[맹준호 칼럼] ‘정보보안 컨트롤타워’를 세워라

맹준호 부국장 겸 IT바이오부장 지난 8월 7일(현지시간)부터 10일까지 미국 라스베이거스에서 열린 해킹·정보보안 국제대회 겸 콘퍼런스 ‘데프콘’(Def Con)에선 해킹 전문 계간지 ‘프랙 매거진’(Phrack Magazine)이 현장 배포됐다. 데프콘은 1993년부터 매년 열리는 세계 최고 권위의 해킹 컨벤션이다. 프랙은 해킹·보안 분야에서 최고의 권위를 인정받는 기술 간행물이다. 세계 최고의 해커들이 모인 행사에서 배포된 프랙엔 한국에 관한 충격적인 내용이 담겨 있었다. ‘지능형지속위협 다운: 북한 파일들’(APT Down: The North Korea Files)이란 제목의 보고서는 북한이 배후로 추정되는 해커에게 행정안전부, 외교부 등 중앙부처를 비롯해 국군방첩사령부, 대형 통신사의 정보가 털린 사실을 확인했다고 전했다. 이 보고서는 한 화이트해커가 ‘킴’(KIM)이라고 불리는 공격자의 컴퓨터를 해킹해 발견한 파일들을 바탕으로 작성됐다. 킴의 컴퓨터를 들여다봤더니 행안부가 관리하는 범정부 업무처리 시스템 ‘온나라 시스템’에서 빼 온 자료와 외교부 이메일 관련 파일이 들어있었다는 것이다. 뿐만 아니라 방첩사의 스피어 피싱 공격 로그가 발견됐고, 통신사의 원격 제어 서비스 시스템용 인증서와 내부 서버용 비밀번호가 대량으로 들어 있었다. 국가와 기업의 기밀, 더 나아가 국민 개인정보 탈취로 이어질 수 있는 정보까지 해커의 컴퓨터에 들어 있었던 것이다. 보고서 작성자는 킴을 북한 정찰총국 산하 해커조직인 ‘킴(김)수키’를 의미하는 것으로 추정했지만 일부 전문가들은 중국이 배후인 공격자일 수도 있다고 본다. 미국에서 프랙 보고서가 배포된 직후 국내 보안 관련 전문매체가 이 내용을 보도했지만 일반인들은 큰 관심을 갖지 않았다. 보안 관련 연구자들은 긴급 학회를 열었고, 황정아 더불어민주당 의원이 프랙 보고서를 바탕으로 통신사들을 향해 여러 주의와 경고를 연속 발신했지만 파장은 작았다. 이렇게 중대한 정보 침해 사실이 만천하에 공개됐는데 한국 사회가 그렇게 조용했다는 사실이 믿어지지 않을 정도다. 한국 사회는 정보보안에 이 정도로 무관심했다. 그러다 9월 들어 KT가 무단 소액결제 침해와 롯데카드 개인정보 유출 사태가 터지면서 프랙 보고서도 재조명을 받게 됐다. 상당수 전문가들은 최근 벌어진 일련의 정보침해 사고가 외국 해커의 지속적인 공격과 무관치 않다고 본다. 가장 중요한 것은 국가 기밀과 국민 금융 정보까지 해킹당한 마당이라 앞으로 어떤 피해가 발생할지 모른다는 사실이다. 때문에 지금이라도 철저한 대비가 필요하다. 어떻게 해야 더 이상의 정보보안 침해를 막을 수 있는가에 대해서는 김승주 고려대 정보보호대학원 교수가 한 말을 참고할 필요가 있다. 지난달 24일 최민희 국회 과학기술정보방송통신위원장은 청문회에 출석한 김 교수에게 이례적으로 10분을 주고 평소 소신을 말하라고 했다. 그러자 그는 미사일 대응 군사전략인 ‘3축 체계’를 정보보안에도 도입해야 한다고 주장했다. 킬체인(사전탐지)-한국형미사일방어체계(공중요격)-대량응징보복으로 이뤄진 3축체계를 보안에도 적용해 탐지부터 공격 무력화, 응징까지 이어지는 해킹 방어 시스템을 구축해야 한다는 것이다. 김 교수의 의견대로 정보보호 3축 체계를 완성하려면 컨트롤타워가 필요하다. 현재와 같이 과학기술정보통신부, KISA, 금융위원회, 금융보안원, 국가정보원이 각자 할 일만 하는 시스템으로는 곤란하다. 특히 3축 중 기초에 해당하는 사전탐지는 국내 뿐 아니라 외국의 공격자들을 대상으로 한 화이트해킹 활동이라 전권을 가진 컨트롤타워가 직접 관리하고 책임지는 형태여야만 운영할 수 있다. 이재명 정부는 인공지능(AI)에 집중 투자해 한국 산업이 지속성장할 수 있는 기반을 만든다는 방침이다. AI 세계 3대 강국이 되겠다는 야심찬 계획도 세웠다. 그러나 현재 상황으로 볼 때 AI 투자보다 급한 게 정보보안 체계 재구축으로 보인다. 정보보안 컨트롤타워는 대통령 직속이어도 좋고, 국무총리나 과기부총리 산하여도 괜찮다. 국정원이 해도 좋다. 정부와 정치권은 하루빨리 보안 컨트롤타워 설립을 논의해야 한다. 부국장 겸 IT바이오부장