[2022 사이버보안콘퍼런스]
입력 2022.06.16 17:02
조선비즈가 주최하고, 과학기술정보통신부가 후원하는 ‘2022 사이버보안콘퍼런스(CSC)’가 성황리에 막을 내렸다. 코로나19 이후 빨라진 디지털 전환 시대에 있어 가장 중요한 사이버 보안에 대한 흐름을 제대로 짚어 냈다는 평가를 받는다.
16일 ‘조용한 전쟁: 사이버보안’이라는 주제로 열린 2022 사이버보안콘퍼런스는 국내 최고 보안기업인 안랩을 창업한 안철수 국민의힘 국회의원과 사이버보안 분야에서 가장 두각을 나타내는 국가인 이스라엘의 아키바 토르 주한이스라엘대사의 축사로 시작됐다. 기조연설은 이스라엘 최고 수준의 정보부대 유닛 8200 사령관 출신인 나다브 자프리르 팀8 공동창립자가 맡았다.
온라인 중계 없이 서울 중구 웨스틴조선 호텔 현장에서 펼쳐진 이번 콘퍼런스에는 300명 이상이 강연장을 찾았다. 콘퍼런스 관람객들은 “막연했던 사이버보안에 대해 잘 알 수 있는 계기가 됐다”, “사이버보안에 대한 관심이 높아지는 이 시점에 가장 유익한 콘퍼런스가 아닐까 싶다”, “현장뿐 아니라 온라인 중계도 이뤄졌음 좋겠다” 등의 반응을 보였다.
♢ 100% 완벽한 사이버보안은 없어…언제든 해킹 발생할 수 있다고 직시해야
기조연설에서 나다브 자프리르 팀8 대표는 “운영기술(OT), 사물인터넷(IoT), ‘xIoT’ 등 모든 것이 연결된 만물 인터넷으로 인류가 위대한 일을 할 수 있게 됐지만 동시에 우린 더 취약해졌다”라며 “경제적 목적으로 공격하는 해커들은 대부분 잘 준비된 조직범죄단으로, 돈을 요구하는데, 랜섬웨어가 대표적이다”라고 했다.
자프리르 CEO는 “사이버 공격자들은 역동적이고 민첩하며 규칙도 없고, 사이버보안에는 정보의 비대칭성이 존재한다”라며 “사이버 공격보다 방어가 더 어려우며 개별 주체가 완벽하게 방어를 하는 것은 어렵다”라고 했다. 그러면서 “기업은 내게도 해킹이 일어날 수 있음을 직시해야 한다”라며 “공격을 받고 외부에 알리지 않는 기업도 있고 랜섬웨어에 돈을 주고도 공표하지 않는 경우도 있는데, 이는 기술적인 문제가 아니라 리더십의 문제다”라고 했다.
마지막으로 자프리르 CEO는 “생산성과 가능성을 중심으로 균형 잡힌 프로그램을 만들어 사이버보안을 준비해야 한다”라며 “사이버 리스크도 다른 리스크와 동등한 체계로 관리한다면 새로운 시대에서 성공할 수 있을 것이다”라고 했다.
이어 등장한 김래환 SK쉴더스 EQST사업그룹 EQST담당 팀장은 “해커의 단순한 취미에서 시작된 사이버 위협이 조직적으로 진화하면서 우리의 안보를 위협하고 있다”라고 했다. 김 팀장은 “랜섬웨어(몸값과 악성코드 합성어)도 구독 형태로 발전하는 등 누구나 돈만 있으면 해킹 공격을 할 수 있는 상황이 됐다”라며 “해커는 돈이 있는 곳에 몰리게 돼 있고, 보안이 취약한 곳을 집중적으로 공격하고 있다”라고 했다. 이어 “과거부터 연구한 기업 자료나 개인의 민감한 정보를 탈취해 돈을 요구하는 사이버 공격이 더욱 활발해질 것으로 예상한다”라고 덧붙였다.
국내 사이버안보 권위자인 임종인 고려대학교 정보보호대학원 석좌교수는 “코로나19로 인한 비대면 디지털 전환 가속화 등으로 사이버 보안의 중요성이 강조되고 있어, 체계적이고 범국가 차원의 국제협력이 필요하다”고 했다. 임 교수는 “새로운 국제협력에서 사이버안보는 중심 주제로 부각되고 있어, 사이버안보에 대한 국가 정책 수립이 필요하다”라며 “미국, 일본 등 동맹국과 주변국 외에도 여러 생각이 비슷한 국가들과의 지역간, 양자간 협력 등 사이버안보 국제 공조체계를 확립해야 한다”고 했다.
임 교수는 “국가안보실에 신설되는 ‘국가사이버안보위원회’가 실효성을 갖고 쟁점 사항들을 해결할 수 있게 권한과 역할을 부여하는 동시에 인력도 구성돼야 한다”라며 “대통령이 국가 사이버안보의 최고 책임자임을 인식하고 사이버안보의 비전과 우선순위 등을 제시할 필요가 있다”라고 했다.
♢ 늘어나는 클라우드 사이버 위협…단계별 보안의 중요성
최상명 NSHC 데이터&AI팀 매니저는 “올해 초 랩서스(LAPSUS)라는 해커 조직이 국내외 빅테크 기업의 내부 자료를 유출하는 사건이 발생했다. 이들은 다크웹에서 구매한 임직원 계정 정보를 통해 해당 기업의 내부에 침투하는 데 성공할 수 있었다”라며 “이미 다크웹에 유출된 계정 정보는 VPN을 통해 탈취된 경우가 많다”라고 했다.
