'3ㆍ20 전산 대란, 어떻게 볼 것인가' 좌담회에 참석한 패널들. 왼쪽부터 손충호 보안 전문가, 이경호 고려대 교수, 조시행 안랩 전무.
[아시아경제 김영식 기자] 주요 방송사와 은행 전산망을 마비시킨 지난 20일 '해킹 대란'으로 국가 사이버안보 대비태세에 대한 관심이 높아지고 있다. 당초 정부는 '중국 IP가 주요 경유지'라고 발표했다가 농협 내부 IP라고 번복하는 등 초기 대응에 미숙함을 드러냈다. 민ㆍ관ㆍ군 합동대응팀은 중국 IP가 아닌 미국과 일부 유럽국가 IP를 통한 경유지 공격을 확인하고 수사에 속도를 내고 있지만 공격의 배경과 주체를 파악하려면 상당한 시간이 걸릴 전망이다. 본지는 학계ㆍ산업계 대표적 보안 전문가 3인이 참석하는 '3ㆍ20 전산 대란, 어떻게 볼 것인가' 좌담회를 마련해 격화되는 사이버 공격에 대한 대응책을 논의했다. <div class="blockquote"> ◆ 일시 : 2013년 3월 22일 오후 5시 ◆ 사회 : 이정일 아시아경제 산업2부장 ◆ 참석 패널 - 이경호 고려대학교 정보보호학부ㆍ정보보호대학원 사이버국방학과 교수 - 조시행 안랩 최고기술책임자(CTO) 전무 - 손충호 '와우해커'그룹 해킹ㆍ보안전문가
▲ 사회 - 3ㆍ20 전산 대란의 공격자와 진원지 모두 오리무중이다. 악성 코드 공격은 여러 나라를 거치기 때문에 진원지를 파악하기가 쉽지 않을 뿐더러 공격자도 확인하기가 어렵다. 자칫 미궁으로 빠질 가능성이 높다. ▲ 이경호 교수 = 전체적으로 볼 때 선전효과를 극대화할 수 있는 정말 잘 짜여진 구도로 기획됐다. 만약 은행들이 없이 방송사만 당했더라면 그 효과는 보다 약했을 것이다. 방송사는 금융권에 비해 상대적으로 보안에 취약하니 당했을 것으로 보기 때문이다. 그런데 보안대책이 갖춰져 있는 은행을 같이 때려 눈높이를 올린 것이다. 또한 방송사 일부만 공격하고 나머지는 긴급한 상황을 방송할 수 있는 통로를 열어 뒀다. 여기에 로마 군대의 전투대형을 칭하는 '하스타티'와 '프린키페스'를 삽입하는 등 스토리까지 추가했다. ▲ 조시행 전무 = 금융권을 포함시키면 사람들의 입에 오르내리지 않을 수 없다. 다만, 라틴어 단어에 집착할 필요는 없을 것 같다. 모든 악성코드에는 사연이 있기 마련이다. 이번의 APT(지능적지속위협) 공격은 언제 어떻게 누구를 대상으로 할지 정확한 목표와 목적을 세워 진행된다. 상당한 인원과 조직이 함께 참여하고 기간도 두세달 전부터 시작해 테스트까지 거쳤을 것이다. ▲ 손충호 보안전문가 = 해킹 사건이 터질 때마다 IP(인터넷프로토콜)가 화두가 되는데 무의미하다. 단돈 만원만 있어도 IP를 단번에 '세탁'할 수 있어서다. 우회해 들어오는 게 뻔한 IP 추적을 통해 범인, 즉 진원지를 잡겠다는 건 불가능하다. 내 집에서 도둑질하지 않는 것처럼 내 컴퓨터로는 절대 해킹하지 않는다.
이경호 고려대 교수.
