[사이버 보안 새틀을 짜자]<10> 사이버보안 전문가 좌담회

지난해 사이버전쟁의 최전선인 국방부 전산망이 북한 해킹 조직에 뚫렸다. 해커는 인터넷망은 물론이고 망이 분리된 국방망까지 침투해 작전계획까지 유출한 것으로 드러났다.

5월에는 워너크라이 랜섬웨어가 세계를 강타했다. 미국 국가안보국(NSA)는 워너크라이 공격자로 북한을 지목하며 이례적으로 경보를 내렸다. 국내 웹호스팅기업 인터넷나야나는 또 다른 랜섬웨어에 감염돼 존폐 기로에 섰다. 에레보스 랜섬웨어에 서버 150여대가 감염됐고 고객 서비스가 중단됐다. 결국 해커와 협상을 벌여 13억원이란 거액을 주고 암호된 파일을 복구하는 사태에 이르렀다.

사이버공격이 기업 생존은 물론이고 국가 안보까지 위협하는 상황이다. 전자신문은 민간과 학계 전문가와 함께 현재 국내 사이버 대응 체계의 문제점과 개선반향을 모색했다.

이동범 지니언스대표(왼쪽부터), 윤두식 지란지교시큐리티 대표, 원유재 충남대 컴퓨터공학과 교수, 신대규 KISA 본부장, 김인순 기자, 구태언 테크앤로 대표 변호사.
<이동범 지니언스대표(왼쪽부터), 윤두식 지란지교시큐리티 대표, 원유재 충남대 컴퓨터공학과 교수, 신대규 KISA 본부장, 김인순 기자, 구태언 테크앤로 대표 변호사.>

▲참석자(가나다순)

◇구태언 테크앤로 변호사

◇신대규 한국인터넷진흥원(KISA) 정보보호산업본부장

◇윤두식 지란지교시큐리티 대표

◇원유재 충남대 컴퓨터공학과 교수

◇이동범 지니언스 대표

◇사회=김인순 전자신문 보안전문기자(차장)

◇사회(김인순 전자신문 보안전문기자)=보안의 중요성은 날로 높아지는데 사회는 아직 체감하지 못하는 상황이다. 문재인 정부 들어 조직이 개편되고 있지만 사이버 보안관련 조직 윤곽은 아예 잡히지 않는다. 사이버 보안 거버넌스를 어떻게 수립해야 하는가.

◇신대규(KISA 정보보호산업본부장)=거버넌스와 관련해서 어떤 조직이 주도권을 가져야 하닌지 이야기가 많다. 책임과 권한 같이 줘야 한다. 침해사고든 보안이든 이제는 글로벌 대응이다. 세계적으로 합의가 있어야 한다. 외국은 철저한데 우리는 그렇지 않다거나 반대 경우도 있다. 그런 부분 준비해야 한다.

◇원유재(충남대 컴퓨터공학과 교수)=어려운 주제다. 이것을 톱다운(Top-down)으로 볼 수도 있고 바텀업(Bottom-up)으로 볼 수도 있다. 우리는 지금까지 위에서 아래로 내려왔다. 아주 큰 틀 거버넌스보다 작은 틀의 거버넌스가 자리 잡는 것이 중요하다. 그것이 모여 국가 차원 거버넌스를 어떻게 할지 나눠서 하는 것이 필요하다. 지금은 아래로부터 올라가는 차원에서 빠진 것을 정리해야 한다. 사이버안보보다 정보보호기본법을 잘 정리해야 한다. 분야별로 협력체계, 민간이 해야 하는 것에 대해서는 KISA가 리더십을 발휘하는 구조를 만드는 것이 시급하다. KISA의 독점적 위치가 아니라 빠져 있는 부분을 상향평준화해야 한다. 큰 틀 제도 운영은 KISA가 경험 있지만, KISA 혼자 다할 수는 없다.

◇윤두식(지란지교시큐리티 대표)=안보를 강조하는데, 지금까지 안보는 공공 국방으로 치우쳐 있다. 사이버안보는 그쪽만 얘기하는 것이 아니다. '인터넷나야나' 사례처럼 민간에 공격이 일어나서 경제활동에 영향을 미치는 상황이 계속 올 것이다. 거버넌스를 안보라는 이슈로 접근하면 보수적 시각으로 보일 수 있다. 사이버 복지처럼 사용자가 안전한 사이버 세상에서 살도록 해야 한다.

