한호현 한국 해킹보안협회 전무(rhhan@nahs.or.kr)


이달부터 연말까지 정부의 다양한 분야에서 DDoS 대응을 위한 체계 구축 사업이 본격 진행된다. 정부의 DDoS 대응 체계 구축 사업의 주요 내용은 DDoS 대응체계 구축 前컨설팅, DDoS 대응체계 구축, DDoS 대응체계 모의시험 및 검증, 기관별 통합보안관제 체계 구축, 전자정부 DDoS 총괄 체계 마련, 취약 사용자 PC 좀비 제거 체계 및 선제적 DDoS 방어체계 구축, DDoS 대응 지침 및 매뉴얼 수립, 교육체계 마련 등이다.

세부적으로 살펴보면 대체적으로 DDoS 대응 장비의 도입이 주요 내용이다. 전반적으로 DDoS 대응을 위해 필요한 내용들이 잘 구성되어 있다는 평이다. 이번의 DDOS 대응 체계 구축으로 정부 기관의 DDoS 대응 역량이 한층 강화될 것으로 보인다. DDoS 대응을 위한 장기적인 계획 수립과 함께 DDoS 대응 지침 및 매뉴얼을 마련하고 지속적인 교육체계도 이뤄진다. 인터넷 공격, 해킹, 악성코드 감염 등 인터넷침해 3대 축의 하나에 대한 충분한 대비가 마련된 것으로 기대된다. 다만 아쉬운 점은 그 사업 기간이 너무 짧고 동시에 다수의 사업이 진행됨에 따라 사업 진행을 위한 컨설팅 등 전문 인력의 확보가 쉽지 않다는 점이다. 그럼에도 불구하고 이번 정부의 사업은 큰 성과를 거둘 것으로 평가된다는 점에서 업계의 환영을 받는 분위기이다. 특히 DDoS 대응체계 구축 前컨설팅을 통하여 사업자간 우열이 극명하게 드러날 것이기 때문이다.

어찌됐든 정부의 이번 DDoS 대응 체계 구축 사업은 본격적인 정보보안의 출발점으로 보아야 한다는 시각이 지배적이다. 그 이유로는 상대적으로 민간기업에 비하여 정보보안 대응체계가 잘 구축되었다는 정부기관이 새로은 인터넷 침해에 대응하기 위하여 선제적으로 대응 체계를 구축하는 것이기 때문이다. 또한 이번 사업을 통하여 공공기관 및 민간 기업의 정보보안 투자에도 큰 지렛대 역할을 할 것으로 예상되고 있기 때문이다.

정보보안 기초 자산 취약
그러나 많은 전문가들은 자칫 이번의 대응체계 구축이 일회성 치료에 그칠 개연성을 조심스럽게 제기하고 있다. 전문가들이 제기하는 내용의 핵심은 우리나라의 정보보안과 관련한 기초 자산이 너무 취약하다는 점이다. 전문가들은 기초 자산으로 인력과 취약점 DB를 들고 있다. 정보보안을 담당할 인력이 부족함은 항상 지적되어 왔지만 무엇보다도 정보보안 제품 개발, 지속적인 보안 서비스, 대응 체계 구축 등에 필수적으로 필요한 취약점에 대한 DB가 체계적으로 마련되어 있지 않다는 점에 대하여는 그동안 소수의 전문가들 사이에서만 제기되어 왔던 사항이다.

미국의 경우 취약점 DB는 체계적으로 구축되어 필요한 이해 관계자들이 활용할 수 있는 체계로 되어 있다. 미국의 취약점 DB는 정부의 표준화된 체계로 구축되어 NIST(미국 기술 표준 기관)에서 운영한다. 지난 10월말 현재 3만 9천여 개의 취약점 DB를 보유하고 있다. 이러한 방대한 자료를 기초로 정보보안 제품이 만들어지고 있으며, 이를 근거로 정보보안 제품에 대한 평가 및 인증체계도 마련되어 있다. 정보보안 제품을 구매하는 소비자도 이러한 DB를 활용하고 사용하고 있는 제품의 취약점이 무엇인지를 쉽게 확인할 수 있는 체계가 마련되어 있는 것이다.