최 매니저는 “이렇게 유출된 계정 정보는 전 세계적으로 약 400억건에 달한다”며 “한국 기업과 공공기관도 적잖은 피해를 입고 있다”라며 “공공기관 중에는 1만건 이상의 계정 정보가 유출된 곳이 10곳, 1000건 이상의 계정 정보가 유출된 곳이 100여곳 있는 것으로 파악됐다”고 했다.
최 매니저는 “우리 기업이 털린 게 아니라고 나몰라라 하면 안 된다”라며 “우리와 협업하는 파트너사, 기관이 해킹당하면 우리의 정보까지 유출될 수 있다”라고 했다. 그는 이어 “남들이 해킹당할 때 어느 해커 조직이, 어떤 방식으로, 무슨 정보를 유출했는지를 다크웹 인텔리전스 플랫폼을 통해 파악해야 한다”고 전했다.
천준호 삼성SDS 클라우드보안서비스 그룹장은 클라우드 전환에 있어 단계적 보안에 대해 강연했다. 천 그룹장은 “클라우드 환경의 라이프사이클이 (기존 서버의)몇 년 단위에서 몇 주, 몇 시간 단위로 짧아지고 업무 구조도 완전히 달라질 수 있다”라며 “클라우드는 마우스 클릭 한번으로 엄청난 규모의 작업이 가능하기 때문에, 연간 보안 점검 만으로는 보안 체계를 유지하기 어려워 클라우드 전환을 단계 별로 나눠 구체적인 보안 정책을 운용할 필요가 있다”고 했다.
천 그룹장은 “클라우드 시장의 규모가 커지면서 클라우드 보안에 대한 위협이 높아지고 있다”며 “기업들이 클라우드 도입을 꺼려하는 이유도 사용자 데이터 보호 등 보안 이슈가 많기 때문이다”고 했다. 이어 “앞으로 클라우드 전환의 각 단계별로 어떤 보안 과제가 나올 지 모르겠지만, 기업들이 각 단계별로 보안을 대응할 필요가 있다”고 덧붙였다.
박성원 한드림넷 전략기획부 마케팅팀 선임 부장은 “초연결사회가 현실화하면서 보안 위협이 커지고 있다”라며 “현실적인 대처 방안이 중요하다”고 했다. 박 부장은 “기술의 발전으로 단말기 종류가 늘어나는 데다, 코로나19 팬데믹(대유행) 이후 원격으로 수업을 듣거나 근무를 하는 환경이 뉴노멀로 자리잡으면서 네트워크 환경이 급변하고 있다”라며 “이런 가운데 발전소, 전력소 등 사회 기반 시설은 그에 발맞춘 새로운 보안 체계를 도입하는 게 말처럼 쉽지 않다”라고 했다.
박 부장은 “네트워크도 화이트리스트를 바탕으로 구성해야 한다”라며 “쉽게 말해 총무팀 직원은 총무와 관련된 서버에만 접속할 수 있고, 고객관리 서버에는 접속할 수 없게 만드는 것이다”라고 했다. 그러면서 “실제로 그간의 정보 유출 사례를 살펴 보면 내부 직원의 실수에 의한 것이 많다”며 “집에서 쓰던 USB를 회사에 가져와 사용하는 것만으로도 설비들은 악성 코드에 감염될 수 있다”고 했다.
♢ 보안의 미래, 양자 보안…절대 뚫리지 않는 방패는 가능한가
양자역학에 대한 책 ‘퀀텀(양자)의 세계’를 쓴 이순칠 카이스트 물리학과 교수는 “양자정보기술이 미래 보안을 바꿀 것이다”라며 “양자통신은 이미 상용화됐으며 양자컴퓨터도 10~20년 후 상용화돼 여러 영역에서 혁신을 가져올 것이다”라고 했다.
이 교수는 “암호를 많이 쓰는 국방·안보 분야, 비밀열쇠암호를 활용하는 금융거래 분야, 공개열쇠암호를 쓰는 디지털자산 분야에서 양자컴퓨터가 미래에 큰 영향을 줄 것이다”라며 “4차산업혁명의 특징이 초연결성과 초지능성인데, 양자컴퓨터가 초지능성에서 ‘퀀텀 점프’를 이뤄낼 것이다”라고 했다.
이 교수는 “IBM, 구글 등 종합서비스를 하는 하드웨어 회사뿐 아니라 아마존, 마이크로소프트 등 클라우드 서비스를 제공하는 회사까지 다양한 회사가 양자컴퓨터에 주목하고 있다”라고 했다. 그러면서 “비트 수 증가에 따라 필요한 게이트연산 수가 기하급수적으로 늘어난다는 점, 그리고 나노기술의 한계로 인해 개발이 병목 현상을 겪고 있다는 점 등 어려움도 있다”라며 “그러나 이론적으로 양자컴퓨터에 있어서 불가능한 요소는 존재하지 않으며, 양자통신은 이미 상용화됐으며 양자컴퓨터 역시 10~20년 후 상용화될 수 있다”라고 했다.
김형수 KT 융합기술원 퀀텀(Quantum) 팀장은 “선진국 수준인 반도체, 디스플레이, 6G 기술과 달리, 한국의 양자 기술은 신흥 기술 수준으로, 글로벌 차원의 경쟁력을 갖추는 게 시급한 상황이다”라며 “선진국의 양자기술 수준이 100이라고 할 때, 한국의 양자기술 수준은 85.2점 수준으로 기술 추격자 수준에 불과하지만, 정부가 양자기술에 대한 중요성을 인지하고 본격적인 투자를 집행하기 시작한 상태로, 빠른 기술 성장이 예상된다”라고 했다.