◇사회=2월 열린 RSA에서 마이크로소프트(MS) 최고법률책임자가 민간 기업을 보호해야 하는 차원에서 사이버안보 문제에 접근해야 한다고 말했다. 한 기업이 세계 민간기업과 국민을 사이버 위협에서 보호할 책임을 가져야 한다고 얘기했다.

◇윤두식=일리 있다. 민간이나 일반 개인 도구까지 정보기술(IT) 도구가 편의를 제공하지만 사이버 위협 숙주처럼 사용이 된다. 그런 부분은 정부, 공공에서 손을 놓고 있다.

◇이동범(지니언스 대표)=거버넌스 관점에서 보면 민간 국내 기업도 그렇고 정부조직도 거버넌스 문제가 있다. 핵심 키워드는 '협력'이다. 각자 맡아야 할 부분이 따로 있다. 공격이나 사이버 침해는 국경이 없다. 각자 방어만 하고 잘못은 공유가 안 되는 '사일로 현상(Silos effect)'이 굉장히 심하다. 기업도 내 것만 방어하면 돼 하면서 정보를 공유 안 한다. 악순환이다. 컨트롤타워로는 문제 해결이 안 된다.

◇김인순=KISA가 국내에서 정보공유인텔리전스 등을 운영한다. 상황은 어떠한가.

◇신대규=정보를 공유해야만 받아갈 수 있다. 민간 쪽 정보는 공공에서 이용할 수 있지만 공공 정보는 민간에서 이용하기 어렵다.

◇원유재=정보공유가 기관 협력 개념이 되지 않고 유지가 될 수 없다. 정보를 공유하면 대가가 있어야 한다. 회사마다 특성이 다르다. 값비싼 정보를 공유하는 회사도 있고 숟가락만 얹는 회사도 있다. 이 문제를 어떻게 해결할 것인가. '버그바운티'도 같은 상황이다. 혜택 모델을 만들어야한다. 돈만으로 해결되는 문제는 아니다.

◇사회=현재 국내에 시행 중인 사이버보안 관련 법 개선 방향은 무엇인가.

◇구태언(테크앤로 변호사)=우리나라는 법 제도를 앞세우는 문화다. 정부도 아직 권위주의적이다. 우리는 '빨리빨리' 문화를 가지지만 이제는 고도화를 이뤄야 한다. 구글, 마이크로소프트, 아마존이 인공지능 개발에 한창이다. 우리는 아직도 정부가 한다. 서구는 수 십조원 쓰지만 우리는 수 조원 쓴다. 30년 전에도 그렇고 지금도 그러고 있다. 앞으로 10년도 그럴 것이다. 거버넌스 한 축은 보안 NGO가 맡아야 한다. 학회, 협회도 참여해야 한다. 처음엔 느리게 보이지만 정확하게 문제를 파악해야 한다. 민간형 보안 컨트롤타워가 많이 생길 수 있다. 민간 보안 회사가 잘 하도록 후원하는 역할을 해야 한다. 민간협회가 다양한 보안 기준 연구발표를 하게 하는 형태로 후원하는 식이다. 이후 발생하는 사고는 민사재판으로 넘긴다. 이런 판례가 사실상 법 효과를 가진다.

◇윤두식=현행 법체계는 침해사고가 발생했을 때 면죄부로 작용한다. 대부분 기업이 법에서 정한 것만 한다.

◇구태언=경험이 쌓여야 소비자가 똑똑해진다. 보안은 공급자 관점에서 정부가 보호하니 소비자가 방심한다.

◇이동범=보안 생태계 많이 무너졌다. 규제가 시장이 만들었고 공공기관은 최저가 입찰을 시행한다. 공공기관에서 예산 내에서 집행을 하는 것은 맞지만 모든 것이 최저가다. 국방부도 규격을 공개한다. 보안 산업은 대박을 치지는 못하지만 굶어 죽지 않는다. 혁신적 기능보다는 규격에서 나온 기능만 작동하면 된다. 최저가로 집행해서 싸게 구매하는 것이 관행처럼 악순환이 된다.

