[IT 전문 블로그 미디어=딜라이트닷넷]

NSHC는 모바일 백신, 모바일 앱 위변조 방지, 앱 난독화, 키보드 입력 보안 솔루션을 공급하고 있는 모바일 보안 전문기업이다. 국내 금융사와 공공기관, 게임사 등에 모바이 보안 제품을 활발히 공급해 왔다.

최근에는 모바일 게임 보안에 특화된 지엑스쉴드(GxShield)’와 핀테크 통합 보안 솔루션인 에프엑스쉴드(FxShiedl)’를 선보이면서 제품군도 대폭 확대했다.

모바일 백신, 앱 위협조 방지, 앱 난독화, 키보드 입력보안 제품으로 구성된 대표 제품군인 드로이드엑스(Droid-X 3.0)’는 국내뿐만 아니라 일본 13개 은행에도 공급하는 솔루션 사업을 활발히 벌이고 있다.

2년 전에는 싱가포르에 진출, 허영일 대표가 직접 상주하면서 동남아시아 시장 개척에도 나섰다.

싱가포르에서는 오펜시브 리서치를 중점적으로 벌이면서 보안 정보제공 서비스와 보안 교육 서비스를 활발 벌이고 있다. 멕시코·대만·홍콩의 경찰청에 보안 정보 서비스를 제공하고 있으며, 대만과 홍콩, 이란, 르완다, 사우디아라비아, 콜롬비아 국가기관 등에 보안교육을 제공하는 등 서비스 사업이 활발하다.

NSHC는 먼저 레드얼럿취약점·보안위협 정보 제공 서비스를 시작하더니 모의해킹 서비스와 보안 교육 서비스까지 확장했다.

NSHC 레드얼럿팀이 수행한 오펜시브 리서치는 최근 국내 보안업계에 잇달아 이슈화됐다. 중국 제조사 공유기 취약점과 가정용 CCTV·IP카메라의 취약점·백도어 기능을 찾아냈고 모바일 결제 앱의 취약한 보안 수준을 진단한 결과를 잇달아 발표해 주목받았다. 최근에도 NSHC는 국내 기업, 은행, 공공기관에서 사용하고 있는 R사의 국산 라우터에서 심각한 취약점을 발견해 위험성을 공개하기도 했다.

사용자 삽입 이미지
오펜시브 리서치와 이를 바탕으로 한 보안 서비스에 적극 뛰어든 이유로 최병규 NSHC 경영전략본부 본부장은 사후 대응에 해당하는 방패만으로는 보안을 성숙시킬 수 없다. 사이버보안을 위해서는 예방이 중요하기 때문이라며 오펜시브 리서치는 바로 예방을 위한 것으로 보안을 위해 필요한 취약점과 위협 관련 정보를 주나 월, 분기 단위로 제공하고 있으며 취약점 모의해킹 서비스, 보안 교육까지 수행하고 있다고 말했다.

최 본부장은 “NSHC는 실제 해커와 같은 조건에서 모의해킹 서비스를 제공한다. 특정 제품을 대상으로 블랙박스 테스트를 하고 있다. 기존에 모의해킹이나 취약점 분석은 체크리스트 수준으로 해온 것과는 차별화된다고 부각했다.

그는 오펜시브 보안 분야가 사이버보안을 위해 더욱 활성화돼야 한다는 점을 강조했다.

실제로 구글, 마이크로소프트, 페이스북같은 글로벌 기업들이 상금을 내걸고 취약점을 찾아 달라는 버그바운티를 수행하고 있다. 이들이 버그바운티 프로그램을 포함해 다양한 오펜시브 리서치를 수행하는 이유는 제공하는 제품과 서비스의 보안을 향상시킬 수 있기 때문이다. 하지만 이 역시도 모바일 OS나 웹 브라우저 분야에서 활발히 이뤄지고 있지만, 개발기업 대부분, 특히 국내 기업들은 버그나 에러가 발견되더라도 이같은 사실을 숨기는데 급급한 수준이라는 게 최 본부장의 지적이다.

최 본부장은 보안위협 정보 서비스 요구는 많지만 아직까지 성공한 모델은 없다. 국내에서 오펜시브 리서치나 관련 컨설팅, 모의해킹 수요도 생각보다 많지 않은 상황이라며 오펜시브 리서치는 의사결정이 C(경영진)레벨에서 수행돼야 한다. 자칫 개발자 잘못이 될 수 있기 때문에 실무진들은 피하려고 한다. 이 점이 가장 어렵다고 지적했다.

컨설팅과 서비스 사업을 동남아시아지역 사업을 벌이는 싱가포르 법인에서 주도하고 있는 이유도 이와 관련돼 있다는 것이 그의 설명이다.

최 본부장은 “NSHC는 창과 방패를 모두 갖추고 제공하는 유일한 기업으로 지속 성장해 나갈 것이라며 아시아 넘버원 사이버보안 회사로 도약하기 위해 오는 2018년 싱가포르 법인 상장을 목표로 하고 있다고 포부를 밝혔다.

[이유지기자의 블로그=안전한 네트워크 세상]


2015/09/23 14:39 2015/09/23 14:39
[IT 전문 블로그 미디어=딜라이트닷넷]

방어기법을 개발하기 위해서는 공격기법을 연구해야 한다. 이는 단순히 특정 기업이나 기관의 문제가 아니라 국가 차원의 사이버보안 수준에 영향을 미친다.”


블랙펄시큐리티의 공동 창업자인 심준보 기술이사
(CTO)오펜시브 시큐리티의 필요성을 이같이 강조하면서 기업은 물론, 국가 차원에서도 이 분야가 좀 더 활성화될 수 있도록 노력 기울여야 한다고 견해를 밝혔다.


사용자 삽입 이미지
그 이유로 심 이사는
해커들로부터 실제 공격 받는 경험을 갖는다는 것은 아주 값지다. 향후 방어를 위한 정책을 수립하는데 있어 중요하다공격자는 일단 공격을 감행하면 시스템이 무조건 뚫린다는 것을 가정한다. 부족한 현재 수준을 점차 줄여나가는 것이 보안을 강화하는 과정이 된다고 말했다. 우리나라가 안타까운 세월호 침몰 사건을 경험한 이후 선박에 대한 안전문제, 국가 재난 대처 수준과 방식을 재점검하고 새롭게 수립하게 된 것과 같은 맥락이라는 것이 그의 얘기다.


오펜시브 보안 사업의 대표적인 유형으로는 대개 기업의 인프라를 대상으로 한 모의해킹과 소프트웨어 제품의 취약점 점검이 꼽힌다
. 인프라나 제품에 존재하는 취약점을 알아내 침투가 가능한지 테스트를 수행해 나온 결과를 바탕으로 보안 컨설팅을 수행하는 것이다.


심 이사는 오펜시브 시큐리티 기업들이 제공하는 모의해킹 방식은 그동안 국내 보안업계에서 정보보호컨설팅 업체들이 정보통신기반보호법에 따라 의무화돼 있는 주요 정보통신기반시설을 대상으로 수행해온 방식과는 차별점이 있다고 강조했다.


그는 모의해킹은 화이트박스 테스팅과 블랙박스 테스팅으로 구분된다. 화이트박스 테스팅은 기업에 앞으로 해킹을 진행할 모든 정보를 알려준 상태에서 한정된 대상에 대해 수행하는 것이라며 오펜시브 보안 기업들에게 의뢰하는 최근의 요구는 주로 블랙박스 테스팅으로, 국내에서는 휴대폰 제조사 등 대기업이 출시하는 신제품이 많다고 설명했다.


또한 기업의 감사팀이 보안팀이나 기업 보안수준을 진단하기 위해 침투테스트를 벌이는 경우도 있으나 아직 그 수요는 많지 않다. 하지만 점차 늘어나고 있는 추세라고 덧붙였다.


심 이사는 블랙박스 테스팅이 보다 효과적이 되려면 특정 제품이나 기업 차원의 요구를 넘어 국가 차원에서 진행할 필요가 있다는 점을 강조했다. 이를 위해서는 국가사이버보안 강화를 위해 민··군이 공동 대응해야 하고 민간 전문가들과의 적극적인 참여와 공조를 유도해야 한다을지훈련이나 사이버민방위훈련처럼 주기적으로 전 국민이 참여할 수 있는 체계가 필요하다고 제안했다.


블랙펄시큐리티는 201111월 설립된 기업으로 5년차에 접어들었다. 현재 취약점 분석과 보안 컨설팅뿐 아니라 교육 사업도 벌이고 있다. 심 이사는 한국정보기술연구원(KITRI)에서 주관하는 차세대 보안리더 양성 프로그램(Best of the Best, BoB) 멘토로 활동하고 있다.


그는 블랙펄시큐리티의 강점으로 취약점을 가장 잘 찾을 수 있다고 자부한다. 이슈가 됐던 홈트레이딩시스템(HTS) 취약점을 공표했고 한글과컴퓨터의 한글 제로데이 취약점을 잇달아 찾아 보고한 적이 있다. 스카다(SCADA), 지하철망 등 기반시설 시스템 취약점을 분석하는데 전문성을 갖고 있다고 말했다.


심 이사는 우리나라는 정보보호 관련법이 견고한 반면에 해커 커뮤니티가 잘 돼 있는 국가다. 다만 정부지원은 거의 없다. ‘사이버보안은 돈이 안된다고 할만큼 그동안 해커들이 돈을 벌기에도 힘든 조건에 있었다회사를 설립한 것도 기술수준이 우수하지만 일반 기업의 조직문화에 적응하지 못하는 해커들도 다닐 수 있고 맘껏 연구할 수 있는 환경을 제공하고 싶었기 때문이다. 소수정예로 운영하면서 잘 먹고 잘 사는 기업을 만들자는 것이 목표라고 강조했다.


이어 사업적 측면에서는 국내 시장에서 보안 사업은 레드오션이다. 이같은 레드오션을 블루오션으로 만들 수 있는 전략이나 돌파구가 바로 오펜시브 시큐리티’”라고 진단했다.


[이유지기자의 블로그=안전한 네트워크 세상]
2015/09/23 14:39 2015/09/23 14:39

[IT 전문 블로그 미디어=딜라이트닷넷]

사용자 삽입 이미지
그레이해쉬는 오펜시브 리서치 전문성을 전면에 내세운 대표기업이다. “공격 기술을 알아야 방어할 수 있다는 철학을 바탕으로 작년 6월 설립됐다. 신생업체이지만 국내외에서 해커 이승진 대표의 활약상은 이미 잘 알려져 있다.

이승진 그레이해쉬 대표는 공격 기술을 알아야 방어도 가능하다. 새로운 공격기법이 끊임없이 개발되고 기존 보안 솔루션을 우회한 공격이 이뤄지는 상황에서는 공격자 입장에서 하는 연구가 필수적이다오펜시브 리서치의 중요성을 이같이 설파했다.

이 대표는 지난 2013년 세계 최대 해킹·보안 컨퍼런스인 블랙햇에서 삼성전자 스마트TV의 취약점을 발표해 주목을 끌었다. 애플 iOS의 제로데이 취약점도 여러차례 발견, 이를 전달해 패치된 사례도 있다.

지난 2006년 아시아 최초로 데프콘본선 진출권을 따냈고 국내 해커로는 최다 진출한 경험을 갖고 있다.

보안업계에서는 2000년부터 활동해 왔다. 보안업체를 거쳐 사이버사령부에서 군복무를 하다 전역해 프리랜서로 활동해왔으며, 현재도 자문을 맡고 있다. 그레이해쉬 설립 당시에는 4명이 함께 시작했다. 벌써 구성원이 7명으로 늘어났다.