김 팀장은 “양자 기술은 각 국가의 첨단 경쟁으로 도입이나 협업이 어렵다”며 “아날로그 시대에서 디지털 시대로 전환됐고, 향후에는 양자 시대가 오고 있다. 변화를 빠르게 인식하고 적극적인 기술 개발과 규범 설정을 위한 글로벌 논의 참여가 시급하다”고 했다.
강봉호 ICTK홀딩스 기술부문 총괄은 “양자내성암호(PQC)는 미래 보안을 보장할 유일한 알고리즘이다”라며 “양자컴퓨터는 앞으로 10년 이내에 상용화될 것으로 예상된다”라고 했다.
강 총괄은 “공개키 암호를 해독한 쇼어 알고리즘과 대칭키 암호 분석을 향상한 그로버 알고리즘으로 양자컴퓨터의 불안전성이 입증됐고, 이에 대한 해결책으로 떠오른 게 새로운 수학적 난제를 활용한 PQC다”라며 “또 다른 양자암호통신기술인 양자키분배(QKD)의 경우 확실한 보안성을 제공하지만 별도의 장치와 안정적인 채널을 필요로 해 확장성이 떨어진다”고 했다. 그러면서 “미국 국가안보국(NSA)과 영국 사이버보안센터(NCSC)도 공공서비스에 QKD 대신 PQC를 사용할 것을 권고한다”고 덧붙였다.
“양자내성암호(PQC)는 미래 보안을 보장할 유일한 알고리즘이다.”
강봉호 ICTK홀딩스 기술부문 총괄은 16일 서울 중구 웨스틴조선호텔에서 열린 ‘2022 사이버보안콘퍼런스(CSC)’에서 “양자컴퓨터는 앞으로 10년 이내에 상용화될 것으로 예상된다”며 이렇게 말했다.
CSC는 사이버 보안 분야 지식 공유 플랫폼으로, 올해 첫 회를 맞았다. 조선미디어그룹의 경제전문매체 조선비즈가 주최하고 과학기술정보통신부가 후원한다. 이날은 ‘조용한 전쟁, 사이버 보안’이라는 주제로 세계 지정학적 대립 구도 강화와 함께 고도화되는 사이버 공격을 분석하고, 디지털 전환을 준비 중인 기업들이 꼭 알아야 할 업계 최신 트렌드와 대응 방안을 살펴본다.
강 총괄은 ‘더욱 강력한 퍼프(PUF) 신뢰점(ROT) 보안과 PQC의 사이버보안 적용 방안’이라는 주제의 강연에서 “공개키 암호를 해독한 쇼어 알고리즘과 대칭키 암호 분석을 향상한 그로버 알고리즘으로 양자컴퓨터의 불안전성이 입증됐다. 이에 대한 해결책으로 떠오른 게 새로운 수학적 난제를 활용한 PQC다”라고 했다.
그는 “또 다른 양자암호통신기술인 양자키분배(QKD)의 경우 확실한 보안성을 제공하지만 별도의 장치와 안정적인 채널을 필요로 해 확장성이 떨어진다”며 “미국 국가안보국(NSA)과 영국 사이버보안센터(NCSC)도 공공서비스에 QKD 대신 PQC를 사용할 것을 권고한다”고 덧붙였다.
강 총괄은 “미국에서는 당장 PQC 도입을 시작하지 않으면 국가안보가 위협 받는 사태가 올 것이란 위기감이 조성된 상태다. 조 바이든 대통령도 최근 공개적으로 PQC의 중요성을 강조한 바 있다”며 “미 국립표준기술연구소(NIST)는 현재 PQC와 관련한 표준을 만들고 있다. 이제까지 총 7개 알고리즘이 공개됐는데, 내년 초에 첫 번째 발표가 나올 것으로 보인다”고 했다.
양자컴퓨터는 중첩에 의한 병렬처리 덕분에 고전 컴퓨터보다 속도가 유의미하게 빠르다. 안보, 금융거래, 암호화폐, 대체불가능토큰(NFT) 등 전 영역의 보안에서 양자컴퓨터가 혁신을 가져올 것이다.
이순칠 카이스트 물리학과 교수는 16일 서울 중구 웨스틴조선호텔에서 열린 ‘2022 사이버보안콘퍼런스’에서 “양자정보기술이 미래 보안을 바꿀 것이다”라며 “양자통신은 이미 상용화됐으며 양자컴퓨터도 10~20년 후 상용화돼 여러 영역에서 혁신을 가져올 것이다”라고 했다.
이 교수는 이날 양자물리의 기본 원리를 소개하며 “양자 세상에서는 물체가 중첩된다”라는 원리를 강조했다. 이 교수는 “세상 모든 것은 입자이면서 동시에 파동이며, 특히 파동이 가진 반사·굴절·에돌이·간섭 등의 성질은 모두 ‘중첩이라는 특성으로 설명할 수 있다”라고 했다. 이어 “각각의 소리 도·미·솔이 한꺼번에 하나의 화음을 만들며 중첩되듯이, 양자 세계에선 왼쪽과 오른쪽으로 돌고 있는 두 상태가 중첩된다”라고 했다.
이 교수는 이러한 양자물리의 원리가 양자암호통신에 적용될 수 있다고 설명했다. 이 교수는 “기존에는 두 사람이 비밀리에 통신할 때 누군가 도청을 하게 되면 자신이 도청당했다는 사실을 바로 알아차리는 구조였다”라며 “이를 방지하기 위해 도청자가 신호를 가로채 갔다가 읽고 되돌리지 못하게 하는 기술이 바로 양자암호통신이다”라고 했다.
