'카이스트'에 해당되는 글 1

  1. 2010/10/21 ‘스마트 시큐리티’ 구현을 위한 담론
- 스마트 시대의 보안, 어떻게 대처할 것인가

벌써 1년 전이네요. 작년 11월, KT가 국내에 아이폰을 출시한 것을 시작으로 국내에는 스마트폰 열풍이 불었습니다.


그 후로 스마트폰뿐 아니라 스마트패드(태블릿), 스마트TV 등 새로운 ‘스마트’한 디지털기기가 계속 쏟아져 나오면서, 본격적인 스마트 IT 시대가 개막했습니다. 어느덧 국가의 핵심 아젠더도
스마트 코리아가 됐는데요.

개인은 물론이고 기업과 공공기관에서도 스마트폰, 태블릿 등 각종 모바일기기를 활용해 업무환경을 스마트오피스, 스마트워크플레이스로 바꾸려는데 분주합니다.

이러한 시대에는 당연히 ‘스마트 시큐리티(Smart Security)’가 요구됩니다. 그에 걸맞는 보안도 잘 돼있어야 안전하고 편리하게 스마트 기기를 이용할 수 있고, 그로 인한 혜택을 만끽할 수 있겠지요.

스마트폰 열풍과 함께 자연스럽게 모바일 보안도 이슈화됐습니다. 지난 1년 내내 그랬지만 여전히 보안 문제에 대한 해답을 찾는데 혼란을 겪고 있다는 생각이 듭니다.

가장 먼저 금융감독당국이 스마트폰을 이용한 모바일 금융거래 확산에 대비한 보안 대책을 내놨고(많은 논란을 일으켰지만), 정부는 통신사, 휴대폰제조사, 보안업계·학계·관계기관 전문가들과 스마트폰 보안 대책을 마련하는데 부심해 왔습니다.  

보안업계와 이동통신사들도 백신부터 악성소프트웨어 탐지 툴, 스마트폰 통합보안 제품, 모바일 금융거래 보안 솔루션, 데이터 원격삭제 등 단말 보안관리 제품과 같은 다양한 스마트폰, 모바일 보안 솔루션 개발과 출시에 열을 올렸습니다.

그동안에 공인인증서 사용 의무화 논란에서부터 이에 대한 규제 완화, 악성 애플리케이션과 악성코드의 정의와 범위, 유출되는 개인정보의 범위, 과도한 스마트폰 보안과 부족한 인식이 쟁점이 됐었습니다. 아직은 어느 것 하나 명쾌하게 정리되지 않았는데요.

그 이유가 스마트폰, 아니 스마트 시대의 보안 문제가 아직 진짜 현실화된 수준이 아니기 때문일 겁니다. 그래서 “스마트폰 보안은 (잠재) 위협으로 이슈화만 됐지 실체는 없다”, “과도하게 보안위협이 부각됐다”며, 과장된 보안위협에 대한 우려나 부각을 경계해야 한다는 목소리마저 제기됐습니다.

그동안 ‘디지털데일리’ 기사로 지금까지 나온 스마트폰 보안 솔루션과 방안을 나름대로 많이 소개해 왔는데요. ‘딜라이트닷넷’ 창간 1주년에 즈음해, 보안전문가 두 분을 만나 ‘스마트 시대의 보안 대처법과 대응전략’을 주제로 이야기를 나눠 봤습니다. 스마트 시큐리티 구현을 위한 담론 정도가 되겠네요.

대응전략을 제대로 수립하기 위해 지금 우리에게 필요한 것이 무엇인지에 대한 이야기가 주로 진행됐습니다.

스마트 시대와 보안에 대한 두분 전문가 시각을 한번 엿볼까요. 김홍선 안철수연구소 대표와 전상훈 카이스트(KAIST) 사이버보안센터 개발팀장입니다.

먼저, 김홍선 대표는 스마트폰 열풍 이후 현재를 어떻게 보고 있을까요?

“우리는 지금 스마트폰으로 인한 충격에서 헤어나지 못하고 있는 것 같다. 2000년대 초반 인터넷 거품보다 더 심하다. 예전의 인터넷, 벤처 거품은 IT와 관계된 분야에서만 있었지만 지금은 사회 전체가 들끓고 있다. 앱 개발 열풍이 불고 있는 것도 마찬가지다. 한쪽에서는 쫓아가기에 바쁘고, 소프트웨어의 관심과 중요성이 높아졌지만 어떤 방향으로 중심을 잡고 나아가야 할 지 길을 찾지 못하고 있다. 우선 각 분야에서 명확한 자기 자리를 찾아가서 자신의 전문성에 맞는 자기 얘기를 중심으로 해야 한다. 그래야 혼란을 줄이고 가닥을 잡을 수 있다.”

이 말에 이제 개막한 ‘스마트코리아’의 현주소와 향후 해답을 찾아갈 실마리가 압축적으로 담겨 있는 것 같습니다. 

그러면 스마트 시대의 보안을 주제로 구체적으로 들어가 보겠습니다.

김 대표는 “스마트폰이 나온 이후 사이버공간에 있던 모든 장벽이 비로소 허물어졌다”고 규정했습니다.

단말기나 사람, 지역에 관계없이 모두가 인터넷으로 연결돼 있고, 또 집과 회사, 개인용과 업무용으로 구분됐던 모두 장벽이 허물어져 오픈돼 있는 환경이 펼쳐진 것이 스마트 시대의 특징이라는 것입니다.

