[ET시론]새 정부의 보안 과제

SK텔레콤 인증 서버 해킹, 북한발 보안 소프트웨어(SW) 공격, 연쇄적인 랜섬웨어 사고. 보안 사고가 너무 잦아 이제는 감각조차 무뎌졌다. 한편에선 대형 보안 사고가 터지고, 다른 한편에선 정부가 새로운 정책과 키워드를 꺼내 든다. 제로 트러스트(Zero Trust), 공급망 보안, 인공지능(AI) 보안까지. 늘 새로운 기술이 등장하지만, 해킹은 줄어들지 않는다. 왜일까? 혹시 고질병은 그냥 둔 채, 신약만 처방하고 있는 건 아닐까?

망법: 감각 신경 마비

과학기술정보통신부엔 '침해대응과'는 있어도 '침해예방과'는 없다. 병이 날 때까지 기다리는 셈이다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)은 정부가 '필요한 조치를 할 수 있다'고 돼 있지만, 동시에 '누구든지 무단 침입할 수 없다'고 명시돼 있다. 결국 정부는 로그4제이(Log4j) 같은 대형 취약점이 나와도 우리나라에 얼마나 많은 서버가 취약한지 사전 점검이나 분석을 자율적으로 수행하기 어렵다.

반면 해커는 우리나라 서버들을 마음껏 스캔하고, 취약한 시스템을 찾아 악성 코드를 설치하며 들락날락한다. 지난 3년간 SKT는 해킹 사실을 몰랐고, KT와 LG유플러스는 다크웹에 개인정보가 유출된 후에야 인지했다. 마치 감각신경이 마비된 몸처럼, 어디가 다쳤는지도 모르고 곪아서야 뒤늦게 인지한다.

미국 사이버보안·인프라보호청(CISA)은 연방 정부뿐 아니라 민간 기업에도 '공공 책임'의 원칙을 적용한다. CISA는 사이버 위생(Cyber Hygiene) 서비스를 통해 미국 내 주요 자산에 대해 주기적인 인터넷 스캔과 취약점 점검을 수행한다. 정부가 직접 민간의 자산을 스캔할 수 있는 법적 권한과 기술 인프라를 갖추고 있다는 뜻이다. 보안을 기업의 자율이 아니라, 공공의 책임으로 봐야 한다.

버그바운티: 면역 체계 붕괴

국내 버그바운티 제도는 외형만 갖췄다. 인터넷에 노출돼 가장 공격받기 쉬운 운영 중인 홈페이지 취약점은 정보통신망법 위반 소지가 있어 아예 제보 대상에서 빠진다. 설령 제보하더라도, 제조사 동의 없이는 정보보안취약점표준코드(CVE)조차 발급되지 않는다. 패치 일정도 불투명하고, 120일 후 공개도 제조사 허락이 있어야 가능하다. 더욱이 기업이 수정을 거부해도 정부는 이를 강제할 수 없다.

결국 취약점을 알려도 고치지 않고, 공개도 막히고, SW 제조사들이 취약한 코드를 작성하고 책임을 지지 않아도 되는 구조를 제도가 방치하고 있는 셈이다.

최근 정부는 SW 패치를 자동으로 업데이트해주는 서비스를 시작하겠다고 밝혔다. 제조사가 보안을 책임지지 않으니, 정부가 대신 업데이트를 해주겠다는 의미다. 이제는 기업의 책임을 강화할 때이지, 대신 해줄 때가 아니다.

한 국내 연구자는 취약점 공개 후 '사실적시 명예훼손'으로 고소당했다. 반면 마이크로소프트(MS)는 매달 수십건의 패치를 공개하고 연구자에게 감사를 전한다. 미국은 2021년부터 연방 정부 계약 기업에 취약점 공개 정책(VDP) 수립을 의무화했고, 제보자를 법적으로 보호한다. 취약점은 숨길 대상이 아니라 고칠 문제이며, 제보자는 범죄자가 아니라 백혈구다.