얼마 전 국내에서 판매되고 있는 PC백신 상당수가 악성코드를 제대로 잡아내지 못한다고 보도가 된 적이 있다. 그 원인은 실상 PC백신 업체의 상당수가 악성코드를 제때에 확보하지 못하기 때문이다. 또한 소비자 입장에서는 업체가 제공하는 백신 제품이 어떠한 악성코드를 잡아내는지를 확인할 방법이 없기 때문에 뜻하지 않는 피해를 보는 경우도 있다. 특정한 상황이지만 어쩔 수 없이 두 세 개의 PC백신을 사용한다고 한다. 그만큼 PC백신에 대한 신뢰성이 떨어지고 있는 상황이라고 할 수 있겠다. 지난 7.7 DDoS 사건 때에도 악성코드의 확보가 결국 대응 방안을 찾는 최선의 선택이었다는 점을 감안하다면 취약점 자료의 중요성을 다시 인식하여야 할 시기가 온 것이다.

십여 전에 국내에도 취약점 DB를 구축하기 위한 정부의 투자가 있었으나 그 중요성에 대한 인식이 낮아 지속적인 투자로 이어지지 않았다. 최근 들어 취약점 DB가 정보보안의 주요 자산으로 인식되기 시작하고 있다. 한 해에도 수백만 개의 악성코드가 만들어지고 있고 새로운 제품마다 취약점이 발견되고 있는 상황에서 이를 종합적으로 수집하고 분석하여 제공하는 것이 정보보안 및 관련 산업의 기반이 되기 때문이다. 자칫 미국이 보유하고 있는 취약점 DB에 대하여 자국내의 기업에게만 활용하게 한다면 국내 기업의 경우 상당한 타격을 받을 수밖에 없는 상황이다. 정보보안 제품을 구입하기 위한 기준을 제시하는데 있어서도 취약점 DB는 중요한 역할을 한다. 아울러 한 정보시스템의 보안체계를 마련하기 위해서도 취약점DB는 중요한 기준이 될 것이다. 국내의 정보공유분석센터를 비롯하여 각 기관이나 기업에서 발견되는 악성코드 등이 개별 기관의 자료로 구축되는 경우도많지 않은 것이 국내의 현실이다. 자료를 축적하는 기관에서도 주로 내부 제품개발로만 사용되고 이러한 자료가 외부의 기관이나 기업이 사용할 수 있도록 하는 수준까지 발전하고 있지 못한다.

취약점 DB구축 반드시 필요
이제라도 정부가 나서서 취약점DB 구축을 추진해야 할 것으로 보인다. 굳이 미국의 사례를 따르지 않더라고 국내의 경우 취약점DB를 구축하여 필요한 이해관계자들이 활용할 수 있도록 한다면 한국전자통신연구원이 최적의 기관이 될 것으로 보인다. 수많은 IT제품에 대한 기초 기술 개발에서부터 보안 기술의 표준 등을 수행할 수 있는 기관이 최적이라고 본다. 미국의 경우에 NIST에서 이를 제공하는 것도 기술과 표준이라는 큰 축이 취약점 DB의 핵심이기 때문이다. 취약점 DB 구축을 위해서 최소 수백억원의 예산이 소요될 것으로 전망된다. 국방, 교육, 행정 등 정부기관에서부터 통신, 금융 등 다양한 분야의 민간 분야가 참여해야 한다. 이러한 취약점 DB 구축은 국내 정보보안 산업을 한 차원 높은 수준으로 끌어 올리는 기반이 된다. 지난 9월에 발표된 사이버 침해 대응 종합전략 등의 국가의 중요 정책 내용에 취약점 DB구축에 대한 언급이 빠진 점도 아쉬운 대목이다.

취약점 DB 구축과 함께 정보보안의 기초 자산은 정보보안 인력이다. 정보보안 인력에 대한 인식도 아직 매우 낮은 수준이다. 정보보안의 인력에 대한 구체적인 기준이나 갖추어야 할 지식수준 등 객관적으로 평가할 수 있는 체계도 마련되어 있지 않은 상황이다. 현장에서의 실무 경험도 중요하고 개인이 갖추고 있는 지식수준도 중요한 것은 부인할 수 없다. 그러나 무엇보다도 중요한 것은 국민 모두가 갖고 있는 정보보안에 대한 인식이 가장 중요하다. 개별 기업의 입장에서 보면 최고 경영자에서부터 직원들까지 포함하는 전 직원이 갖는 정보보안에 대한 인식이 정보보안의 인력수준의 척도가 된다. 그럼에도 불구하고 국가나 각 기관 및 기업 등에는 전문 인력이 반드시 필요하다. 평소에 별도의 군사력을 갖고 있지 않더라도 외침이 있게 되면 스스로 무장하여 대응할 수 있다. 다만 평소에 군사력을 갖고 있었더라면 불필요한 외침을 겪지 않을 수도 있다. 인터넷 침해에 있어서도 많은 기관이나 기업들이 정보통신 인력을 보유하고 있는 것으로 정보보안에 대한 인력을 갖추고 있으며 필요시 언제든지 정보보안에 활용할 수 있다고 생각을 하는 것은 매우 위험한 발상이다.

