• 최종편집 2021-05-14(금)

사이버보안
Home >  사이버보안  >  전문가 분석

실시간 전문가 분석 기사

  • [사이버 투시경] ⑭ 뛰는 해커 때려잡는 DARPA의 ‘노우먼 프로젝트’
    (시큐리티팩트=김한경 총괄 에디터) 최근 보안업계에서 회자되는 노우먼 프로젝트(Gnomon Project)는 침투에 성공한 해커가 머무르는 시간을 줄이자는 내용의 프로젝트로서, 미국 방위고등연구계획국(DARPA)이 조지아 공과대학과 함께 추진하고 있다.
    • 사이버보안
    • 전문가 분석
    2018-09-05
  • [사이버전문가 릴레이 인터뷰] ③ 변재선 前 사이버사령관(하), “중요 작전체계 및 일부 사업은 그 존재 자체가 비밀”
    ▲ 육군본부 정보화기획실장으로 근무할 당시 간담회에서 자신의 의견을 피력하는 변재선 장군의 모습 ICT 기술이 급속도로 발전하면서 ‘평화’속에서도 ‘사이버 전쟁’은 진행 중이다. 세계 각국들은 자국의 이익을 위해 수시로 사이버전을 벌이고 있다. 특히 북한의 사이버공격 능력은 세계를 위협할 정도로 뛰어나 한국군의 경계 대상이다. 이에 시큐리티팩트는 사이버전문가 릴레이 인터뷰를 통해 한국군 사이버전의 현주소와 향후 발전 방향에 대해 심층 보도한다. <편집자 주> (정리=김한경 총괄 에디터) - 장비를 구매하거나 사업화가 필요한 분야도 있을 텐데, 예산 반영의 어려움이나 제도상 보완할 내용은? “예산은 ‘19~’23중기계획 대비 ‘20~’24중기계획이 70~80% 이상 증액되어야 사이버작전 임무수행 체계 구축이 가능하다. 따라서 예산이 적극 반영되도록 장관을 비롯한 군 수뇌부의 관심이 당연히 필요하다. 또 예산의 반영도 중요하지만 궁극적으로 제도적 보완이 필요하다. 일례로 백신 사업이나 일부 중요한 작전체계는 존재 자체를 비밀로 해야 해커들의 공격을 피할 수 있다. 이런 분야를 일반적인 “국방정보화” 사업과 차별화해서 은밀히 추진하도록 사이버작전사령부에 사업적인 권한과 융통성을 부여하는 제도가 있어야 한다. 또한 작전체계에서 예기치 못한 취약점이 발생할 경우 즉각적인 보완이 이루어져야 하는데, 이 경우 국방부 예산 중 집행 잔액이 있어야만 가능하다. 이와 같은 문제를 해결하려면 “작전체계 보완 예비비” 개념으로 예산이 반영되고, 필요시 사이버작전사령부가 즉각 집행 할 수 있게 해야 한다. 또한 ICT 기술 발전 속도가 빨라 중기계획에 포함해 추진할 수 없는 사업은 사이버작전에 필요한 체계를 적시에 도입할 수 있도록 ‘신속 획득제도’를 만들어야 한다. 이를 위해 용처를 명시하지 않는 예비비를 책정하거나 긴급 소요전력으로 별도 예산을 배정하는 제도가 있어야 한다.” - 국방망 해킹 사건이 발생했을 때 문제를 발견해 조치하고도 책임질 상황에 몰렸다고 들었다. 어떤 상황이었고, 문제의 본질은 무엇이었나? “새로 도입한 장비를 시험하다가 우연히 국방망과 인터넷이 연결된 것을 발견했다. 00 데이터센터였는데, △△ 데이터센터도 확인해 보니 같은 상황이었다. 유추해 보면 최초 데이터센터 구축사업을 하면서 설계에 문제가 있었던 듯하다. 또한 네트워크 구축이 완료되면 별도 기관에서 보안측정을 하게 되고 매년 기관평가를 시행하는데 이 과정에서 식별됐어야 했다. 따라서 네트워크 설계의 문제라면 사업을 주관한 부서인 정보화기획관실이 잘못한 것이고, 보안측정에서 식별을 못한 것은 담당 기관 또한 역할을 제대로 못한 것이다. 게다가 비밀이 소통되지 않아야 하는 국방망에서 비밀이 해킹 당한 것은 비밀생산 및 관리 간 보안규정을 준수하지 않은 개인과 담당부서장에게도 책임이 있다. 이런 상황들이 문제를 발견한 사이버사령부에 마치 책임이 있는 모양새로 흘러갔다. 해킹 공격을 받았다고 하니까 사이버방어의 책임이 있는 사이버사령부가 문제가 있을 것이란 인식 때문이다. 하지만 당시 임무 및 기능상 00 데이터센터 운용은 사이버사령부가 책임질 영역이 아니었다. 결과적으로 책임을 떠넘길 수 없다보니 유야무야하다가 끝났다.” - 그 때 식별된 문제가 아직도 근본적인 대책이 강구되지 않았다는 얘기도 있는데. “일례로 백신의 경우만 보더라도 미군은 여러 개의 우수한 백신을 자체 개발하거나 구매해서 돌려쓴다. 