김승주 교수 “사이버 보안, 탐지·방어·무력화 3축 체제 구축해야”

[SRT(에스알 타임스) 김남규 기자] 김승주 고려대 교수는 24일 국회 과학기술방송통신위원회 청문회에서 “사이버 보안 분야에도 탐지·방어·무력화로 구성된 3축 체제를 구축해야 한다”고 강조했다.

이날 청문회는 최근 발생한 KT와 롯데카드의 해킹 사태에 대한 현황과 문제점을 파악하고, 명확한 책임 소재와 향후 대안 등을 모색하기 위해 마련됐다. 김 교수의 이날 발언은 전문가 의견 공유 차원에서 진행됐다.

김 교수는 “최근 보고서에 따르면 행안부, 외교부, 방첩사 등이 해킹 피해를 입었고, 온나라 시스템도 뚫린 사실이 확인됐다”며 기업뿐 아니라 대한민국 정부 차원의 IT 보안 실태가 심각한 상황이라고 지적했다.

이어 그는 “우리나라의 보안 문제는 코로나 시기 원격근무 확대로 심각해졌다. 절대 원칙인 망 분리, 즉 폐쇄망이 이때부터 무너졌다”며 “최근 인공지능(AI) 확산으로 위협은 더 커지고 있다”고 진단했다.

김 교수는 “통신사에는 전수조사를 압박하면서 정작 정부 부처는 손을 놓고 있다”며 “기존 대책을 재탕하지 말고 이번에는 근본적이고 실효성 있는 대책을 세워야 한다”고 강조했다.

사이버 보안 3축 체계의 탐지와 관련해서는 사이버 인텔리전스(정보 수집)의 중요성을 강조했다.

김 교수는 “최근의 쓰렛(Threat) 보고서(위협 인텔리전스 보고서)에 따르면, KT가 사용하던 SSL 암호통신 인증서가 외부로 유출된 일이 있다”며 “우리 정부는 외국 해커가 먼저 이 같은 사실을 알아낸 뒤 업체에 통보하면서 알게 됐다”고 설명했다.

이어 그는 “이 외국 해커는 중국 해커를 해킹했고, 이 과정에서 KT의 SSL 암호통신 인증서가 중국 해커에게 탈취됐다는 것을 알게 됐다”며 “외국 해커 몇 명보다 못하다면 우리 탐지 능력부터 의심해야 한다”고 지적했다.

김 교수는 “탐지가 되면 방어와 복구가 뒤따라야 한다. 정부의 예방 능력이 중요하다”며 “현행 정보보호 관리체계(ISMS·ISMS-P) 인증은 건강검진 수준일 뿐 해킹을 막지 못한다”고 진단했다.

실제, 롯데카드의 경우 긴급 보안 취약점이 8년간 방치됐는데도 2020년에 ISMS-P 인증을 받았다고 꼬집었다. 또한 현재 통신 장비는 아예 보안성 평가 대상에서 제외돼 있는 점을 지적하며 외국처럼 정부 공식 평가를 의무화해야 한다고 강조했다.

3축 가운데 ‘무력화’와 관련해서는 “로그 기록이 핵심”이라고 말했다. 로그 기록이 남아 있어야 공격자를 추적할 수 있는데, 국내 기업들은 의무 보관 기간이 너무 짧아 확인이 어렵다는 것이다.

국제 공조의 필요성도 언급했다. 김 교수는 “KT나 롯데카드 사례처럼 해커가 해외에 있으면 국제 공조 없이는 대응이 불가능하다”며 “그러나 지금도 국제 공조 체계는 제대로 작동하지 않고 있다”고 지적했다.

마지막으로 면책 기준을 강화해야 한다고도 했다. 외국의 사례처럼 사고를 낸 기업이 피해 확산 방지를 위해 적극 노력하면 책임을 경감시켜야 한다는 것이다.

김 교수는 “같은 패스워드 유출 사건이라도 어떤 기업은 하루 만에 복구하고, 어떤 곳은 1년을 끈다”며 “하루 만에 막아낸 기업은 경감을 받는다. 이 때문에 해외 기업들은 상세 보고서를 작성해 공유한다. 이런 피해 구제 노력이 제도적으로 인정돼야 한다”고 강조했다.