⁠⁠⁠⁠⁠⁠⁠

ⓒ게티이미지뱅크

통신사 역사상 최악의 해킹 사고라 불리는 SKT 유심 해킹 사고 조사 결과 발표를 앞두고 있다. SKT 해킹 사고 이후 사이버 보안 인식에 대한 변화가 있을까. 십여년간 화이트햇 해커(해킹 방지 전문가)로 활동해 온 박세준 티오리 대표의 답변은 '아니다'다.

SKT 해킹 사고 이후 박 대표가 사회관계망서비스(SNS)에 남긴 '딸깍, 대한민국 OFF' 글은 정보보호업계에서 화제가 됐다. 그는 대한민국이 백척간두의 위기에 놓였다고 호소했다. 대형 보안 사고로 이어질 수 있는 제로데이(Zero Day) 취약점이 수도 없이 발견될 정도로 취약한데, 근본적 원인 해결에 나서진 않고 패치 후 쉬쉬하는 관행이 지속되고 있다고 꼬집었다. 북한 등 국가 배후 해킹그룹이 마음만 먹으면 통신 두절, 정부 서비스 마비, 전력망 차단 등 영화에서나 본 장면이 현실이 될 수 있다고도 경고했다.

박 대표가 이끄는 티오리는 세계 최대 해킹방어대회 '데프콘'(DEFCON)에서 역대 최다 8회 우승, 3년 연속 우승을 기록하는 등 명실상부한 국가대표 화이트햇 해커 기업이다.

박세준 티오리 대표

다음은 박 대표와 일문일답이다.

-공개적으로 작심 발언을 하기로 결심한 계기가 있나.

▲화이트햇 해커로서 10여년간 수많은 제로데이 취약점을 제보하고도 '패치 후 침묵'으로 끝나는 악순환을 반복해 왔다. 최근 두 달 사이 확인한 취약점의 수와 심각도가 과거와 비교할 수 없을 만큼 높아졌고, 최근 빠르게 늘어나는 사이버 보안 침해 사건 사고를 목격하면서 '이제는 경고음을 공론화하지 않으면 안 되겠다'는 절박함이 들었다. 실제 생활에 불편이 체감되는 공격이 터졌는데도 정부·기업의 대응 기조가 크게 달라지지 않는 현실이 주저함을 지웠다.

-한국은 '딸깍' 한순간에 마비될 정도로 사이버 보안이 취약한 상태인가. 일어나지 않은 건 운이 좋거나 공격자가 사회 혼란을 목적으로 하지 않기 때문인가.

▲그렇다고 생각한다. 악의적인 공격자가 충분한 리소스를 투입하고 계획·실행하면 언제든지 기업·기관 그리고 사회적으로 큰 혼란과 피해를 낼 수 있는 공격이 더 이상 영화 속의 이야기가 아니다. 공공·금융·통신·전력 등 국가기간산업에서 공통적으로 활용되는 하드웨어와 소프트웨어가 적지 않다는 점을 감안하면, 연쇄적·동시다발적 장애가 발생할 가능성은 충분하다. 사실 가장 두려워하는 시나리오는 이미 침해 당했지만 그 사실조차 모르고 있는 상황이다.

-한국의 취약한 근본 원인은 무엇인가.

▲우선 인증 중심의 '컴플라이언스 보안' 체계가 문제다. 체크리스트만 통과하면 괜찮다는 문화에서 비롯돼 실질적인 위협요소나 보안 취약점을 발견하지 못하는 한계가 있다. 공급망 보안도 취약하다. 저가·독점적 서드파티 솔루션이 다수 포진해있는데, 각 솔루션의 보안성 검증은 미흡한 상황이다. 특히, 보안을 향상해야하는 솔루션이 오히려 보안 구멍이 되는 경우가 적지 않다.

또 해외에선 너무나 당연한 취약점 공개 프로그램(Vulnerability Disclosure Program)·버그 바운티(Bug Bounty) 등 운영이 부재하고 신고를 하더라도 은폐하려고 하거나 되레 제보자를 법적으로 제재하려 한다.

인력·예산도 편중돼 있는데, 정부뿐만 아니라 많은 기업에서 관제·보고서에 집중하고, 원천적으로 보안성을 높이는 코어 보안기술 연구·개발(R&D)에 대한 투자는 상대적으로 매우 빈약하다.

-각종 인증 받은 기업도 사이버 보안 사고가 발생하고 있다. 인증 실효성을 위해 어떤 방안이 있을까.

▲국제공통평가기준(CC)·굿소프트웨어(GS) 등 기존 제품 인증은 '정적' 심사로 끝나지 말고 '지속적 검증' 체계로 전환해야 한다. 연 1회 이상 외부 레드팀 결과, 버그바운티 성과를 재인증 필수 자료로 제출하게 하고, 소프트웨어 자재명세서(SBOM)와 취약점 대응 서비스수준계약(SLA)을 공개해 제품의 패치 속도·대응 의지를 가시화해야 한다. 또 인증 단계에서 탐지·차단 가능한 공격 기법을 정의하고 수치화해 구매자도 위험도를 객관적으로 비교·관리하도록 해야 한다.

-새 정부에 사이버 보안 관련 정책을 제언한다면.

▲새 정부는 발견-신고-조치-재검증이 끊김이 없이 순환하는 생태계를 구축하면 좋겠다. 중앙정부·공공기관·기간망 사업자 등이 모두 참여하는 '국가 통합 VDP'와 민·관 공동기금 기반 공익성 버그 바운티로 우수 연구자에게 정당한 보상을 보장해 취약점이 음지로 흘러가는 것을 막고, 조달 단계에서 코드 보안성·SBOM·제로 트러스트 채택 여부를 평가점수 30% 이상에 반영하는 '시큐어 바이 디자인'(Secure by Design) 지침으로 공급망의 기본 체력을 높여야 한다. 또 위험도가 높은 기관엔 연 1회 범위 제한 없는 외부 레드팀·모의해킹을 의무화해 그 결과와 개선 현황을 VDP에 투명하게 연결·공개해야 한다. 이를 통해 국가 전체가 '신고→조달→검증→개선'이 선순환하는 보안 체계를 갖출 수 있다.

조재학 기자 2jh@etnews.com

Copyright © 전자신문. 무단전재 및 재배포 금지.