본문 바로가기

안랩人side/김홍선 前 CEO

보안 사고 악순환, 허울 뿐인 IT 강국?

최근 잇따라 일어난 금융 보안 사고로 많은 이들의 우려가 증폭되고 있다. ‘IT 강국’으로 불리는 우리나라에서 이토록 보안 사고가 계속되는 현상에 대한 원인 분석과 대책 마련이 시급한 시기이다. 이에 지난 4월 26일 KBS인터넷 ‘차정인 기자의 뉴스풀이’에 안철수연구소 김홍선 대표가 나와 보안 문제를 푸는 실마리를 제공했다.

그는 모든 컴퓨터가 인터넷, 네트워크로 연결된 현재의 환경에서는 각 개인이 '내 정보는 내가 관리한다'는 인식을 가져야 한다고 강조했다. 또한 최근 잇달아 발생한 금융 보안 사고 관련해 조직의 CEO가 리스크 관리 차원에서 정보 보안을 중요하게 생각해야 한다고 강조했다. 

-농협의 전산 장애 즉, 보안 사고가 IT 영역에서 큰 사고라고 하던데?
그렇다. 금융기관이든 기업이든 IT가 업무 보조 수단이었던 과거와는 달리 현재는 산업을 주도한다. 특히 은행 및 금융권은 IT가 중심이므로 만약 IT가 마비된다면 모든 업무가 멈춘다. 그만큼 기업은 IT 중심으로 돌아간다. 이 때문에 이번 농협의 전산 장애 사고는 IT 영역에서 봤을 때 큰 사고라고 말할 수 있다.

-IT 분야에서 보안이란? (보안의 개념)
인터넷을 사용하기 전에 IT는 기업 내부에서만 쓰는 폐쇄적인 성격을 지녔다. 이때는 내부만 관리하면 되기 때문에 보안 문제가 중요하지 않았다. 하지만 뱅킹, 전자상거래 구축 등 인터넷 시대가 오면서 보안 문제가 대두됐다. 인터넷 자체가 아무도 책임지는 사람이 없으며, 보안 문제도 각자가 해결해야 했기 때문이다. 결국 인터넷 위에 모든 사회가 돌아가기 때문에 보안 문제는 궁극적으로 계속된다. 보안의 근본적 대상은 정보보호이다. 허가받지 않은 사람이 정보를 가져가거나 없애는 것을 막는 것, 정보를 주고받을 때 탈취하는 행위를 막는 것 모두 보안이 하는 일이다.

-보안을 방법 측면에서 봤을 때 해킹을 막는 것인지? 바이러스를 막는 것인지?
보안은 세 가지 축이다. 하나는 누구에게 어느 정도 허가해주느냐이다. 또 다른 하나는 누구에게 피해를 주는 해킹, 바이러스 같은 위협을 막는 것이다. 마지막으로는 안전한 서비스이다. 이는 우리가 궁극적으로 하고자 하는 서비스가 안전하게 될 수 있도록 하는 것이다. 

위협의 축에서 말하는 바이러스는 넓게 보면 악성코드이다. 악성코드는 PC나 웹서버를 통해 사용자에게 해를 주는 코드로 자기 복제와 감염 대상 유무에 따라 바이러스, 트로이 목마 등으로 분류한다. 해킹은 네트워크나 홈페이지를 통해 데이터와 프로그램을 없애거나 망치는 일을 말한다. 과거에는 해킹과 바이러스의 구분이 명확했다. 하지만 최근 그 구분이 허물어지는 이유는 PC가 항상 연결된 상태인 브로드밴드이기 때문이다. 이로 인해 사이버 공격을 하는 사람은 어렵게 네트워크를 뚫고 갈 필요가 없어졌다. 단지 취약한 PC 몇 개를 찾아 악성코드를 만들어 자기 것으로 하면 된다. 지금 대부분의 사이버 공격은 해커들이 악성코드를 직접 만들어 종합적으로 하는 것이다.



-최근 현대캐피탈은 고객 개인 정보 외에 신용 정보까지 유출됐고, 농협은 전산망 장애로 금융 거래가 마비되었다. 이러한 사고를 봤을 때 국내 금융 회사의 보안 상태는 어떤지?
금융권은 돈이 오고 가며 실제 거래를 하기 때문에 절대적 수준의 보안을 해야 하는 것이 원칙이다. 우리나라의 금융회사 모두가 보안이 약하다 할 수는 없다. 보안을 잘하는 곳도 있으며 취약한 곳도 있는데 그 편차가 상당히 큰 상태이다. 금융  회사가 폐쇄적이라 그 곳의 내부 구성과, 어떻게 보안 조치가 되어 있는지 보안 전문 업체도 세세히는 모른다. 하지만 보안이 잘되어 있는 곳도 있다고 말할 수 있다.

-우리가 흔히 아는 방화벽은 기본적인 것인가?

* 방화벽 : 정보가 컴퓨터에 저장되면 정보보안을 위해 정보통신망에 불법으로 접근하는 것을 차단하는 시스템


방화벽은 외부에서 허가받지 않은 사람이 들어오는 것을 막는다. 보안 위협은 일반인이 많이 들어오는 홈페이지를 통해서 들어오기도 하고, 내부 PC를 악성 감염시켜 들어오기도 한다. 또한 간단한 비밀번호도 문제가 될 수 있다. 이는 기술의 문제가 아니라 관리의 문제이므로 관리 측면에서도 공격을 막을 수 있다.


-3월에 퍼진 디도스(DDoS) 공격은 무엇인지? 과연 막을 수 없는 것인지?

