[ET시론]보안하고 싶어?

“비밀번호는 대·소문자, 숫자, 특수문자를 모두 포함한 10자리 이상이어야 하며, 동일 문자 반복이나 연속된 숫자는 사용할 수 없고, 90일마다 변경해야 합니다.” 이 비밀번호 정책은, 과연 개인이 안전한 패스워드를 만들도록 '유도'하고 있는가?

“취약점에 대한 공개는 제조사의 동의가 있는 경우, 패치 후 120일이 지나야 가능합니다.” 이 정책은, 과연 기업이 안전한 개발과 보안 패치를 책임 있게 수행하고, 화이트해커가 제보에 나설 '동기를 부여'하고 있는가?

보안공학자 로스 앤더슨은 “보안 실패는 나쁜 설계만큼이나 잘못된 인센티브에 의해 자주 발생한다”고 말한다. 사용자는 왜 안전하게 사용하려고 할까? 개발자는 왜 보안을 고려하며 코드를 짤까? 공격자는 왜 어떤 시스템은 굳이 해킹하지 않으려 할까?

우리나라의 보안 정책은 개인에게, 기업에, 국가에 보안의 동기를 제공하고, 적에게 해킹하지 않을 동기를 주고 있는가?

개인:보안을 강요받는 사용자

위에서 언급한 비밀번호 정책은, 석달에 한 번씩 기억하기 어려운 패스워드를 생성해야 하기 때문에, 오히려 메모에 적어두거나 숫자만 바꿔 반복 사용하는 방식으로 대응하게 만든다. 이러한 문제점을 인식한 미국 국립표준기술연구소(NIST)는 2017년 비밀번호 정책 가이드를 개정하며, '대·소문자, 숫자, 특수문자 조합'과 '주기적 변경 강제' 요구를 폐기했다. 이런 정책들이 사용자가 'Password1!'에서 'Password2!'로 숫자만 바꾸거나, 모니터에 포스트잇으로 비밀번호를 붙여두는 행동을 유발했기 때문이다. 대신 NIST는 데이터 유출 시에만 비밀번호 변경을 유도하는 정책으로 전환했다.

이는 사용자가 더 길고 기억하기 쉬운 패스워드를 사용하고, 다중 인증(MFA)과 같은 추가 보호 수단에 의존하도록 유도한다.

인터넷 뱅킹 환경도 다르지 않다. 한국 금융기관들은 여전히 다양한 보안 프로그램 설치를 요구한다. 액티브X는 사라졌지만, 응용프로그램인터페이스(API) 기반으로 키보드 보안, 방화벽, 백신 등 프로그램이 사용자의 동의를 통해 설치된다.

사용자는 대부분 각 프로그램의 기능이나 필요성을 정확히 알지 못한 채, 반복적으로 '다음'을 누르며 설치를 진행한다. 이 과정에서 보안에 대한 경각심은 오히려 무뎌지고, 실제 위험이 발생해도 기계적으로 '동의'하는 습관만 남는다. 2023년 북한 해커 그룹이 국내 금융 보안 소프트웨어(SW)의 취약점을 악용한 사례는 이러한 접근의 한계를 보여준다.

애플의 페이스 아이디(Face ID)나 삼성의 지문인식처럼 사용자 경험을 해치지 않으면서도 보안을 강화하는 방식은, 사용자가 자발적으로 보안 기능을 사용하게 만든다. 편의성이 곧 보안 동기가 되는 구조다.

기업:체크리스트에서 인센티브로

한국의 기업들은 보안을 종종 비용으로 인식한다. 정보통신망법은 다양한 보안 장비 설치를 의무화하고 있지만, 이러한 포지티브 규제는 많은 기업들이 최소 요건만 충족하려는 형식적 대응으로 이어진다. 결과적으로 최저가 입찰을 통한 낮은 품질의 장비 도입, 실질적인 운영·관리는 뒷전이 되는 구조가 반복된다.

체크리스트 중심의 규제는 기업이 '체크 항목'에만 신경 쓰게 만들고, 자사 환경에 적합한 보안 전략 설계에는 무관심하게 만든다. 보안은 조직의 구조, 업무 방식, 위협 모델에 따라 달라져야 하지만, 획일화된 규제는 이를 반영하지 못한다.

미국 식품의약국(FDA)은 이런 한계를 인식하고, 의료기기 보안에 대해 '전 수명주기 보안 관리' 체계를 요구한다. 제조사는 기기별 위협 모델을 수립하고, 설계 단계부터 보안 대책을 포함해야 하며, FDA는 이 과정을 종합적으로 평가한다. 이는 단순한 '기능 보유' 확인이 아니라, 위험 기반 접근에 대한 실질적인 인센티브를 제공하는 방식이다.

국내의 취약점 공개 정책은 여전히 제조사의 동의를 전제로 한다. 패치 후 120일이 지나야만 취약점이 공개될 수 있고, 동의를 받지 못하면 영원히 비공개 상태로 남을 수도 있다. 이는 취약점 패치에 대한 제조사의 책임을 흐리고, 신속한 대응을 유도하지 못한다.

