[보안리더] 박기웅 세종대 교수 "해킹 방지 '가시성' 중요...'신의 한 수' 교육자 될 것

"지난해에 이어 올해도 랜섬웨어 등 보안 사고가 많이 발생할 것으로 예상됩니다. 공공과 민간 부문에서 보안 공백을 메우기 위해 가장 시급한 부분은 가시성 확보입니다. 클라우드 전환, 인공지능(AI) 활성화로 수많은 IT 자산들이 생겨났습니다. 이는 즉 보호해야 할 자산들이 기하급수적으로 늘어나고 있다는 말인데, 위협을 파악하기 위해선 무엇을 막아야하는지 지켜보는 가시성이 중요합니다."

박기웅 세종대 정보보호학과 교수는 15일 지디넷코리아와 인터뷰에서 올해에도 수많은 보안 사고가 발생할 것으로 우려하며, 사고를 예방하기 위해 시급한 부분으로 '가시성 확보'를 꼽았다.

박 교수는 "방 한 칸자리 공간을 지키라고 하면 쉽다. 문이 하나밖에 없고 그 문조차도 내가 설계했다면 도어락만 잘 보고 있으면 된다"면서도 "하지만 우리가 현재 지켜야 되는 시스템은 방이 수천개인 구조다. 심지어 그 조그마한 방조차도 내가 설계했다면 어느 정도 파악이 되겠지만, 이 방의 설계를 모두 외주를 맡겼다고 하면 완벽하게 지켜내기란 너무 어렵다"고 말했다.

그는 "오픈소스 시대다. 요즘 어떤 회사도 제로 베이스로 시스템을 구축하지 않는다. 대부분 만들어 놓은 솔루션이나 체제를 가져다 쓰고, 또 자동화하는 시대다"라며 "이런 두 가지 요인이 맞물려 지켜야 할 IT 자산이 몇 개인지, 약점은 무엇인지 파악하는 것이 어렵다.

반면 공격자들은 이런 수많은 IT 자산의 약점 딱 한 가지만 알고 있어서 전체 시스템을 장악할 정도다. 상황이 이렇다 보니 지난해 여러 기업들이 해킹 공격에 무너질 수밖에 없었던 것이다.

박 교수는 "보안 인력은 한정돼 있는데 복잡도는 증가했다. IT 자산의 개수도 많이 늘어났지만 유동성도 크다"며 "이에 여러 기업이 수년전 식별된 취약점에도 뚫릴 수밖에 없는 것"이라고 진단했다.

지난해 해킹 잡지 '프랙(Phrack)'에 따르면 민간 뿐 아니라 정부 기관이나 공공 부문도 보안에 취약한 부분이 수면 위로 드러났다. 이와 관련, 박 교수는 "공격자의 시각에서 본다면 민간부문이나 공공 부문이나 똑같이 TCP(인터넷에서 데이터를 안정적으로 전달하기 위한 전송 계층 프로토콜)를 쓰고, 똑같은 개발자가 만든 '컴퓨터'다. 공공 역역이라고 해서 민간과 크게 다르지 않은 똑같은 '방'이다"라고 지적했다.

그는 "반면 대응은 '칸막이' 식이다. 예를 들어 민간 부문 보안 대응은 한국인터넷진흥원(KISA)이 관장하고, 공공 부문은 국가정보원이 대응한다. 군은 국방부가 있다"며 "공공과 민간이 다른 부분은 공공의 경우는 공격당했을 때 국가 안보와 직결되는 민감한 데이터가 포함돼 있을 가능성이 크다. 이에 행정적 대응의 차원이든, 국가 안보적 관점이든 칸막이식 대응보다는 부처간 확실한 협조 체계가 구축돼야 한다"고 당부했다.

"침해사고, 숨기기보단 공개해야…투명성이 곧 조직 신뢰"

이렇게 침해사고가 발생하면 기업이든 기관이든 침해 사실을 숨기기 급급하다. 그러나 어떤 기관이나 기업이 해킹 공격을 당했다는 것은 역설적이게도 중요한 정보가 된다. 마치 백신이 우리 몸에 항체를 형성하는 원리와 같이, 어떻게 공격을 당했는지, 어떤 취약점이 있었는지 등이 충분히 공유되면 다른 기업이나 기관에서는 피해를 예방할 수 있기 때문이다.

이에 박 교수는 "침해사고가 있었을 때 최대한 숨기려 하기보다 공공과 민간 가릴 것 없이 공유돼야 할 정보들을 즉시 공유하는 체계가 굉장히 중요하다"며 "사실 사고가 발생하면 책임져야 할 사람이 생기고, 그 책임자의 업을 좌지우지할 수 있기 때문에 구체적인 공유가 어려울 수 있겠지만 익명화 등 치부를 드러내지 않으면서도 원할하게 공유할 수 있는 체계가 구축돼야 한다"고 강조했다.

