스마트 시대를 사는 우리가 알아야 할 보안 이슈

현장속으로/세미나 2011.05.04 07:36
시공간의 제약 없이 모두가 스마트 기기를 통해 원하는 서비스를 활용한다. 국가 주요기반시설 역시 네트워크를 활용해 효율적으로 관리하고, 스마트 워크의 도입으로 진정한 원격근무가 자리 잡는다. 이런 상황이 꿈 같이 느껴지는가? 많은 사람들이 곧 실현되리라 믿지 않을까 싶다. 스마트 폰, 스마트 TV, 스마트 그리드...언제 여기까지 왔나 싶을 정도로 네트워크를 활용한 '똑똑한' 기술들이 상용화 되거나 상용화를 앞두고 있다.

문제는 스마트 시대에 접어들면서 그 중요성을 더해가는 네트워크 및 스마트 기기에 대한 보안이다. 특정 세력이 네트워크에 테러를 가한다면? 스마트 그리드 전력망에 문제가 생겨 전력공급이 끊긴다면? 스마트폰에 담긴 개인 정보가 해킹당하거나, 유출된다면? 충분히 발생 가능한 이러한 문제들을 알아보고 대응책이 제시되는 자리가 있어서 참석해 보았다.


한국인터넷진흥원(KISA)이 주최하고, 방통위 등이 후원하는 NETSEC-KR(Network Security Workshop-Korea) 2011 행사의 캐치프레이즈는 "스마트 환경을 위한 보안 - 도전과 과제"였다. 이틀 일정으로 진행된 본 행사의 첫날은 튜토리얼 트랙으로 구성되었다. 총 6개 섹션 중 4개 섹션을 참관하였다.

총성 없는 미래 사이버 전쟁 - 최첨단 미래 전쟁 도구


다이하드, 스워드피쉬 같은 영화 속 이야기가 아니다. 해커들의 실력 과시용으로 시작된 사이버 공격은, 어느덧 그 주체와 목적에 따라 다양한 유형을 가진 광범위한 형태로 발전되었다. 네트워크를 이용한 사이버 공격이 직접적으로 사람을 죽이거나 다치게 하지는 않는다. 하지만 막대한 경제적, 정신적 손실을 끼치고 엄청난 파급력을 지닌다는 점에서 심각한 공격행위라고 할 수 있다.


정보보호기술 류동주 팀장은 사이버 공격을 크게 세 가지로 분류했다. 사이버 범죄, 사이버 테러, 사이버 전쟁이 그것이다. 이번 튜토리얼의 초점은 사이버 전쟁에 맞춰졌다. 사이버 전쟁은 말 그대로 국가와 국가 사이에 벌어지는 가상 전쟁이라고 볼 수 있다. 지금까지 발생한 사이버 전쟁은 대부분 타국의 기밀 정보를 빼내는 첩보전 형태였다고 류 팀장은 설명했다.

네트워크로 침투해봤자 얼마나 피해를 입히겠냐고? 류 팀장이 발표한 국내외 사례만도 50건이 넘는다. 러시아 해커들이 에스토니아에 대규모 사이버 테러를 감행해 2개월 간 행정업무를 마비시킨 경우가 있는가 하면, 중국으로 추정되는 스파이가 미국 국방부 연구개발망에 침투해 엄청난 양의 정보를 빼간 사례도 볼 수 있었다. 최근 두 차례에 걸쳐 DDoS 공격을 겪은 우리나라 역시 예외는 아니다.
 
이와 같이 사이버 공격에 의한 피해가 늘어나면서, 우리나라는 사이버사령부를 국방부 직할 부대로 개편하는 등의 대책을 내놓았다. 문제는 사이버 공격 대응 및 위기 관련 체계가 중구난방 흩어져 있다는 점이다. 컨트롤타워 없이 각개 대응하고, 여기에 부처 이기주의와 정보공유 기피 현상이 결합되면서 '외부로 나가는 정보를 내부에서는 공유가 안 되는' 상황이 발생한다고 류 팀장은 지적했다. 따라서 일원화한 대응 체계를 구축하고, 체계적인 정책 및 투자를 통해 위기 대처 능력을 키워야 한다고 역설했다.

차세대 전력망 스마트 그리드도 사이버 공격 대상


뉴스에 관심이 많다면 '스마트 그리드'라는 단어를 한 번쯤 들어봤을 것이다. 스마트 그리드는 IT 기술을 전력망에 접목해 전력 공급자와 소비자가 실시간으로 정보를 교환해 에너지 효율을 최적화하는 차세대 전력망이다. 실시간으로 정보를 주고받으며 전력 수요 및 공급을 최적화하는 전력 시스템이라고 보면 된다. 직접적으로는 에너지 효율이 향상되면서 낭비 및 오염이 줄어들고, 길게는 다양한 산업 발전을 유도할 수 있는 신성장동력이라고 한다.