◆ APT 공격은 기존 디도스보다 파괴력 커 ▲ 사회 = 많은 방송사와 은행 중 일부는 피해를 입지 않았다. 이유는 무엇인가? ▲ 이 = 정도가 너무 약해서 당해놓고도 모르는 경우가 있을 수 있다. 그렇기 때문에 이런 사례가 발생했을 경우 각 영역과 네트워크마다 로그(Log) 기록 분석을 동시에 취합하고 신속하게 공개해야 한다. 보안 관제센터에서 빨리 결과를 배포해주고 이를 각 기관ㆍ기업에서 체크한 뒤 피드백하는 구조가 필요한데, 문제는 각 기업ㆍ기관에서 이를 아예 숨기려 드는 것이다. ▲ 조 = 두 가지로 볼 수 있다. 공격을 했는데 방어에 성공한 것이거나, 아니면 처음부터 공격 대상이 아니었다는 것이다. 하지만 이 부분은 누구도 알 수가 없다. 우연이든 보안 투자의 결과이든 분명히 어딘가는 방어한 곳이 있을 것이라고 추정하고 있다. 실제로 지난 언론사나 포털 해킹 사례에서 해당 악성코드는 다른 업체에서도 수집됐다. 피해가 적거나 없었음에도 이미지 실추를 우려해 사실 자체를 감추는 경우가 많은 것이다. ▲사회 = 이번 해킹은 과거 사례처럼 정보를 빼내 사적ㆍ금전적 이익을 취하는 대신 정치적ㆍ대중적 충격을 노린 것으로, 사회혼란을 야기하거나 과시할 목적이 분명히 있다고 정리할 수 있다. 그렇다면 이전 '디도스(DDoS, 분산서비스거부)'와 같은 공격 유형과 비교할 때 어떤 차이가 있는가. ▲ 조 = 디도스는 외부에서 공격하는 형태다. 내부정보가 나간다거나 파괴될 위험은 거의 없고, 해당 기관ㆍ기업의 서비스 장애나 중단을 야기하는 것이다. 그러나 APT 공격은 내부로 침투해 들어오는 형태로 공격방법이 완전히 다르다. 수단과 방법을 가리지 않고 뚫고 들어와 최소한 컴퓨터 하나 이상, 더 나아가 전체 컴퓨터까지 장악하는 것이다. 내부 자료가 목표이기에 피해도 훨씬 심각하다. 데이터를 빼내거나 지우고, 아예 컴퓨터를 망가뜨려 서비스까지 중단시킨다. ▲ 이 = 이번에 은행들이 당했는데 금융권은 평소 각종 스팸메일 등을 걸러내는 등 보안에 상당한 투자를 한다. 다시 말해 해커가 은행들의 현재 보안시스템으로 탐지되지 않는 통로를 찾아냈다는 것이다. 장기간 고민한 끝에 어떤 형태로든 지금 방어체계를 넘어서는 뭔가를 발견했을 것으로 보인다. 그렇게 해서 자산관리서버의 계정을 탈취하고 악성코드가 동시에 배포ㆍ작동시켜 데이터를 파괴한 것이다.
손충호 보안전문가.
◆ 북한 해커 1만여명...우리도 보안 인력 양성화해야 ▲사회 = 최근 정치적 목적의 '핵티비즘(hacktivism)'이나 사회혼란 조성을 노리는 사이버 테러 사례가 세계적으로 급증하고 있다. 이는 국가 안보의 실질적 위협과 직결된다. 반면 국내 보안 인력들은 양성화되는데 걸림돌이 많다. 해커 10만 양병설 같은 구호가 무색해진다. ▲ 손 = 활동하는 해커는 보안업계에서 일하는 전문인력을 제외하면, 국내 해커는 몇백명 수준에 불과하다. 생계도 막막하다. 그래서 결국 회사에 들어가면, 공격법을 안다는 이유로 방어 솔루션을 만들 것을 요구받는다. 자기가 하고 싶은 일과 정반대의 일을 하는 셈이다. 해외 사례를 보면, 공격만 하는 업체가 있다. 기업이나 공공기관을 대상으로 보안 수준을 시험해주고 그 결과로 보수를 받는 것이다. 이른바 '버그 바운티(결함 발견에 대한 보상금)'다. 하지만 국내에서는 버그 바운티가 취약하다. 잠재적 위협을 미리 모의공격으로 시현해주고 보상을 받는 사업 모델이 사실상 전무하다. 더욱이 해커는 나쁜 존재로 취급받는다. ▲ 이 = 외국에서는 해커들이 비공개를 전제로 보안취약점을 알려주면 보수를 준다. 또 컨퍼런스를 통해 논문을 발표하기도 하며 이 역시 인정해준다. 기업들이 함께 자금을 조성해 보안솔루션을 만들고 해커들을 초빙해 검증받는 문화가 있는 것이다. 반면 국내의 경우 업계 유수의 기업들도 '해킹으로 기업을 협박해 돈을 뜯어낸다'는 인식을 갖고 있어 선순환이 일어나기 힘든 구조다. ▲ 조 = 보안 전문가에게 최고의 대우를 제공해줘야 마땅하지만 그렇게 할 수 있는 기업은 소수다. 보안시장이 매우 열악하기에 더 규모가 커져야 한다. 사이버전쟁은 항상 벌어지고 있고, 보안은 과거형이 아니라 현재진행형이자 미래형이다. 지금까지 해킹 사건이 몇 차례 되풀이 될 때마다 보안투자를 강화해야 한다는 여론이 반짝했지만 몇 개월 뒤 시들어버리곤 했다. 보안 위협은 매일 새로워지며 과거를 답습하는 경우가 없다. 때문에 보안업체들 역시 살아남으려면 매일 혁신해야만 하며, 국내 모든 기관과 산업체들이 보안예산을 별도 편성해 상시 투자하는 것이 필요하다. ▲ 이 = 인터넷 포털 등에서는 각종 사이버사건이 빈발하고 있지만 예방을 위한 인프라와 대응책이 부족하다. 경찰에 접수되는 전체 사건ㆍ사고의 77%가 사이버 관련 건이지만 일선 경찰서의 범죄예방인력 중 사이버담당 인력이 차지하는 비중은 미미하다. 반면 북한은 정찰총국 산하 전자정찰국 사이버지도국에 최고 수준의 대졸 인력들을 최고 대우를 보장하며 배치하고 있다. 여기가 알려진 대로 공격부대 인력만 3000명이고, 총참모부 직속 지휘자동화국에 각종 사이버전 프로그램을 개발하는 곳도 있다. 배출되는 인력들까지 감안하면 전체인력은 1만명 이상 될 것으로 추정된다. 여기에 대응하려면 우리도 최고 수준 인력을 양성해야 한다.