그는 "사람마다 성향이 다르기 때문에 사고 이후나 보안을 대하는 인식에서 정보보안 담당자가 누군지에 따라 정도가 크게 나뉜다"며 "예컨대 국가정보원에서 진행하는 보안 실태평가가 마치 우리를 감시하려 한다고 인식해 굉장히 비협조적으로 나오는 기관이 있다. 민간의 경우도 보안 담당자도 막상 처음 겪는 침해사고인데, 경험이 없다 보니 일단 숨기고자 하는 경향도 적지 않다"고 밝혔다.

박기웅 세종대 정보보호학과 교수가 지디넷코리아와 인터뷰하고 있다.(사진=김기찬 기자).

박 교수는 침해사고 사실을 숨기기보다 적극적으로 알리고, 조직 자체에서 투명성을 제고할 수 있는 방향성에 대해서도 언급했다.

박 교수는 "해외는 보안을 대하는 문화가 다르다고 하지만, 처음부터 침해사실을 적극적으로 알리려고 하지 않았을 것이다"라며 "우선 미국의 경우는 시장 자체가 범지구적이다. 이에 주식시장도 24시간 개방하는 등 모든 것을 투명하게 하지 않으면 이 시장에서 살아남을 수 없다는 인식이 강하다. 피해 사실을 숨기다가는 기업이 망할 수도 있다는 투명성을 대하는 자세가 엄격한데, 이에 기반한 생각"이라고 설명했다.

이어 그는 "다만 미국도 수십년간 보안 사고를 겪으며 이런 인식이 자리잡았을 것으로 보인다"며 "우리나라도 보안 문화가 자리 잡는 과정에 있어 조직이 '투명성은 곧 기업 신뢰'라는 점을 잘 습득해야 한다"고 주문했다.

"ISMS 인증 개편, 지속성에 초점 맞춰야"

정보보호 관리체계 인증(ISMS), 정보보호 및 개인정보보호관리체계 인증(ISMS-P)을 받은 기업이 침해사고를 당하는 등 인증의 실효성에 의문이 제기되며, 정부가 인증 체계를 강화하는 것을 골자로 개편을 추진하고 있다. 박 교수는 ISMS, ISMS-P 인증이 지속성을 강화하는 방향으로 나아가야 한다고 제언했다.

구체적으로 결격 사유(부적합 사항)가 없어야 통과되는 '체크리스트' 형식의 인증 평가가 아니라, 점수를 책정함으로써 점수를 높이기 위해서라도 기업들이 자체적으로 보안을 강화하고 지속성을 구축할 수 있도록 정비돼야 한다는 것이다.

박 교수는 "공공기관은 경영평가, 보안 실태평가 등을 진행하는데, 평가 시 점수를 책정하도록 구성돼 있다. 평가 항목 역시 오랜 기간 계속해서 바뀌어왔다. 이 지표가 굉장히 중요하기 때문에 이걸 맞추기 위해서라도 조직이 계속해서 움직이고 노력한다"고 역설했다.

이어 그는 "ISMS를 획득하기 위해 1년간 열심히 컨설팅도 받고 보안 거버넌스 구축하는 등 체계를 마련하기 위한 노력을 하게끔 하는 것은 긍정적이라고 본다"면서도 "다만 '인증을 받으면 끝'이라는 문제가 나온다. 공공기관 경영평가나 보안 실태평가처럼 점수를 매기는 등 계속해서 기업이 보안을 강화할 수 있도록 하는 방안이 미흡하다"고 진단했다.

'시스코어 랩(Syscore Lab)' 연구실 운영..."쉽게 설명하기 정치학 전공 아버지 앞에서 강의 전 먼저 해"

"우리나라에 여러 정보보호학과가 있지만, 태생적 측면에서의 차별점으로 본다면 기존의 암호 등 수학에 기반해 정보보호 분야로 발전한 경우가 많다. 반면 세종대는 태생부터가 컴퓨터나 시스템 중심으로 학과를 키워왔다 보니 침해 대응부터 디지털 포렌식 등 기술과 실무를 잇는 데 초점이 맞춰져 있다"

박 교수는 세종대 정보보호학과를 이같이 소개했다. 세종대 정보보호학과는 2012년에 개설됐는데, 실무적 관점에서 교육 커리큘럼을 구축하고 정보보호 특성화 사업 등 다방면에서 활약하고 있다. 사이버국방학과와 정보보호학과가 한 지붕 아래 있다는 것도 특징이다.