사용자 삽입 이미지
회사 대표를 맡고 있지만 이 대표는 올해에도 미국 라스베이거스에서 열린 데프콘에 참가하는 등 국내외 해킹 대회와 보안 컨퍼런스에 지속적으로 참여하고 있다.

현재 그래이해쉬의 주요 사업은 보안 컨설팅이다. 정식 법인이 설립되기 이전인 2012년부터 삼성전자, 삼성SDS, SK커뮤니케이션즈, SK텔레콤, 네이버 NBP·라인 등 국내 유수의 기업 보안컨설팅을 맡았다. 이들 기업 대상으로 보안 자문이나 교육도 수행하고 있다.

정보보호 컨설팅은 모의해킹과 취약점 점검, 정보보호 마스터플랜 수립, 정보보호 인증 컨설팅 등 유형이 다양하다. 그레이해쉬가 집중하는 부문은 기업들이 출시하는 제품·서비스의 취약점을 분석하는 분야다.

이 대표는 기업에서 회사 웹페이지나 인프라를 모의해킹하는 것과 판매하는 제품이나 서비스의 보안 취약점을 찾아달라는 요구를 받는다우리나라 모의해킹의 역사는 길다. 하지만 리버스엔지니어링으로 특정 제품의 취약점을 찾는 분야는 아직까지 경쟁자가 많지 않아 이 분야에 더욱 주력하고 있다고 설명했다.

오펜시브 리서치나 제품 취약점 분석 컨설팅의 필요성으로 이 대표는 제품을 개발할 때 개발자들이 보안을 고려해 개발하는 것이 필수적이다. 그리고 자체적으로 문제점을 발견할 수 있는 전문지식을 가진 팀을 운영해야 한다. 자체적으로 이를 수행한다고 하더라도 미처 발견하지 못하는 경우도 있기 때문에 또 다른 경로로 리뷰를 거칠 필요성이 있다고 강조했다.

또한 오펜시브 리서치는 보안이 필요한 모든 영역에서 활용될 수 있다모바일기기나 데스크톱, 사물인터넷(IoT), 스마트그리드에 이르기까지 보안이 필요한 모든 분야에서 확장하고 있다. 해외에서는 국방 부문까지 컨설팅을 제공하고 있다고 말했다.

그레이해쉬는 교육 사업도 활발히 벌이고 있다. 주제별로 10~15명 규모로 이뤄지는 해킹·보안 트레이닝 프로그램을 상시 진행하고 있다. 이달에는 웹 해킹 실습, 웹브라우저 제로데이 헌팅을 비롯해 버그헌팅·익스플로잇화, 스마트폰해킹 등의 프로그램을 운영할 예정이다.

작년에는 화이트해쉬(WhiteHash)’라는 보안 영재 장학 프로그램을 신설, 운영하면서 후배 해커도 양성하고 있다. 한국정보기술연구원(KITRI)에서 주관하는 차세대 보안리더 양성 프로그램(Best of the Best, BoB) 멘토로도 활동하고 있다.

그래이해쉬는 모바일 애플리케이션 난독화 솔루션도 개발했다. 현재 솔루션 사업 전략을 짜고 있는 상태다. 사업 전략에 따라 출시 시기 등을 정할 계획이다. 일본 등 해외 시장 출시가 유력하다.

이 대표는 그레이해쉬의 궁극적인 지향점은 보안 솔루션 공급회사가 되는 것이라며 공격기술 연구를 바탕으로 개발된 차별화된 보안 솔루션을 제공하고 싶다고 밝혔다.

[이유지기자의 블로그=안전한 네트워크 세상]


2015/09/23 14:39 2015/09/23 14:39
[IT 전문 블로그 미디어=딜라이트닷넷]

국내 정보보호 업계에 ‘젊은’ 해커들이 잇달아 뛰어들어 ‘오펜시브 시큐리티’, ‘오펜시브 리서치’라는 새로운 영역을 개척하고 있다.

‘데프콘’·‘블랙햇’같은 세계적인 해킹·보안 대회에 진출해 이름을 날리거나 국내 해킹방어대회에서 여러 차례 우승한 전적을 가진 해커들이 회사를 설립하면서 생겨나고 있는 새로운 조류다.


몇 년 전만 해도 해커 출신이 설립한 보안업체는 홍민표 대표가 설립한 에스이웍스와 허영일 대표가 이끄는 NSHC만 알려져 있었다. 하지만 이들도 백신, 모바일 보안 제품같은 ‘방어기술’ 영역의 솔루션을 제공하는데 주력했다. (지난 2010년 당시 주목할만한 신생업체로 홍 대표가 에스이웍스 이전에 설립한 쉬프트웍스(인프라웨어에 매각)와 NSHC 두 기업을 <딜라이트닷넷>에서 살짝 다룬 적이 있었다. 관련 포스팅 : 스마트폰 혁명과 함께 주목되는 신생 보안업체)

국내외에서 이름이 알려진 해커인 이승진 대표가 설립한 그레이해쉬나 심준보 기술이사(CTO)가 공동 창업한 블랙펄시큐리티 등은 공격자의 입장에서 공격기법을 연구하는 ‘오펜시브 리서치’ 분야의 전문성을 내세운 기업이다.

이를 바탕으로 기업에 보안수준 진단, 취약점 점검을 비롯한 보안 컨설팅과 교육 서비스를 제공하고 있다. NSHC 역시 기존 솔루션 사업 부문 외에 공격기법을 연구하는 오펜시브 리서치 부문을 강화하고 있다.


해커 출신인 허영일 대표가 해외로 나가 이 부문을 이끌면서 활발하게 오펜시브 리서치 기반의 차별화된 보안 서비스 제공에 나서고 있다. ‘창’과 ‘방패’ 분야의 전문성을 모두 손에 쥐고 국내외에서 한층 경쟁력 있는 보안기업으로 성장해나가겠다는 목표다.

이들 외에는 해킹방어대회 등에서 여러차례 우승하면서 이름을 알린 박찬암씨도 ‘오펜시브 리서치’ 기업인 스틸리언을 창업했다. 와우해커를 이끌며 오랫동안 활동해온 홍동철 에스이웍스 최고기술책임자(CTO)도 최근 엠시큐어를 설립해 해커 출신 기업가 대열에 동참했다.

<딜라이트닷넷>은 창간 6주년 기획으로 이승진 그레이해쉬 대표와 심준보 블랙펄시큐리티 이사, 그리고 NSHC 국내 및 일본 사업을 총괄하는 최병규 본부장을 만나 오펜시브 분야에 대한 견해와 사업 얘기를 들어봤다. 앞으로 다른 해커 출신 기업가들도 만나볼 계획이다.


사용자 삽입 이미지
‘오펜시브(Offensive) 시큐리티’는 공격기법과 공격에 악용될만한 취약점을 연구하는 분야로, 선제적인 보안의 개념이다. 그동안 국내에서는 생소했지만 유명 해커 출신이 설립한 기업들이 잇달아 ‘오펜시브 리서치’ 전문성을 내세우며 등장, 활약상이 알려지면서 최근 한층 활성화되고 있다.

사업 영역은 주로 특정 제품에 대한 취약점을 찾고 시스템을 대상으로 침투테스트를 수행해 결과를 제공해 보안 컨설팅을 수행하는 분야와 해킹·보안 관련 교육 서비스를 제공하는데 집중돼 있다.

주로 기업이나 기관이 자체 시스템이나 제공할 서비스 상품과 인프라의 보안수준을 진단, 부족한 점을 보완해 보안성을 강화하기 위해 채택한다.

NSHC의 문해은 보안연구소 레드얼럿팀장은 ‘오펜시브 리서치’를 백신에 비유하며 “백신은 병에 걸리지 않을 정도로 병원균을 약화시켜 사전에 주입해 우리 몸이 병을 이겨내게 만들어 면역체계를 강화한다. 취약점과 부족한 부분을 찾아내 드러내기 때문에 관계자들(제품 개발이나 인프라 보안담당자)을 심각하게 만들 수는 있지만 결국 보안체계를 튼튼하게 하는 역할을 수행한다”고 설명하기도 했다.

해외에서 ‘오펜시브 시큐리티’ 사업 범위는 국내보다 넓다. 해외 관련업체들은 분석한 취약점을 국가기관이나 기업들에게 판매하거나 공격 도구와 기법을 개발, 판매까지 하는 등 보다 폭넓은 사업 범위를 갖고 있다.

<관련 포스팅>
: 그레이해쉬 “공격 기술을 알아야 방어도 가능”
: 블랙펄시큐리티 “해킹 경험은 보안수준 향상에 기여, ‘오펜시브’ 보안 분야 활성화 필요”

[이유지기자의 블로그=안전한 네트워크 세상]
2015/09/23 14:39 2015/09/23 14:39
[IT 전문 블로그 미디어=딜라이트닷넷]

오는 12월 23일 시행하는 ‘정보보호산업의 진흥에 관한 법률(정보보호산업진흥법)’ 하위법령 제정안 공청회가 15일 삼성동 코엑스에서 열렸다.

미래창조과학부는 지난 6월 제정된 정보보호산업진흥법은 시행을 앞두고 후속작업에 박차를 가하고 있다. 이 법 하위법령인 시행령과 시행규칙 제정안을 마련해 지난달 28일부터 입법예고에 들어갔다. 이번 공청회도 관련 의견을 수렴하기 위해 마련한 자리다.

이날 토론회에는 정준현 단국대 교수가 좌장을 맡았으며, 박춘식 서울여대 정보보호학과 교수와 이경호 고려대 정보보호대학원 교수, 정경오 법무법인 한중 변호사, 홍기융 시큐브 대표, 이민수 한국통신기술 대표, 이준호 네이버 최고정보보호책임자(CISO), 손경호 한국인터넷진흥원 보안산업단장, 홍진배 미래창조과학부 정보보호기획과장이 토론자로 참석했다.

이날 공청회 관련기사에 미처 담지 못한 전문가들의 의견과 토론 내용을 거의 그대로 싣는다. (관련기사 “정보보호 투자 선순환 기반 마련…이젠 실행이 중요” 전문가들 한목소리)

<박춘식 서울여대 정보보호학과 교수> 



법률이 만들어졌다고 해서 산업이 진흥되고 인력이 양성되나. 정보보호 산업진흥 기반 정도를 마련했다고 평가하고 싶다. 지금부터 많은 분들이 같이 노력해야 한다. 후속작업 시행령 마련돼 공청회 갖는 것 큰 의미있다.
법 제정과정에서 진흥 위한 별도 기금이 삭제된 점, 산·학·연 공동 연구센터 조항이 삭제되고 전문인력 양성 조항이 축소돼 아쉬운 점은 있다. 앞으로 개선됐으면 하는 바람이 있다.

시행령 제10조 전문인력 인력양성기관 지정 등 조항과 관련해 전문교수 요원의 자격이 정해 질적 저하를 최소화하기 위한 방편이 필요하다. 전문인력 양성에서 전문교수 요원의 역할이 중요하기 때문이다. 교육생 관리 인력으로 4인 이상 확보하도록 돼 있는데 나름 이유가 있겠지만 관리인력 4명 이상이면 불편할 수 있다. 근거와 필요성이 같이 얘기돼야 할 것이다. 시행규칙 제5조 전문인력 관리시스템 등록된 전문인력을 국가가 지원하도록 한 것은 아주 잘 돼 있다.

