본지 설문조사 결과, 대다수가 정부의 보안 책임자 역할 인정
싱가포르 국방부도 버그바운티 시작...미국은 전장에 사이버 부대 파병

[보안뉴스 문가용 기자] 미국과 일부 유럽 국가들은 사이버 보안을 정부 차원의 문제로 가져가기 시작했다. 최근엔 싱가포르도 여기에 동참했다. 이에 본지에서는 11월 한 달 동안 “북한이라는 거대 위협을 바로 지척에 둔 대한민국은 정부 차원에서 더 강화된 사이버 보안 전략을 새롭게 수립해야 한다고 생각하는가?”라는 주제로 설문을 진행했다. 보안 전문가가 상당수인 독자들 중 총 794명이 참여했다.


먼저 ‘그렇다’라고 응답한 사람은 총 439명으로 전체 응답자의 절반 이상인 55.29%를 차지했다. 이 부분은 일견 ‘국가 사이버 안보 문제를 정부가 도맡는 게 맞다’라는 통일된 의견으로 보이지만 그렇지 않을 수도 있다. 응답자 사이에서 상세 내용이 살짝 갈리기 때문이다. 329명은 “미국 행정명령처럼 정부가 장기적인 비전을 가지고 보안 체계를 마련해야 한다”고 답했고, 나머지 110명은 “지금 임박한 위기를 해결할 만한 방침이어야 한다”고 답한 것.

이는 보안 산업의 큰 방향을 정부가 계속해서 주도해 나가도 된다는 입장과, 최근 들어 심해지고 있는 북한의 파상공세와 같은 당장의 위험에 민간 부문에서 대처할 수 없으니 정부가 임시적으로 대처해야 한다는 의견으로도 해석이 가능하다. 즉, 안보는 물론 보안이라는 산업 진흥에도 국가가 개입해야 한다는 다수와 지금 당장만 국가의 힘이 필요하다는 소수의 의견으로도 볼 수 있다.

한편 ‘아니다’라고 응답한 사람은 총 209명으로 전체 응답자의 26.32%를 차지했다. 이 역시 일견 ‘국가가 나설 것이 아니다’라는 의견으로 보일 수 있지만 그렇지 않다. 이중 대다수는 “지금 있는 것만으로도 충분하다, 다만 더 제대로 실행하면 된다”는 뜻을 내비쳤고, 소수(15명)는 “정부가 아니라 민간차원에서 사이버 보안 문제를 해결할 수 있어야 한다”고 답했기 때문이다.

즉, 설문 구조상 ‘아니오’라고 답했지만 대다수는 지금 정부가 가지고 있는 전략이나 방침 자체에는 만족한다는 뜻으로, 정부가 보안 강화와 사이버 안보를 주도해나가는 것을 암묵적으로 찬성하고 있는 것으로도 볼 수 있는 것. 반면, 15명만이 ‘보안은 민간 산업’이라고 주장했다. 그렇기에 이 설문의 숨은 질문이기도 했던 ‘국가가 사이버 보안을 책임져야 하는가?’라는 질문에 ‘Yes’라고 답한 이가 총 523명, ‘No’라고 답한 이가 총 125명이라는 계산이 나오기도 한다.

그밖에 “정부 차원의 전략이 얼마나 도움이 될지 모르겠다”는 의견이 55명, “외교 문제이니 보안의 시각으로만 접근할 수 없다”는 응답자가 72명이었다. 이 응답까지 더하면 ‘정부가 보안을 담당해야 한다’는 응답자가 595명, ‘정부에 맡기기 어렵다’는 응답자가 197명이 된다. 보안이 국가사업으로 변해가는 세계적인 흐름이 우리 현장에도 다가와 있음을 알 수 있다. 그러한 맥락에서 발생한 최신 소식 두 가지를 보탠다.