◇신대규=인터넷나야나는 해커에게 27억원 몸값 요구받았다. 요구받은 돈 반이라도 보안에 투자했으면 사고 예방할 수 있었다. 돈을 주려고 하는 움직임 자체가 '랜섬웨어가 돈이 되네'하고 해커에게 기회가 될 수 있다. 소비자 보호하는 사이버보험 가입 등을 제도적으로 마련해야 한다.

◇사회=국내 사이버보험 현황은 어떠한가.

◇신대규=사이버보험 시장은 형성되지 않았다. 보험은 사고가 얼마나 나는지 피해액이 얼마인지 기본 데이터가 있어야 상품을 만든다. 국내 사이버보험 상품은 데이터가 명확하지 않다. 외국 보험에서 국내 기업 가입을 안 받아 주기도 한다.

◇원유재=미래부가 보험에 대해 과제를 냈다. 침해사고대응팀협의회에서 과제를 시작하며 살펴보니, 국내서 설계한 보험이 없고 다 재보험이다. 각종 사이버 침해사고에서 입은 피해액을 추산하고 공개해야 한다. 피해액 산출 능력이 필요하다. 기술적 측면에서만 봤지, 피해액 산정은 시도해 본적이 없다. 화재보다는 사이버 공격이 앞으로 더 많을 것이다. 다른 쪽에서 썼던 경험을 사이버보안에서도 적용해야 한다.

◇윤두식=사회적 약속도 필요하다. 법은 큰 틀에서 할 방향을 정해야 한다. 최대한 민간 자율로 두고 서비스 질을 높여야 한다. 법에 기댄 면책조항은 없어야 한다. 아파트 조건은 문 있고 화장실 있고 그런 것이 아니다. 무너지면 안 된다는 기준만 있으면 된다. 최소한 안전책이 법이 돼야 한다.

◇구태언=현실적 의견이다. 초등학교 때까지가 의무교육, 중·고등학교 때까지는 집제교육이지만 대학교육은 다르다. 우리는 대학 수준으로 올라서야 한다. KISA가 지금까지는 교과서까지 지급하는 역할을 했다. 이제는 자율적인 보안문화를 만들어야 한다. 세세한 보안 제품 설치까지 고시로 내리는 게 문제다. 법으로 정하면 최소가 된다. 정보보호 학계가 기준을 발표하고 논의해 경쟁하게 한다. 민간에서 표준이 나오면 법보다도 더 무섭다.

◇사회=국내 보안산업계는 신기술 개발도 느리고 점점 글로벌 기업과 격차가 벌어진다. 보안산업계 문제점은 무엇인가.

◇이동범=보안기업은 쉽게 망하지 않는다. 경쟁이 없으면 도태돼야 하는데, 싸게 공급해서 먹고사는 시장이 된다. 미국 등 세계 시장은 많은 신생기업이 급성장하고 새로운 기술 시도도 한다. 팔로알토, 파이어아이가 설립한 지 10년도 안 됐다. 우리는 세계 시장 진출은 정체돼 있고 새로운 시도도 없다. 새로운 시장이 고시에 맞춰져 있다.

◇신대규=국내 보안 솔루션 종류는 130여종에 달한다. 외국은 굉장히 단순하지만 종합 대응을 하는 형태다. 국내 기업은 내수에서 서로 출혈경쟁을 하면서 고객 신뢰도 얻지 못했다.

◇사회=기업은 쓸 사람 없고 학교는 취업을 시켜야 하는 문제 상충한다. 정보보호인력 해결 방향은.

◇원유재=대학에 정보보호학과가 많이 늘었는데, 개발인력을 배출할 수 있는 곳이 없다. 소프트웨어 개발자가 필요하다. 보안학과 양적 팽창은 어느 정도 됐다. 이제 질적인 향상에 집중할 때다. 질적 수준 높이려면 결국 학부교육 가지고는 안 된다. 학부 때는 컴퓨터 기본지식을 갖추고 프로젝트 통해 개발능력을 키워야 한다. 지방 많은 학교가 정보보호 타이틀을 걸었지만 가르칠 사람이 없다. KISA 지역정보보호센터를 활용하자. 센터가 지방 사립대 교육 지원하는 일들을 확대해서 수준을 높이는 식이다.