<이경호 고려대 정보보호대학원 교수>


정보보호산업진흥법 제정은 축하받을 일이다. 인류역사에서 부와 힘의 원천이 어디있는가는 계속 달라졌다. 이전에는 농경자본이었다. 이 시대의 원천은 정보다. 정보를 어떻게 잘 유지하고 지키는 것이 경쟁력을 높이는 길이다. 국가의 부도 이런 것에서 생긴다. 이번에 산업 관련 법률이 제정된 것 의미가 크다. 산업을 진흥하기로 약속한 것이다.

정보보호는 ICT뿐 아니라 기술기반 다 들어간다. 대한민국 기술기반 사업에 거름 역할을 한다. 한 번 주고 끝나는 것 아니라 육성될 때까지 끊임없는 사이클로 발전시켜야 한다. 유지보수 대가기준 거의 7년간 얘기해 왔다. 소프트웨어 대가로 7.8%에서 15%까지 올려야 한다고 했다. 정부를 설득하고 기재부 설득하고 많은 노력했지만 안됐다. 정보보호 제품의 특징이 발현되지 못하고 불균형 상태에 있었다. 산업 분류에 있어서도 정보보호는 소프트웨어 아래 IT 아래 있다. 비무기체계 아래 비품 항목에 정보보호 잡혀있다. 본질 산업 핵심역량 인정받지 못했다. 그동안 산업군도 작았다. 10조 이상 산업이 안됐다. 때문에 역할 표현 못하고 있다가 드디어 균형점 찾았다.



다른 법률과의 관계에서 앞으로 특별한 규정을 제외하고 정보보호산업에 해당할 경우 이 법 적용받는다. 정보보호 소프트웨어 개발할 때, 정부입찰 참여할 때 정보보호 제품으로 선언 안하면 소프트웨어산업진흥법 적용될 것이다. 이 법이 효과가 있을 것이다.

정보보호 산업은 소프트웨어 산업과 왜 구분해야 하느냐. 개발, 납품, 구축, 유지보수로 이어지는 소프트웨어 라이프사이클에서 일반 소프트웨어는 개발 단계에 핵심 역량 모아진다. 우수한 개발인력이 제품 개발에 투입하고 역량을 집중해 우수한 제품 개발해야 한다. 정보보호는 우수한 제품 납품했다고 해도 납품 후 검수받은 날부터 새로운 공격이 나온다. 좋은 소프트웨어 되려면 좋은 개발자를 투입해 완성도 높은 제품을 개발해 납품하지만, 정보보호 제품은 이후에 악성코드 업그레이드를 해야 한다. 지금은 제품 납품 계약으로 끝난다. 고객 원하는 니즈는 납품 이후에 발생하는데, 계약 구조는 납품에 국한돼 있다. 이해관계 완전히 어긋나 있는 것이다. 그래서 유지보수 대가가 중요하다.



이 부분을 맞춰내는 방법은 여러 가지가 있다. 기존에는 소프트웨어산업진흥법 지배 받아 기존과 차별화 어려웠다. 정보보호산업진흥법에 유지보수와 정보보호 서비스 관련해 제10조 정보보호 제품 및 정보보호 서비스 대가를 넣었다.


정보보호기업은 정보보호 제품이라 선언하고 그 틀에 넣어야 한다. 또 시행령, 시행규칙에 표준계약서를 작성하라고 돼 있다. 공공기관도 이 특성 이해하고 맞춰줘야 한다. 일부 추가 예산이 발생할 것이지만 전체적인 역량에 있어 보장받을 수 있다. 고리가 맞춰지고 선순환 구조가 생길 것이다.


다음은 하도급 이슈다. 소프트웨어(SW)산업진흥법에도 하도급 승인을 받도록 돼 있다. SW산업진흥법은 대기업 참여제한 더 강화되는 방향으로 개정된다. 사업자 입장에서는 SW로 선언하면 SW진흥법 규제를 받는다. SW사업자등록증 제시하게 돼 있다. 정보보호 산업으로 지정할 경우에는 정보보호산업진흥법을 따른다. 여기에서 하도급 승인 방식에 고민을 가질 수 있다. 유통을 책임질 수 있는 규모 있는 정보보호 기업은 대기업 참여제한을 원할 수 있다. 반면에 유통구조나 영업력 미천한 스타트업이나 소규모, 중규모 중 작은 곳은 대기업을 통해 납품을 원할 수 있다. 잘 조율해 이 조항이 마련됐으니 앞으로 시장 변화 보면서 개정해나가는 노력이 필요하다.


정보보호 준비도 평가 부분이다. 정보보호 예산과 인력을 노출할 경우 인센티브 주게 돼 있다. 대기업은 잘하고 있을 수 있다. 문제는 중견중소기업이다. 이 정보보호 준비도 등급제도를 면죄부 주는 형태로 접근돼서는 곤란하다. 준비도 기준 자체가 소송 발생시 형사적 근거로 남으면 곤란하다.
평가기관 지정은 엄격하고 과학적 접근이 필요하다. 평가를 기반으로 전체 조율도 할 수 있고 발전할 수 있는 관리노력이 필요하다. 중견중소기업 경우 보안상태가 허술하다. 90%의 기업이 개인정보보호 투자를 하지 않고 있는 상태에서 기준 너무 높아도 낮아도 문제다. 법적기준 영향을 줄 수 있는 적정수준이 필요하다.


수출진흥 부분. 산업 진흥을 이루려면 시장이 넓어져야 한다. 결국 해외로 나가야 한다. 정보보호 특성 자체가 우리보다 더 나은 우수 기업이 해외에 있으면 시장 장악이 어렵다. 우리가 잘 할 수 있는 곳에 안착해야 한다. 국가를 전략적으로 접근하거나 국가간 이해가 필요하다. 양쪽 정부간 인프라를 만드는 것도 방법인다. 이를 위해 정부와 기업, 비영리단체 및 민간기구 협력 안되면 해외수출 지속되기 쉽지 않다. 양쪽 협약 맺는 등 필요하다. FTA 협약 반영 노력 추가된다면 산업진흥에 도움될 것이다.
<정경오 법무법인 한중 변호사>



정보보호 공시제도와 관련해 구체적으로 공시할 내용이 열거돼 있다. 정보기술부문 투자 대비 정보보호 투자현황, 인력 역시 마찬가지다. 투자 인력이 적은 곳이 표적될 수 있다. 기업의 투자 현황, 보안 관련 투자 현황을 너무 세밀하게 공시하게 되면 해커 표적이 될 우려가 있다. 이 부분은 공시 내용을 제공받을 수 있는 별도의 방법이 있으면 보완했으면 한다.


정보보호진흥계획 5년 주기로 수립하게 돼 있는데 너무 기간이 긴 것이 아닌가 한다. 성능평가시험제도 부분은 소프트웨어진흥법 기존 품질인증 받은 경우나 평가시험 거친 경우 재활용할 수 있게 시행령 돼 있다. 그 내용이 없다.


하도급 승인 부문은 아쉽다. SW산업진흥법은 최근 좀 더 구체적으로 개정했다. 다단계 하도급 비율 50% 초과하지 못하도록 재하도급을 금지하는 것으로 개정했다. 이 부분 법률 반영했으면 하는데 아쉽다.

<좌장 정준현 단국대 교수>



정보보호 공시는 신중할 필요 있다. 일반 기업의 공시 내용을 보고 기업 영업비밀 침해받는 문제와 관련한 행정심판이 진행되는 사례도 있다. 정보보호 공시방법을 좀 더 세부적으로 다듬을 필요가 있다.

<홍기융 시큐브 대표>



법 제정된 것은 우리나라 정보보호산업계의 오래된 숙원사업이 해결된 것이라고 평가할 수 있다. 개인적으로 30여년 이 분야에서 몸담고 정보보호 기술 분야가 산업으로 성장하는 과정을 봤고 법제도 입안 기여하면서 살아왔다고 자부한다. 가장 중요한 것은 생태계가 선순환 발전할 수 있도록 조성이 되느냐에 있다.

우리나라는 정보화가 추진, 촉진되면서 역기능 막자, 첨단 범죄로부터 막아보자 차원에서 사회 전면에 정보보호가 등장했다. 산업으로 성장할 수 있는 생태계 조성돼 있나 하는 부분에서 많은 분들이 아직 생태계 조성된 것 같지 않다고 한다. 스스로 성장해야 하고 자생력 갖기 까지는 정부의 지원도 필요하다. 글로벌 경쟁력 갖고 유명한 기업으로 성장한 기업이 나타나야 하는데, 이번에 생태계 조성이 선순환 구조로 조성될 수 있는 큰 계기가 됐다. 법도 제정되고 좋은 환경 조성된다. 기쁜 한 해다. 법 조항에 의미있는 내용 담겨있다. 어떻게 실행하느냐가 큰 숙제다.



법에 정보보호 산업에 대한 체계적인 진흥계획 수립 내용이 담겨있다. 그동안에도 정보보호 발전 5개년 계획을 발표하고 이를 시행하기 위해 정부가 많은 노력을 했다. 실효적인 정보보호 대책이 되기 위해서는 업계 바라는 정보화 추진 예산 대비 정보보호 예산이 독자적 분리돼 얼마만큼 실행됐는지 알 수 있는 게 필요하다. 정보보호 예산을 분리할 수 있는 기반을 마련했다. 공공은 물론 민간 부분 정보보호 수준을 진정으로 향상시킬 수 있는 기틀이 마련됐다는 점에서 의미있다.


정보보호 구매수요정보를 제공한다는 것은 정보보호 산업계 너무나 환경할만한 일이다. 공공기관에서 기존에 수요예보 발표. 국회 예산 전후 대략의 가이드라인 제시했는데 법에 의해 규정 마련돼 있다는 것은 미래부에서 많은 노력을 벌인 결과다. 수요예측이 가능한 산업분야로 발전할 수 있다는 것이 중요한 조항이다.


정보보호서비스 대가규정 역시 마찬가지다. 관련법이 제정된 것은 그동안 정보보호 대가가 적정하지 못했다는 것을 반증한다. 선순환적 보안 산업계 발전을 위해서는 너무나 필요한 법제도적 장치다. 적정대가가 산정돼야 한다.


그동안 해킹사고 대규모 일어났고 전세계 개인정보 유출사고가 일어났다. 홀수년도를 조심해야 한다고 할 정도로 대형사고가 늘 있었다. 그 반면에 정보보호 관련 예산 투입이나 발전속도는 그에 비해 미진하지 않았나. 속도도 느리지 않았나. 내수시장이 전부는 아니지만 내수시장 침체 요소 해결해나가는 데 있어 법 제정이 중요 기틀을 마련해주고 있다.


성능평가는 보안 선진국가에서 중요한 전략 요소다. 정부가 산업을 무조건 보호하는 식으로만 포지셔닝할 수 없다. 국내 산업을 전략적으로 육성, 보호해야 한다. 또한 국제 사회 대등한 입장에서 경쟁할 수 있는 토양을 마련해야 한다. 각종 인증제도가 이미 있다. 힘든 과정이 하나 더 생기는 것 아니냐고 할 수 있지만 대등한 글로벌 경쟁력 수립 측면에서 중요하다.