미국, 사이버 전문 부대를 전장에 보낸다
미군은 앞으로 전장에 ‘사이버 부대’를 파견할 계획이라고 발표했다. 실제 전장에서 상대의 컴퓨터 네트워크를 공격해야만 할 정도로 전투의 양상이 바뀌었기 때문이다. 물론 ‘사이버 부대’가 말하는 ‘공격’이란 실제 병력이 말하는 ‘공격’과 다르긴 하다. ‘물리적 파괴’라는 개념이 반드시 들어가야 하는 건 아니기 때문이다.

이에 대해 하와이 미군 기지의 로버트 라이언(Robert Ryan) 대령은 “물리적인 방법을 동원하지 않고 상대에게 영향을 미치고, 혼란을 일으키고, 통제권을 가져오는 것”이 사이버 부대의 공격 목표라고 말한다.

미군은 사이버 병력을 6개월 동안 보병 부대에 편입시켜 관리해 왔다. 그리고 앞으로는 각 보병 부대 사령관의 필요에 따라 ‘맞춤형 사이버 공격’을 실시할 계획이다. 이런 육군 부대의 사이버 작전 수행 능력은 지난 3년 동안 꾸준히 훈련되어 온 것으로, 갑자기 결정된 사안은 아니다.

물론 아직 보병 부대에 섞인 사이버 군인들이 할 수 있는 일이 무엇이며 어떠한 작전을 수행할 수 있는지는 명확하게 공개되지 않고 있다. 하지만 기존 정보병들이 그렇게 했듯, 상대에게 가짜 정보를 심어주고 적군의 작전 계획을 미리 간파하는 것은 기본적으로 수행할 듯 하다.

뉴욕타임즈는 “미국의 사이버사령부(CYBERCOM)가 ISIS의 네트워크에 ‘임플란트’를 심은 후 적의 행동을 관찰하고 분석해 굉장히 그럴듯하게 지도자의 명령을 흉내 낼 수 있게 되었다”며 “ISIS의 병력을 일부러 폭격 예정 지역으로 이끌어내 많은 손실을 입혔다”고 보도한 바 있다. 앞으로 미국의 육군이 이러한 작전을 국지적으로 펼칠 것으로 보인다.

싱가포르 국방부도 버그바운티 실시한다
싱가포르의 국방부도 버그바운티 행렬에 동참했다. 물론 ‘국방부’에 대한 것이니만큼 누구나에게 열려 있는 건 아니고 세계에서 유명하다 하는 300명의 보안 전문가들이 초대를 받았다. 1월 15일부터 2월 4일까지 해커원(HackerOne)이라는 플랫폼을 통해 2주 동안 진행되며 국방부가 관리하는 시스템 중 인터넷과 연결된 것 8개가 연구 분석 대상이다.

이 8개 연구 분석 대상은 1) 국방부 공식 웹사이트 2) 국방부 인트라넷 및 이메일 시스템 3) 중앙인력베이스(Central Manpower Base) 웹사이트 4) 국방과학기술국(Defence Science and Technology) 웹사이트 5) 싱가포르 국가 민원 창구 포털 6) eHealth 포털 7) LearNet 2 포털 8) myOASIS 포털이다.

싱가포르 국방부가 내건 보상은 최저 110달러에서 최대 1만 5천 달러다. 보안 매체 시큐리티위크는 버그바운티 운영비용이 보안 전문 업체에 검사를 받는 것보다 저렴하다는 국방부 관계자의 말을 인용해 보도하며, 국방부의 버그바운티 시작 이유 중 일부를 드러냈다. 국방부는 “싱가포르는 사이버 공격에 지속적으로 노출된 국가”라며 “국가적인 보안체제 강화가 필요해서 이같은 프로그램을 시작하게 됐다”고 밝히기도 했다.

실제로 얼마 전 싱가포르 국방부는 정체 불명의 해커에게 침투를 당해 군과 관련된 기밀을 도난당하기도 했다. 작년엔 정부 기관 내 컴퓨터 시스템으로의 인터넷 연결을 전부 차단한다는 발표를 하기도 했었다. 물론 실행하지는 않았다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>