김승주 고려대 교수 “탐지·방어·무력화 3축으로 국가 보안체계 재설계해야”

By곽중희

김승주 고려대학교 정보보호대학원 교수가 24일 국회서 열린 ‘과학기술정보방송통신위원회 통신·금융 해킹·개인정보 유출 관련 청문회‘에서 “국가 보안체계를 국가기관부터 점검하고, 국방 분야에서 추진 중인 탐지·방지·무력화 세 축으로 재설계해야 한다”고 강조했다.

김 교수가 제안한 ‘3축 체계’는 원래 국방 분야에서 북한의 핵·미사일 위협에 대응하기 위해 쓰이는 개념을 차용한 것이다. 군의 3축은 ▲탐지와 선제타격을 담당하는 ‘킬체인(Kill Chain)’ ▲요격 방어망인 ‘한국형 미사일 방어체계(KAMD)’ ▲대량응징보복(KMPR)을 뜻한다. 김 교수는 이 구조를 사이버보안에 적용해 “공격 징후를 조기 탐지하고, 취약점을 선제 방어하며, 피해 발생 시 즉시 무력화·차단하는 체계로 전환해야 한다”고 설명했다.

이어 그는 “연이은 대형 해킹 사태를 일회성 사고로 치부할 게 아니”라며 “누가 무엇을 언제 어떻게 챙길지 운영 절차를 마련하고, 정부와 기업이 같은 체계로 움직일 때만 재발을 막을 수 있다”고 덧붙였다.

국가기관 해킹 전수조사 시급, “위협 인텔리전스 강화해야

김 교수는 첫 단계로 국가기관의 해킹과 정보 유출 피해에 대한 전수조사가 필요하다고 강조했다. 그는 “현황 파악이 선행되지 않으면 어떤 처방도 무의미하다”며, 통신사와 금융사, 대형 플랫폼은 네트워크와 인증서, 원격관리 장비까지 빠짐없이 목록화 할 필요가 있다고 말했다. 자산의 취약점 스캔과 구성관리(Configuration Management·CM)를 병행해 자산의 숫자와 위치를 정확히 확인해야 한다는 설명이다.

김 교수가 전수조사 필요성을 언급한 이유는 지난 8월 미국 보안 매체 프랙(Phrack)이 공개한 정부와 기업의 해킹 관련 보고서 때문이다. 프랙이 공개한 보고서에는 중국 배후로 추정되는 해커가 정부 기관과 통신, 금융 등 국내 주요 기업을 해킹한 정황이 포함돼 있었다. 김 교수는 “당시 KT의 SSL 인증서 유출 정황을 먼저 포착했지만, 기업이 뒤늦게 확인했고 결국 사태는 더 커졌다”고 짚었다.

또한 김 교수는 “외부가 먼저 해킹된 사실을 알리고 국내는 뒤따라 확인하는 전형적인 뒤쳐진 관리 행태”라며 ”이런 경우 기업 내부에 완전한 자산·로그 지형도가 없으면 증거를 놓치고 대응이 지연될 수밖에 없다”고 지적했다.

아울러 국가 차원에서 ‘위협 인텔리전스(Threat Intelligence)’ 공유·연계가 상시화돼야 한다고 말했다. 다크웹 판매 정보, 공격자 인프라(IP·도메인) 변동, 자격증명 유출 정황을 표준화된 포맷으로 수집·공유하고, 이를 자동 차단 정책과 연결해야 한다는 것이다. 김 교수는 “외국처럼 정부와 기업 간 탐지 정보 포맷을 맞추고 조기경보 체계를 제도화해야 한다”고 제안했다.

보안 인증 체계 강화, 통신 장비 보안성 평가도 의무화해야 

두 번째 축인 ‘방어’에서 김 교수는 기존의 ‘정보보호관리체계 인증(ISMS)·정보보호 및 개인정보보호 관리체계 인증(ISMS-P)’ 제도가 “건강검진 수준에 머물러 긴급 취약점을 걸러내지 못했다”고 지적했다. 그는 “초소형 기지국(펨토셀) 같은 통신 장비를 보안성 평가 대상으로 의무적으로 포함시켜 시험을 통과한 장비만 망에 붙도록 제도화해야 한다”고 강조했다.

