수 있는 교육 프로그램은 아직은 아쉬운 부분이 많으나 최근 들어서 고무적인 현상도 보이고 있다. 특히 서울과학종합대학원의 산업보안 MBA과정은 척박한 국내 보안 교육 환경에서 보면 놀라운 프로그램이다. 커리큘럼도 그렇고 재학중인 학생들도 국내 굴지의 정보기관이나 기업체 소속 직원들이 많다는 점에서 외국과 비교해도 손색이 없는 것 같다. 상명대학교의 경우는 해킹 방어 프로그램을 컴퓨터 과학과 안에 세부 전공으로 준비하고 있는 것으로 알고 있다. 학부과정을 마치고 바고 컴퓨터 보안 전문가가 되어 기업체에서 필요로 하는 인재를 양성한다는 취지의 프로그램으로 국내에서도 이와 같은 전문화된 프로그램의 도입이 필요하다고 본다. -미국에서는 사이버 공격이나 테러에 대해 어떻게 대비하고 있는가? 사이버 상에서의 공격은 실제 상황에 적용이 되어 심각한 타격을 가할 수 있음은 몇 해 전 브라질의 주요 도시가 러시아 해커의 사이버 테러에 의해서 3일간 도시기능이 정지되고 수백만의 시민의 암흑 속에서 공포에 떨었던 일, 그리고 러시아와 에스토니아 그리고 그루지아와의 두 차례의 분쟁에서 이미 입증이 되었다. 미국의 경우 오바마 대통령이 취임 4개월 만에 사이버 망을 가장 중요한 국가적 인프라의 하나로 지정하고 이 분야에 대한 투자와 연구를 활발히 진행하고 있다. 군에서도 육·해·공군과 Space(우주)에 이어서 사이버 공간을 다섯 번째 주요한 요소로서 규정하고 있고 전문 부대를 양성하고 있는 실정이다.
사이버 보안 시장만 놓고 이야기 해보면 크게 보아서 정부주도하의 government sector와 일반 기업에 국한된 private sector로 나눌 수 있다. 최근에 한 research firm에서 조사한 바로는 government sector에서 cybersecurity에 나갔던 비용이 2009년 한 해에만 7조 9천억 달러에 달했고 2014년에는 11조 7천억 달러로 예상한 결과가 작년 3월 경에 나왔던 것이 기억난다. 딜로이트나 액센츄어와 같은 미국의 대표적인 컨설팅 회사들도 최근 4-5년 사이에 사이버 보안을 성장가능성이 큰 새로운 시장으로 보고 사업확장을 하고 있다는 점에도 주목할 필요가 있을 것이다. 한마디로 미국의 보안 시장은 그동안의 수동적인 방어 형태 (reactive)에서 보다 적극적이고 능동적인 방향(pro-active)으로 나아가고 있다고 할 것 이다. 최상의 방어는 공격이란 개념이 비단 스포츠에서만 통했던 시대는 지나가고 있다는 것이다.
IT 보안쪽은 consulting, network security, data security analyst 등 세부적으로 어떤 쪽에 종사하고 있느냐에 따라, 혹은 민간 기업이냐 정부기관 일하느냐에 따라 다른 연봉과 혜택이 제공되기에 일괄적으로 말하기는 어렵다. 하지만 분명한 것은 IT 쪽에서도 급속하게 수요가 늘어나는 분야이고 상대적으로 기업입장에서는 필요한 인재를 구하기가 쉽지 않기에 다른 분야보다는 매력적인 대우를 받을 수 있다. 어떤 면에서는 내가 하는 일이 바로 사회 정의를 실현하는데 직접적으로 도움이 된다는 사명감이나 성취감을 고려한다면 물질적인 면 이상의 가치를 느낄 수 있는 분야가 아닌가 한다. -미국에서 보안 전문가는 유망한 직종일 것으로 예상되는데 그 규모는? 미국에서 CSO(Chief Security Officer) 라는 직함이 생기게 된 계기는 1994년도에 있었다. 당시 러시아 해커 집단의 소행으로 전 세계 49개 이상의 도시에 있는 ATM에서 24시간 사이에 천만달러가 인출되는 사건이 있었다. 당시 피해 은행이었던 Citi Bank에서 복구한 금액은 그 중 단지 60여만 달러로 알려졌다. 이 사건은 금융기관을 포함한 미국의 많은 기업체들이 사이버 상에서의 보안의 중요성을 인식을 하고 관련 산업이 활성화 되는 하나의 계기가 되었다. 문제는 주요 기업을 제외한 많은 중소 기업들은 아직도 IT 부서의 시스템 관리자들이 보안까지 책임을 지고 있다는 점이다. 현실적으로 전문 교육을 받은 보안 책임자를 구하기도 힘들고 비용문제도 감당하기 어렵기 때문이기는 하지만 시간이 흐를수록 나아지리라 본다. 일단 전문 교육 프로그램들이 생겨나기 시작했고 보안 사고에 대한 기업의 인식이 과거와는 다른 만큼 수요면에 있어서는 상당한 잠재력을 가지고 있다고 볼 수 있다. -미국의 보안 교육에 대한 관심과 수준은 어느 정도인가? 보안이라는 특성상 미국 같은 경우도 주된 연구 활동은 정부 주도하의 정보기관에서 상대적으로 많이 이루어져 왔고 대학이나 연관 기업과의 연구 공조는 폐쇠적인 문화의 탓으로 저조해 왔다고 볼 수 있다. 아직도 수학 박사 학위자를 가장 많이 데리고 가는 기관이 미국 내에서는 국가보안청(NSA)으로 알고 있다. 