이 교수는 고전 컴퓨터와 양자컴퓨터를 비교하며 “병렬 처리를 잘하는 양자컴퓨터가 더 빠르다”라고 강조했다. 이어 “양자 병렬처리의 경우 물리적 조작이 각 상태에 동시에 가해지기 때문에, 양자컴퓨터는 동시에 여러 가지 일을 한꺼번에 나눠서 처리할 수 있다”라고 했다. 또 “병렬처리가 효율적인 양자 알고리즘은 검색 알고리즘, 소인수분해 알고리즘 등에 활용될 수 있다”라고 했다.
이 교수는 “암호를 많이 쓰는 국방·안보 분야, 비밀열쇠암호를 활용하는 금융거래 분야, 공개열쇠암호를 쓰는 디지털자산 분야에서 양자컴퓨터가 미래에 큰 영향을 줄 것이다”라며 “4차산업혁명의 특징이 초연결성과 초지능성인데, 양자컴퓨터가 초지능성에서 ‘퀀텀 점프’를 이뤄낼 것이다”라고 했다.
이어 “SK텔레콤이 양자암호 기업 IDQ를 인수했고, 스마트폰에도 난수발생기가 탑재되는 등 양자정보기술이 보안 관련 중요한 역할을 할 수 있을 것으로 보인다”라고 했다.
이 교수는 “IBM, 구글 등 종합서비스를 하는 하드웨어 회사뿐 아니라 아마존, 마이크로소프트 등 클라우드 서비스를 제공하는 회사까지 다양한 회사가 양자컴퓨터에 주목하고 있다”라고 했다. 이 교수는 “비트 수 증가에 따라 필요한 게이트연산 수가 기하급수적으로 늘어난다는 점, 그리고 나노기술의 한계로 인해 개발이 병목 현상을 겪고 있다는 점 등 어려움도 있다”라며 “그러나 이론적으로 양자컴퓨터에 있어서 불가능한 요소는 존재하지 않으며, 양자통신은 이미 상용화됐으며 양자컴퓨터 역시 10~20년 후 상용화될 수 있다”라고 했다.
김형수 KT 융합기술원 퀀텀(Quantum) 팀장은 16일 “선진국 수준인 반도체, 디스플레이, 6G 기술과 달리, 한국의 양자 기술은 신흥 기술 수준으로, 글로벌 차원의 경쟁력을 갖추는 게 시급한 상황이다”고 했다.
김 팀장은 이날 서울 중구 웨스틴조선호텔에서 열린 ‘사이버안보콘퍼런스2022′에 참석해 한국의 양자 기술력에 대해 이같이 평가했다.
김 팀장은 “선진국의 양자기술 수준이 100이라고 할 때, 한국의 양자기술 수준은 85.2점 수준으로 기술 추격자 수준에 불과하다”면서도 “하지만 정부가 양자기술에 대한 중요성을 인지하고 본격적인 투자를 집행하기 시작한 상태로, 빠른 기술 성장이 예상된다”고 했다.
실제 정부는 지난해 12월 10대 국가 필수전략기술로 양자 기술을 선정했다. 이를 위해 정부는 약 3조3000억원 연구개발(R&D) 투자를 집행한다는 계획이다.
양자암호통신은 빛의 가장 작은 단위인 광자에 정보를 담아 암호화하여 전송하는 차세대 통신 기술이다. 송신자와 수신자만 해독할 수 있어 양자컴퓨터의 공격을 막아낼 만큼 보안성이 뛰어난 것으로 평가받는다. 현재 글로벌 기술 패권 경쟁에서 가장 중요한 기술 중 하나로 꼽힌다.
김 팀장은 양자 기술의 국산화를 강조했다. 양자 기술은 국가 간 기술 경쟁과 안보 이슈로 인해, 해외 기술을 도입하기 어렵기 때문이다.
실제 2018년 미국은 수출통제개혁법(ECRA)을 제·개정해, 양자 소재 부품의 수·출입을 통제하기 시작했다. 지난해에는 중국 기업에 대한 양자컴퓨팅·양자암호 기술 수출을 금지했다. 또 올해는 우크라이나 사태를 대응하는 과정에서 러시아 제재에 양자 기관을 포함하기도 했다.
김 팀장은 “양자 기술은 각 국가의 첨단 경쟁으로 도입이나 협업이 어렵다”며 “아날로그 시대에서 디지털 시대로 전환됐고, 향후에는 양자 시대가 오고 있다. 변화를 빠르게 인식하고 적극적인 기술 개발과 규범 설정을 위한 글로벌 논의 참여가 시급하다”고 했다.
KT는 모든 장비를 국산화하는 것에도 큰 의의를 두고 있다. KT가 상용화한 모듈형 양자암호키분배(QKD) 장비와 소프트웨어는 모두 국내 기업이 개발한 것이다. 장비가 국산일 경우 장애가 생기거나, 업데이트를 할 때 곧장 대응이 가능하다.
또 KT는 이번 한강 동작대교 북단에서 남단까지 1㎞ 구간에서 무선 양자암호 전송에 성공했다. 이 밖에도 KT는 공공 분야에서 강원도청부터 2군단 사령부까지 17㎞ 구간, 제주도청과 제주안전체험관 사이 35㎞ 구간에 양자암호통신 네트워크를 설계하고 전송망 등 양자암호통신 시범 인프라를 구축한 바 있다.
