'위기의 K보안, 글로벌 해커 타깃 한국' 주제로 국회 세미나 열려
정보통신망법·보안 소프트웨어 설치 관행·형식화된 보안 인증(ISMS) 등 지적
점검 권한 확대·취약점 공개 체계 구축·인센티브 도입 등 대안으로 제시
[그래픽=뉴시스] 재판매 및 DB금지.
[서울=뉴시스]송혜리 기자 = 우리나라가 글로벌 사이버 공격에 취약한 배경에는 현행 정보통신망법, 금융·공공 부문의 보안 소프트웨어 설치 관행, 형식화된 보안 인증(ISMS) 등이 기업과 국가의 자가 보안 점검 능력을 제약하고 있기 때문이란 지적이 제기됐다.
이에 따라 미국 사이버보안 및 인프라안전국(CISA)의 사례처럼 점검 권한 확대, 합법적 취약점 공개 체계 구축, 시장 기반 인센티브 도입 등으로 보안 정책의 전환이 필요하다는 제안이 나왔다.
13일 국회의원회관 제1세미나실에서 최형두 국민의힘 의원, 김한규 더불어민주당 의원 공동 주최로 '위기의 K보안, 글로벌 해커 타깃 한국' 세미나가 열렸다. 이번 세미나는 우리나라가 국제적 해킹 공격에 취약한 현 상황을 점검하고 국가 보안 정책의 구조적 한계를 개선하기 위한 방안을 논의하기 위해 마련됐다.
발제자로 나선 김용대 KAIST 전기및전자공학부 교수는 이러한 취약 요인이 제도적 구조에서 비롯되고 있다고 지적하며 이를 해소하기 위한 정책 방향을 제시했다.
김용대 교수는 해킹 위협에 취약한 구조적 요인으로 우리나라 현행 제도의 한계를 지적했다.
김 교수는 "공격자는 국내 기관과 기업의 취약점을 자유롭게 스캐닝할 수 있지만, 정작 우리는 법적 제약 때문에 스스로의 취약점을 충분히 점검하기 어렵다"고 말했다.
현행 정보통신망법은 정당한 접근 권한 없이 정보통신망에 침입하는 행위를 금지하고 있어, 한국인터넷진흥원(KISA)조차도 요청받은 경우를 제외하고는 취약점 스캐닝을 수행하기 어렵다. 민간 기업이나 연구자가 취약점을 발견해 알려줄 경우에도 법 위반 논란과 소송 위험이 있어 사실상 적극적 점검이 이뤄지지 않는 실정이다.
김 교수는 이러한 상황에 대해 "공격자는 마음대로 우리 시스템을 들여다볼 수 있지만, 우리는 우리 스스로의 보안 상태조차 제대로 확인하기 어려운 기울어진 운동장"이라고 지적했다.
아울러 김 교수는 국내 금융·공공 부문에서 광범위하게 쓰이는 보안 소프트웨어가 오히려 보안 위험을 키우는 원인이 되고 있다고 지적했다. 김 교수는 "전 세계에서 PC에 키보드보안, 방화벽 등 보안소프트웨어를 설치하는 유일한 나라"라며 "국내 이용자 PC에는 평균 10개 이상의 보안 프로그램이 설치돼 있다"고 언급했다.
특히 김 교수는 실제 학생 연구팀이 약 3주간 분석한 결과, 다수의 금융·공공 보안 솔루션에서 20개가 넘는 취약점이 발견됐으며 이들 프로그램 일부는 북한의 공격 경로로 활용된 사실이 확인됐다고 설명했다.
기업·기관의 정보보호 관리체계 인증(ISMS·ISMS-P)이 형식적으로 운영되면서 본래 취지가 훼손되고 있다고도 지적했다. 김 교수는 "ISMS는 국제 표준에 기반한 매우 우수한 제도임에도, 실제 현장에서는 인증을 '면죄부'처럼 활용하는 사례가 적지 않다"고 말했다.
김 교수는 대규모 정보시스템을 운영하는 기업의 경우 수만 대 서버의 취약점을 모두 점검하기 어려운 현실을 예로 들며, 기업들이 체크리스트 중심의 심사 준비에만 매몰돼 실질적인 보안 수준 향상으로 이어지지 못하고 있다고 설명했다. 김 교수는 "끊임없이 보안에 주의를 기울이라는 취지로 도입된 제도가 '인증만 따면 된다'는 인식으로 변질돼서는 안 된다"며 제도 운영 전반의 개선 필요성을 강조했다.
김용대 교수는 미국 사이버보안 및 인프라안전국(CISA)의 전략을 소개하며 미국은 '강제 규제'보다 '참여와 동기부여'를 자연스럽게 유도하는 구조를 통해 보안 수준을 높이고 있다고 설명했다. 미국의 CISA 전략은 공공책임 원칙, 책임전가 방지, 보안의 시장화, 참여 유인 제공, 공격 억지 등을 핵심 축으로 삼고 있다.