하지만 이런 폐쇠적인 문화에 영향을 끼쳤던 사건이 2001년에 있었던 9.11 사건이었다. 당시 테러범들이 스테가노그라피를 이용한 이메일로 통신하는 등 전에 볼 수 없었던 새로운 형태의 테크놀로지가 국가에 위협이 되는 것을 보면서 정부기관, 대학 연구소, 관련 기업들과의 공조 연구에 대한 관심이 높아진 계기가 되었다. 그 결과 2000년 이전에 거의 없었던 디지털 포렌직 프로그램 같은 경우 지금은 15개 이상의 대학에서 제공이 되고 있고 그 숫자는 점점 늘어가는 추세이다. 정부기관이나 기업체의 관련 교육 프로그램도 최근 들어서 점점 활발해 지고 있다. 물론 CSI 같은 TV 드라마의 영향도 있었지만 보안이나 포렌직쪽 분야에 대한 관심은 몇 해 전부터 뜨겁기 시작했고 그 결과는 관련 학과의 지원자 수의 대폭적인 증가로 나타났다. 우리나라를 비롯하여 세계 많은 나라의 사법기관에서 사용되고 있는 솔루션들이 아직까지는 미국회사 제품들인 만큼 보안 교육이나 연구 수준도 상대적으로 높다고 볼 수 있다. 하지만 이 분야에 대한 관심이 점점 늘어나는 상황에서 적절한 투자와 연구 환경이 조성되면 그 격차는 충분히 줄일 수 있다고 본다. -강의하면서 우리나라 학생들의 수준을 평가한다면? 이공계 기피 현상을 국내 대학에 와서 피부로 느꼈고 이는 곳 경쟁력 저하라는 우려로 나타나는 것이 현실이다. 하지만 우리 학생들의 근본 자질은 우수함을 느꼈고 새로운 분야에 호기심을 가지고 열심히 하는 모습을 보았을 때 보람을 가질 수 있었다. 이 기회를 빌어서 한 마디 이야기 해주고 싶은 것은 미국 같은 경우 가장 우수한 두뇌들이 모이는 집단중의 하나인 뉴욕의 월가 같은 경우도 의외로 이공계 학부 출신이 많고 실제로 금융기관에서도 이를 선호한다는 사실이다. 현대 경제는 복잡하고 미묘한 살아 숨쉬는 생물체와 같아서 심오한 수학이나 공학이론의 접근이 점점 자연스러운 일로 받아지고 있기 때문이 아닌가 한다. 이공계 출신들이 실질적인 혜택을 받을 수 있고 자부심을 느낄 수 있는 사회적 기반이 조성이 되어야 한다는 생각이다. -우리나라의 보안과 관련된 문제 중 가장 심각하게 우려되는 부분이 있다면? 이는 우리만의 문제라기보다 전 세계적인 공통적인 것이다. 그것은 외부의 적에게만 관심이 집중되어 있다는 것이라 할 수 있다. 방화벽이라든지 침입탐지 시스템 같은 것들은 80년대 후반부터 연구가 되어 왔지만 내부 시스템에 대한 보안 문제는 사실상 가장 중요함에도 불구하고 그만큼 연구가 되지 않았던 것이 사실이다. 미국은 2003년과 2007년 단 두 번의 공격을 받아 국방성, 국무성, 재무성, NASA 등 주요 기관들에게서 엄청난 양의 정보 유출이 있었다. 그들이 파악한 바로는 세계에서 제일 크다는 미 국회 의사당의 총 장서에 해당하는 양이 누출된 것으로 보고 있고 이는 사이버 상에서 진주만 공습을 당했다고 자괴할 만큼 후유증이 컸다. -한국의 보안 시장이 활성화되기 위한 방안은 무엇이라고 생각하는가? 무엇보다 기업의 적극적인 투자와 인식의 전환이 필요로 한다. 과거에는 보안사고가 터지면 회사의 이미지나 주가에 미칠 영향이 두려워 일단 덮고서 내부적으로 해결하려는 경향이 팽배해 있었다. 7-8 년 전이었던 걸로 기억한다. 당시 국내 중견 IT CEO의 이야기는 충격적이었다. “어차피 뚤릴 것을 왜 미리 신경쓰느냐”는 대목에서 당시 국내 보안 인식을 짐작할 수 있었다. 다행히도 이러한 사고방식이 많이 달라지기는 했지만 아직도 만족스러운 수준은 아니라고 본다. 이와 더불어 일반 국민들의 보안에 대한 인식도 이제는 업그레이드 돼야한다. 미국과 달리 Tier-1 사업자를 가지고 있지 못한 우리나라의 실정에서 일반 국민들이 평소에 자기 시스템이 악성 코드에 감염이 되어 있지는 않는지 일상적으로 확인해 보는 노력이 절실하고 필요하다면 독일의 경우와 같이 ISP 사업자에게 이러한 부분의 의무와 책임을 부가하는 것도 고려되어야 할 것이다. 마지막으로 관련 연구와 해당 기관 사이의 공조 시스템이 활성화 되어야 할 것이다.
-앞으로 교수로서 꼭 이루고 싶은 것이 있다면 무엇인가? 보안은 사실 그 중요성에 비해 많은 투자와 연구가 이루어지지 않은 분야이다. 이제부터라도 이 분야에 관심을 가지고 활발한 연구가 이루어질 때라고 본다. 동시에 폐쇠적인 문화의 벽을 허물고 모두 진지한 마음으로 고민해 볼 때이다. 앞으로는 미력하나마 우리나라와 미국의 해당 기관들이 공동으로 보안분야의 연구를 할 수 있는 환경을 만드는데 힘이 되고 싶다. [김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
- 현재 미국 존제이대학은 물론 서울과학종합대학원과 상명대 등에서 보안 강의를 하고 있는데 어떤 분야를 연구하고 있는지?