“무엇보다 보유하고 있는 네트워크를 잘 알아야 한다. 그러기 위해선 독자적인 인증 체계를 구축해 연결된 단말기를 통합 모니터링해야 한다. 허가 받은 사용자도 권한에 따라 접근 가능한 영역을 나눠 위험에 노출될 가능성을 최소한으로 줄여야 한다.”
박성원 한드림넷 전략기획부 마케팅팀 선임 부장은 16일 서울 중구 웨스틴조선호텔에서 열린 ‘2022 사이버보안콘퍼런스(CSC)’에서 “초연결사회가 현실화하면서 보안 위협이 커지고 있다. 현실적인 대처 방안이 중요하다”며 이렇게 말했다.
CSC는 사이버 보안 분야 지식 공유 플랫폼으로, 올해 첫 회를 맞았다. 조선미디어그룹의 경제전문매체 조선비즈가 주최하고 과학기술정보통신부가 후원한다. 이날은 ‘조용한 전쟁, 사이버 보안’이라는 주제로 세계 지정학적 대립 구도 강화와 함께 고도화되는 사이버 공격을 분석하고, 디지털 전환을 준비 중인 기업들이 꼭 알아야 할 업계 최신 트렌드와 대응 방안을 살펴본다.
박 부장은 ‘산업제어시스템, 핵심 기반시설의 사이버 보안 위협 대응을 위한 화이트리스트 기반 네트워크 구성의 현실적 대응방안 제시’라는 주제의 강연에서 “기술의 발전으로 단말기 종류가 늘어나는 데다, 코로나19 팬데믹(대유행) 이후 원격으로 수업을 듣거나 근무를 하는 환경이 뉴노멀로 자리잡으면서 네트워크 환경이 급변하고 있다”며 “이런 가운데 발전소, 전력소 등 사회 기반 시설은 그에 발맞춘 새로운 보안 체계를 도입하는 게 말처럼 쉽지 않다”고 말했다.
박 부장은 “이는 대부분의 경우 별도의 폐쇄망을 이미 구축했다는 안도감으로 방심해서다”라며 “비용 문제도 크다. 산업용 설비는 전용 운영 체계가 있는데, 이 때문에 한 번 설치하면 최대 20년은 쓰는 게 일반적이다”라고 설명했다.
박 부장은 이어 “그렇다면 이런 조건 속에서 네트워크 보안을 어떻게 보완할 것인가. 먼저 갖고 있는 데이터에 뭐가 있는지를 알아야 한다”고 강조했다. 그는 “어떤 장비가 어디에 있는지, 어떤 사용자가 현재 무슨 단말기로 연결돼 있는지를 모르는 상태에서는 아무 것도 할 수 없다. 뭐가 문제인지조차 파악이 어렵기 때문이다”라며 “네트워크를 정확히 이해한 뒤에는 정해진 단말기만 연결이 가능하도록 하는 인증 체계를 마련해야 한다. 이는 문제 발생 시 빠른 대응을 가능케 한다”고 했다.
박 부장은 또 “네트워크도 화이트리스트를 바탕으로 구성해야 한다”고 했다. 그는 “이는 쉽게 말해 총무팀 직원은 총무와 관련된 서버에만 접속할 수 있고, 고객관리 서버에는 접속할 수 없게 만드는 것이다”라며 “이를 통해 네트워크 흐름을 한 눈에 볼 수 있는 가시성도 확보할 수 있다”고 했다.
박 부장은 “실제로 그간의 정보 유출 사례를 살펴 보면 내부 직원의 실수에 의한 것이 많다”며 “집에서 쓰던 USB를 회사에 가져와 사용하는 것만으로도 설비들은 악성 코드에 감염될 수 있다”고 했다.
배선규 메타넷티플랫폼 클라우드 보안 관제 컨설팅 리더
배선규 메타넷티플랫폼 클라우드 보안 관제 및 컨설팅 리더. /조선비즈DB
“클라우드 전환 또는 개발 시 철저한 보안 설정과 관리를 통한 체계적인 보안 강화의 필요성이 대두되고 있다.”
배선규 메타넷티플랫폼 클라우드 보안 관제 및 컨설팅 리더는 16일 서울 중구 위스틴조선호텔에서 열린 조선비즈 2022 사이버보안콘퍼런스에서 이렇게 말했다.
배 리더는 미국 대형 금융지주회사인 캐피털원과 테슬라에서의 클라우드 해킹 사례를 들며 “최근 발생한 클라우드 보안 사고는 대부분 오픈소스를 사용한 보안 설정, 보안 패치, 클라우드 자원을 악용해 발생했다”라고 했다.
클라우드 보안 서비스는 보안 컴플라이언스(법규준수・준법감시)로 시작해 클라우드 보안관리 체계 수립, 클라우드 보안 서비스 구현, 클라우드 보안설정 및 관리로 구분된다. 배 리더는 “각 단계가 완전히 갖춰지면 다음 단계로 넘어가며 유기적으로 체계적으로 클라우드 보안 보호대책을 수립하고, 관리 방안을 적용해야 한다”라고 했다.
디지털 전환에 맞춰 다양한 기업이 클라우드 전환을 꾀하고 있으나, 보안 체계나 관리 방안을 알지 못해 난관에 부딪히는 경우가 많다. 배 리더는 이럴 때 가장 필요한 것이 클라우드 보안 컨설팅이라고 설명한다. 배 리더는 “클라우드 보안 컨설팅을 통해 시스템 보안, 네트워크 보안, 보안 컴플라이언스 기반 개인정보 등 중요 정보 관리방안 등에 대한 우선순위 정보보호 로드맵을 수립하고, 통합적인 정보보호 대책 및 방안을 제시한다”고 했다.
