[김승주 고려대학교 정보보호대학원 교수] 최근 롯데카드, 농협은행 등 주요 기업과 금융기관을 겨냥한 해킹 사고가 잇따르면서 국민들의 불안이 커지고 있다. 그러나 더 심각한 문제는 기업 차원을 넘어 정부 부처와 국가 전반이 이미 장기간에 걸쳐 해커들에게 노출돼 왔다는 사실이다.

지난 8월 해커 전문지 ‘프랙(Phrack)’에 공개된 ‘APT Down : The North Korea Files’ 보고서만 보더라도, 특정 기업 몇 곳이 아니라 ‘온나라 시스템’을 비롯한 주요 정부 기관 전반이 뚫려왔음을 확인할 수 있다. 이는 단순한 개인정보 유출 사건을 넘어 국가 운영 기반이 송두리째 위협받고 있다는 뜻이다. 그러므로 지금 필요한 것은 부분적 땜질이 아니라 근본적인 체계 전환이다.

저는 얼마 전 국회 해킹 관련 청문회에 참고인으로 출석해, 이러한 위기에 대응하려면 무엇보다 먼저 국가 차원의 전수조사를 통해 전산 자산을 정확히 식별하고, 그간 발생했을지도 모를 해킹 흔적을 추적해 숨겨진 백도어와 악성코드를 제거하는 노력이 선행되어야 한다고 말씀드렸다. 이어서 탐지·방어·무력화로 구성되는 이른바 ‘사이버 3축 체계’를 국가 차원에서 반드시 마련해야 한다고 제안했다.

사이버 3축 체계의 첫 번째 축인 탐지 단계에서는 사이버 위협 인텔리전스를 강화해 사전 징후를 포착해야 한다. 위협 정보를 체계적으로 수집·분석하고 조기 경보 체계를 갖춤으로써 공격이 현실화되기 전에 선제적으로 대응할 수 있어야 한다.

둘째, 방어 단계에서는 침투를 사전에 차단할 수 있도록 제도적·기술적·관리적 측면에서 구조적 보강을 해야 한다. 기존의 망 분리·폐쇄망 중심 전통 보안 모델은 코로나19 이후 원격근무와 비대면 업무의 확산으로 효용성이 약화됐다. 이어진 AI 및 클라우드 정책으로 인해 인터넷 접점이 늘어나면서 해커들이 침투할 수 있는 통로는 과거보다 훨씬 넓어졌다.

"사이버 안보는 국가 안보다"

따라서 데이터 중요도에 따른 제로 트러스트(Zero Trust) 방어 구조를 마련해야 한다. 보안성 평가‧인증 범위를 소프트웨어에 국한하지 말고 펨토셀·통신장비 등 인프라 전반으로 확대해야 한다. 또한 이러한 보안성 평가는 형식적 보고로 끝나지 않도록 평가 결과의 이행 여부를 지속적으로 점검‧감독하고, 그 결과에 대한 책임을 물을 수 있는 제도적 장치를 마련해야 한다.

셋째, 무력화 단계에서는 공격자가 이미 침투했을 때 그 활동을 정확히 식별하고 제압할 수 있는 역량을 확보하는 것이 관건이다. 이를 위해 중요 시스템과 네트워크의 로그를 장기간 보관하는 정책이 필수적이다. 충분한 기간 동안 로그가 확보되지 않으면 공격의 전말을 재구성하거나 상관관계를 분석할 수 없어 추적과 기법 분석이 사실상 불가능하다.

따라서 로그 보관 기간과 방식에 관한 명확한 규정을 마련하고, 기술적으로 안전하게 보관·관리할 수 있는 기반을 구축해야 한다. 또한 저장된 로그를 단순히 보관하는 것만으로는 무력화에 이를 수 없다. 정교한 분석 역량을 확보해야만 공격의 실체를 드러내고 대응 우선순위를 설정할 수 있다. 이를 위해 전문 인력을 양성하고 고성능 분석 플랫폼을 구축하는 한편, 민간과 학계의 전문 자원을 긴밀히 연계해 국가적 수준의 분석 역량을 끌어올려야 한다.

무엇보다도 범인을 식별하고 실제로 제재·검거하기 위해서는 국내 역량만으로는 한계가 있다. 고도화된 공격의 다수는 국경을 넘어 다수의 국가와 네트워크를 경유하므로, 신속하고 효과적인 사건 대응을 위해서는 국제 공조 체계가 필수적이다. 법집행기관 간 정보 공유, 국제 형사절차 활성화, 주요 우방국·인터폴·CERT 간 협력 채널의 상시화가 필요하다. 또한 피해 기업이 사고 내용을 보고서로 작성해 공유하도록 제도화함으로써 국가 전체가 학습하고 대응하는 능력을 높여 나가야 한다.

사이버 공격은 더 이상 개별 기업의 문제가 아니다. 국가 전반이 오랜 기간 해커들의 표적이 되어왔다는 점에서 이는 곧 국가 안보의 위기로 귀결된다. 지금처럼 해킹이 발생할 때마다 해당 취약점만 임시로 메우는 땜질식 처방으로는 문제를 해결할 수 없다. 정부와 민간이 공동으로 참여하는 종합적이고 선제적인 전략을 신속히 마련해야 한다.

사이버 공간은 이미 보이지 않는 전쟁터다. 이웃나라 일본은 2025년 '능동적(또는 적극적) 사이버 방어법(Active Cyber Defense Law)'을 제정해 보다 선제적인 위협 인지·대응 체계로 전환하고 있다. 이 법은 국경을 오가는 통신 정보를 활용해 외부의 악의적 인프라를 탐지하고 무력화할 수 있도록 하고 있으며, 위협 인텔리전스 수집과 민·관 협력의 제도화를 통해 보다 선제적인 대응을 가능하게 한다는 점에서 참고할 만하다.

우리 사회도 이제 탐지와 방어를 넘어 공격자를 식별하고 실제로 무력화할 수 있는 능동적이고 국제적인 체계를 갖춰야 한다. 그래야만 지속 가능한 안보를 확보할 수 있다. 이번 위기를 기회로 삼아 우리 사회가 한 단계 도약할 수 있도록 정부와 기업, 학계가 함께 책임 있는 역할을 다해야 한다.

필자는 고려대 정보보호대학원 교수로 정보보호 분야의 권위자로 인정받고 있다. 성균관대에서 정보보호학 박사 및 석사 학위를 취득한 후, 여러 정부 기관과 기업에서 자문 역할을 맡아왔다. 현재 4차 산업 관련 강연을 통해 IT와 미래 기술에 대한 인식을 확산하고 있으며, 다양한 기관에서 정보보호에 관한 정책 및 기술 개발에 기여하고 있다. 25년 이상 정보보호 분야에서 쌓아온 경험과 전문성을 바탕으로 한국의 정보보호 환경을 발전시키고 있다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지