사이버공간에 무슨 장벽이 있었냐며 의아해하실 줄 모르겠는데요. 김 대표는 기업을 예로 들었습니다.

“인터넷 도입 초창기, 기업의 네트워크는 인트라넷만 구축돼 있어 폐쇄돼 있었다. 이것이 익스트라넷으로 점차 확장되다가 이제는 유무선 환경으로 언제든 인터넷을 사용할 수 있는 환경이 됐다. 단말기도 회사 PC이든, 태블릿이든, 스마트폰이든 관계 없이 모든 기기를 인터넷에 연결할 수 있게 됐다.”

완전히 개방형이 된 만큼 보안위협도 더욱 커졌고, 이전과는 다른 양상이 펼쳐질 것이란 게 김 대표의 예상입니다. “개방화된 시대에서 훨씬 더 집중화된 공격과 훨씬 더 많은 사이버테러가 일어날 것”이라는군요.   

개방화된 환경으로 변화됐기 때문에 공격포인트는 어디에도 있고, 범죄자들은 무엇으로든지 공격대상을 고를 수 있다는 거죠.

김 대표는 “이러한 시대에는 모든 개념을 새롭게 정립해야 한다”며, “보안도 IT 관점이 아닌 개방화된 새로운 사회에 맞는 신뢰성, 신뢰된 사회, 신뢰된 생활 방식을 구축하는 관점에서 접근하는 것이 중요하다”고 강조했습니다.

보통 스마트폰 보안이라고 하면 PC에 백신을 설치하는 것과 같이 ‘단말기 보안’, 또는 ‘IT에 국한된 보안’만을 생각하는데, 프라이버시를 포함해 전체적인 관점에서 입체적인 보안 접근이 필요하다는 것이 그의 주장입니다. 즉, 생활이 바뀔 수 있도록 사회적 인식과 합의, 법제도를 통한 가이드라인이 제시돼야 한다는 것입니다.

그렇다면 개방화된 환경에서 더 많이 발생할 수 있는 사이버 테러를 막는데 안철수연구소가 속해 있는 보안업계의 역할은 무엇인지 물어봤습니다.

김 대표는 “각 업체마다 강점을 가진 전문분야에 집중해 특정문제를 확실하게 해결할 수 있어야 하고, 이를 서비스 방식으로 제공할 수 있어야 한다”는 것을 가장 중요한 요소로 꼽았습니다.

그래서 안철수연구소도 여기에 집중하고 있다는 설명입니다. 스마트폰 보안을 클라우드 방식으로 제공하는 것도, 산업용 기기 전용 보안 제품을 출시한 것도 그 맥락에서라네요.

한편, 전상훈 팀장은 지금이 “향후 나타날 수 있는 스마트폰 보안위협을 보다 종합적인 관점에서 분석하고 전망해야 할 때”라고 강조했습니다.

“아직은 스마트폰으로는 공격자들이 얻을 가치가 떨어져 그 보안위협이 현실화되지 않았지만, 앞으로 스마트폰을 이용한 상거래, 금융거래가 활성화되는 시점이 오면 위험이 폭발적으로 증가할 것”이란 게 그의 전망입니다.

스마트폰 금융거래가 일반화되는 시점에 PC만큼, 아니 그보다 더 강력한 보안위협이 다가올 것이라고 전 팀장은 확언했습니다. 스마트폰 가입자가 폭증하는만큼 스마트폰 기반 전자금융서비스 가입자도 매달 폭발적으로 증가하는 추세인데요. (참고 - 금융감독원 집계)

모바일 운영체제를 직접 국내에서 개발하고 있지 않기 때문에 기본적으로 한계가 존재하겠지만, 현재 우리가 접근하고 있는 스마트폰 보안 대책은 “단편적”이라는 것이 전 팀장의 지적입니다.

전 팀장은 “스마트폰 보안은 백신 위주의 단말기 보안이나 웜, 악성코드 대책과 같은 단편적인 방식으로는 종합적인 대책을 마련할 수 없다”면서, “스마트폰 단말기와 와이파이, 3G/4G 등 통신망, 인터넷 기반 금융거래 환경, 웹 등 모든 서비스 구성요소까지 포괄해 향후 발생가능한 보안위협과 위험 시나리오를 예상해야 하고, 그에 따른 세부 대책을 수립해야 한다”고 강조했습니다.
   
미래 위협을 전망한다는 것이 쉬운 일은 아닐텐데요. 전 팀장은 “PC와 인터넷에서 경험한 위협에서부터 시작해 이를 바탕으로 스마트폰에서 발생 가능한 것을 찾아내는 것이 하나의 방법이 될 수 있다”고 제시했습니다.

현재 전 팀장은 카이스트 사이버보안센터에서 미래 발생가능한 보안위협에 대처할 도구와 체계, 서비스를 만드는 일을 직접 하고 있습니다.

그는 미래 위협을 예상하는데 있어 올해 등장, 전세계적으로 이슈화된 두가지 악성코드에 주목하고 있습니다. 하나는 지난 8월 이슈화됐던 아이폰 운영체제(iOS) 취약점을 악용해 강제로 탈옥시킬 수 있는 악성코드와 원자력발전소 등 폐쇄된 산업시설을 감염시키는 악성코드 ‘스턱스넷’입니다.

2010/10/21 13:48 2010/10/21 13:48