이런 스마트 그리드와 보안이 무슨 상관이냐고 물을 수 있다. 국가보안기술연구소 서정택 연구원은 "국가기반시설인 전력망은 늘 보안을 염두에 두어야 한다"고 강조했다. 지난 1월 여수산단에서 발생한 정전으로 인한 피해규모가 약 700억 원이었다. 네트워크를 통해 쉽게 시스템 접근이 가능한 스마트 그리드 특성상, 사이버 공격 발생 가능성이 적지 않다.


스마트 그리드 분야 선도국 중 하나로서, 국가 단위 스마트 그리드 망 도입을 꿈꾸는 우리나라는 스마트 그리드 보안에 신경 쓰고 있으며 얼마 전 관련 법률이 국회에 상정되기도 했다. 이 안에는 개인정보 및 스마트 그리드 망 보안 대책 수립이 반드시 필요하다는 내용이 담겨 있다. 정부는 표준화한 보안 체계를 산학연 공동 연구로 마련할 계획이다. 이를 통해 국재 표준화 기구의 인증을 받아, 후발주자에게 수출할 수 있을 만큼 안정적이고 높은 수준의 보안 기술을 완성할 것이라고 서 연구원은 밝혔다.

오는 6월 제주도 구좌읍에 있는 세계 최대 규모의 스마트 그리드 실증단지가 운영을 시작한다. 서 연구원은 안정적인 스마트 그리드 구축을 위해서 보안 시스템을 고려한 체계적인 준비가 반드시 필요하다며, 참가자의 지속적인 관심을 부탁했다.


사용자 인증? 이제는 디바이스 인증!


인터넷 쇼핑을 해봤다면, 공인인증서가 없어서 불편을 겪은 경우가 한 번쯤 있을 것이다. 스마트 워크의 정착과 함께 더 이상 공인인증서로 골머리 썩힐 필요가 없어질 가능성이 높다. 그보다 안전하면서 사용하기 편리한 디바이스 인증 시대가 열리기 때문이다.

스마트 워크는 IT 기술을 활용해 공간 제약 없이 업무에 종사하는 미래지향적 업무 환경을 총칭한다. 영어권에서는 흔히 '모바일 오피스'라고 부르는데, 이는 각종 모바일 기기를 활용해 실시간으로 업무를 처리하는 근무 형태를 뜻한다. 노트북, PDA, 스마트폰, 태블릿의 보편화 덕분에 항상 미래를 그릴 때마다 단골로 등장했던 스마트 워크가 드디어 실현 단계에 접어들었다고 볼 수 있다.


당연히 스마트워크에서 보안이 차지하는 비중은 절대적이다. 기기 분실은 고급 정보 유출을 부를 수 있고, 각종 사이버 공격에 노출될 가능성 역시 높기 때문이다. 박현주 엠큐릭스 대표이사의 발표 중 가장 인상 깊은 부분은 바로 '디바이스 인증'이었다. 디바이스 인증은 스마트 워크에서 사용하는 각종 기기, 즉 디바이스 및 애플리케이션 자체에 인증 시스템을 설치하는 것이다. 기존 사용자 인증 시스템에서는 사용자 신원 정보만 알 수 있다면 쉽게 접근이 가능하다. 하지만 디바이스 인증이 도입된다면 해당 기기가 아닌 다른 기기에서는 접근이 원천 차단된다.

스마트 워크를 사용하는 업체 직원은 필연적으로 복수 기기를 사용하게 된다. 디바이스 인증은 선택이 아닌 필수라고 볼 수 있다. 현존 디바이스 인증 시스템의 문제점을 해결하기 위한 연구는 지금도 계속되고 있다. 박 대표는 더 안전하고 사용자 친화적인 통합보안 솔루션 및 보안 플랫폼 개발 전쟁이 치열하다고 밝혔다. 

스마트 워크를 구현하는 과정에서 반영해야 할 보안 요소는 기존 업무 환경보다 훨씬 많다. 특히 스마트 워크가 대부분 무선 환경이라는 점을 고려해야 한다고 박 대표는 지적했다. 스마트 워크에 적용될 보안 시스템은 더욱 사용자 친화적이면서도 디바이스 성능 저하를 최소화하면서 안전해야 한다. 하지만 공존하기 힘들 것 같은 요구들을 고루 충족하기 위한 관련 업계의 노력 덕분에, 우리는 곧 안전하고 편리한 스마트 워크 환경 속에서 일할 수 있지 않을까 기대된다.