정보보안 인력 국내기준 정해야
정보보안에 대한 너그러운 정부정책도 이번 기회에 수정되어야 할 것으로 보인다. 외국의 유사 자격증을 취득한 경우도 모두 정보보안 인력을 인정을 하고 있는 것이 현실이다. 외국에서 군사 훈련과 유사한 훈련을 받은 경우 국가를 지키는 군인으로 인정하는 것과 다를 바가 없다는 점을 이제는 깨달아야 할 것으로 보인다. 국내에서 활용할 정보보안 인력은 철저하게 국내의 기준을 정하고 이에 맞는 훈련과 현장 경험이 있는 것으로 한정하여야한다. 물론 민간에서 자율적인 기준을 정하는 것까지 정부가 규제할 수는 없을 것이다. 그러나 정보보안 인력의 업무 범위가 개인정보의 보호, 각종 침해에 대한 대응, 정보보안 시스템 개발 및 유지보수, 정보보안 서비스 등 매우 다양하다는 점에서 정부에서 제시하는 기준의 중요성은 매우 클 것이다.

최근 정부의 정책에서 사이버보안관 3,000명을 양성하고 인터넷 침해 대응 전문 인력을 300명 수준 이상으로 늘린다는 계획은 구체적인 목표를 제시하였다는 점에서 환영받고 있다. 그러나 이러한 인력은 구체적으로 언제까지 어떠한 방법으로 양성을 할 것인지에 대한 구체적인 계획은 제시되고 있지 않다. 특히 정보보안의 다양한 분야에 대한 인력의 공급에 대한 계획은 언급조차 되고 있지 않다. 현실적으로 정보보안 관련 기관의 많은 인력들이 정보보안과는 거리가 먼 인력이 차지하고 있다는 점은 다시 살펴보아야 할 것이다. 정보보안 인력을 체계적으로 육성하기 위해서는 정보보안 분야, 현장 경험, 정보보안 지식, 위험 관리 능력, 윤리 의식 등이 요구된다. 이러한 각 분야에 대한 세부적인 기준과 역량을 정의하고 평가할 수 있는 체계가 먼저 이뤄져야 한다. 이러한 체계 속에 대학 등에서 사전 교육이 있어야 하고 실무와 각종 자격제도를 통하여 검증되어야 할 것이다.

많은 곳의 정보보안 인력 채용에 있어서도 구체성이 없는 경우가 많다. 정보보안 업무에 대한 경력과 자격증의 보유 정도가 일반적이다. 정보보안 및 정보보안 인력에 대한 인식이 부족한데서 오는 현상이다. 우리나라의 정보보안에 대한 기초 체력은 너무 약하다고 본다. 가장 필요한 무기인 취약점 정보가 빈약하고 이를 관리하고 대응해야할 인력이 마땅치 않기 때문이다. 아무리 좋은 무기를 구매하여 제공한다하더라도 이를 운용할 인력이 없거나 그 사용 용도를 모른다면 무용지물로 전락한다. 이제 기초 체력을 강화하는데 시선을 집중할 필요가 있다. 외형적인 대응에 너무 빠져 있게 된다면 정보보안분야에서 외국에 종속될 수밖에 없는 상황에 이르게 된다. 한번 종속된 상황을 개선하려면 많은 비용이 수반된다. 이제 DDoS라는 큰 사건의 정리가 잘 진행되고 있다. 이러한 상황에 맞게 정보보안 기초 자산을 확보하는 일에도 모두가 지혜를 모았으면 한다.

인력과 취약점 DB를 들고 있다. 정보보안을 담당할 인력이 부족함은 항상 지적되어 왔지만 무엇보다도 정보보안 제품 개발, 지속적인 보안 서비스, 대응 체계 구축 등에 필수적으로 필요한 취약점에 대한 DB가 체계적으로 마련되어 있지 않다는 점에 대하여는 그동안 소수의 전문가들 사이에서만 제기되어 왔던 사항이다. 미국의 경우 취약점 DB는 체계적으로 구축되어 필요한 이해 관계자들이 활용할 수 있는 체계로 되어 있다. 미국의 취약점 DB는 정부의 표준화된 체계로 구축되어 NIST(미국 기술 표준 기관)에서 운영한다. 지난 10월말 현재 3만 9천여 개의 취약점 DB를 보유하고 있다. 이러한 방대한 자료를 기초로 정보보안 제품이 만들어지고 있으며, 이를 근거로 정보보안 제품에 대한 평가 및 인증체계도 마련되어 있다. 정보보안 제품을 구매하는 소비자도 이러한 DB를 활용하고 사용하고 있는 제품의 취약점이 무엇인지를 쉽게 확인할 수 있는 체계가 마련되어 있는 것이다.

