김승주 고려대 정보보호 교수, 해킹 청문회서 제언

"정보보호실태 전수조사·피해구제 장려 필요"

[디지털데일리 김보민기자] SK텔레콤에 이어 KT·롯데카드에서도 연달아 보안 사고가 발생한 가운데, 국가 정보보호 체계 전반을 재편해야 한다는 경고가 나왔다. 국가 배후 해킹 조직이 정부 부처와 공공기관까지 침투하는 사례가 늘어난 만큼, 탐지·방어·원천 무력화에 특화된 사이버 3축 체제가 필요하다는 취지다.

김승주 고려대 정보보호대학원 교수는 24일 서울 여의도 국회에서 열린 과학기술정보방송통신위원회 해킹 사태 청문회에 참고인으로 출석해 "통신사뿐만 아니라 정부부처를 대상으로도 현황 파악을 위한 전수조사를 실시해야 한다"며 "(이를 기반으로) 근본적인 대책을 세워야할 때"라고 밝혔다.

김 교수는 과거 보안 체계만으로 공공과 민간 모두 대응하기 어려워질 것으로 전망했다. 그는 "우리나라 보안의 원칙은 망분리와 폐쇄망이고, 망을 끊어놓은 상태에서 보안을 하다 보니 '무균실' 같은 환경에 있었다"면서도 "한번 (위협이) 들어오기 시작하니 속절없이 무너지기 시작했다"고 말했다.

특히 인공지능(AI) 정책을 이야기하기에 앞서 보안 체계를 강화할 필요성이 커졌다고 진단했다. 김 교수는 "이제 우리는 인공지능(AI) 정책을 해야 하고, 단기간에 해내야 한다"며 "그러려면 지금 문제가 있는 부분을 (전수조사를 통해) 먼저 고쳐야 한다"고 제언했다.

김 교수는 최근 미국 보안 전문지 '프랙'에서 보고한 해킹 사고를 고려했을 때, 이러한 움직임이 더욱 빨라져야 한다고 강조했다. 프랙에 따르면 북한 혹은 중국 배후로 추정되는 해킹조직은 최근 KT·LG유플러스 등 통신사뿐만 아니라 정부부처를 침투하는 데 성공했다.

김 교수는 "프랙 보고서를 보면 행전안전부, 통일부, 방첩사 등에 대한 이야기도 나왔다"며 "회의록 등을 공유하는 온나라시스템도 털렸다고 하는데, 관련해 국내 정보기관 또한 (침해 사실을) 확인한 것으로 안다"고 전했다.

김 교수는 국방과 마찬가지로 사이버보안 분야에도 ▲탐지 ▲방어 ▲원천 무력화에 특화된 3축체계가 필요하다고 제안했다.

김 교수는 "탐지는 전문 용어로 사이버인텔리전스(Cyber Intelligence)라고 부른다"고 소개했다. 그러면서 "보고서를 보면 KT 고객상담 서버에서 사용하던 SSL 암호통신 인증서가 외부로 유출됐다는 내용이 있는데, 이 사실을 먼저 안 이는 외국에 있는 두 해커(프랙 보고서 작성자)"라며 "중국 또는 북한으로 추정되는 해커의 컴퓨터를 해킹해서 정보를 얻은 것"이라고 설명했다.

이어 "일반 해커가 얻을 수 있는 인텔리전스 첩보를, 우리는 거쳐서 입수하는 실정"이라며 "사이버 인텔리전스 능력을 충분히 갖추고 있는지, 사전에 탐지할 수 있는 능력을 확보하고 있는지 고민해볼 필요가 있다"고 덧붙였다.

방어 측면에서는 정부의 예방 능력과 평가 인증제도를 강조했다. 김 교수는 "롯데카드의 경우 긴급 업데이트가 필요한 보안 취약점을 8년간 방치했지만, 올해 ISMS-P 인증을 받았다"며 "분명한 관리 부실"이라고 평가했다.

통신 측면에서도 예방 체계를 고도화해야 한다고 제안했다. 김 교수는 "통신장비의 경우 보안성 평가 대상에서 제외돼 있다"며 "보안 기능이 있는 통신 장비들이 정부의 공식 보안성 평가 인증을 받도록 제도화하는 것이 맞다"고 부연했다.

위협이 발생한 원인을 무력화하기 위한 체계도 필요하다는 입장이다. 김 교수는 "무력화를 위해서는 로그 기록이 굉장히 중요하다"며 "항상 우리가 부딪히는 건 로그 기록이 제대로 보관이 되지 않아 유출 여부를 확인할 수 없다는 점"이라고 꼬집었다. 또 "원인을 무력화시키고 다시 발생하지 않게 하려면 로그 기록을 잘 보존해야 한다"고 말했다.

한편 김 교수는 보안 사고가 발생한 기업을 압박만 하는 단계를 넘어, 피해 구제에 따른 책임 경감도 필요하다고 역설했다. 김 교수는 "우리는 피해가 발생하면 일단 업체에게 책임을 묻는데, 외국에서는 업체 피해가 확산되지 않도록 노력을 하면 이를 경감 사유로 봐주기도 한다"며 "(이러한 접근법을) 체계화하는 방향도 필요하다"고 강조했다.