정보보호시스템이란 말은 정보화촉진기본법 90년대 중반 법에 최초로 명시됐다. 이 법에 정보보호시스템 성능과 신뢰도에 대한 기준을 고시했다. 인터넷진흥원에서 평가기준을 고시하고 정보보호제품 평가인증을 고시한다. 20년 전에 기틀 잡힌 부분인데 성능평가는 일반적으로 업계에서 생각할 때 세세한 기능 유무를 따지기 보다는 기능 속도에 대한 가이드라인 측면에서 진행되는 것이 바람직하다. 국제사회에서 충분히 경쟁할 기틀 마련하는 것이 진정으로 정보보호산업이 발전하는 기반이 될 것이다.


구매수요정보는 제품이나 금액, 그리고 언제 투자할 것인지에 해당하는 시기가 중요하다. 정보보호는 제품과 서비스, 보안관제 컨설팅 등 다양한 분야 존재한다. 계약 체결시 요구사항 분석 적용 어떻게 할지 기준을 정할 때 업계의 요구가 반영될 수 있길 바란다.
국내에서 정보보호 컨설팅과 관제서비스, 제품이 적정 정보보호서비스 대가를 받고 글로벌 경쟁력 갖추고 우수한 제품이 많이 배출 수 있도록 정부와 학계 연구기관의 많은 관심과 격려 속에서 산업계가 진정 도약할 수 있길 기원한다.

<이민수 한국통신인터넷기술 대표>



일회성보다는 지속적으로 배양해야 한다. 정보보호서비스 적정대가 산정 관련해 컨설팅과 보안관제 서비스 측면에서 얘기하겠다. 컨설턴트 교육을 수행해야 하고 취약점 분석센터, 취약성 분석장비도 운영하고 유지해야 한다. 이러한 여러 특성 때문에 맞는 제경비 기술료에 대한 추가 적용이 필수적이다.


보안관제는 365일 24시간 실시간 감시 분석 대응활동 해야 하는데도 불구하고 인건비 편성이 근로기준법에 근거하지 못해 야간과 주말 근로에 대한 적정 예산 반영을 못하고 있다. 이에 대해 산업협회에서 많은 노력하고 있다. 잘 반영되길 기대한다.

앞으로 정부 주도로 발주자들의 실천의지 높이는 것이 중요하다. 일회성 법을 만들거나 조치하는게 아니라 지속적인 모니터링과 개선 권고 등 모니터링이 필요하다. 시행령에 모니터링 부분이 들어간 것은 평가할 만하다. 예산소관부처인 기재부의 예산편성지침에 꼭 반영돼야 한다. 반영 못한다면 의미없는 법이 되고 만다.



정보보호 서비스 적정대가 산정되면 일자리 창출에도 영향을 미친다. 정부가 2만개 일자리 창출 기대하고 있지만 ICT 기술 발전 역기능으로 일자리는 오히려 감소한다. 미래학자들은 20년 후에 직업 수가 현재의 절반으로 감소한다고 한다. 미래 직업에서 절대 없어지지 않는 직업, 빠지지 않는 유망직업이 정보보호 전문가다. 정보보호산업 활성화 시켜야 아이들 취직자리 늘어난다. 우수인재가 유입되려면 기본 전제는 먹고 살고 돈 잘 버는 것이다. 정보보호 대가 현실화는 필수적이다. 공공기관 적정대가가 제공돼 품질 향상되면 산업 경쟁력이 높아질 것이다.


정보보호서비스전문업체 지정은 우수기술기업 지정에 관한 것과도 통한다. 인위적인 양극화 가능성을 염두에 둬야 한다. 이는 경쟁력 있는 기업과 아닌 기업을 나누는 기준이 아니다. 그럼에도 우수기술 기업으로 지정 받지 못한 곳과 받은 곳 양극화가 나타날 수 있다. 지속적 관리 이뤄지지 않는다면 그럴 수 있단 얘기다. 한 번 우수기술, 우수기업으로 지정되면 10년간 유지되고 다른 기업은 그 기간 우수 기술 기업 지정받지 못한다면 새로운 우수기업 나타날 수 있는 것이 차단된다.


2002년 정보보호컨설팅전문업체가 지정된 후 2014년에 추가지정이 있었다. 올해는 없었다. 미래부가 2017년까지 209개까지 늘리기 위해 정보통신기반시설을 100개 더 추가한다고 한다. 정보보호컨설팅 수요 확대가 예상되는 상황에서 지식정보보안컨설팅전문업체 추가지정이 필요하다. 마찬가지로 지속적 관리와 추가지정 없다면 임의적 양극화가 나타날 수 있다. 심사숙고해 필요한 분야를 정해야 한다.
2002년 8월에 정보보호컨설팅 수행기관 안전진단 수행기관을 지정했었다. 2014년 2월 그 제도가 사라졌다. 제도의 일관성이 없다면 전문업체 지정제도도 원래 목표한 산업경쟁력 제고 가치를 가질 수 없다. 정보보호서비스 지정관리 지속적으로 했을 때 새로운 업체가 시장에서 제 역할을 할 수 있는 공정한 기회를 부여받게 된다. 업계는 품질경쟁 통해 산업경쟁력을 높일 수 있다.


<이준호 네이버 정보보호실 이사> 


구매수요정보 제공이 명시돼 있다. 사용자 입장에서 구매수요를 제공한다고 가정해봤다. 별로 낼 게 별로 없을 것 같다. 두 번 내도록 돼 있는데 일 년에 한 번이라도 잘 받을 수 있는 방법을 고민해야 할 것 같다. 공공기관이 어떠한 솔루션 갖고 있는지 파악하는 게 더 중요하다. 해당 솔루션을 갖고 있으면 투자할 필요가 없을 것이고 보통 5년의 감가상각 시한까지는 구매하지 않을 것이다. 수요를 거짓으로 줄 수 있고 10월에 제품을 구매할 예정이지만 3월에 살 거라고 할 수도 있다. 실질적인 정보 받을 수 있도록 해야 한다.

정보보호 제품 및 서비스의 적정대가 지급은 아마도 부당한 요구할 때는 계약서에 쓰지 않고 조용히 얘기하게 될 것이다. 증거가 없기 때문에 이를 신고하는 경로도 있으면 좋겠다. 보안성지속서비스, 악성코드 분석 업데이트나 사고복구 지원 등 적정대가를 지불해야 한다고 하는데 문제는 이러한 조치가 매일 일어나지 않는다는 점이다. 때문에 업계에서 쉐어드서비스로 활용할 수 있다는 문제가 있다. 오히려 단가가 낮아져 오히려 스타트업이 정보보호산업에 들어오는데 걸림돌로 작용할 수도 있다.



정보보호 공시 방법 관련이다. 네이버는 사업보고서에 해킹당할 경우 사업에 큰 영향 받아 주식이 급락할 수 있다. 어느정도 투자할 수 있다고 적어놓고 있다. 이를 주관하는 것은 최고재무책임자(CFO)이다. 서열 2위정도 된다. CISO가 주관하라고 하는데 하기 힘들다. 다만 확인할 수는 있을 것이다.

공시시스템을 별도로 구축한다는 것은 리소스 낭비다. 보고서는 볼 수 있도록 공시시스템에 나오기 때문에 별도의 정보보호공시시스템은 없는 게 낫다. 네이버페이 서비스를 하고 있어 전자상거래법 영향을 받는다. IT인력 대비 정보보호 인력 비중을 적용받는다. 네이버는 관점에 따라 전 인력이 IT인력이 될 수 있다. 수많은 네트워크 비용을 들이고 있는데 정보보호에 상당히 많은 투자를 함에도 불구하고 상대적으로 비중 작아보일 수 있다. IT기업 많이 있으니 세심하게 배려해 줬으면 한다.



우수정보보호기업 부분은 만일 지원한다면 구체적으로 어떤 것을 지원할 것인지 세부 항목이 있었으면 좋겠다. 우수정보보호기업으로 지정받을 당시에 받은 제품이 아니라 해당이 없는 제품 팔면서 우수정보보호 기업이라고 했을 때는 어떻게 할지 생각해봐야 한다.

<손경호 한국인터넷진흥원(KISA) 보안산업단장>


법을 만들면서 정보보호 산업과 기업에 어떤 효과, 혜택 있을지 많이 고민했다. 우수 정보보호기업 지원 내용이 제정 과정에서 누락됐다. 조달 가점이나 인센티브 지원이 대표적이다.


현재는 컨설팅전문업체만 전문업체로 들어가 있는데 보안관제전문업체, 사고조사전문업체까지 확대하려고 한다. 향후 법 반영해야 한다.

법의 효과성이나 산업계에 효과가 있을지 의구심을 가질 것이다. KISA에서는 정말 중요한 내용이 있다. 법에 의해 정부에서 사업이나 예산 받아 프로그램을 관리한다. 다양한 정보보호 스타트업, 융복합집적시설, 수발주, 수요예보제, 고충처리센터, 인력양성, 정보보호 R&D 표준화 등 사업이 많다. 이를 감안해달라. 이 법에 의해 이끌어나가도록 하겠다.

12월 23일 시행까지 제 방을 산업진흥 의견수렴 창구로 만들어 다양한 의견을 자유롭게 청취할 수 있도록 하겠다.

9월 28일 클라우드산업 진흥과 이용자 보호에 관한 법률 시행된다. 일부 참여하고 있다. 보안 산업에 대부분 담겨있는 부분을 그쪽에 적용해보려고 한다. 공시제도도 클라우드 사업자 공시 조율해보려고 한다.

<참관객 질문>

: 이용균 이글루시큐리티 부사장
사업 하도급 승인 이슈에 관해 의견을 얘기하겠다. 현재는 하도급을 승인만 받으면 되는 절차로 돼 있다. 그런데 사업이 올 말에 끝나는데 아직까지 계약이 안되고 연말 사업이 끝날 때 계약돼 소급되는 일 빈번하다. 사업자 승인받을 때 서류 외에 계약한 계약서를 첨부하도록 추가해주면 이런 일이 생기는 것을 방지할 수 있을 것 같다.

성능평가 지원과 관련해 이 제도를 반대하는 입장이다. 정보보호 제품 만드는 기업은 CC인증을 기본 받아야 한다. 공공기관 납품시 가산점 받기 위해 대부분 GS인증도 받는다. 특정 공공기관은 원하는 제품 사기 위해 TTA BMT를 실시하는 경우도 있다. 성능을 확인하고자 하는 경우 기존 틀을 활용해도 된다. 법 시행령 항목에 적혀있는 것이 이미 GS인증에서 하는 경우 있다. GS인증은 굿소프트웨어 인증이다. 이제는 굿(Good)을 위한 최소 기준을 만족시키는지 확인하는데 그친다.
성능평가가 비슷한 인증 받는 또 다른 혹 될 수 있어 시행령에 명시적으로 표현하는 것이 굉장히 부담스럽다. 시행령에 관련내용을 많이 죽이거나 아예 빼는 것도 방법이다.

수출지원 관련이다. 중소기업도 그렇고 대기업도 그렇고 해외 수출에서는 수출대금을 미수금 없이 다 받을 수 있느냐가 관건이다. 계약 여부보다 계약한 돈 끝까지 잘 받을 수 있냐가 중요한 이슈다. 삼성, LG같은 대기업들도 여러 클레임 등 이슈 때문에 대금 10%를 포기하는 상황에 몰린다. 중소기업 리스크 감당하기 어려운 경우 뭔가 지원할 제도 있었으면 한다. 아이디어 차원인데 이전에 보니 자원외교의 경우에는 실패할 경우 이에 들어간 돈을 정부에서 보전해주는 제도 있던데 유사제도 반영해 미수금 생길 경우 이런 형태나 제도로 리스크를 줄일 수 있는 방법이 있으면 좋겠다.
수출 컨설팅 사업 하다보면 다른 나라에서 우리나라가 가진 좋은 법을 많이 부러워한다. 이 법을 영문화해서 배포한다면 아주 요긴하게 쓸 수 있을 것같다.


