최고 보안전문가 집단 ‘FIRST’가 말하는 글로벌 보안이슈

국제침해사고대응팀협의회 ‘FIRST‘ 임원진 인터뷰
그들이 꼽은 글로벌 보안이슈: 보안인력 부족, 공유와 협조, 사각지대 해소

[보안뉴스 김태형] 세계 최대 침해사고 대응 협의체인 ‘국제침해사고대응팀협의회(FIRST: Forum of Incident Response and Security Teams, 의장 마가렛 라움(Margrete Raaum))’가 주최해 지난 13일부터 17일까지 서울 여의도에서 진행된 ‘제28차 연례 컨퍼런스’가 성황리에 마무리됐다.

▲ FIRST 마틴 반 호렌빅 이사(우측)와 다미르 가우스 라흐노빅 이사(좌측).

이번 서울 연례 컨퍼런스는 글로벌 보안 전문가 및 관련직 종사자 700여명이 한국에 집결해 ‘침해사고 대응의 근본으로 다가가다(Getting to the soul of incidents Response)’를 주제로 사이버 보안의 현황과 미래에 대해 논의하는 자리로 마련됐다.

‘FIRST’는 전 세계 사이버보안 강화를 위해 1990년 공식 출범한 침해사고대응팀 간의 민간 협의체로서 전 세계 민간기업, 정부기관, 대학교 등 75개국 345개 기관이 참여하고 있다. 한국에서는 한국인터넷진흥원을 비롯해 금융보안원, 안랩 등 8개 기관 및 기업이 회원사로 참여하고 있다.

본지는 지난 17일 행사가 끝난 직후, FIRST에서 내부 파트너십과 홍보 등을 담당하고 있으며, 前 FIRST 의장을 지낸 마틴 반 호렌빅(Maarten Van Horenbeeck) 이사와 현재 FIRST의 CFO이면서 교육자료 개발 등 교육 분야를 총괄하는 다미르 가우스 라흐노빅(Damir ‘Gaus’ Rajnovic) 이사를 만나봤다.

FIRST의 설립배경에 대해 마틴 이사는 “FIRST는 침해사고 대응을 위한 보안팀들의 포럼으로, 지난 1989년 설립됐고 1990년부터 공식 활동을 시작했다. 설립 배경은 맨 처음 웜이 발생했을 때 이에 대응하기 위해서 7~8개의 침해사고 대응팀들이 구성됐는데, 이들간의 연합과 공조를 목적으로 시작됐다”면서 “현재 회원 대부분은 침해사고대응팀(정부 및 민간사업자, 대학연구소)이며 총 75개국 345개의 침해사고대응팀의 연합으로 구성되어 있다”고 설명했다.

FIRST의 가장 궁극적인 목표는 다양한 침해사고 대응팀을 한곳에 모으는 것이다. 그리고 다양한 그룹 활동을 통해 기술 세미나, 교육 교재 개발, 정보 공유, 취약점 등급 시스템 등을 논의하며, 이러한 그룹 활동을 통해 각각의 팀들이 모여 표준화를 만들고 모범사례 발굴 등의 업무를 하고 있다. 아울러 침해사고 대응에 관심이 있거나 침해사고 대응팀을 설립하고 싶은 기관이나 민간에게 이러한 교육자료 등을 공급하기도 한다.

현재 한국의 정부 및 민간 부문 8개(KISA, 국정원, 금융보안원, 교육사이버안전센터, 안랩, 이글루시큐리티, 네이버, SK인포섹)의 침해사고대응팀들이 FIRST에 가입되어 있다. 이와 관련 마틴 이사는 “이번 기회를 통해 더 많은 한국의 침해사고대응팀들이 가입했으면 좋겠다”는 바람도 피력했다.

다미르 이사는 “FIRST가 서로 연락을 하고 정보를 공유하는 것을 기본 바탕으로 하는 것이지만, 회원간의 모든 것을 공유해야 하거나 노출해야 한다는 의미는 아니다. FIRST에서 활동을 하면서 신뢰 관계를 만들어야 이를 통해 서로의 정보를 주고받을 수 있다”고 강조했다.

마틴 이사는 “조직적인 관점에 보면 FIRST 자체가 어떤 툴을 개발하거나 정보를 공유하게끔 만들어주는 것은 아니고 회원들이 알아서 자체적으로 정보를 공유하고 있다. 예를 들면, 어떤 툴을 개발하거나 교육자료를 만들면 이를 서로 공유한다”면서 “멤버들이 모여서 어떤 도구를 만들어 컨퍼런스와 세미나 등을 통해서 이를 공유하거나 확산시키는 통로로 이용하기도 한다. 이렇듯 멤버간의 정보공유나 협력은 멤버들 자체적으로 이루어진다”고 덧붙였다.

FIRST는 다음년도의 사업계획서를 작성하고, 이를 통해 회원사들의 활동을 지원한다. 예를 들면 교육 프로그램이나 역량 강화를 위한 툴 개발이나 표준화를 위한 워킹그룹을 지원하거나 FIRST외에 다른 회의나 컨퍼런스에 FIRST를 대표해서 갈 수 있도록 지원하기도 한다는 설명이다.

