진승헌 ETRI 정보보호연구본부장

매년 연말이 되면 지난 한 해를 돌아보게 된다. 올해는 국내·외적으로 참 다사다난한 한 해였다. 정치적으로는 조기 대선으로 나라가 들썩였고, 외교안보와 경제적인 면에서는 북한의 핵위협과 사드배치에 따른 중국과의 마찰 등으로 이슈가 많은 한 해를 보냈다. 정보보호 측면도 예외가 아니다.

전 세계 기업 중 거의 절반이 워너크라이(WannaCry)를 비롯한 한 건 이상의 랜섬웨어 '사이버인질' 사고를 당했다. 사회적으로 초미의 관심 대상이 되고 있는 비트코인 거래소 '빗썸' 해킹으로 개인정보 3만 건이 유출되고 가상화폐 거래소인 에니그마(Enigma)가 해킹되어 50만 달러의 이더리움(Ethereum)이 도난당하는 사고가 발생했다.

필자가 각 기관의 정보보호 담당자를 만나게 되면 듣는 하소연이 있다. 보안 사고가 나거나 새로운 위협이 발생하였을 때, 이에 대한 대비책으로 보안담당자가 본사 임원에게 새로운 보안 솔루션의 구입과 설치를 요청하면 임원들의 첫 번째 응답은 대부분 이렇다고 한다.

"이거면 다 됩니까?" 그 이후, 조직에 보안 사고가 발생하거나 문제가 발견되었을 때의 두 번째 반응은 이런 종류의 질책이라고 한다. "당신은 그동안 뭘 했습니까?" 어떻게 보면 임원입장에서는 당연한 반응이라고 할 수 있겠지만, 정보보호분야에 종사하는 입장에서 보면 참 어렵고 힘이 빠지는 반응이 아닐 수 없다. 일반적으로 정보보호를 '창과 방패'로 비유한다. 더욱 예리한 창이 나오면 더 강력한 방패를 만들어야 하듯이 지속적으로 고도화되는 사이버 공격을 막기 위해 대응 수단도 진화를 해야 하는 것이다.



즉, 몇 가지 고정된 방어 기법으로는 현재 뿐만 아니라 앞으로 나올 공격을 막을 수 없으며 또한, 언제든지 새로운 사이버 사고는 발생할 수 있다. 아무리 경찰력을 강화한다고 도둑이 사라지지 않는 것처럼, 방어 태세를 완벽히 구축해도 새로운 공격이 발생하고 침해될 수 있다. 그래서 정보보호를 위한 대응 방향도 기본적 가정 사항을 철저히 준비하고, 발생하는 공격에 발 빠르게 대응, 복구할 수 있는 방향으로 나아가고 있다. 향후 문제가 생기더라도 재빨리 대응하는 능력을 보유해야 한다.

그러나 아쉬운 점은 대응 능력 확보가 쉽지 않다는 점이다. 그나마 예산이나 인력이 여유가 있는 대기업은 정책적 의지만 있다면 필요한 시점에 장비와 솔루션을 구입하고 정보보호 담당직원의 역량향상을 위한 교육에 투자할 수 있다. 하지만 중소기업은 보안설비와 교육에 투자하고 싶어도 인력이나 예산상 어려움으로 실질적인 개선이 어려운 상태다.

이러한 문제 해결을 위해 2016년부터 과학기술정보통신부 정보보호핵심원천기술 개발 사업의 지원을 받아 ETRI를 비롯한 산·학·연을 대표하는 12개 기관이 '클라우드 기반 보안서비스' 오픈 플랫폼을 공동 개발, 올해 11월부터 시범서비스를 시작해 단계적 확대 예정이다. 클라우드 기반 보안서비스를 통해 중소기업은 보안서비스를 필요로 할 때 전기나 수도처럼 연결하여 사용하면 된다. 플랫폼 사업자는 중소기업 보안 상황을 분석, 각 기업에 맞는 보안서비스 설정을 제안도 할 수 있다.

이렇게 된다면 중소기업에서 비교적 저렴한 비용으로 각 기업의 환경에 맞는 보안서비스를 받을 수 있게 된다. 이로써 지속적 투자 부족으로 보안 사각지대에 방치된 중소기업들의 보안 고민을 어느 정도 해결할 수 있을 것으로 보인다.

앞으로 세상은 모든 것이 연결되는 초연결 세상의 도래를 예상한다. 초연결 세상이 되면 더욱 편리하고 새로운 부가가치가 창출되는 세상이 될 것이다. 하지만 이러한 세상은 모든 것이 연결되어 있어서 어느 한 곳에서 생긴 문제점이 그 곳에만 한정되지 않고 빠르고 넓게 확산될 것이다. 정보 보호에 투자하고 싶지만 어렵다면 이를 해결하기 위한 지혜를 모아야 할 것이다. 그것이 바로 사이버 세상에서 보다 안전하게 더불어 함께 살아가는 덕목일 것이다.

중도일보(www.joongdo.co.kr), 무단전재 및 수집, 재배포 금지