<박춘식 교수> 


공시제도는 기업의 투명성을 바탕으로 투자자의 올바른 투자를 유도하기 위한 것이다. 정보보호 관점에서는 기업 CEO 차원의 정보보호 투자를 유도하는 여러 정책 가운데 하나가 정보보호 공시제도로 알고 있다. 그런 차원에서 시행령 권고에 그친 것 아쉽지만 언젠가는 의무화돼야 정보보호 제대로 투자될 수 있다.
앞서 말씀한대로 영업비밀 누출이나 해킹 등 우려하는 점도 있다. 투자를 유인할 때 기업에서 IT 기준 정보보호 투자인력, IT기준 정보보호 인력, 예산이 돼 있는데 앞으로는 IT에 기준하지 말고 매출액 기준으로 한다던지, 바뀌어야 한다. 해당 조직이 해킹 당했는지 개인정보보호 유출 있는지 알려줘야 투자자가 알 수 있다. 그래야 정보보호 투자 유인하는 길이다. 일본에서는 그렇게 돼 있다. 이 부분 참고가 돼야 한다.
그리고 효과적 되려면 기존 자본시장과 금융투자에 관한 법률에서 기업들이 제출하는 것은 따로 봐야 한다. 미래부 정보보호공시제도 따로 보는 것은 효과적이지 않아, 연동을 하거나 해당기업의 보고서 보고자하는 사람이 함께 볼 수 있도록 해야 한다. 전자공시시스템 구축할 때 이 부분 고려해 기존과 연계된다면 좋은 방안이 될 것이다.


<홍진배 미래창조과학부 과장> 


오늘 나온 좋은 말씀 세부 기준 잡을 때 잘 반영될 수 있도록 노력하겠다.다만 몇가지 오해하는 부분이 있어 이를 얘기하고 싶다.

정보보호 준비도 평가가 면죄부 주는 것으로 되면 안된다는 점에 공감한다. 그래서 이름 자체를 인증이라는 용어를 쓰지 않고 준비도(레디니스)라고 했다. 오늘 평가 받아도 내일 뚫릴 수 있는 것이 사이버보안사고 속성. 준비도는 이정도 수준 돼 있다는 것이지 사고 안난다는 의미는 아니라는 점에서 준비도라는 용어를 사용한 것이다. 운영할 때 참고하겠다.
정보보호 공시제도 영업비밀 침해 여부성 말씀해주셨다. 해커 악용 가능성도 말씀하셨다. 투자수준이 낮은 경우엔 공시를 안하면 된다. 이 부분은 규제가 없다. 성능평가 규정 등도 선택사항이다. 공시의 경우 자신이 없고 너무 낮다면, 약하다는 것을 세상에 알려야하는 처지라면 선택 안하고 내가 투자해서 좋은 상태 됐을 때 이정도로 우리 회사가 고객정보를 잘 보호하고 있다는 것을 대외적으로 고객들에게 제시할 때 활용해라는 것이다. 우려를 해소될 수 있다.


정보보호진흥계획 5년 주기 너무 길지 않냐 하는데, 그래서 매년 롤링플랜을 수립하도록 돼 있다. 우수정보보호기업 정부조달시 가점 지원하는 부분 시행령 변경, 최종안 만들 때 반영해볼 수 있도록 하겠다.



정보보호컨설팅전문업체 추가지정은 시행령상의 문제는 아니다. 시장 상황을 보고 진행해야 한다. 작년 7개 추가해 현재 18개가 됐다. 전문업체의 인력수급이 안정화되는 기간 필요하다. 시장 상황 감안해 능력있는 컨설팅업체 잘 만들어나갈 수 있도록 하겠다.

정보보호서비스 대가기준과 관련해 악성코드 분석 업데이트가 상시 이뤄지지 않는다고 하셨는데 이는 상시 이뤄진다. 정보보호서비스 대가는 소프트웨어 유지보수 대가 이외로 반영돼야 한다는 것이 기본 생각이다. 대가기준은 표준계약서에 잘 반영해 이행되도록 하겠다.



정보보호공시시스템 구축 측면에서는 상장사와 비상장사 잘 조합해 진행하도록 하겠다. IT인력 많은 인터넷기업의 공시방법은 이미 고민하고 있다. IT서비스를 제공하는 개발인력은 다 빠진다. 어느 회사든 자기 시스템을 운용하기 위한 인력을 운영한다. 돈을 벌기 위한 서비스 개발 인력이 아니라 운용인력 대비 인력 따져보는 작업이 될 것이고 구체적인 기준을 고민하고 있다.

하도급 관련해서 계약서를 첨부하도록 하는 것은 좋은 아이디어다.



성능평가 관련한 의견과 관련해 CC인증은 보는 항목이 정해져 있다. 성능평가는 BMT다. CC인증은 그 기능이 있는지 여부를 본다. 체계적인 성능 평가가 이뤄지지 않는다는 반성에 따른 것이다. 보안기업 입장에서는 성능을 평가받는 것 부담스러울 수 있다. 정보보호 제품 성능평가 시범 테스트를 했을 때 의외로 성능 잘 안나오는 경우가 있었다. CC인증으로 잡아주지 못하는 부분이 존재한다. CC만으로 하던, 발주처가 능력있는 곳이라면 직접 BMT 하면 된다. 다만 발주처가 작아 스스로 BMT를 할 수 없을 경우 성능 확인하고 싶을 때 활용할 수 있다. 제품의 해당 기능에 대한 탐지율이 얼마되는지 차이가 많이 나 깜짝 놀라는 경우가 있다. 발주처 상황에 따라 탄력적으로 채택하면 된다. 발주처가 적합한 공급자를 선택할 수 있도록 하는 것이 정보보호산업 경쟁력 향상에도 도움될 것이다.

[이유지기자의 블로그=안전한 네트워크 세상]
2015/09/16 14:09 2015/09/16 14:09

[IT 전문 블로그 미디어=딜라이트닷넷]


안전한 전자거래를 위해 사용하는 공인인증서 유출이 심각한 수준입니다.

새정치민주연합 장병완 국회의원(광주 남구)이 미래창조과학부로부터 제출받은 자료에 따르면, 2011년 단 한 건의 공인인증서도 유출되지 않던 것이 2011년 이후 총 7만810건의 유출건수가 발생한 것으로 드러났습니다. 올 상반기에만 무려 2만건 넘게 공인인증서가 유출됐습니다.

2012년 8건에서 작년 기준으로 4만건 이상의 유출이 발생해 2년 사이 5000배 이상 폭발적으로 늘어났습니다. 2012년을 기점으로 매년 공인인증서 유출 건수가 크게 증가하고 있는 형국입니다.

사용자 삽입 이미지
이같은 공인인증서 유출 증가는 2010년 이후 스마트폰 도입이 활성화되고, 스미싱, 파밍 등 신종 해킹수법이 범람했기 때문인 것으로 추정되고 있습니다.


장병완 의원은 “연간 4만건 이상의 공인인증서가 유출되는 심각한 상황에서 현재 공인인증서 중심 개인정보보호 및 확인 시스템은 전면 재검토해야 한다”고 강조했습니다.

공인인증서 유출 이슈가 나오면 뒤따르는 것이 우리나라 비표준 기반의 웹 사용환경 문제입니다. 장 의원 역시 이를 지적했습니다.

“정부가 보안에 취약한 엑티브엑스(Active-X) 기반 공인인증서를 exe 프로그램으로 대체를 추진하고 있지만 이마저도 보안을 담보할 수 없다.”

“아마존, 이베이 등 해외 전자상거래 사이트와 주요 선진국들은 간편결제와 보안 등을 이유로 엑티브엑스와 공인인증서는 물론 exe 프로그램도 사용하지 않는다. 유독 우리만 이런 프로그램들을 고집하는 이유를 모르겠다.”

그동안 공인인증서 의무화 제도는 사용자들로부터 엄청난 비판을 받아왔습니다. 결국 전자금융거래와 전자결제에는 공인인증서 사용 의무화 규정은 완전히 폐지된 상태입니다. 생체인증 등 새로운 본인인증 방식이 각광을 받고 있습니다.

더욱이 공인인증서 논란의 중심에 있던 액티브엑스도 인터넷브라우저에서 퇴출되는 분위기입니다.

마이크로소프트는 윈도10을 출시하면서 새로운 엣지 브라우저에서부터 액티브엑스를, 구글은 크롬에서 NPAPI(넷스케이프 플러그인 애플리케이션 프로그래밍 인터페이스)를 지원을 9월 1일부터 중단할 예정입니다. 그 대안으로 제시된 것이 실행파일(exe) 방식의 프로그램입니다.  

인터넷 브라우저에서 플러그인을 사용할 수 없으니 사용자PC(로컬)에 보안프로그램(exe)을 설치해 PC에 상주해두고 사용자가 인터넷뱅킹을 사용하면 실행되는 형태입니다. 액티브엑스의 대안으로 exe 프로그램이 제시됐습니다. 대통령까지 나선 지적에 대한 임시방편일 뿐 근본 대책이 되지 않는다는 지적이 이어졌지요. 초기에 이 프로그램이 사용자 환경에 또다시 불편을 일으키면서 많은 비판이 나왔습니다.  

관련웹툰(http://emptydream.tistory.com/3746)이 나오기도 했지요. “엉엉 우리가 잘못했어요. 그냥 액티브X 쓸게요. 액티브X보다 더 나빠졌음”이라는 문구가 인상적이었습니다.
사용자 삽입 이미지

이 모든 논란과 문제를 해소할 대안은 웹 환경에 웹표준(HTML5) 기술을 적용하는 것뿐입니다. 하지만 어쩔수 없이 수많은 웹사이트가 웹표준을 지원하도록 개선하는 것에 시간이 걸릴 수밖에 없는 상황입니다.

[이유지기자의 블로그=안전한 네트워크 세상]
 
2015/08/31 14:16 2015/08/31 14:16

방송통신위원회와 한국인터넷진흥원(KISA)은 최근 발생한 사이버침해사고와 국내외 보안업체들의 전망을 분석해 올해 대두될 7대 사이버위협을 선정해 발표했습니다.

최근의 사이버공격의 특징은 지능화, 복합화입니다. 그 중에서도 올해에는 ▲총선과 대선 등 국가 주요 행사를 겨냥한 사이버공격 증가 ▲웹하드·소셜네트워크서비스(SNS) 악성코드 유포 증가 ▲국가·기업·개인 정보탈취형 지능형지속위협(APT) 공격 지속 ▲모바일 악성코드로 인한 보안위협 현실화 ▲한글 프로그램 등 이용자가 많은 국산 소프트웨어 취약점 공격 ▲클라우드 서비스 보안위협 증가 ▲DNS 서버 대상 DDoS 공격 위협 증가가 전망됐습니다. (관련기사 선거·엑스포 등 올해 국가 주요행사 겨냥 사이버위협 증가)

방통위와 KISA는 이같은 전망에 따른 위협 예방 및 대응 활동을 강화할 계획입니다. 현재 추진 중인 대응방안을 각 위협 전망 항목별로 살펴보겠습니다.