클라우드에 대한 보안 위협은 클라우드 적용 확대만큼 늘어나고 있어 클라우드 시스템을 감시하고, 문제가 생기면 해결할 보안 관제의 필요성도 높아지는 중이다. 배 리더는 “클라우드 보안관제에 대한 필쇼어이 점점 대두되고 있다”라며 “컨설팅은 보안관제에 대한 공공과 금융 분야 보안 컴플라이언스 주요 항목들에 대한 가이드라인을 제시하여야 한다”라고 했다.
천준호 삼성SDS 클라우드보안서비스 그룹장은 “클라우드 환경의 라이프사이클이 (기존 서버의) 몇 년 단위에서 몇 주, 몇 시간 단위로 짧아지고 업무 구조도 완전히 달라질 수 있다”고 했다.
천 그룹장은 이날 서울 중구 웨스틴조선호텔에서 열린 ‘사이버안보콘퍼런스2022′에 참석해 “클라우드는 마우스 클릭 한번으로 엄청난 규모의 작업이 가능하기 때문에, 연간 보안 점검 만으로는 보안 체계를 유지하기 어렵다. 이에 클라우드 전환을 단계 별로 나눠 구체적인 보안 정책을 운용할 필요가 있다”고 했다.
천 그룹장은 클라우드 전환에 따른 보안 강화를 ▲초창기 ▲과도기 ▲완성기 등 총 3단계로 제시했다. 초창기는 소규모의 워크로드를 시범적으로 전환되는 시기를 말한다.
아마존 웹서비스(AWS), 마이크로소프트(MS), 오라클, IBM, 구글 등은 각 사업자마다 사용자와 운영자의 ‘공동책임모델’을 구성하고 있다. 클라우드 전환 초창기 시기일 수록 사용자의 보안이 중요하다는 의미다.
천 그룹장은 “사용자는 자기만 쓰는 영역에 대한 보안을 강화해야 하고, 사업자는 공용의 영역의 안정성을 확보해야 한다”며 “초창기 전환 시기에는 보통 적합성 검토, 업체 선정, 책임식별, 폐기절차, 침해대응, 취약점 진단 등 최소 6개 단계 이상의 보안 정책을 운영해야 한다”고 했다.
과도기 단계에는 보안 자동화 솔루션을 도입하는 것이 필수다. 천 그룹장은 “기업이 커질 수록 내부의 인적 요소에 대한 보안이 중요해진다”며 “직원 한 명의 사소한 실수나 고의적인 변화만으로 엄청난 보안 사고로 이어질 수 있기 때문에, 보안 자동화 솔루션을 통해 취약범을 미리 탐지해 보안 사고를 방지해야 한다”고 했다.
정착기에는 다양한 써드파트들의 보안 솔루션을 사용할 필요가 있다. 최근 클라우드 보안은 클라우드 서비스 제공업체)CSP가 자체적으로 제공하는 보안 상품과 서비스를 최대한 활용하면서 ▲보안형상관리(CSPM) ▲클라우드 워크로드 보호 플랫폼(CWPP) ▲클라우드 접근 보안 중개 서비스(CASB), 등 다양한 클라우드 전용 보안 솔루션을 적용하는 게 트렌드다.
삼성SDS는 국내 최초의 클라우드 보안 서비스 상용화와 AWS 보안 컴피턴시(Security Competency)를 획득했다. 또 시장조사업체 IDC의 마켓스케이프(Marketscape) 등재와 AWS 네이티브(Native) 보안관제 개시 등 클라우드 보안 시장을 개척해왔다.
천 그룹장은 “클라우드 시장의 규모가 커지면서 클라우드 보안에 대한 위협이 높아지고 있다”며 “기업들이 클라우드 도입을 꺼려하는 이유도 사용자 데이터 보호 등 보안 이슈가 많기 때문이다”고 했다. 이어 “앞으로 클라우드 전환의 각 단계별로 어떤 보안 과제가 나올 지 모르겠지만, 기업들이 각 단계별로 보안을 대응할 필요가 있다”고 덧붙였다.
= 박성우 기자
“우리 기업이 털린 게 아니라고 나몰라라 하면 안 된다. 우리와 협업하는 파트너사, 기관이 해킹당하면 우리의 정보까지 유출될 수 있다.”
최상명 NSHC 데이터&AI팀 매니저는 16일 서울 중구 웨스틴조선호텔에서 열린 ‘2022 사이버보안콘퍼런스(CSC)’에서 “남들이 해킹당할 때 어느 해커 조직이, 어떤 방식으로, 무슨 정보를 유출했는지를 다크웹 인텔리전스 플랫폼을 통해 파악해야 한다”며 이렇게 말했다.
CSC는 사이버 보안 분야 지식 공유 플랫폼으로, 올해 첫 회를 맞았다. 조선미디어그룹의 경제전문매체 조선비즈가 주최하고 과학기술정보통신부가 후원한다. 이날은 ‘조용한 전쟁, 사이버 보안’이라는 주제로 세계 지정학적 대립 구도 강화와 함께 고도화되는 사이버 공격을 분석하고, 디지털 전환을 준비 중인 기업들이 꼭 알아야 할 업계 최신 트렌드와 대응 방안을 살펴본다.
최 매니저는 ‘다크웹 상의 기업 내부자료 유출 현황에 대한 인텔리전스’라는 주제의 강연에서 최근 해커 조직들 사이에서 유행하는 수법을 소개했다. 그는 “올해 초 랩서스(LAPSUS)라는 해커 조직이 국내외 빅테크 기업의 내부 자료를 유출하는 사건이 발생했다”며 “이들은 다크웹에서 구매한 임직원 계정 정보를 통해 해당 기업의 내부에 침투하는 데 성공할 수 있었다”고 했다.