보안 소프트웨어: 자가면역 질환

한국은 금융 서비스를 이용하기 위해 보안 프로그램 설치를 강제하는 세계 유일의 국가다. 사용자는 원하지 않아도 실행파일(exe) 기반 보안SW를 설치해야만 계좌이체나 세금 납부가 가능하다.

문제는 이들 프로그램이 보안을 강화하기는커녕, 반복적으로 북한발 해킹의 표적이 돼 왔다는 점이다. 한국과학기술원(KAIST) 등 공동 연구팀은 15종 스마트폰에서 작동하는 7종 금융 보안 프로그램에서 19건의 치명적 취약점을 발견했다. 키 입력 탈취, 인증서 유출, 원격 코드 실행까지 가능한 수준이다.

전 세계에서 유일하게 보안SW 설치를 20년 넘게 강제해 왔지만, 여전히 취약하고 반복적으로 해킹당한다. 우리는 구글, 페이스북을 쓰면서도 개인용컴퓨터(PC)에 별도 보안 프로그램을 설치하지 않는다.

보안은 기본적으로 '위험을 줄이기 위한 선택지'여야 한다. 하지만 한국의 보안 정책은 '위험을 감수하더라도 설치하라'는 구조다. 이는 자가면역 질환처럼, 본래 신체를 보호해야 할 면역체계가 오히려 스스로를 공격하는 꼴이다.

이제는 20년 된 보안 프로그램을 보내줄 시간이다. 지금 필요한 건 새로운 프로그램이 아니라, 브라우저 기반 웹 표준에 부합하는 인증·보안 체계로의 전환이다. 추가 설치 없는 웹 표준 기반 인증은 이미 글로벌 보안 기술의 기본이 됐다.

결론: 건강해야 신약도 듣는다

귤이 회수를 건너면 탱자가 된다는 말이 있다. 해외에서 제로 트러스트, SW 자재명세서(SBOM), AI 보안이 유행하면 우리는 곧바로 관련 사업을 만든다. 하지만 시간이 지나면 대부분은 “우리가 잘할 수 있는 것만 한다”는 프레임으로 축소된다.

제로 트러스트는 미국도 2032년까지 단계적 도입을 계획 중인 장기 과제다. 공급망 보안도 알려진 오픈소스 CVE를 찾는 수준으로는 부족하며, 보안을 고려한 개발, 바이너리 분석, 위협 모델링 등 다양한 요소가 함께 작동해야 의미를 가진다.

AI 보안 역시 마찬가지다. 미국 고등연구계획국(DARPA)의 AI사이버챌린지(AIxCC)는 AI가 코드를 분석하고 취약점을 고치는 것을 목표로 하지만, 기본적인 바이너리 분석 능력 없이는 AI도 무용지물이다.

건강해야 신약도 효과가 있다. 기본기 없이 유행만 좇는 정책으로는 해킹을 줄일 수 없다. 고질병을 고치고 체력을 키워야, 해킹도 줄고, 진짜 보안 기술도 나온다.

김용대 한국과학기술원(KAIST) 과학치안연구센터장·전기및전자공학부·정보보호대학원 교수 yongdaek@kaist.ac.kr

〈필자〉30여년간 보안을 연구했다. 국가보안기술연구소 전신인 한국전자통신연구원(ETRI) 부호기술부를 거쳐 미국 미네소타대 교수를 지냈다. 2012년 귀국해 한국과학기술원(KAIST) 전자공학부 및 정보보호대학원에서 보안 연구를 이어 가고 있다. 주요 연구 분야는 자율주행차, 드론, 이동통신, 블록체인 등 미래에 각광 받을 신기술의 보안 취약점이다. 김 교수는 세계 보안 최우수 학회 가운데 하나인 ACM CCS를 한국에 유치하는 등 한국과 세계 각국의 보안 연구를 연결하기 위해 노력하고 있다.