또한 기업의 보안 인증도 단순히 서류 확인에 머물러선 안 된다고 했다. 그는 ▲폐기·교체 이력 ▲권한 변경 ▲취약점 패치 이행률을 현장에서 수치로 검증해야 실효성을 가질 수 있다고 설명했다. 그는 롯데카드 사례를 들며, 관련 취약점이 이미 보고된 후에도 8년이나 방치됐는데 이는 관리 체계의 문제로 밖에 볼 수 없다고 덧붙였다.

아울러 인증·결제 구간의 보안 취약성도 언급했다. 그는 “ARS·문자만으로 결제를 승인하는 구조는 언제든 공격자에 뚫릴 수 있다”며, 일회용 비밀번호(OTP), 생체인증, 결제 비밀번호 같은 이중 인증(2FA)을 전면 의무화해 취약 구간을 없애야 한다고 제안했다.

사고 기록 보존과 국제공조, 투명한 사고 공유 문화도 필요

김 교수가 강조한 보안 체계 개편의 마지막 축은 ‘무력화’다. 김 교수는 “사고 규명의 성패는 로그(기록)에 달려 있다”며 로그 보존 정책 강화를 촉구했다. 현재 짧은 보관 기간과 허술한 저장 방식 때문에 과거 침해 정황을 규명하지 못하는 경우가 반복되고 있다며, 수정이 불가한 보관 방식인 ‘웜(WORM, Write Once Read Many)’을 의무화해 사고 기록에 대한 증거 무결성을 보장해야 한다고 했다.

또한 그는 해외 공격자 인프라(C2 서버, 도메인, 결제 루트)를 신속히 끊으려면 국제 공조 채널이 상시 운영돼야 한다고 지적했다. 수사기관, 규제당국, 통신사가 동시에 대응하는 초동 프로토콜을 마련해야 차단 속도를 높일 수 있다는 것이다.

아울러 김 교수는 해외 기업들의 사례를 들며 유연하고 투명하게 사고를 공유하는 문화도 필요하다고 강조했다. 그는 “미국의 데이터 브리치 인시던트 리포트(DBIR)처럼 침해 사례를 신속히 공개·공유하면 다른 기업이 같은 공격을 피할 수 있다”며 “사고 직후 기업이 신속히 차단·보고·보상 조치를 했다면 과징금이나 제재를 일부 감경하는 유연한 정책도 필요하다”고 말했다. 투명 보고가 가중처벌로 이어지는 인식을 바꿔야 기업들이 은폐 대신 초동 대응에 전력을 다한다는 설명이다.

김 교수는 발언을 마무리하며 “인공지능(AI) 보안이나 제로트러스트 같은 구호보다 먼저, 절차·주기·기록을 바로 세우는 일이 급선무”라며 “탐지·방어·무력화를 하나의 운영 체계로 엮어야 같은 유형의 해킹 사고를 끊어낼 수 있다”고 거듭 강조했다.

류제명 차관은 김 교수의 제안 내용에 대해 “현재 ‘국가AI전략위원회’에서 보안 관련 TF팀을 별도로 구성한 것으로 알고 있다”며 과기정통부 차원에서도 가능한 대책을 최대한 강구하겠다는 입장을 밝혔다. 또한 국가기관 해킹 전수조사에 대해서는 “별도로 진행할 수 있는지 확인이 필요하다“며 “권한 밖의 일“이라고 말했다.

한편, 이날 청문회에는 김영섭 KT 대표, 서창석 KT 네트워크 부문장, 황태선 KT 정보보안실장, 조좌진 롯데카드 대표, 홍관희 LG유플러스 최고정보보호책임자(CISO), 이종현 SK텔레콤 CISO 등이 참석해 최근 발생한 해킹·개인정보 유출 사태의 원인과 대응 방안을 두고 질의와 답변을 이어갔다.

김승주 교수는 고려대학교 정보보호대학원 교수로, 암호학과 네트워크 보안을 연구해온 국내 대표적인 보안 전문가다. 대통령 직속 4차산업혁명위원회 위원, 과기정통부 정보보호 연구개발(R&D) 정책 자문위원 등을 역임했으며, 다수의 국가적 해킹 대응 정책에도 참여해 왔다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.