최 매니저는 “다크웹에 유출된 계정 정보는 VPN을 통해 탈취된 경우가 많다. 이렇게 유출된 계정 정보는 약 400억개에 달한다”며 “한국 기업과 공공 기관도 적잖은 피해를 입고 있다. 공공 기관 중에는 1만개 이상의 계정 정보가 유출된 곳이 10곳, 1000건 이상의 계정 정보가 유출된 곳이 100여곳 있는 것으로 파악됐다”고 덧붙였다.
최 매니저는 이어 “일반 기업이 일일이 유출된 정보를 파악하기는 현실적으로 어렵다. 이 때문에 키워드, 도메인 등을 검색해 유출 현황을 확인할 수 있는 다크웹 인텔리전스 플랫폼이 존재한다”며 “요즘은 랜섬웨어 조직들도 다크웹에 유출된 계정 정보를 구입해 기업들을 공격하는 쪽으로 방향을 틀고 있다”고 했다.
최 매니저에 따르면, 현재 활동 중인 랜섬웨어 조직은 70곳이 넘는다. 이들이 내부 정보를 유출한 기업은 5월 말 기준 5400곳이다. 이 가운데 한국 기업은 19곳이다. 최 매니저는 “이들은 서비스, 제조, 금융, 교통 등 산업 분야를 가리지 않는다”며 “문제는 여태 수사 기관에 잡힌 곳은 3~4곳에 불과하다는 점이다”라고 했다.
최 매니저는 그러면서 다크웹 인텔리전스 플랫폼에 각국의 수사 기관을 도울 수 있는 기능이 있다고 덧붙였다. 다크웹 서버의 취약점을 분석하는 기능이다. 그는 “일반 웹에서는 IP 추적이 가능하지만, 다크웹에선 그렇지 않다”며 “이것이 바로 서버에 주목하는 이유다”라고 설명했다.
김현걸 한국사이버보안협회 회장은 16일 서울 소공로 웨스틴 조선호텔에서 진행된 ‘2022 사이버보안콘퍼런스’에서 “코로나19로 인해 비대면 서비스 환경이 확대되면서 모든 영역에서의 사이버 공격이 증가하고 있는 가운데, 피해 규모는 크지만 상대적으로 신고 건수가 적은 몸캠피싱 등 사이버 위협 대응의 중요도도 커지고 있다”라고 했다.
김 회장은 전반적인 사이버 위협이 급증하고 있다고 강조했다. 김 회장은 “사이버 위협이란 컴퓨터, 네트워크에 대한 악의적 공격을 의미하며 공격자가 네트워크를 침투하여 스캐닝, 손상시키는데 이러한 피해는 개인, 기업, 공공기관, 국가 인프라까지 확대될 수 있다”라고 했다. 이어 “2021년 미국 최대 송유관 기업인 ‘콜로니얼 파이프라인’ 시스템에 대한 공격 등 대상을 가리지 않는 랜섬웨어 공격이 대표적이다”라고 했다. 또 “코로나19로 인해 원격교육과 재택근무가 확산되면서 원격보안접속 프로그램, 메일 및 가상사설망(VPN) 솔루션 취약점 해킹 등이 증가하고 있으며, 월패드 해킹은 큰 사회적 파장을 일으켰다”라고 했다.
이어 김 회장은 “2022년 주요 사이버 위협으로 Log 4j 취약점, 사물인터넷(IoT), 클라우드 보안 위협, 메타버스, 대체불가토큰(NFT), 인공지능(AI) 신종 위협 등이 떠올라 사이버보안의 중요성이 커지고 있다”라고 했다.
Log 4j는 프로그램 동작 과정에서 일어나는 일련의 기록을 남기는 오픈 소스 프로그램으로 직접 개발하지 않은 외부 구매 제품은 해당 업체가 보안 업데이트를 제공해야 하는 것이 단점이다. AI 스피커, 스마트TV, IP카메라, 배송용 드론, 스마트카 자율주행 등도 새로운 사이버 위협으로 떠오르고 있으며, 사용자의 정보가 집합되며 사고 발생 시 대규모 피해가 발생하는 클라우드 역시 사이버 보안 위협에 노출됐다. 또 메타버스, NFT, AI 신종 위협의 경우 개발과정에서 개발자의 실수로 이용자 정보 탈취나 시스템 마비 등이 발생하거나 AI 학습 방해, 오판 및 오인을 유도하는 것 역시 주요 사이버보안 위협으로 김 회장은 꼽았다.
김 회장은 특히 스미싱, 해킹메일, 보이스피싱 등 사이버 위협에 주의해야 한다고 강조했다. 몸캠피싱이란 채팅 애플리케이션(앱)을 통해 접근해 상대방의 모바일 기기 등에 악성코드를 심어 연락처 등 파일을 피싱하고, 중요정보 공개를 빌미로 협박 및 금전 갈취하는 범죄행위다. 김 회장은 “몸캠피싱은 범죄 피해의 특성 때문에 신고 건수가 30%에 불과하다”라며 “몸캠피싱의 피해는 매년 지속적으로 증가 중이지만 검거 건수의 한계가 명확해 다른 대안이 필요하다”라고 했다. 김 회장은 피싱 발생 건수는 총 1만73건이지만 검거 건수는 총 2330건에 불과하다고 설명했다.
