올해 4월부터 굵직한 침해사고가 연이어 터지는 것을 두고 보안업계는 이같은 원인들을 문제로 지목했다.
28일 김승주 고려대 정보보호대학원 교수는 "국가 전반 보안체계가 상당히 망가진 상태다. 어디가 문제인지 모른 채 땜질 처방만 해선 의미가 없다"며 "정부가 추진하는 화이트해커 육성도 마찬가지다. 어느 부분에서 수요가 부족한지부터 파악해야 한다"고 말했다.
물론 공격자 관점에서 취약점을 미리 파악하는 데는 화이트해커가 필요하다. 보안기업이 제공하는 모의해킹 서비스도 이런 취지다.
다만 현재 상황은 중대 취약점 몇 개를 찾아 메꾸는 것만으로 해결되는 수준이 아니다. 이미 개별 기관이 파악하기 어려울 정도로 IT 공급망이 복잡해졌다. 이동통신 3사, 금융권 등 민간뿐 아니라 주요 행정부처까지 내부 침투에 당했다.
김승주 교수는 "시스템 차원의 근본적인 보안 내재화를 고민해야 할 때"라며 "보완해야 할 영역별로 요구되는 기술적 지식도 다르다"고 설명했다.
이기혁 중앙대 보안대학원 교수는 IT 인력이 각자의 담당 분야만 파악하고 있어 문제라고 했다.
이 교수는 "통신 서비스를 예로 들자면 통화 음성부터 제어망까지 다양한 구성요소가 있다. 그런데 이 전체의 서비스 흐름을 그릴 수 있는 사람이 없다"고 설명했다.
상당수 보안 서비스를 외주에 맡기는 업계 관행 때문에 문제는 심화하고 있다. 최근 한국 중소형 자산운용사 20여곳을 공격한 러시아계 랜섬웨어 조직 '치린(Qilin)'도 외주 전산업체 한 곳을 공격해 목적을 달성했다.
이 교수는 "정보보호 최고책임자(CISO)도 전문성이 부족한 경우가 많다. 정부가 가이드라인을 낸 것만 지키려 한다"며 "기업 C레벨 임원들이 각성해야 할 문제다. 비전문 인력이라도 업무 프로세스를 따르면 기본적인 보안 요건은 충족할 수 있도록 체계를 만들어야 한다"고 말했다.
실제로 홍관희 LG유플러스(032640) CISO도 올해 7월 정부 주관 '정보보호 콘퍼런스'에서 비슷한 지적을 했다. 최고경영자(CEO) 직속이라곤 해도, 보안 아젠다를 CISO 혼자서 짊어지는 구조라고 호소했다.
보안 직무는 낮은 보상과 책임 압박으로 인해 민관 가리지 않고 기피하는 곳이다. 보안을 시스템적으로 내재화하고 싶어도, 컨트롤타워부터가 연속성과 전문성이 떨어지는 상황이 됐다.
박기웅 세종대 정보보호학과 교수는 "보안 책임자들은 임기만 채우면 나가려고 한다"며 "계속 책임자가 바뀌다 보니 급격하게 불어난 IT·서비스 자산을 파악하는 건 더욱 힘들어졌다"고 했다.
업계 전문가들은 규제 강화나 보여주기식 투자만으론 지금의 복합위기를 해결할 수 없다고 진단한다. 민관 모두가 머리를 맞대고 제도·인프라 상의 허점부터 파악할 수 있는 콘트롤타워가 필요하다고 주문했다.
이 때문에 국가사이버위기관리단의 역할이 중요해졌다. 국가정보원과 국가안보실을 중심으로 2023년 출범한 조직은, 고도화한 사이버 위협에 대응하는 민관 합동 체계가 그 취지다.
박기웅 교수는 "국방 쪽 해킹은 국방부에서, 민간은 한국인터넷진흥원(KISA), 공공은 국가정보원 등 쪼개서 대응하는 건 문제가 있다"라며 "공격자 입장에서 보면 다 똑같은 시스템이다. 위협 동향과 주요 취약점 등을 공유하는 자리가 있어야 한다"고 설명했다.
legomaster@news1.kr
편집자주 ...위협을 넘어 공포다. 해킹이 일상화되며 매일 사용하는 휴대폰과 신용카드 안전을 걱정해야할 처지다. 북한, 중국, 러시아발 해킹 공격은 국가기관 전체를 위협한다. 정부가 해킹과의 전쟁을 선포했지만 적을 알지 못하면 방어에 성공하기 어렵다. 해커 집단의 수법을 추적 분석하고 보안 강화를 위해 어떤 부분을 정비해야할지 다각도로 따져봐야 할 시점이다.