1. 국가 주요 행사 겨냥 공격 대비체계 강화

올해에는 주요한 국가 행사가 줄줄이 이어집니다. 3월 서울 핵안보정상회의, 4월 국회의원 선거 5~8월 여수 세계박람회 12월 대통령 선거 등이 있지요.

최근 사회 혼란을 유발하거나 정치적인 목적으로 국민들이 높은 관심을 갖는 주요 행사가 있을 때를 노려 사이버공격이 많이 발생하고 있습니다.

DDoS 공격이 대표적이고, 행사 안내나 선거 정보 등 관심사를 악용해 사용자들에게 메일을 보내 악성코드에 감염시켜 다른 공격에 이용하는 일도 빈번히 벌어져 왔죠. 

국가 주요행사를 겨냥한 공격 증가 예상이라는 문구를 접하니 가장 먼저 작년 10.26 보궐선거 때 발생했던 중앙선거관리위원회 홈페이지 DDoS 사건이 떠오르더군요. 검찰 수사도 종료됐지만, 지금까지 논란은 계속되고 있습니다. 많은 의구심이 해소되지 않았기 때문이지요. 과거사(?) 정리를 확실히 해야하겠지만, 앞으로 이런 일이 다시 발생하지도 않길 바랍니다.

KISA 인터넷침해대응센터는 행사 관련 웹사이트를 집중 모니터링할 계획이라고 합니다. 특별히 홈페이지 접속장애나 악성코드 은닉여부 조기탐지, DDoS 탐지해 대응할 계획이라고 합니다.

이상징후가 포착되면 정보통신서비스사업자(ISP)를 통한 초동대응과 함께 해당 사이트 운영기관 등에서 조치를 취하도록 알려주는 역할을 할 수 있습니다. 이를 위해 행사 관련기관과는 비상연락망을 운영하고, 국가사이버안전센터·경찰청 등 관련기관과 ISP·보안업체 등과의 공조도 강화할 방침입니다.

2. 웹하드, SNS 악성코드 탐지 강화

웹하드나 P2P 사이트 등에서의 악성코드 유포 문제가 심각하지요. DDoS 공격이나 대규모 개인정보유출 사건과 같은 대규모 보안사고가 발생하면, 악성코드 유포 경로가 웹하드 프로그램인 경우가 많았습니다.

공격자들은 사용자들이 파일을 다운로드하기 위해 설치하는 웹하드 전용 프로그램을 변조하거나 업데이트 프로그램을 다운로드하는 것처럼 속여 악성코드를 유포하는 방식을 많이 이용하고 있습니다. 이렇게 내려받은 악성코드에 감염되면 좀비PC가 돼 DDoS 공격에 이용되고, 회사 내부시스템에 침투해 개인정보 등을 유출하거나 이를 위해 시스템 관리자 계정을 탈취하는데 악용됩니다.

방통위와 KISA는 190개 웹하드 사이트의 전용 프로그램 변조여부 탐지 활동을 2월부터 시작할 예정입니다. 
이를 위해 웹하드 은닉형 악성코드 탐지 시스템도 작년에 개발했습니다.

웹하드 프로그램에나 게시물, 컨텐츠에 숨겨진 악성코드 여부를 탐지, 위험도를 판별할 수 있는 이 기술을 활용해 업체들에게 알려주고, 기술지원도 강화할 계획입니다.

방통위는 작년 12월에 웹하드 사업자를 대상으로 실태점검을 실시했습니다. 협조가 잘 안돼 대상사업자 106개 중 결국 8곳만 점검을 벌인 수준이미에도, 점검 결과 보안장비를 전혀 갖추고 있지 않는 등 보안체계는 매우 취약했다고 합니다.


지난해 개정된 전기통신사업법에 따라 작년 11월 21일부터 웹하드 등록제가 시행됐는데요. 현재까지 등록한 웹하드 업체는 전무하다고 합니다.

기존 업체들은 법에서 정한 불법 저작물 청소년 유해정보 유통방지 및 정보보호를 위한 기술적 조치요건를 이행할 계획을 마련해 6개월 이내에 등록을 마쳐야 합니다. 법적 효력은 오는 5월 20일 이후에는 발생하게 될텐데요. 이를 통해 연내에는 웹하드 보안수준도 강화될 수 있길 기대해봅니다.

방통위와 KISA는 포털 등의 인기 검색어를 통해 유포되는 악성코드 탐지 활동도 강화하고 있습니다.

검색엔진에서 제공하는 실시간 검색어를 악용해 악성코드를 유포하는 URL를 수집, 점검할 수 있는 기술도 보급하고 있습니다. 인기가 많은 SNS 게시글 내에 포함된 URL이나 단축 URL의 악성코드 은닉여부도 알 수 있는 기술이라고 하는데요. 포털 ‘다음’이 이 기술을 이전받기로 계약한 상태랍니다.

특히 단축 URL의 경우는 사용자들이 신뢰된 URL인지 여부를 쉽게 판별할 수 없기 때문에, 사용자 수가 대형 포털과 같이 많은 웹사이트 운영사들의 자발적인 정화 노력에 한층 힘을 기울여야 할 것으로 보입니다.

3. APT 공격 대응 전략

사실 방통위와 KISA도 APT 공격 대응 전략은 딱히 없습니다. APT 공격은 중요 국가 기반시설이나 기업 등 특정한 표적을 겨냥해 중요 정보 유출이나 시스템 마비와 같이 공격 목적을 달성하기 위해 은밀하게 오랜 기간 동안 공격을 수행합니다. 기존 공격 기법뿐 아니라 새로운 공격기법 등 여러 기법을 이용하고, 심지어 공격 대상이 가진 보안체계를 알아내 우회할 수 있는 수법을 이용해 공격을 성공시킵니다. 기업이 공격 사실을 인지하는 시점은 이미 피해가 발생한 때라고 보면 된다고 하지요.

하지만 KISA는 기업이 APT 공격을 예방할 수 있도록 가이드라인을 개발해 보급할 예정입니다. 5월 경으로 예상하고 있고요. APT 공격 대응을 위해서 어디서부터 손을 대야 할지, 무엇을 해야할지 잘 모르는 기업들은 참조가 될 수 있겠습니다.

만간 공포될 개정된 정보통신망법에 따라 기업의 정보보호관리체계(ISMS) 인증이 의무화되면 전반적인 보안체계가 기존보다 강화될 수 있다는 점에서 일정부분 효과가 있을 것으로도 판단하고 있습니다. (관련기사
방통위, 기업 정보보호 관리제도 전면 개편, 새해 강화된 개인정보보호 법 시행, 무엇이 달라지나)

이밖에도 지능화된 공격에 신속하게 대응할 수 있는 해킹 피해시스템 분석, 은닉회피·커널감염 등 악성코드 분석기법 연구 등도 진행해 신규 공격기법 대응방안을 마련하는데 주력할 계획이라고 합니다.

4
. 모바일(스마트폰) 이용자 보호 방안

모바일 악성코드 위협이 점점 현실화되고 있습니다. 올 1월 초에 ‘New Year 2012 Live Wallpaper’라는 이름의 악성 안드로이드 애플리케이션(앱)이 정상 앱으로 위장해 안드로이드 마켓과 국내 인터넷 자료실에서 유포되는 사례가 발생했었죠.

이 악성코드에 감염되면 이메일 주소 등 개인정보가 유출될 수 있었는데요. 다행히 일찍 발견, 조치해 KISA에 접수된 국내 피해 사례는 없다고 합니다.

스마트폰·태블릿 등 모바일 기기 사용자가 급증하고 있기 때문에 모바일 악성코드 위협으로 인한 피해 현실화는 시간 문제로 보입니다. 보안업체들이 집계하는 모바일 악성코드 수도 최근 크게 늘어나고 있는 것도 사실이고요.

일단 KISA는 안드로이드 마켓의 악성 앱을 팀지, 차단할 수 있도록 모바일 악성코드 수집분석 시스템을 구축하고 있습니다. 이 시스템을 바탕으로 안드로이드 마켓에서 유통되는 앱을 수집·분석해 현재 무료 배포 중인 스마트폰 자가점검앱(S.S Checker) 등을 통해 악성 앱 정보를 전파할 계획입니다.

또 방통위와 KISA, 3개 이동통신사, 단말기 제조사, 보안업체가 공동 참여하고 있는 스마트폰 정보보호 민관합동 대응반을 통해 모바일 악성코드가 출현하면 이용자 피해를 최소화할 수 있도록 체계를 마련해 놓고 있습니다.

5. 국산 SW 취약점 사전조치

작년에 한글과컴퓨터의 한글 프로그램에서 보안취약점이 여러 번 발견됐었습니다. 알툴즈 업데이트 프로그램이 SK커뮤니케이션즈 이용자 대량 개인정보 유출 공격에 악용되기도 했죠.

국내 이용자가 많은 소프트웨어의 보안취약점을 악용한 공격을 예방할 수 있도록 신규 취약점 탐지·분석 활동을 강화하고, 취약점정보공유시스템을 통해 취약점 정보를 공유하도록 시도하고 있습니다. 

일단은 KISA에서 취약점정보공유시스템을 구축해 소프트웨어 개발업체, 백신 및 보안 솔루션업체 등이 발견한 취약점 정보를 등록하고 확인해 전파하거나 대응할 수 있는 체계를 구축해 놨습니다.

민간업체들이 얼마나 자발적으로 취약점 정보를 제공하고 공유할 수 있을지는 두고 봐야 할 것 같은데요. 우선 시범 운용형태로 해보고 장기적으로 ‘취약점정보공유분석센터’ 구축도 검토한다고 합니다. 취약점정보공유분석센터 등과 같은 체계를 만든다는 계획은 서종렬 KISA 원장 등이 앞서 언급한 적이 있는데, 올해 예산 편성에서 누락됐다고 합니다.

6. 클라우드 서비스 보안대책

모바일과 함께 클라우드 컴퓨팅도 대세이지요. ‘보안’은 기업이 클라우드 도입에서 가장 우려되는 항목 1~2순위로 꼽힙니다. IT자원 가상화 및 공유, 정보 집중화와 같은 클라우드의 특징이 보안 문제를 걱정하게 만드는 요인입니다. 이에 대한 보안 방안이 제대로 갖춰져 있지 않는다면 정보 유출 우려가 있고 서비스 가용성과 비즈니스 연속성 문제로 크게 타격을 입을 수도 있기 때문입니다.

지난해 아마존 등 해외 클라우드 서비스에서 장애가 나 서비스 이용 기업들이 피해를 본 사례도 있었죠. 클라우드 서비스 신뢰성 확보는 필수사항입니다.

방통위는 클라우드 품질이나 보안에 대한 이용자 불안감을 해소하기 위해 클라우드 서비스 제공업체를 대상으로 클라우드서비스 인증제를 2월부터 실시할 계획입니다. (관련기사 ‘클라우드 서비스 인증제’ 시행, 실효성 있을까, 2월부터 클라우드서비스 인증제 본격 시행)

산하기관인 클라우드서비스협회를 주축으로 전문가들이 참여하는 인증위원회를 두고 품질, 정보보호, 기반 등 3대 분야의 ▲가용성 ▲확장성 ▲성능(속도) ▲데이터 관리 ▲보안 ▲서비스 지속성 ▲서비스 지원의 7개 항목을 심사해 인증서를 발급할 예정인데요. 민간 인증이니 사업자들이 자발적으로 참여해 받게 됩니다.

방통위는 클라우드 서비스 사업자의 정보보호 관리 등급제도 도입할 예정입니다.