대표적으로 CISA는 '사이버 하이진 프로그램(Cyber Hygiene Program)'을 통해 연방기관과 기업 시스템을 무상으로 원격 스캐닝하고 취약점 리포트를 제공해 기관이 자발적으로 보안을 개선할 수 있도록 지원한다.
또 연구자가 합법적으로 취약점을 제보할 수 있게 한 '취약점 공개 프로그램(VDP)'을 제도화해 화이트해커를 보호하는 동시에 기업이 패치 우선순위를 파악하도록 돕고 있다. 이와 함께 '악용된 취약점 목록(KEV Catalog)'을 통해 실제 공격에 악용되는 취약점을 주기적으로 리스트화·강제 패치를 요구하고 있다.
CISA는 제조·개발 단계에서 보안을 기본값으로 설계하도록 유도하는 '시큐리티바이디자인(Secure by Design·Secure by Default)' 정책을 통해 보안을 잘 갖춘 제품이 시장 경쟁력을 얻는 긍정적 인센티브 구조를 만들고 있다. 또 주요 인프라 기업에 사이버 사고 발생 72시간 이내 신고를 의무화한 'CIRCIA'도 시행해 신고 기업에 법적 보호와 최신 위협 인텔리전스를 제공함으로써 은폐보다 공유를 선택하도록 장려하고 있다.
김 교수는 국내 보안 체계를 실질적으로 강화하기 위해 먼저 단기적으로 즉시 시행해야 할 1단계 과제로 정보통신망법 개정을 통한 국가기관의 합법적 스캐닝 허용, 버그바운티 제도 개선을 위한 CVE 발급 권한 부여 및 '90일 공개 룰' 도입 등을 제안했다.
이어 1년 내 추진 가능한 2단계 과제로 금융·공공 분야의 보안 소프트웨어 의무 설치 관행을 폐지하고 국제 표준 방식으로 전환할 것, ISMS 인증을 형식적 평가가 아닌 실제 방어 능력을 기반으로 한 실질적 제도로 재정비할 것을 강조했다.
특히 제도 개선의 효과를 높이기 위한 인센티브 설계도 필요하다고 제안했다. 예컨대 VDP에 참여하는 기업의 과징금을 50% 감면하거나, 선제적 보안 투자를 실행한 기업에 세액공제 50%를 부여하고, 투명한 사고 신고 기업에 대한 법적 보호를 강화하는 방식이다.
김 교수는 "이러한 정책 변화가 이뤄지지 않는다면 내년에도 같은 문제가 반복될 것"이라고 강조했다.
정보통신망법·보안 소프트웨어 설치 관행·형식화된 보안 인증(ISMS) 등 지적
점검 권한 확대·취약점 공개 체계 구축·인센티브 도입 등 대안으로 제시
[서울=뉴시스]송혜리 기자 = 우리나라가 글로벌 사이버 공격에 취약한 배경에는 현행 정보통신망법, 금융·공공 부문의 보안 소프트웨어 설치 관행, 형식화된 보안 인증(ISMS) 등이 기업과 국가의 자가 보안 점검 능력을 제약하고 있기 때문이란 지적이 제기됐다.
이에 따라 미국 사이버보안 및 인프라안전국(CISA)의 사례처럼 점검 권한 확대, 합법적 취약점 공개 체계 구축, 시장 기반 인센티브 도입 등으로 보안 정책의 전환이 필요하다는 제안이 나왔다.
13일 국회의원회관 제1세미나실에서 최형두 국민의힘 의원, 김한규 더불어민주당 의원 공동 주최로 '위기의 K보안, 글로벌 해커 타깃 한국' 세미나가 열렸다. 이번 세미나는 우리나라가 국제적 해킹 공격에 취약한 현 상황을 점검하고 국가 보안 정책의 구조적 한계를 개선하기 위한 방안을 논의하기 위해 마련됐다.
발제자로 나선 김용대 KAIST 전기및전자공학부 교수는 이러한 취약 요인이 제도적 구조에서 비롯되고 있다고 지적하며 이를 해소하기 위한 정책 방향을 제시했다.
해커는 제 집처럼 드나드는데…제대로 된 점검 힘들어
김용대 교수는 해킹 위협에 취약한 구조적 요인으로 우리나라 현행 제도의 한계를 지적했다.
김 교수는 "공격자는 국내 기관과 기업의 취약점을 자유롭게 스캐닝할 수 있지만, 정작 우리는 법적 제약 때문에 스스로의 취약점을 충분히 점검하기 어렵다"고 말했다.
현행 정보통신망법은 정당한 접근 권한 없이 정보통신망에 침입하는 행위를 금지하고 있어, 한국인터넷진흥원(KISA)조차도 요청받은 경우를 제외하고는 취약점 스캐닝을 수행하기 어렵다. 민간 기업이나 연구자가 취약점을 발견해 알려줄 경우에도 법 위반 논란과 소송 위험이 있어 사실상 적극적 점검이 이뤄지지 않는 실정이다.