일거수일투족을 감시하는 스마트폰? - 위치정보 서비스와 프라이버시 이슈

 
최근 IT 관련 핫이슈 중 하나가 애플사의 개인정보 수집 논란이다. 정확히 말하면 '개인 및 물건을 식별할 수 있는 정보'를 뜻하는 개인정보 중에서도 뜨거운 감자가 위치정보다. 위치정보를 통해 구현되는 위치기반서비스(LBS)는 스마트폰이 '스마트'할 수 있는 핵심 포인트다. 쟁점은 두 가지다.

개인정보이용에 관한 법률은 나라 별로 차이가 있지만, 공히 정보 주체의 동의를 요구한다. 또한 수집된 개인정보의 저장을 엄격히 규제한다. 이번 논란의 핵심이 이 부분이다. 미국 네티즌이 "위치서비스 이용을 동의하지 않았는데 내 위치정보가 저장되었다"고 애플을 제소한 것이다. 이를 지켜본 방통위에서는 애플코리아에 해당 내용에 대한 공개 질의서를 보낸 상태다.


이민영 가톨릭대 교수는 "특히 아이튠즈를 통해 모든 기기를 동기화하는 애플 디바이스 특성을 고려해볼 때, 사용자의 동의 없이 저장된 정보가 업체에게 넘겨질 가능성이 높다"고 지적했다. 나도 모르는 사이에 내 정보가 기업들에 전달될 수 있다는 말이다. 이 교수는 "만약 네티즌의 주장이 진실로 밝혀진다면 스마트폰 사용 자체를 멈추는 게 나을 수 있다"고 말했다.

이러한 문제가 생긴 원인은 무엇일까? 업체와 사용자 사이에 이견이 있기 때문이다. 업체는 더 좋은 서비스를 제공하기 위해 되도록 자유로이 개인정보를 사용하고 싶어한다. 반면 사용자는 프라이버시가 지켜지길 원한다. 여기에 IT 환경 변화를 예측하지 못한 법률이 혼란을 부추긴 양상이다.

그 해결책으로 이 교수는 법률 수정과, 이해당사자 간의 협의를 통한 가이드라인 제정을 제시했다. 이를테면 암호화 같은 기술적 보호 조치를 명시해서 프라이버시를 확실히 보호하고, 나머지는 풀어줌으로써 IT 산업 촉진과 개인정보 보호라는 두 마리 토끼를 동시에 잡는 것이다. 모바일 시장은 변화 주기가 빠르고 그 폭도 엄청나다. 지금 당장이 아닌 미래를 내다본 혜안이 필요하다고 이 교수는 결론 내렸다. 이 문제에 대한 사용자의 꾸준한 관심도 당부했다.


평소 큰 관심 없는 경영학도가 보안 관련 워크샵을 이해할 수 있을까 걱정이 앞섰다. 하지만 튜토리얼 섹션은 이름답게 해당 주제를 알기 쉽게 설명하는 자리였다. 질의응답 및 토의에 적극 참여하는 참여자의 모습도 인상적이었다. 아쉬운 사실은 참가자가 해당 분야 종사자 및 학계로 국한된 것으로 보인다는 점이다. 경영, 사회과학, 인문학 같은 다양한 분야 전문가들이 함께 했더라면 더 재미있고 활발한 시간이 되지 않을까 생각해본다. Ahn

대학생기자 임종헌 / 충남대 경영학과

댓글을 달아 주세요

  1. 러브드웹 2011.05.04 13:06  Address |  Modify / Delete |  Reply

    보안 이슈가 중요하단건 부정하지 않습니다.
    그런데 뻑하면 북한을 언급하는데 그게 이젠 초딩도 비웃더라고요.
    이것이 문제 같습니다.

  2. 엔시스 2011.05.10 18:42  Address |  Modify / Delete |  Reply

    좋은 글 잘 읽었습니다.!~!

  3. ADT캡스 2012.09.21 13:40  Address |  Modify / Delete |  Reply

    기술이 발전함에따라 보안이라는 키워드가 매우 이슈가 되고 있는게 사실인 것 같습니다. 요즘같이 스마트폰이 기승을 부리고 있는 시대에는 개인정보에 대한 보안 또한 무게를 두어야 하는 점 중 하나이겠지요?? 좋은 글 잘 읽고 추천과 구독 누르고 갑니다. 맞구독 부탁드려요~