2월 중 공포될 것으로 예상되는 개정 정보통신망법에 신설된 정보보호관리체계(ISMS) 의무화(안전진단 폐지) 관련 조항(제47조의5)을 적용해 클라우드서비스 사업자들이 ISMS를 받도록 함으로써 안전한 클라우드 서비스 활성화를 위한 기반 환경 조성에 기여한다는 방침입니다. 

이 점에서 클라우드 인증제의 운영주체는 클라우드서비스협회이고, ISMS는 KISA가 담당하고 있으니 이 부분에 정리가 필요할 것이란 생각이 드는군요. 

방통위는 “정보통신망법에 따라 ISMS를 통해 정보보호 등급제를 적용받은 클라우드 서비스 사업자는 클라우드 인증제 보안 심사 항목은 갈음할 수 있는 방식 등 중복으로 받지 않도록 제도를 연동 운영할 방침”이라고 말했습니다.

KISA도 “이와 관련해 추가 협의가 필요하다”는 입장입니다.

이같은 제도가 잘 운영되고 홍보효과까지 결합된다면, 이용자들이 서비스 사업자의 정보보호 수준을 고려해 인증받거나 정보보호 등급이 높은 클라우드 서비스를 선택할 수 있겠네요.

7. DNS 대상 DDoS 공격 대응 기반 마련

작년에 게임사들의 DNS 서버를 대상으로 DDoS 공격이 발생한 사고가 몇 차례 발생했다고 합니다.

그동안 DDoS 공격은 네트워크 대역폭 이상의 공격을 폭주시키거나 웹서버를 대상으로 사이트를 마비시키는 공격 형태가 많았는데요. KISA는 여러 서버 시스템을 한꺼번에 마비시키는 효과를 올릴 수 있다는 점에서 연동돼 있는 DNS 서버를 대상으로 한 DDoS 공격이 많아질 것으로 예상하고 있습니다. ‘이왕이면 한방에 큰 피해를 유발하자’는 생각이라면 웹 호스팅 업체나 IDC 내 DNS 서버, DNS 서비스 업체들의 시스템을 대상으로 공격을 벌일 수 있겠다 싶네요. 납득이 됩니다.

문제는 아직까지 DNS DDoS 방어체계가 제대로 구축돼 있지 않다는 점입니다. 

KISA에서 운영하는 사이버대피소도 웹서버 대상 DDoS 공격 대피소체계만 운영돼 있다고 하는데요. 원유재 KISA 인터넷침해대응센터 본부장은 “DNS DDoS 공격은 공격 패킷이 달라 사이버대피소도 새롭게 구축해야 하지만 예산 문제가 있다”고 설명했습니다. 그래서 유사시에 현재의 체계를 활용해 DNS DDoS 공격을 방어할 수 있는 방안을 찾고 있다고 합니다.

이를 운영해본 후 내년에 예산을 확보해 DNS DDoS 방어체계를 구축할 계획입니다.

방안이 마련되기 전에 큰 피해를 유발할 수 있는 심각한 DNS DDoS 공격이 발생하지 않았으면 하네요.

2012/01/31 08:05 2012/01/31 08:05

[기획/보안강국을 위한 쓴소리-보안관제 현황 진단①]

사용자 삽입 이미지

사이버위협이 날이 갈수록 심각해지면서 보다 보안관제에 대한 중요성이 어느 때보다 높아지고 있습니다.

기업이나 기관 중요 정보자산을 악성코드, 해킹, 분산서비스거부(DDoS), 정보유출과 같은 악의적인 행위와 위협으로부터 보호하기 위해선 실시간 모니터링을 실시해 공격을 탐지, 분석하고 대응하는 체계를 갖추는 보안관제가 필수적으로 요구됩니다.

그 이유로 정부는 사이버공격이 발생하면 신속하게 탐지·대응하기 위한 각 부처와 시·도 등 각 영역별로 보안관제센터를 구축해 침해사고대응체계를 선도적으로 구축·운영해왔습니다.

보안관제는 방화벽, 침입탐지/방지시스템(IDS/IPS), 그리고 통합보안관리시스템(ESM), 위협관리시스템(TMS) 등 단위 보안시스템과 보안관리시스템에서 발생하는 이벤트, 네트워크 트래픽 정보를 통합 모니터링하고, 상관관계를 분석해 사고를 처리 대응하며, 정보를 공유하는 기능을 포괄적으로 수행합니다. 

2000년대 초반부터 일원화된 보안관리체계 운영과 침해사고 대응협력의 필요성이 대두되면서 금융, 통신 등 각 영역별로 정보공유·분석센터(ISAC)를 만들기 시작했었죠. 벌써 까마득한 이야기입니다. 하지만 원래 목적대로 운영되지 못하면서 크게 활성화되지 못했습니다. 그나마 금융ISAC 정도만 운영이 되고 있다고 할까요.

본격적인 보안관제체계가 마련된 것은 현재 한국인터넷진흥원에서 운영하고 있는 인터넷침해대응센터가 만들어지면서부터가 아닐까 싶습니다. 2003년 12월에 신설됐죠.

이후 2003년 1월 25일, 우리나라 인터넷이 몇 시간 동안 마비되는 사상초유의 사태가 발생합니다. ‘인터넷대란’이라고 불리고 있죠. 이때부터 본격적으로 사이버보안에 대한 국가차원의 종합적이고 체계적인 대응 필요성이 제기됐습니다. 그 이듬해 정부는 국가정보원에 국가사이버안전센터를 설립합니다.  

국가사이버안전센터 운영이 본격화되고, 행정안전부 정부통합전산센터가 출범하죠. 이 때부터 본격적으로 보안관제센터가 정부·공공 분야에서 확산됩니다.

전자정부 보안관제센터가 구축된 2005년부터 지난해까지 정부부처 등 20여개 영역, 16개 시·도 광역자치단체까지 보안관제센터와 사이버안전센터가 마련되면서 실시간 발생하는 사이버위협을 탐지·대응할 체계를 구축했습니다. 

이제는 국가사이버안전관리규정이 개정돼 정부·공공기관은 보안관제센터 구축과 운영이 의무화돼 있습니다.

정부가 이달 중 보안관제 전문업체를 지정하게 되면, 예산과 전문인력 부족 등의 이유로 구축해 놓은 정부·공공기관의 보안관제센터 운영업무를 자체적으로 담당하기 힘들 경우 민간 전문업체에게 위탁하게 됩니다.

그 사이에 은행 등 금융기관, 대기업들도 자회사를 통해 보안관제를 운영할 센터를 구축하면서, 민간분야에서도 보안관제체계 도입이 확대되고 있습니다.

이제는 보안관제 인프라를 제대로 구축해 놓는 것뿐만 아니라 어떻게 하면 제대로 운영해 효과를 볼 수 있을지 총체적인 고민이 시작된 것 같습니다. 과연 보안관제체계를 본래의 목적에 맞게 구축해 운영하고 있는가 하는 점입니다. 

그러면서 짧은 시간 동안 보안관제의 중요성이 강조되는 동시에 한계성 또한 부각되기 시작했습니다. 최근 2~3년 간 발생한 사이버침해사고로 인한 결과는 치명적으로 다가왔기 때문입니다.

분산서비스거부(DDoS) 공격으로 정부기관·은행 등 주요사이트가 다운되고 금융전산망이 마비됐으며, 인터넷사용 인구 대부분이라 할 수 있는 정도의 개인정보가 유출됐습니다.

지난 2009년 발생한 7.7 DDoS 공격, 올해 발생한 농협 전산망 장애, 네이트·싸이월드 해킹사고 이야기입니다.

앞으로 어떤 강력한 공격이 우리나라의 정보통신망이나 시스템을 대상으로 발생할지, 그 피해는 대체 어느 규모가 될지 예측하기 어려운 상황에서 불안감만 커지고 있습니다. 

앞으로 해결해야 할 도전과제는 무엇일까요. 보안관제센터를 중심으로 사이버침해사고 예방과 탐지, 대응조치를 포함해 사이버보안에 대한 전방위적이고 종합적인 역할을 수행할 수 있도록 지속적으로 발전시켜야 할 것입니다. 

사이버위협은 계속 지능화되고 강력해지고 있기 때문에 보안관제체계를 구축했다고 안심할 게 아니라 계속해서 업그레이드, 보강해야 하는 것이 우리가 처한 현실입니다.


2011/10/12 11:23 2011/10/12 11:23

3500만명의 고객정보가 유출된 SK커뮤니케이션즈(SK컴즈)의 네이트·싸이월드 해킹 사고를 계기로 우리나라 ‘주민등록번호’ 제도가 또다시 핫이슈로 부상하고 있습니다.

단일 보안사고로 개인정보 유출 규모가 사실상 인터넷을 사용하는 모든 국민의 개인정보가 유출된 것으로 간주할 수 있다는 점에서 이번 사고 직후 보다 획기적이고 근본적인 개인정보보호 대책이 필요하다는 공감대가 형성됐기 때문입니다.  

주민번호 제도 자체를 손질하건, 수집·활용 관행을 바꾸건 간에 주민번호는 개인정보보호 방안의 중심에 있는 것이 사실입니다.

주민등록번호제도는 1962년 제정·공포된 주민등록법에 따라 50년 가까이 운영돼 왔습니다. 행정업무를 쉽게 처리할 수 있게 하고 범죄 발생시 범인 검거에 결정적인 역할을 하는 등 긍정적인 면도 많지만 지나친 국가통제·감시 수단이라는 비판도 꾸준히 제기돼 왔습니다.

주민번호는 가장 확실한 개인 식별, 본인확인 수단이니 온·오프라인을 막론하고 광범위하게 활용돼 왔습니다. 그러다보니 이를 유출해 악용하는 사례가 많아졌습니다. 특히 오프라인에서의 관행이 그대로 인터넷에 적용되면서 문제는 더욱 심각해졌습니다.

지난 2008년 발생한 옥션 해킹 사고는 1870만명의 회원정보를 통째로 유출하는 첫 대형 개인정보 유출 사례가 됐고, 그 전후에도 계속해서 인터넷상에 개인정보가 노출되거나 해킹 등으로 유출돼 왔습니다.

이제 우리나라 인터넷 사용자 대다수는 영구불변하고 가장 확실한 신원확인 수단인 내 주민번호가 제대로 보호받지 못한 채 불법 유출돼 마케팅에, 범죄에 불법 활용되고 있고 인터넷상에 떠돌고 있다는 것을 알고 있습니다.  

해외 웹사이트에서는 한국인의 주민번호를 쉽게 찾아볼 수 있습니다. 그만큼 우리나라 국민이 스팸이나 피싱, 금융사기를 비롯한 다양한 범죄에 노출돼 있다는 것을 의미합니다. 

누구나 합의하고 있는 기본 원칙은 온·오프라인을 막론하고 사회적으로 광범위하게 사용하고 있고 명백하게 개인을 식별할 수 있는 주민번호의 수집·활용·보관을 최소화해야 한다는 점입니다. 

그 이유로 이번 사고 발생 이후 방송통신위원회와 행정안전부, 여당(한나라당)까지 나서 여기에 초점을 둔 개인정보보호 강화 대책을 잇달아 내놓고 있습니다. (당정, 주민등록번호 활용 최소화 합의, 방통위 “인터넷상 주민번호 수집 원칙적 금지”)

정부의 대책은 인터넷상의 개인정보 수집·활용을 최소화하도록 하고(추가방안 마련 중), 인터넷상의 식별번호 수단인 ‘아이핀(i-PIN)’ 사용을 확대하고 보호조치를 강화하는 게 골자입니다.