김 교수는 이러한 상황에 대해 "공격자는 마음대로 우리 시스템을 들여다볼 수 있지만, 우리는 우리 스스로의 보안 상태조차 제대로 확인하기 어려운 기울어진 운동장"이라고 지적했다.
아울러 김 교수는 국내 금융·공공 부문에서 광범위하게 쓰이는 보안 소프트웨어가 오히려 보안 위험을 키우는 원인이 되고 있다고 지적했다. 김 교수는 "전 세계에서 PC에 키보드보안, 방화벽 등 보안소프트웨어를 설치하는 유일한 나라"라며 "국내 이용자 PC에는 평균 10개 이상의 보안 프로그램이 설치돼 있다"고 언급했다.
특히 김 교수는 실제 학생 연구팀이 약 3주간 분석한 결과, 다수의 금융·공공 보안 솔루션에서 20개가 넘는 취약점이 발견됐으며 이들 프로그램 일부는 북한의 공격 경로로 활용된 사실이 확인됐다고 설명했다.
기업·기관의 정보보호 관리체계 인증(ISMS·ISMS-P)이 형식적으로 운영되면서 본래 취지가 훼손되고 있다고도 지적했다. 김 교수는 "ISMS는 국제 표준에 기반한 매우 우수한 제도임에도, 실제 현장에서는 인증을 '면죄부'처럼 활용하는 사례가 적지 않다"고 말했다.
김 교수는 대규모 정보시스템을 운영하는 기업의 경우 수만 대 서버의 취약점을 모두 점검하기 어려운 현실을 예로 들며, 기업들이 체크리스트 중심의 심사 준비에만 매몰돼 실질적인 보안 수준 향상으로 이어지지 못하고 있다고 설명했다. 김 교수는 "끊임없이 보안에 주의를 기울이라는 취지로 도입된 제도가 '인증만 따면 된다'는 인식으로 변질돼서는 안 된다"며 제도 운영 전반의 개선 필요성을 강조했다.
참여와 동기부여 도모하는 美
김용대 교수는 미국 사이버보안 및 인프라안전국(CISA)의 전략을 소개하며 미국은 '강제 규제'보다 '참여와 동기부여'를 자연스럽게 유도하는 구조를 통해 보안 수준을 높이고 있다고 설명했다. 미국의 CISA 전략은 공공책임 원칙, 책임전가 방지, 보안의 시장화, 참여 유인 제공, 공격 억지 등을 핵심 축으로 삼고 있다.
대표적으로 CISA는 '사이버 하이진 프로그램(Cyber Hygiene Program)'을 통해 연방기관과 기업 시스템을 무상으로 원격 스캐닝하고 취약점 리포트를 제공해 기관이 자발적으로 보안을 개선할 수 있도록 지원한다.
또 연구자가 합법적으로 취약점을 제보할 수 있게 한 '취약점 공개 프로그램(VDP)'을 제도화해 화이트해커를 보호하는 동시에 기업이 패치 우선순위를 파악하도록 돕고 있다. 이와 함께 '악용된 취약점 목록(KEV Catalog)'을 통해 실제 공격에 악용되는 취약점을 주기적으로 리스트화·강제 패치를 요구하고 있다.
CISA는 제조·개발 단계에서 보안을 기본값으로 설계하도록 유도하는 '시큐리티바이디자인(Secure by Design·Secure by Default)' 정책을 통해 보안을 잘 갖춘 제품이 시장 경쟁력을 얻는 긍정적 인센티브 구조를 만들고 있다. 또 주요 인프라 기업에 사이버 사고 발생 72시간 이내 신고를 의무화한 'CIRCIA'도 시행해 신고 기업에 법적 보호와 최신 위협 인텔리전스를 제공함으로써 은폐보다 공유를 선택하도록 장려하고 있다.
보안하려는 기업엔 확실한 인센티브 제공해야
김 교수는 국내 보안 체계를 실질적으로 강화하기 위해 먼저 단기적으로 즉시 시행해야 할 1단계 과제로 정보통신망법 개정을 통한 국가기관의 합법적 스캐닝 허용, 버그바운티 제도 개선을 위한 CVE 발급 권한 부여 및 '90일 공개 룰' 도입 등을 제안했다.
이어 1년 내 추진 가능한 2단계 과제로 금융·공공 분야의 보안 소프트웨어 의무 설치 관행을 폐지하고 국제 표준 방식으로 전환할 것, ISMS 인증을 형식적 평가가 아닌 실제 방어 능력을 기반으로 한 실질적 제도로 재정비할 것을 강조했다.
특히 제도 개선의 효과를 높이기 위한 인센티브 설계도 필요하다고 제안했다. 예컨대 VDP에 참여하는 기업의 과징금을 50% 감면하거나, 선제적 보안 투자를 실행한 기업에 세액공제 50%를 부여하고, 투명한 사고 신고 기업에 대한 법적 보호를 강화하는 방식이다.
김 교수는 "이러한 정책 변화가 이뤄지지 않는다면 내년에도 같은 문제가 반복될 것"이라고 강조했다.
댓글목록
등록된 댓글이 없습니다.