해커가 바라본 국내 사이버보안의 현주소

사이버무기 판매하는 사이버블랙마켓까지 등장...해킹 공격 대중화
해외 선진국 사이버부대 육성 ‘잰걸음’, 국내는 아직 ‘걸음마’ 단계

[보안뉴스 김경애] 사이버범죄, 사이버테러, 사이버전쟁 등 공격주체, 공격유형, 공격기술 등이 다양해지고 증가하면서 사이버보안 위협은 갈수록 커지고 있다.

먼저 사이버범죄와 사이버테러, 사이버전쟁을 구분지어 보면 사이버범죄는 사이버공간에서 이루어지는 범죄로 공격주체는 개인 또는 집단이다. 이들은 자신의 개인적인 이익이나 금전적 이익을 위해 공격한다.

사이버테러는 사이버 공간에서의 시스템 장애 발생 및 파괴를 목적으로 국가 또는 집단의 산업스파이나 테러리스트가 공격한다. 또한, 사이버전쟁은 사이버공간에서의 정보기술을 이용해 벌어지는 국가간의 전쟁을 의미한다. 국가의 사이버전사나 정보기관이 공격주체이고, 국가의 정치· 경제·군사적 이익을 위해 공격한다.

공격무기로는 취약점을 공격하는 익스플로잇(Exploit), 시스템을 파괴하는 악성코드(malware), 악성코드 봇(Bot)에 감염되어 해커가 마음대로 제어할 수 있는 봇넷(BotNet) 등을 이용해 해킹, 악성코드 감염, 바이러스, 서비스거부 공격, 파괴 등 네트워크에 대한 전자적 침해행위가 이뤄진다.

심지어 사이버 블랙마켓 등과 같이 사이버 무기를 판매하는 곳도 있다. 이러한 무기들은 누가 만들었는지 파악하기 어렵고, 여러 곳으로 자가 복제해 확산시켜 파괴가 가능하다. 이러한 대중화된 사이버 위협 속에서 공격을 방어하기란 쉽지 않다.

이로 인해 주요 선진국가들은 사이버안보를 위해 해커부대를 갖추고 있다. 미국은 NSA과 FBI를 중심으로 최강의 해커를 1996년부터 선발하기 시작했다. 국가 종합 사이버보안 계획에 의거해 지난 2008년부터는 전문 화이트해커를 채용하고 교육하고 있다. 또한, NSA를 통한 대학 보안센터를 지원해 2만명을 양성할 예정이다.

영국은 컴퓨터 공학과 해커와 암호해독 전문가 정보인력을 양성하고, 첨단 정보전 관련 분야 청년 인재 100명 정보통신부(GCHQ)에 배치하고 있다. 중국은 걸프전 이후 1991년 해커 특수부대를 창설하고, 1997년 인민해방군 안에 해커부대를 창설해 500만명의 해커를 양산했다. 이스라엘은 ‘유닛8200’이란 사이버 부대를 설립하고, 자국 내 최대 규모의 부대를 보유하고 있다.

이렇듯 사이버부대는 조직력과 방어체계, 전략과 전술, 사이버무기 등을 보유하고 있다. 그렇다면 국내의 보안 현실은 어떨까?

이와 관련해 라온시큐어 화이트해커센터의 조주봉 팀장은 제3회 지식재산권&산업보안 컨퍼런스에서 ‘해커가 바라본 사이버 테러와 국내 사이버 보안의 현주소’라는 제목의 주제발표를 통해 “국내 화이트해커는 약 200여명 뿐”이라며, “기존의 사이버부대를 갖추고 있는 선진국에 비해 턱없이 부족한 실정”이라고 밝혔다.

또한, 대응측면에 있어서도 공격받는 대상의 보호대책만 강화할 뿐 원인 제거는 부족하다고 지적했다. 원인을 파악하고 이를 제거하는 노력이 요구된다는 것이다.

그러면서 조 팀장은 “3.20 사이버테러의 경우도 명확한 원인분석이 이뤄지지 않은 상태에서 누가 잘했고 잘못했다는 책임소재 규명에만 치우쳐 있었다”며 “보안 시스템에 대한 지식과 기술이 부족한 사람이 보안 시스템 환경에 대해 승인했기 때문에 구축한 사람이 책임져야 한다”고 말했다.

“소를 잃어도 외양간은 고쳐야 한다”고 언급한 조 팀장은 “완벽한 보안은 있을 수 없기 때문에 보안담당자는 뚫릴 수 있다는 점을 항상 염두하고 보안장비에만 의존하지 말아야 한다”고 말했다. 그러면서 그는 “제대로 된 보안전문 인력으로 보안 프로세스를 수행해야 하고, 최대한의 방어 노력으로 피해규모를 최소화하는데 주력해야 한다”고 강조했다.

이를 위해 조 팀장은 기술적·관리적 관점에서의 대응체계를 구축하고, 보안 프로세스를 확립해야 하며, 전문인력을 양성·관리해야 한다고 제시했다.

[김경애 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)