조시행 안랩 전무.
◆ "대통령 직보하는 사이버안보 최고사령탑 있어야" ▲ 사회 = 사이버 테러가 발생할 때 각 정보를 신속히 취합 분석하고 대응책을 가동하는 과정에서 지휘 체계를 일원화해야 한다는 주장도 나온다. 이른바 사이버 테러 컨트롤타워의 상시 가동이다. ▲ 이 = 사이버 테러 정보를 공유하는 체계가 필요하다. 이른바 ISAC(Information Sharing Analysis Center), 정보공유분석센터다. 미국의 경우 산업 영역별로 스무개가 넘게 설치돼 있다. 신뢰할 수 있는 당사자끼리 정보를 공유하고 사고 발생시 공동으로 점검하는 것이다. 반면 우리나라는 민간에서는 방송통신위원회ㆍKISA와 각 업체, 정부는 안전행정부와 국가정보원, 군은 사이버사령부가 맡고 있다. 이 세 분야의 독립영역들을 관장하는 것은 매우 어렵다. 청와대 국가안보실의 경우 현재 행정관급인 담당자를 적어도 2급이상 수석비서관 정도로 격상시켜야 각 부처간 의견을 조율하고 사전에 보고받고 결합ㆍ분석할 수 있다. 물론 직급만 높인다고 해결되지는 않는다. 최고 의사 결정자의 바로 밑에서 사이버 테러를 관장하는 기구가 필요하다. 사이버 보안 특보가 대통령의 지근거리에 있어야 한다. ▲ 조 = 2009년 디도스 공격사태 이후 항상 콘트롤타워가 필요하다는 말이 나왔는데, 대응하는 민간부문 입장에서 봐도 한 곳에서 총체적으로 관할하고 정보를 집중해 한 목소리를 내는 것이 절실함을 느꼈다. 지난해부터 민ㆍ관ㆍ군 대응협의체 만들어져 평상시에도 함께 참여하고 있다. 아직 운영면에서 아쉬운 부분은 있지만 사건이 터질 때마다 개선되고 바뀌면서 상시 체제까지 왔다. 사이버 보안이 일시적인 문제가 아니므로 컨트롤타워는 100% 상설화되고 공개된 체제로 이뤄져야 한다. ▲ 이 = 북한 해커들은 외화벌이를 위해 중국서 'ICT(정보통신기술) 알바(아르바이트)'를 하는 것으로 파악된다. 중국이 ICT 아웃소싱 무대로 떠오르자 북한 당국이 전문 인력을 내보내 돈벌이에 나선 것이다. 우리나라 기업들이 발주한 아웃소싱에 그들이 참여할 뿐만 아니라 유지보수까지 맡고 있을 가능성이 높다. 국내 게임 아이템을 겨냥한 해킹에 중국 명문대 학생들은 물론 중화권 폭력조직인 삼합회까지 연루되는 등 국내 사이버 보안은 매우 위험한 상황이다. 사이버 테러를 전담하는 국내 대응 조직을 강화하고, 대통령에게 즉시 보고하는 상시 체계로 운영해야 할 이유다. 김영식 기자 grad@<ⓒ세계를 보는 창 경제를 보는 눈, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>
산업2부 김영식 기자 grad@ⓒ 경제를 보는 눈, 세계를 보는 창 아시아경제 무단전재, 복사, 배포 등을 금지합니다.