하지만 진보네트워크센터(진보넷) 등 시민단체는 주민번호 재발급과 행정목적 이외의 민간 주민번호 수집·사용 금지와 사실상의 인터넷실명제인 제한적 본인확인제 폐지를 해결책으로 제시하고 있습니다.

지난 2008년 옥션을 비롯해 하나로텔레콤 등에서 잇달아 개인정보 유출 사고가 이어졌을 때부터 시민단체는 줄곧 민간·인터넷상의 주민번호 수집 금지, 주민번호 변경·재발급을 포함한 주민번호제도 개선·폐지 등을 요구해 왔습니다. (관련기사 “개인정보유출, 주민등록번호 수집이 문제”)

당시 정부에 주민번호 변경을 신청했던 진보넷은 지난 2일부터 주민번호 변경을 요구하는 청원 운동을 다음 아고라(http://agora.media.daum.net/petition/view.html?id=110274)에서 시작했습니다. (관련기사 개인정보유출 피해자 10명, 주민번호 변경 청구)

개인정보가 유출된 피해자들인 청원 참가자들로부터 주민번호 변경 청구서를 받아 행정안전부에 제출할 계획입니다.

진보넷은 주민번호 변경 청원운동 대국민 제안서에 “공공기관에, 은행에, 인터넷사이트에 앞으로도 주민번호를 계속 써야 한다. 전국민의 주민번호가 이미 유출됐는데 평생 이 번호를 그대로 쓰라는 건 말도 안된다”고 강조했습니다.

이를 요구하는 성명서에서는 “주민번호는 해당 유출사이트 뿐 아니라 대한민국 모든 민간과 공공 사이트에도 접속할 수 있는 만능 인증키이며 원격 거래에도 사용되고 있기 때문에 주민번호 유출은 추가적인 중대 피해로 이어질 수밖에 없다. 그런데도 주민번호를 변경할 수 없기 때문에, 유출 피해자는 주민번호의 도용을 속수무책으로 당할 수밖에 없다”고 지적했습니다.

이번 사건으로 사실상 전국민의 주민번호가 유출된 상황에서 그로인한 피해를 최소화할 수 있는 유력한 방법이 주민번호 변경이라는 것입니다. 

아이핀이 대안이 될 수 없는 이유로는 “아이핀은 정부가 인터넷에 주민번호 대신 보급중인 13자리 가상 주민번호로 5개 민간 신용정보회사들이 발급하고 있다. 아이핀 역시 식별번호이고,  아이핀은 본인확인정보를 5개 민간 신용정보회사로 집중시킨다는 점에서 오히려 부당한 표적이 될 가능성을 높다”고 밝혔습니다. 

이에 대해 행정안전부는 주민번호 변경을 허용하지 않는다는 입장을 내놨습니다. 

주민번호를 변경하려면 막대한 사회적 비용을 초래할 수 있고 자동차 면허, 부동산 등기, 예금 등 광범위하게 사용해 왔기 때문에 오히려 불편을 겪을 우려가 있다는 이유에서입니다. 

대신에 개인정보보호를 위해 주민번호 대체수단이 필요하다는 인식을 갖고 주민등록번호와 증 발행번호로 이원화한다는 계획입니다.

주민등록번호를 대체하는 역할로, 개인정보를 식별하거나 유추할 수 없는 체계로 증 발행번호를 구성해 필요시 변경을 허용한다는 방안입니다.

이미 작년 9월 주민등록증 수록항목에 발행번호를 추가하는 주민등록법 개정안을 국회에 제출했습니다.

또 유예기간을 두고 향후 주민번호 사용을 원칙적으로 제한하는 방안도 검토 중이라고 밝혔습니다.

이에 대해 진보넷은 아이핀과 발행번호 발급을 통해 주민번호를 이원화한다는 방침이 근원적인 대책이 되지 않는다는 입장을 이렇게 말하고 반문하며 다시 확인했습니다.

“행안부가 주민증 발행번호 제도 도입을 명시했다는 법안은 바로 전자주민증 도입 법안”
“행안부는 주민증 발행 번호 제도를 도입하겠다면서 주민번호 병행 사용 방침을 밝히고 있다. 이게 대체 무슨 대책이란 말인가?”
“이번 개인정보 유출 사고를 전자주민증 도입의 계기로 삼으려 한다는 사실이 매우 유감스럽다”며, “정부망을 포함해 어떤 시스템도 완벽한 보안이란 존재하지 않으며 불필요한 개인정보의 전자적 유통을 최소화하는 것이 정답”

반면에 행안부는 전자주민증에 있는 보안성 높은 IC칩에 주민등록번호 등 민감한 개인정보를 내장하고 증 발행번호를 고유번호로 쓰면 주민등록번호의 역할을 대신할 수 있어 해결책이 된다는 것입니다. 따라서 주민등록번호 변경 등에 따른 큰 사회적 혼란을 없애고 주민번호 유출에 따른 오·남용 문제도 해결될 수 있다는 입장입니다.

시민단체와 정부는 이렇게 팽팽하게 맞서고 있습니다.  

이번 사고 이후 정부가 최근 내놓은 대책은 미흡하다고 여겨지는 것은 사실입니다.

또 시민단체가 제시한 주민번호 재발급이 너무 엄청나다는 생각이 들어서인지 다음 아고라 주민번호 재발급 청원운동 참여자 수도 그리 크게 늘고 있지는 않습니다.

과연 털려나간 개인정보 유출 피해를 막고 향후 이런 사태를 방지할 수 있는 근본 해결책이 되면서도 실현할 수 있는 방안을 찾을 수 있을까요?

2011/08/15 22:19 2011/08/15 22:19
스마트시대가 진전될수록 사이버범죄, 보안위협은 더욱 커질 것이란 전망이 우세합니다.

지금도 악성코드, 해킹, DDoS(분산서비스거부), APT(지능적지속가능위협) 등과 같은 각종 사이버공격이 거세지면서 전세계 각국 정부와 기업, 보안업계 등은 대책 마련에 고심하고 있습니다.

올 상반기만 해도 우리나라는 DDoS 공격, 해킹으로 인한 현대캐피탈 고객정보유출, 농협 전산망 장애 등 금융권에서의 잇단 대형 보안사고로 사회적 불안감이 커졌습니다.

더욱이 안드로이드를 주축으로 한 스마트폰 악성코드도 급증하고 있습니다.

악성코드, DDoS, 해킹같은 침해사고는 특정 국가만의 문제는 아닙니다. 

악성코드는 전세계 PC, 모바일 기기, 인터넷 사용자에게 삽시간에 전파되고 있고, DDoS 공격도 전세계 각지의 서버를 경유`악용하면서 공격근원을 찾아내기 어렵게 만듭니다.

몇 년 전 이슈화 됐던 ‘중국발 공격’처럼 해외에서 우리나라를 대상으로 한 공격도 많이 발생합니다.

사이버범죄자가 우리나라 사람이고 우리나라 기관·기업의 사이트를 대상으로 했더라도 해외에서 공격하거나 수사기관에 검거당하지 않도록 숨어버립니다. 

작년 하반기에 이슈화 됐던 ‘스턱스넷’도 이란뿐만 아니라 중국, 인도네시아 등 많은 국가에서 동시에 영향을 미쳤던 것으로 분석됐습니다.

요즘 국내 언론에도 오르내리며 유명해진 ‘어나너머스’나 ‘안티섹’, ‘룰즈섹’과 같은 해커집단들도 나라와 정부, 기업을 가리지 않고 전세계 무대로 활동하고 있지요.

국경이 없는 사이버범죄의 이런 특성 때문에 사이버위협과 범죄에 대응하기 위해선 ‘국제공조·협력’의 중요성은 점점 더 커지고 있습니다.

현재 유행하고 있거나 새로운 위협동향을 알고 대처하기 위해서뿐만 아니라 사이버공격자들을 소탕하기 위해선 세계 각국이 서로 협력하고, 각자 위치에서 모두가 노력해야 합니다.

사용자 삽입 이미지
그 점에서 최근 있었던 한 정보보호 행사에서 염흥열 순천향대 교수(한국정보보호학회장)가 국제공조 협력을 강화하기 위해 국제 사이버범죄조약에 가입하자는 제안을 한 것에 관심이 쏠렸습니다.

지난 5일 한국인터넷진흥원 주관으로 열린 ‘정보보호 심포지움(SIS) 2011’에서 축사를 맡은 염 교수는 ‘스마트 환경에서의 사이버 위협과 보안대책’인 이날 행사 주제에 맞춰 5가지 방안을 제안했는데요.

▲스마트 위협에 적합한 연구개발·기술표준 강화 ▲사이버보안 인력 양성 선순환 육성체계 운영 ▲침해사고 대응시 각 기관, 특히 법 집행기관과 연구기관 등의 만·관 협력체계 강화 악성코드 방지를 위한 법적기반 마련 ▲국제공조·협력 강화입니다.

염 교수는 ‘국제공조·협력 강화’를 이야기하면서 “특히 부다페스트 사이버범죄조약 가입을 적극 검토해야 한다”고 목소리를 냈습니다.

이 사이버범죄 조약, 일명 부다페스트 조약은 사이버범죄에 대응하기 위한 최초의 국제조약이랍니다.

지난 2011년 11월 23일 헝가리 부다페스트에서 열린 사이버범죄 국제회의에서 전세계 30개국이 조약에 서명해 ‘부다페스트조약’이라고 불리고 있답니다.

이 조약은 인터넷상의 모든 범죄행위에 대해 상세한 규정을 두고 이를 처벌하도록 했습니다. 

컴퓨터 시스템이나 데이터에 대한 불법 접속, 지적재산권 침해, 컴퓨터바이러스 개발 및 유포, 아동 포르노그래피 배포 등을 범죄행위로 규정하고 조약 참가국들이 국내법으로 이를 금지하도록 의무화했습니다.

이 조약에 서명한 국가들은 사이버범죄에 대응하기 위해 법규정을 표준화하고, 핫라인 설치 국제공조체제를 구축하고 있는데, 현재 유럽을 중심으로 캐나다, 일본, 미국, 멕시코, 이스라엘 등 40여개국이 가입돼 있는 것으로 알려져 있습니다. 

염 교수는 “사이버공격이 발생하면 증거자료 수집체계가 중요한데, 이 프레임워크도 공동 제공하고 있다”며, “사이버범죄 위협 대응을 위한 국제 공조와 협력을 강화하는 차원에서 정부 관계자들이 이 조약가입을 적극 검토했으면 한다”고 말했습니다.

그동안 정부가 내놨던 정보보호 중기 정책이나 종합계획에도 국제공조·협력 강화는 항상 포함돼 있었습니다. 사이버범죄 수사에 실질적인 국제공조가 절실한 경찰도 국제 심포지움 개최 등으로 각국의 수사기관 등과의 교류를 강화하는데 힘을 기울이고 있습니다.

KISA(인터넷진흥원)도 APCERT(아태침해사고대응센터협의체)에 참여해 중추적인 역할을 담당하는 등 민간 차원의 국제협력에 매진하고 있지요.

주요국가들이 참여해 만들고 강화해온 부다페스트 조약을 비롯해 어떠한 국제적인 협력체계라도 국경없는 사이버범죄 대응과 근절에 효과적이라면 시급하고도 구체적으로 검토해보는 것이 필요할 것 같습니다.

2011/07/11 11:03 2011/07/11 11:03