반면 미국 사이버인프라보안국(CISA)은 2021년부터 연방기관 납품 소프트웨어에 대해 취약점 공개 정책(VDP·Vulnerability Disclosure Policy) 채택을 의무화했다. 이 정책은 보고자 보호, 대응 기한 명시, 정보 공개 원칙을 통해 화이트해커에게는 제보 동기를, 기업에는 보안 책임을 명확히 부여한다.

결국 기업의 보안 문화는 단순한 준수 의무가 아니라, 실질적인 효과를 중심으로 인센티브를 설계할 때 바뀔 수 있다. 보안을 '비용'이 아닌 '가치'로 인식하게 만드는 구조가 필요하다.

국가:모두에게 신호를 주는 설계자

한국의 보안 정책은 강한 규제와 사후 대응에 집중돼 있다. 과학기술정보통신부 내에 '침해대응과'는 있지만 '침해예방과'는 없다. 구조적으로도 '일어난 뒤에 대응'하는 데 초점이 맞춰져 있다는 뜻이다.

법령 구조 역시 이 흐름을 강화한다. 정보통신망법은 '정부는 정보통신망에 대해 취약점 점검, 기술 지원 등 필요한 조치를 할 수 있다'고 하면서도, 다른 조항에선 '누구든지 접근 권한 없이 정보통신망에 침입할 수 없다'고 명시한다. 결과적으로 정부는 민간 시스템에 대해 사전 점검이나 실태 파악을 자율적으로 수행하기 어렵고, 허락 없이 모의 침투를 시도할 수 있는 법적 근거도 불분명하다.

이러한 구조는 국가가 새로운 취약점(Log4j와 같은)에 대한 실태를 파악하거나, 대비책을 마련하는 데 제약을 만든다. 허락 없이는 점검도 어렵고, 실제 문제가 발생하기 전까지는 무엇이 취약한지조차 알 수 없다. 반면 적들은 이 구조를 정확히 알고 있다. 탐지당하지 않고 원격에서 취약점을 찾아 공격할 수 있다는 점에서, 한국의 제도는 적에게는 기회를, 정부에는 제약을 주는 설계가 되고 있다.

미국 CISA나 영국 국립사이버보안센터(NCSC)는 이를 정반대로 접근한다. 이들은 민간 시스템의 보안을 사전에 지원하고, 취약점 보고자에게 법적 보호를 제공하며, 정부 차원의 기술적 개입과 점검을 가능하게 만드는 법·제도를 병행하고 있다. 국가는 통제자가 아니라, 모두가 보안을 하고 싶게 만드는 설계자 역할을 수행해야 한다.

결론:보안하고 싶어요?

보안을 강화하려면 정책 설계도 결국 사용자, 개발자, 공격자 각각의 동기를 이해하는 데서 출발해야 한다. 해커 역시 정책 대상이자 행위자로서, 수익 가능성과 효율을 계산해 움직인다. 북한은 사이버 공격을 국가 전략 수단으로 활용하며, 암호화폐 거래소나 블록체인 기반 기업을 해킹해 이를 현금화하고, 제재를 우회해 핵 개발 자금으로 전용해왔다.

우리가 보안을 '동기 유발' 없이 '강요'하는 방식으로만 접근할 때, 사용자는 회피하고, 기업은 형식적으로 대응하며, 국가는 문제 발생 이후에야 개입하게 된다. 반대로 보안을 '하고 싶게 만드는' 방식은 사용자에게는 편의성과 일관성, 기업에는 신뢰와 시장 기회, 연구자에게는 인정과 보상, 국가에는 실효성 있는 방어를 제공하고, 공격자에게는 낮은 수익률과 높은 탐지 가능성이라는 명확한 억제 신호를 준다. 정책은 보안 강화를 위한 '동기 구조'를 함께 설계해야 한다. 다시 한번 로스 앤더슨 교수의 말을 되짚어 본다. “보안 실패는 나쁜 설계만큼이나 잘못된 인센티브에 의해 자주 발생한다.”

김용대 한국과학기술원(KAIST) 과학치안연구센터장·전기및전자공학부·정보보호대학원 교수 yongdaek@kaist.ac.kr

〈필자〉30여년간 보안을 연구했다. 국가보안기술연구소 전신인 한국전자통신연구원(ETRI) 부호기술부를 거쳐 미국 미네소타대 교수를 지냈다. 2012년 귀국해 한국과학기술원(KAIST) 전자공학부 및 정보보호대학원에서 보안 연구를 이어 가고 있다. 주요 연구 분야는 자율주행차, 드론, 이동통신, 블록체인 등 미래에 각광 받을 신기술의 보안 취약점이다. 김 교수는 세계 보안 최우수 학회 가운데 하나인 ACM CCS를 한국에 유치하는 등 한국과 세계 각국의 보안 연구를 연결하기 위해 노력하고 있다.