예전 9․11 테러 때 민간항공기를 납치한 것처럼 요즘 전쟁의 개념은 군대끼리 전면전을 하는 것이 아닌 민간을 동원한다. 디도스도 마찬가지다. 일반 PC를 이용해 특정 사이트를 집중적으로 공격한다.

* DDoS 공격 : Denial of Service(분산 서비스 거부) 공격. 여러 대의 일반 PC를 이용, 동시에 다량의 트래픽 접속을 유발해 과부하로 인해 시스템이 정상적 서비스를 제공할 수 없게 하는 해킹 방식.


디도스 공격의 목적은 주로 기업에 언제부터 서비스가 안 될 것이라는 위협을 줌으로써 돈을 받기 위함이다. 그 외에도 사회적, 정치적, 문화적 동기로 인해 공격하기도 한다.

디도스 공격을 막지 못 한다는 것은 사실이 아니다. 제대로 방비를 안 하기 때문에 막지 못하는 것뿐이다. 물론 3․4 디도스 공격은 결코 쉬운 공격이 아니었지만 잘 막은 편이다. 디도스 공격은 대응 장비로만 해결될 수 있는 것이 아니다. 대응장비뿐 아니라 여러 조치, 훈련, 내부적 프로세스 등을 갖추는 것이 중요하다.

-바이러스, 해킹은 막을 수 없나?
요즘은 사람뿐만 아니라 해킹 도구로도 공격이 가능하다. 지금까지 보고된 것만으로도 약 10만 종이 넘으며 실제 거래도 이뤄지고 있다. 이런 해킹 도구가 있으면 보통 사람도 디도스 공격, 트로이목마 제작을 할 수 있다. 앞서도 이야기했듯이 지금은 자기가 쓰는 정보기기들이 다 연결되어 있기 때문에 취약점이 쉽게 드러나게 된다. 또한 개방화로 인해 항상 문제가 발생되므로 이를 새로운 사회적 문화로 받아 들여야 한다고 생각한다. 다시 말하면 서로가 조심해서 함께 갖춰야 하는 문제라고 여긴다.

-해커의 공격은 어떤 형태를 띠는지?
해커는 해킹 도구를 만들어 팔기도 하고 직접 명령을 받아 해주기도 하며 스스로가 목적을 갖고 특정 타깃을 공격하기도 한다. 요즘 해커는 상당히 국제적이고 조직적인 형태를 갖추고 있다. 한 나라 안에서만 공격을 하면 IT가 연결되어 있기 때문에 추적이 가능하다. 그러나 한 나라를 넘어 해외 여러 나라에서 분산해 공격하기 때문에 추적이 쉽지 않다. 또한 알아내도 잡아내기는 어려운 상황이다. 그 예로 10년 전과 달리 수없이 등장하는 악성코드, 바이러스가 있다.

-국내 기업의 보안 수준은?
우리나라가 IT 강국인 이유는 여러 가지가 있다. 그럼에도 보안 문제가 일어나는 이유는 소프트웨어에 있다. 소프트웨어를 100%의 완성도로 만들면 보안 문제는 발생하지 않는다. 하지만 소프트웨어는 여러 환경적 변화로 항상 취약점이 나올 수밖에 없는 구조를 가진다. 그런 상황임에도 조금 더 보안에 투자를 한다면 문제가 발생하지 않을 것이다. 대부분은 소프트웨어를 오픈한 후에 보안에 신경을 쓴다. 이는 문제투성이를 만들고 난 후에 한 것과 다름이 없다. 이렇게 보안의 가이드라인이 제대로 갖춰 있지 않아 문제가 생기게 된 것이다. 즉, 우리에게 필요한 것은 사이버 보안에 대한 안전 의식이다.

-개인 입장에서 PC 보안은?
개인 PC 보안을 위해 백신 설치와 업데이트가 있어 쉬울 것 같지만 제대로 이뤄지지 않는 것이 현실이다. 백신을 설치하지 않거나 설치했다 하더라도 업데이트를 하지 않는 경우가 허다하기 때문이다. 자동차의 경우를 빌려 설명해보면 자동차는 개인 소유지만 길에 나올 때는 규칙을 지켜야 한다. 이처럼 컴퓨터도 개인 소유지만, 항상 네트워크에 연결되어 있기 때문에 자기 정보가 유출될 뿐만 아니라 남에게도 피해줄 수 있다는 인식을 가져야 한다.

-보안 사고 방지 대책은?
기업과 기관 측면에서 볼 때 보안 문제는 조직의 CEO에게 책임이 있다고 생각한다. 모든 기업이 IT를 중심으로 돌아가는 즉, 정보가 사업의 핵심 영역이 되는 현실이다. 무너진 정보 보안이 사업의 큰 리스크로 올 수 있다는, 정보 중요성 인식이 CEO에게 필요하다. CEO가 정보 중요성에 대한 인식의 방향을 잡아줘야 전 직원의 생각이 바뀌기 때문이다.

-시청자에게 보안에 대해서 강조하고 싶은 것은?
PC, 스마트폰 없이는 살 수 없는 시대가 되었다. 사용하면서 ‘내 정보는 내가 관리한다’ 라는 인식을 가지길 바란다. 바이러스 백신을 항상 설치하고, 설치한 후에도 업데이트를 해야 하며, 필요 없는 파일은 가급적 다운 받지 않는 것이 좋다. 중요한 것은 ‘PC는 아무렇게나 해도 되겠지, 나중에 누군가가 해주겠지’ 라는 생각을 버리는 것이다. PC도 개인의 역할, 기업의 역할, 정부의 역할이 각각 다르기 때문이다. Ahn 

* 해당 동영상 보기
http://news.kbs.co.kr/special/digital/vod/newspuri/2011/04/26/2281876.html

대학생기자 류하은 / 강남대 경영학과