김 회장은 특히 스미싱, 해킹 메일, 보이스 피싱 등 사이버 위협에 주의해야 한다고 강조했다. 몸캠피싱이란 채팅 애플리케이션(앱)을 통해 접근해 상대방의 모바일 기기 등에 악성코드를 심어 연락처 등 파일을 피싱하고, 중요정보 공개를 빌미로 협박 및 금전 갈취하는 범죄행위다. 김 회장은 “몸캠피싱은 범죄 피해의 특성 때문에 신고건수가 30%에 불과하다”라며 “몸캠피싱의 피해는 매년 지속적으로 증가 중이지만 검거 건수의 한계가 명확해 다른 대안이 필요하다”라고 했다. 김 회장은 피싱 발생건수는 총 1만73건이지만 검거 건수는 총 2330건에 불과하다고 설명했다. 한다”라고 했다.
김 회장은 “한국사이버보안협회는 피해자와 피싱범 사이에서 의뢰자의 정보가 포함된 기밀정보를 획득하게 되는데, 해킹된 자료가 의도치 않은 국가에 판매되는 경우도 있으며 제2, 제3의 N번방 사건으로 확대될 가능성도 있어 주의가 필요하다”라고 했다.
이어 “몸캠피싱에 대응하기 위해선 사이버 보안업체와 사용자, 정부 기관이 함께 협력해야 한다”라고 했다. 그는 “보안업체는 보안 위협을 감지하고 악성코드 분석 및 대응, 정보 공유에 힘써야 하며, 사용자는 피해 신고를 신속하게 하고 추가적인 자료를 백업해야 한다”라고 했다. 또 “정부 기관은 보안 인식 제고 활동과 피싱 조직 검거, 정보 공유 등을 적극적으로 해야 한다”라고 했다.
임종인 고려대학교 정보보호대학원 석좌교수는 16일 “신종 코로나바이러스 감염증(코로나19)로 인한 비대면 디지털 전환 가속화 등으로 사이버 보안의 중요성이 강조되고 있어, 체계적이고 범국가 차원의 국제협력이 필요하다”고 했다.
임 교수는 이날 서울 중구 웨스틴조선호텔에서 열린 ‘사이버안보콘퍼런스2022′에 참석해 “쿼드, 오커스(AUKUS), 인도태평양경제프레임워크(IPEF) 등 새로운 국제 협력에서 사이버안보는 중심 주제로 부각되고 있어 사이버안보에 대한 국가 정책 수립이 필요하다”며 “미국, 일본 등 동맹국과 주변국 외에도 여러 생각이 비슷한 국가들과의 지역 간, 양자 간 협력 등 사이버안보 국제 공조체계를 확립해야 한다”고 밝혔다.
지난 5월 조 바이든 미국 대통령은 한미정상회담에 참석해 한미동맹을 군사, 경제 안보를 넘어 기술협력 등 포괄적으로 강화시키겠다는 의지를 밝힌 바 있다. 윤석열 대통령과 바이든 대통령은 지난 21일 한미정상회담 후 발표한 공동성명에서 사이버 보안, 사이버 안보, 사이버 공격 등 관련 단어를 총 12번이나 언급했다. 이번 정상회담에서 사이버 보안이 주요 아젠다로 부상한 것이다.
임 교수는 “신흥 기술과 차세대 인프라 등 기술안보 분야에서 협력을 강화하며 공급망 보안 등이 강조되었기에 관련된 한-미 동맹에서 사이버안보의 중요성은 확대될 것으로 예상 가능하다”며 “UN GGE, UN PoA, UN OEWG 등 UN 중심의 사이버안보 규범 논의와 사이버 범죄 관련 부다페스트 사이버범죄 조약과 UN Ad-hoc 이슈, 인터넷 거버넌스 논의 등 여러 사이버 공간 관련 외교에서 우리의 입장을 정립하고 사이버 외교를 전담할 대사 및 조직을 신설할 필요가 있다”고 했다.
윤석열 정부도 사이버안보 강화를 위해 국가사이버안보위원회 신설을 추진하고 있다. 또 국정과제로 ‘국가 사이버안보 대응역량 강화’를 발표했다. 이 정책은 ▲사이버안보 패러다임 구축 ▲범정부 차원의 협력체계 공고화 ▲사이버안보 기반 공고화 등을 목표로 추진된다. 담당 기관은 국정원, 국방부, 과기정통부, 외교부로 지정됐다.
정부는 위원회를 통해 국정원, 국방부, 과학기술정보통신부, 외교부 등 사이버안보 관련 기관 간 협력을 활성화한다는 계획이다. 그간 사이버안보 기능이 흩어져 있어 종합적인 대응이 어렵다는 지적에 따른 조치로 풀이된다.
임 교수는 “국가안보실에 신설되는 ‘국가사이버안보위원회’를 실효성이 있으며 여러 쟁점 사항들을 해결할 수 있도록 권한과 역할을 부여하며 인력을 구성할 필요가 있다”며 “국가안보실에 신설되는 ‘국가사이버안보위원회’를 실효성이 있으며 여러 쟁점 사항들을 해결할 수 있도록 권한과 역할을 부여하며 인력을 구성할 필요가 있다”고 했다.
이어 “대통령이 국가 사이버안보의 최고 책임자임을 인식하고 사이버안보의 비전과 우선순위 등을 제시할 필요가 있다”며 “특히 사이버안보 관련 여러 쟁점사항에 대하여 기존의 각 부처의 의견을 수렴하여 종합하는 다운-탑(Down-Top) 형태로는 해결이 어렵기에 대통령실에서 사이버 안보 쟁점 사항들에 대해 탑-다운(Top-Down)으로 전략과 정책 등 대안을 제시해야 한다”고 덧붙였다.