얼마 전 국내에서 판매되고 있는 PC백신 상당수가 악성코드를 제대로 잡아내지 못한다고 보도가 된 적이 있다. 그 원인은실상 PC백신 업체의 상당수가 악성코드를 제때에 확보하지 못하기 때문이다. 또한 소비자 입장에서는 업체가 제공하는 백신제품이 어떠한 악성코드를 잡아내는지를 확인할 방법이 없기 때문에 뜻하지 않는 피해를 보는 경우도 있다. 특정한 상황이지만 어쩔 수 없이 두 세 개의 PC백신을 사용한다고 한다. 그만큼 PC백신에 대한 신뢰성이 떨어지고 있는 상황이라고 할 수 있겠다. 지난 7.7 DDoS 사건 때에도 악성코드의 확보가 결국 대응방안을 찾는 최선의 선택이었다는 점을 감안하다면 취약점 자료의 중요성을 다시 인식하여야 할 시기가 온 것이다.

십여 전에 국내에도 취약점 DB를 구축하기 위한 정부의 투자가 있었으나 그 중요성에 대한 인식이 낮아 지속적인 투자로 이어지지 않았다. 최근 들어 취약점 DB가 정보보안의 주요 자산으로 인식되기 시작하고 있다. 한 해에도 수백만 개의 악성코드가 만들어지고 있고 새로운 제품마다 취약점이 발견되고 있는 상황에서 이를 종합적으로 수집하고 분석하여 제공하는 것이 정보보안 및 관련 산업의 기반이 되기 때문이다. 자칫 미국이 보유하고 있는 취약점 DB에 대하여 자국내의 기업에게만 활용하게 한다면 국내 기업의 경우 상당한 타격을 받을 수밖에 없는 상황이다. 정보보안 제품을 구입하기 위한 기준을 제시하는데 있어서도 취약점 DB는 중요한 역할을 한다. 아울러 한 정보시스템의 보안체계를 마련하기 위해서도 취약점 DB는 중요한 기준이 될 것이다. 국내의 정보공유분석센터를 비롯하여 각 기관이나 기업에서 발견되는 악성코드 등이 개별 기관의 자료로 구축되는 경우도 많지 않은 것이 국내의 현실이다. 자료를 축적하는 기관에서도 주로 내부 제품개발로만 사용되고 이러한 자료가 외부의 기관이나 기업이 사용할 수 있도록 하는 수준까지 발전하고 있지 못한다.

취약점 DB구축 반드시 필요
이제라도 정부가 나서서 취약점DB 구축을 추진해야 할 것으로 보인다. 굳이 미국의 사례를 따르지 않더라고 국내의 경우 취약점DB를 구축하여 필요한 이해관계자들이 활용할 수 있도록 한다면 한국전자통신연구원이 최적의 기관이 될 것으로 보인다. 수많은 IT제품에 대한 기초 기술 개발에서부터 보안 기술의 표준 등을 수행할 수 있는 기관이 최적이라고 본다. 미국의 경우에 NIST에서 이를 제공하는 것도 기술과 표준이라는 큰 축이 취약점 DB의 핵심이기 때문이다. 취약점 DB 구축을 위해서 최소 수백억원의 예산이 소요될 것으로 전망된다. 국방, 교육, 행정 등 정부기관에서부터 통신, 금융 등 다양한 분야의 민간 분야가 참여해야 한다. 이러한 취약점 DB 구축은 국내 정보보안 산업을 한 차원 높은 수준으로 끌어 올리는 기반이 된다. 지난 9월에 발표된 사이버 침해 대응 종합전략 등의 국가의 중요 정책 내용에 취약점 DB구축에 대한 언급이 빠진점도 아쉬운 대목이다.

