홍기융 시큐브 대표 “보안정책, 백년대계가 필요하다”

2013-03-23 11:01:53 ㅣ 2013-03-25 11:33:23

[뉴스토마토 최용식기자] 인공두뇌를 가진 슈퍼컴퓨터가 인간을 인큐베이터에 넣고 통제한다. 사람들은 기계 에너지원 역할을 하며, ‘메트릭스’라 불리는 가상현실에서 살아간다. 이때 ‘시온’이라는 반정부세력이 등장해 이른바 ‘해방전’을 벌인다.

이들이 사람들을 구하는 방법은 광케이블을 통해 정부시스템에 침투하고, 프로그램과 데이터베이스(DB)를 공격하는 식이다. 왜냐면 미래에는 오프라인의 모든 것이 온라인으로 전이됐기 때문이다.

홍기융 시큐브(131090) 대표이사는 영화 메트릭스가 먼 미래 이야기만은 아니라고 말한다. IT서비스가 고도화된 만큼 폭력의 양상 역시 오프라인에서 온라인으로 바뀌고 있기 때문이다.

예전에는 단순히 총칼로 사람을 위협해 물건을 훔치고 대포와 미사일로 적국을 공격했다면 이제는 악성 프로그램을 통해 자산을 빼내고 시스템을 흔드는 식이다.

특히 이번 전산망 사태는 다시 한번 사이버 보안에 대한 필요성을 시사했다는 설명이다. 그는 “주요 방송사와 금융기관을 공격해 사회적으로 불안을 야기하는 것은 단순 이익을 추구한 기존 사례들과 다른 점이 있다”며 “명확한 분석과 사후처리보다는 혼란과 불안이 심화되는 방향으로 흘러가는 것 같아 안타깝다”고 말했다.

이는 사회적으로 보안 중요성에 대한 인식이 미미하고, 관련 정책 역시 충분하지 못한 탓이라는 지적이다.

22일 <뉴스토마토>는 홍 대표를 만나 이번 해킹사태에 대해 이야기를 나눠봤다. 그는 한국전자통신연구원, 한국정보화진흥원, 한국인터넷진흥원 등 정보보호 분야에서 오래 근무했으며, 업계에서는 서버보안 전문가로 통한다.

다음은 일문일답.

- 현 상황에 대해 종합적으로 진단을 내리자면?

▲ 방송사와 금융기관에 대한 해킹사고이다. 악성코드를 PC에 일괄적으로 감염시키고, 특정시간에 동작시켜 다수 컴퓨터를 마비시켰다. 방송사와 금융기관은 사회적으로 매우 중요한 기관이라는 점에서 사이버테러로 봐야하지 않을까 싶다. 경각심을 일깨우는 사건이라 본다.

- 공격방식 분석을 두고 설이 다양하다. 보안업체 솔루션 문제, 기관의 부주의한 보안시스템, 서버 혹은 IDC에 대한 공격 등 다양한 주장이 나온다.

▲ 지금으로서는 예단하기 어렵다. 만약 IDC가 공격을 받았다면 피해양상이 훨씬 커졌을 것 같다. 따라서 기관에서 운영하는 일부 관리서버가 공격받았을 가능성이 가장 크지 않나 싶다. 상대적으로 보안대책 우선순위에 밀린 서버일 가능성이 크다.

- 공격주체는 누구인가.

▲ 결과만 놓고 봤을 때 어떤 의도였을까 살펴보면 금전적 이득을 추구하거나 개인정보를 빼내려고 한 것은 아닌 것 같다. 이보다 불안감이나 위기의식을 고조시키기 위함으로 판단된다. 그렇다면 국내보다 해외 가능성이 더 높다.

- 보안솔루션 무용론이 제기되고 있다.

▲ 해커들은 현 백신이 탐지하지 못하는 새로운 공격기법을 계속 개발하고 활용한다. 아울러 프로그램 특성상 새로운 악성코드가 나오면 탐지하기 어려운 부분이 있다. 점진적으로 보안솔루션 완성도를 더 높여야지 “효능이 없으니 폐기하자”는 주장은 위험하다.

- 정부와 분석기관의 결과물이 석연치 않다. 언론 역시 상황을 호도하는 느낌이다.

▲ 해킹은 범죄가 최첨단사회 등장에 맞춰 진화된 것이다. 전통적 범죄를 막기 위한 노하우나 대처 방법론은 많다. 반면 컴퓨터를 이용한 해킹은 매우 역사가 짧아 추적이나 분석이 어려운 것이다. 차분하게 접근해야 할 문제다.

- 현재로서 어떤 대응이 필요할까.

▲ 우선 피해가 났으니 시스템복구 절차를 신속하게 밟아야 한다. 또 기술적 조치를 통해 후속공격을 막아야 한다. 특히 보안 사각지대에 놓인 서버에 대한 관심이 필요하다. 아울러 공조체계를 구성해 규명작업을 시행해야 한다.

- 대형 해킹사태가 끊이지 않고 일어나고 있다. 일각에서는 더 이상 성역이 없다는 이야기도 나온다. 이를 최소화할 장기적인 방안이 있다면.

▲ 우선 장기적인 투자의식이 있어야 한다. 앞서 언급한 것처럼 해킹은 이제 단순한 전산사고가 아닌 폭력의 진화다. 기업 위기리스크 관리, 더 나아가 국가경영 측면에서 다뤄져야 한다는 이야기다. 앞서 언급했듯이 미리 사고를 예방을 하고, 부득이하게 터지더라도 이를 신속히 해결하기 위해 기술, 보안시스템의 고도화가 필요하다.

하지만 아무리 정책이 좋고, 예산이 많더라도 전문인력이 부족하면 사상누각일 수 밖에 없다. 다른 학문에 비해 정보보안 분야는 인재양성 역사가 짧다. 중장기적으로 다수 전문가를 키워야 한다. 마지막으로 ‘디지털 디바이드’, 즉 정보격차에 따른 소득불균형이 보안쪽에서도 나타날 것을 걱정해야 한다. 양극화가 일어난다면 사회적으로 바람직하지 못하다고 본다.