◇이동범=결국 좋은 일자리를 기업에서 만들어야 한다. 인재를 양성했는데 좋은 일자리가 없으면 유지가 안 된다. 현 단계에서는 양도 중요하다. 기업도 좋은 일자리를 만들지 못한 현실을 인정하고 인력공급 끊이지 않게끔 하는 것이 중요하다.

◇구태언=정보보호 법조 전문인력도 없다. 대형로펌 정도 아니면 기존 정보보호 분야에서 정보기술(IT)을 기반으로 얘기하는 IT전문 변호사도 많지 않다. 로스쿨이 시행되며 40%가 이공계 출신으로 파악된다. 이들이 IT를 전공했기 때문에 충분히 정보보호 변호사로 성장하는 인적 토대는 있다. 문제는 보안기업 영세성이다. 정보보호 변호사는 중소기업 위주 산업구조에서 만들어지지 않는다.

◇신대규=이번에 랜섬웨어가 내 PC를 못 쓰게 만드니까 사용자가 피부로 느꼈다. 과거 악성코드 감염 때는 관심이 없다가 돈을 줘야 하니까 관심이 높다. 인플루엔자 등 전염병 창궐하면 대응체계를 만들어 환자 격리, 병원 폐쇄 등을 시행한다. 사이버는 이것이 불가하다. 사이버 쪽 인식도 실생활 수준으로 올라가야 한다.

◇사화=문재인 정부 사이버보안 정책 방향이 불분명하다. 정부가 시급히 처리해야 할 사안은 무엇인가.

◇원유재=1년에 한 번 사이버 재난훈련을 하자. 과거 행정안전부 시절에 관련 예산이 편성됐다가 부처가 바뀌며 사라졌다. 지금 사이버 재난 훈련이 시급하다. 훈련용 사이트로 해보는 방안도 있다. 이런 고민이 지금은 전혀 없다.

◇윤두식=정부는 큰 그림만 주면 된다. 가장 중요한 것은 예산이다. 정보보호 예산은 우리나라 전체 예산의 0.08%도 안 된다. 이게 현주소다. 민간 쪽에서 강조해도 정부가 안 움직이면 소용이 없다. 정부 예산 7000만원이면 인력 한 명 고용한다. 10조원 이상이면 15만명을 고용한다.

◇구태언=생태계가 중요하다. 보안도 투자가 들어오는 시장으로 바꿔야 한다. 한국 보안 시장은 투자 생태계가 형성이 안 됐다. 그렇게 되려면 성공모델이 있어야 하는데 규제 중심 시장으로는 어렵다. 정부는 산업을 활성화하는 장이나 플랫폼을 만들어야 한다. 골프도 경기를 하면서 지금 같은 규칙이 생겼다. 근데 우리는 사이버보안은 법을 미리 만든다. 정부가 패러다임을 확 바꿔야 한다.

◇이동범=신생 스타트업 비즈니스 모델은 규제가 없어 클 수 있지만 사고가 나면 민감 정보 누출 위험이 있다. 스타트업이 보안에 투자할 여력 있는 곳은 극히 드물 것이다. 신생 스타트업이 잘 크도록 기존 보안업체와 어떻게 협력할 것인지 고민 중이다. 스타트업 주식을 받고 보안을 해주는 식이다. 투자 여력이 있는 보안 기업은 가능성 있는 스타트업과 동반성장할 수 있다.

◇원유재=국제협력도 간과해선 안 된다. 특히 수사기관과 공조가 중요하다. 공조를 통해 얻기보다는 과정에서 얻는 노하우가 많다. 결국 국내 시장에 한계가 있는데, 국제 시장으로 갈 때 공공기관 국제협력이 안 되면 많은 부분이 어렵다.

◇신대규=중요한 것은 인식이다. 인식은 쉽게 안 바뀐다. 사실은 실내 금연도 얼마 안 됐다. 술자리에서 담배를 피는 게 당연하던 시절이 있었다. 지금은 인식이 바뀌었다. 보안도 마찬가지로 신경 안 쓰다가도 남들에게 피해가 가는 구나 인식하면 된다. 보안 산업도 제값을 받고 시장 넓어지는 것에서 인식이 시작한다. 사용자 인식 제고 활동도 해야 한다.

정리=

[전자신문 CIOBIZ] 변상근기자 sgbyun@etnews.com

위방향 화살표