취약점 DB 구축과 함께 정보보안의 기초 자산은 정보보안 인력이다. 정보보안 인력에 대한 인식도 아직 매우 낮은 수준이다. 정보보안의 인력에 대한 구체적인 기준이나 갖추어야 할 지식수준 등 객관적으로 평가할 수 있는 체계도 마련되어 있지 않은 상황이다. 현장에서의 실무 경험도 중요하고 개인이 갖추고 있는 지식수준도 중요한 것은 부인할 수 없다. 그러나 무엇보다도 중요한 것은 국민 모두가 갖고 있는 정보보안에 대한 인식이 가장 중요하다. 개별 기업의 입장에서 보면 최고 경영자에서부터 직원들까지 포함하는 전 직원이 갖는 정보보안에 대한 인식이 정보보안의 인력수준의 척도가 된다. 그럼에도 불구하고 국가나 각 기관 및 기업 등에는 전문 인력이 반드시 필요하다. 평소에 별도의 군사력을 갖고 있지 않더라도 외침이 있게 되면 스스로 무장하여 대응할 수 있다. 다만 평소에 군사력을 갖고 있었더라면 불필요한 외침을 겪지 않을 수도 있다. 인터넷 침해에 있어서도 많은 기관이나 기업들이 정보통신 인력을 보유하고 있는 것으로 정보보안에 대한 인력을 갖추고 있으며 필요시 언제든지 정보보안에 활용할 수 있다고 생각을 하는 것은 매우 위험한 발상이다.

정보보안 인력 국내기준 정해야
정보보안에 대한 너그러운 정부정책도 이번 기회에 수정되어야 할 것으로 보인다. 외국의 유사 자격증을 취득한 경우도 모두 정보보안 인력을 인정을 하고 있는 것이 현실이다. 외국에서 군사 훈련과 유사한 훈련을 받은 경우 국가를 지키는 군인으로 인정하는 것과 다를 바가 없다는 점을 이제는 깨달아야 할 것으로 보인다. 국내에서 활용할 정보보안 인력은 철저하게 국내의 기준을 정하고 이에 맞는 훈련과 현장 경험이 있는 것으로 한정하여야 한다. 물론 민간에서 자율적인 기준을 정하는 것까지 정부가 규제할 수는 없을 것이다. 그러나 정보보안 인력의 업무 범위가 개인정보의 보호, 각종 침해에 대한 대응, 정보보안 시스템 개발 및 유지보수, 정보보안 서비스 등 매우 다양하다는 점에서 정부에서 제시하는 기준의 중요성은 매우 클 것이다.

최근 정부의 정책에서 사이버보안관 3,000명을 양성하고 인터넷 침해 대응 전문 인력을 300명 수준 이상으로 늘린다는 계획은 구체적인 목표를 제시하였다는 점에서 환영받고 있다. 그러나 이러한 인력은 구체적으로 언제까지 어떠한 방법으로 양성을 할 것인지에 대한 구체적인 계획은 제시되고 있지 않다. 특히 정보보안의 다양한 분야에 대한 인력의 공급에 대한 계획은 언급조차 되고 있지 않다. 현실적으로 정보보안 관련 기관의 많은 인력들이 정보보안과는 거리가 먼 인력이 차지하고 있다는 점은 다시 살펴보아야할 것이다. 정보보안 인력을 체계적으로 육성하기 위해서는 정보 보안분야, 현장 경험, 정보보안 지식, 위험 관리 능력, 윤리 의식 등이 요구된다. 이러한 각 분야에 대한 세부적인 기준과 역량을 정의하고 평가할 수 있는 체계가 먼저 이뤄져야 한다. 이러한체계 속에 대학 등에서 사전 교육이 있어야 하고 실무와 각종 자격제도를 통하여 검증되어야 할 것이다.

많은 곳의 정보보안 인력 채용에 있어서도 구체성이 없는 경우가 많다. 정보보안 업무에 대한 경력과 자격증의 보유 정도가 일반적이다. 정보보안 및 정보보안 인력에 대한 인식이 부족한데서 오는 현상이다. 우리나라의 정보보안에 대한 기초 체력은 너무 약하다고 본다. 가장 필요한 무기인 취약점 정보가 빈약하고 이를 관리하고 대응해야할 인력이 마땅치 않기 때문이다. 아무리 좋은 무기를 구매하여 제공한다하더라도 이를 운용할 인력이 없거나 그 사용 용도를 모른다면 무용지물로 전락한다. 이제 기초 체력을 강화하는데 시선을 집중할 필요가 있다. 외형적인 대응에 너무 빠져 있게 된다면 정보보안분야에서 외국에 종속될 수밖에 없는 상황에 이르게 된다. 한번 종속된 상황을 개선하려면 많은 비용이 수반된다. 이제 DDoS라는 큰 사건의 정리가 잘 진행되고 있다. 이러한 상황에 맞게 정보보안 기초 자산을 확보하는 일에도 모두가 지혜를 모았으면 한다.