이에 대해 마틴 이사는 “이번과 같은 연례 컨퍼런스는 연 1회이고 기술 세미나 같은 작은 규모의 세미나들은 많이 열리는데 올해만 소규모 세미나가 20여개가 진행된다. 전 세계를 커버하기 위해 작은 세미나를 많이 개최하고 있다”면서 “연례 컨퍼런스는 정해진 규칙은 없으나 얼마나 많은 사람들이 참석하느냐에 따라 매년 사업계획에 부합하는 최적지를 찾는 회의를 통해서 가장 적합한 지역에서 컨퍼런스를 개최하게 된다”고 설명했다.

특히, 지역적인 특징과 분야별 특성을 고려해 컨퍼런스를 개최한다. 예를 들면 에너지나 헬스, 의료 분야로 나누어서 행사를 별도로 개최하기도 한다. 가장 중요한 목표는 FIRST 내에서 침해사고를 당했을 때 멤버들간의 협조나 공조를 통해 도움을 줄 수 있도록 하는 것이다.

이번 서울 컨퍼런스의 주요 안건은 현재 보안을 논의할 때 여러 가지 도구와 여러 기관 및 국가가 연관되어 있어 점점 복잡해지고 있는데, 이를 단순화시키고 누구나 보안을 쉽게 할 수 있는 방안을 연구하는 것이 주요 의제였다.

이에 대해 마틴 이사는 “이러한 주제에 따라서 이번 컨퍼런스는 자동화에 초점을 맞춰서 진행됐다. 즉 기존에는 보안과 관련된 엔지니어가 없으면 할 수 없는 일이 많았는데, 엔지니어 없이도 가능한 악성코드 정보공유 플랫폼처럼 정보공유 자동화에 대한 이야기가 많이 나왔다”고 설명했다.

그리고 현재 글로벌 사이버 보안 분야 가장 큰 이슈에 대해 다미르 이사는 “우선 전문가의 부족이라고 생각한다. 보안과 관련해서 어떤 문제가 발생했을 때 해결할 수 있는 자원이 아직도 부족하다. 두 번째는 현재 인터넷이 전 세계적으로 퍼져 있으나 어떤 문제를 지역적으로 한정시켜서 정보 공유나 협조가 잘 안 되는 것이 가장 큰 문제라고 생각한다”면서 “또 다른 한 가지는 보안 사각지대 해소다. 인터넷에 상대적으로 덜 노출되는 아이와 노인들에게 보안을 유지하고 인터넷을 안전하게 사용하도록 교육하지 못하는 것이다. 아이와 노인들은 인터넷 범죄에 노출되기 쉽기 때문에 이들을 교육시켜 안전하게 인터넷을 사용할 수 있도록 소프트웨어 등을 다시 디자인해야 한다”고 말했다.

또한, 마틴 이사는 “최근 상호 연결성이 급증하고 있어 큰 문제가 되고 있다고 생각한다. 이러한 방대한 네트워크의 취약점 정보에 대한 상호교류가 제대로 이루어지지 않고 있다. 전 세계에 퍼져 있는 동일한 제품의 취약점에 대해 전파하고 이를 제거하는 시간이 오래 걸린다. 이를 해결하기 위해서 FIRST는 분과위원회를 통해 정부기관 및 민간 연구기관의 개발자들을 모아놓고 모범사례를 발표하는 등 이를 어떻게 해결하고 단시간에 취약점 정보를 공유하고 제거할 것인지 논의하고 있다”고 강조했다.

한국의 사이버 보안에 대해 마틴 이사는 “FIRST는 기술적인 문제에 중점을 두는 성향이 강하다. 모든 회원사들이 그들만의 도전과제들을 가지고 있다. 이를 전체적으로 봤을 때는 무엇보다 안전하고 깨끗한 인터넷 환경을 만들어야 한다. 한국의 경우 북한과의 특수한 관계에도 불구하고 북한의 사이버위협에 잘 대비하고 있다고 본다”면서 “예를 들면 KISA는 디도스 공격 대피소가 있고, 다양한 보안교육 프로그램 개발과 인재양성에도 신경쓰고 있다. 이와 함께 악성코드 분석 등을 통해 보안위협 탐지율을 높이고 있는 것으로 알고 있다. 이는 점점 더 다양해지고 복잡해지는 사이버 공격에 한국이 잘 대응하고 있는 것을 보여주는 사례”라고 말했다.

또한, 다미르 이사는 “FIRST에는 적대국 관계에 있는 회원들이 동시에 가입하기도 한다. 즉, 정부간의 관계가 원활하지 못한 국가들의 침해사고대응팀들이 이미 가입하고 있다”면서 “기본적으로 FIRST는 정치적 문제는 관여하지 않고 있다. 이들은 보다 실질적인 문제를 해결해야 한다는 사실을 알고 있기 때문이다. 한편으로는 FIRST 회원 서로간의 공격을 대응하고 탐지할 수도 있다. 하지만 FIRST 회원국이라고 해서 민감한 정보를 서로 공유해야 한다는 의무는 없기 때문에 공유된 정보가 악용될 우려는 하지 않아도 된다”고 덧붙였다.
[김태형 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)