박 교수는 "원래는 정보보호학과 내에 사이버 국방 트랙이 있었다. 졸업을 하면 임관하는 별도 트랙이었으나, 학과로 새로 만들어졌다"며 "사이버사령관 등 여러 장군들을 모셔 그들의 경험과 노하우를 학습하도록 하고 있다. 학교 내 '별(계급)'만 합치면 18개"라며 미소지었다.

또 박 교수는 '시스코어 랩(Syscore Lab)'이라는 연구실을 운영하고 있다. 박 교수는 "시스코어 랩은 어떻게 하면 시스템 내부를 효율적으로 뜯어볼 수 있는지 연구하는 곳"이라며 "공격자의 관점에서 시스템에 어떠한 약점이 있을지, 어떤 문제가 있는지 호기심을 갖고 연구하는 곳"이라고 소개했다.

그는 "이런 연구를 진행하다 보면 시스템의 문제를 찾아내는 연구들이 어떤 때에는 모의해킹이 되고, 또 다른 때에는 디지털 포렌식이나 악성코드 분석이 되기도 한다"며 "사람의 뇌도 단층 촬영을 해야 종양이 있는지 없는지 여부를 알 수 있는 것처럼 시스템을 깊게 들여다보는 연구를 활발히 하고 있다"고 밝혔다.

한편 박 교수는 학생들을 지도할 때에도 어렵게 느껴지는 보안을 항상 쉽고 재밌게 이해할 수 있도록 하는 데 집중하고 있다. 박 교수는 "모든 강의는 재미있어야 한다고 생각한다. 행동하도록 하는 자극, 즉 모티베이션(motivation)이 가장 중요하다"며 본인의 교수 첫 강의를 아버지 앞에서 먼저 했다고 들려줬다. "정치학을 전공한 아버지 앞에서 강의를 먼저 하곤 했다. 정치학 전공자를 이해시킨 강의가 성공한 강의라고 생각했기 때문이다. 내 첫 강의는 '리눅스 시스템 보안 관점'이었다. 아버지께 이 강의를 하니, '마우스만으로도 컴퓨터를 잘 쓰고 있는데 이 명령어를 왜 봐야 하는지 어떤 재미가 있는지 하나도 모르겠다'는 답변이 돌아왔다. 이 때부터 모티베이션이 강의에 굉장히 중요한 부분이라는 것을 깨달았고 늘 그렇게 강의하려 한다"고 덧붙였다.

이런 신념을 통해 박 교수는 강의를 들은 학생들이 자신과의 만남을 '신의 한 수'라고 생각할 수 있도록 만들어주는 교수가 되고 싶다는 포부를 남겼다. 이 외에도 박 교수는 공과대학에서도 마케팅적인 부분이나 경영적인 부분 등 다양한 분야와 유기적으로 결합할 수 있도록 돕는 역할을 수행하겠다고 다짐했다.

그는 "학과에 적응하지 못했던 한 학생의 기억이 생생하다. 그 학생은 중국어를 이중전공하는 등 진로가 명확히 정해지지 않았는데, 졸업 후에 아무 곳에도 취업을 못하겠다며 찾아왔었다"며 "그런데 안랩에서 중국어가 능통한 인재를 채용한다는 소식을 들었고, 이 학생이 안랩에서 들어가 뛰어난 활약을 했다. 나중에 들었지만 그 학생이 말하길 저와의 면담이 인생의 신의 한 수였다고 했다. 앞으로도 신의 한 수를 최대한 만들어주는 교수가 되려 한다"고 말했다.

박 교수는 마이크로소프트 리서치, 국가보안기술연구소에서 근무한 이력이 있는 보안 분야 리더다. 현재 세종대에서 학생들을 가르치는 것 뿐 아니라 국가전략기술위원회, 한국정보보호학회 등에서도 활동하고 있다.

그는 "마이크로소프트 리서치에서 데이터센터, 아키텍처 등 대규모의 시스템을 효율적으로 설계 및 운영하고, 그 위의 클라우드 플랫폼이 잘 운영될 수 있도록 하는 연구를 수행한 경험이 있다"며 "국가보안기술연구소에서도 해커 판별 시스템 등 공격자의 의도를 파악하는 여러 연구를 수행했다"고 자신을 소개했다.

◆ 박기웅 세종대 정보보호학과 교수는.....

현) 세종대학교 정보보호학과 교수

현) 국가전략기술위원회 사이버보안분과 위원

현) 한국정보보호학회 상임이사, 국제공동연구부문

현) 경찰청 디지털포렌식 자문위원

전) 마이크로소프트 리서치 연구원

전) 국가보안기술연구소 선임연구원

카이스트 대학원 전기전자 박사