그리고 군이 어떤 백신을 쓰는지 외부에 공표하지 않는다. 해커의 입장에서는 어떤 백신을 쓰는지 모르니 그만큼 어려움이 많다. 그러나 우리는 적당한 가격의 상용 백신을 하나만 구입해 쓰고 외부에 그 사실이 공표되어 있다. 해커로서는 매우 쉬운 상황이 된다. 또 미군은 군이 사용하는 네트워크의 보안 취약점을 찾아서 포상하는 버그바운티 제도를 운영하면서 매년 취약점을 보완한다. 우리도 이런 노력을 해야 한다.” - 사이버전에서 승리하려면 평소에 어떻게 대비해야 하는지? “사이버전의 출발은 해킹으로 시작된다. 어떤 조직이든 해킹과 관련해 “3가지 영역”이 있다. 첫째, 조직에 필요한 하드웨어, 소프트웨어, DB 등으로 구성된 정보체계 분야가 있다. 둘째, 개인이 업무적으로 또는 사적으로 사용하는 단말기(PC, 태블릿, 휴대폰 등)와 SNS 활동의 영역이 있다. 셋째, 모든 조직은 자체 보안규정을 만들고 조직원들이 보안규정을 준수해야 하는 영역이 있다. 이 세 가지 영역 중에서 한 곳이라도 미흡하면 반드시 해킹을 당하게 된다. 조직의 관리자가 이 분야에 얼마나 리더십을 발휘하느냐에 따라 해킹 후 대응하는 모습도 3가지로 구분된다. ① 해킹을 당하고도 전혀 모르는 조직, ② 해킹을 당한 사실을 늦게 인식하는 조직, ③ 해킹을 당하면 빠르게 인식하는 조직 등 3가지 유형이다. 몇 년 전만 해도 해킹을 당하면 어느 정도 준비된 조직에서조차 발견하는 기간이 약 200일 정도 걸린다고 했다. 한국군 예하 조직의 CERT 능력은 어떤지 자문해 봐야 한다. 결국 해킹의 예방은 물론 해킹 시 피해를 최소화하고, 최대한 빨리 복구하려면 가장 중요한 요소가 각 조직의 리더십이다. 대응 조직을 잘 편성하고 임무수행 가능한 인원을 선발하며, 정보체계 및 정보보호체계를 최상의 상태로 설치하고 최신화하는 노력이 필요하다. 또한 관련 전문가의 평가를 경청하고 충분한 예산을 편성해줘야 한다. 그리고 보안부서는 조직원 개개인이 조직 내부는 물론 각자의 SNS 활동 영역까지 보안규정을 따르도록 만들어야 한다. 즉 개인별 사용 ICT 기기의 최신 버전 프로그램 설치, 백신 업데이트, 특수문자 포함 12자리 이상의 패스워드 사용 등 해킹 예방조치와 개인보안 준수 생활화를 수시로 교육하고 반드시 실천하도록 해야 한다.” - 마지막으로 사이버전과 관련하여 당부하고 싶은 말이 있다면. “남·북의 전통적 안보 위협은 감소하고 있지만 사이버 분야의 위협은 더욱 증대되고 있다. 그럼에도 “왜 발전이 늦어지고 있을까”라는 의문을 모두들 갖게 된다. 그 이유는 사이버 작전이 일반적인 군사작전에 비해 적, 작전 공간, 작전 시기 등이 전혀 다름에도 전통 안보적 사고와 프레임의 지배를 받기 때문이다. 이제라도 국가적으로 사이버안보 분야의 관련 직위에 사이버보안과 사이버작전 개념을 이해하는 관리자가 등용되어야 한다. 또한 각종 컨퍼런스 및 세미나에서 전문가들이 주장하는 문제점과 대응책에 귀 기울여 정책에 반영하는 노력이 지속돼야 한다. 사이버공간에서 대한민국의 안보를 지키려면 정책결정자들이 이 분야에 눈과 귀를 활짝 열어야 한다.”
    • 사이버보안
    • 전문가 분석
    2018-08-29
  • [사이버전문가 릴레이 인터뷰] ② 변재선 前 사이버사령관(상), “전문성 가진 강력한 리더십이 사이버전 총괄해야”
    ▲ 육군본부 정보화기획실장으로 근무할 당시 간담회에서 자신의 의견을 피력하는 변재선 장군의 모습 ICT 기술이 급속도로 발전하면서 ‘평화’속에서도 ‘사이버 전쟁’은 진행 중이다. 세계 각국들은 자국의 이익을 위해 수시로 사이버전을 벌이고 있다. 특히 북한의 사이버공격 능력은 세계를 위협할 정도로 뛰어나 한국군의 경계 대상이다. 이에 시큐리티팩트는 사이버전문가 릴레이 인터뷰를 통해 한국군 사이버전의 현주소와 향후 발전 방향에 대해 심층 보도한다. <편집자 주> (정리=김한경 총괄 에디터) 지난 9일 국방부는 ‘국방사이버안보 역량 강화방안’을 국방개혁의 과제로 선정하고 본격 추진한다고 밝혔다. 사이버사령부 임무와 기능을 개편하는 내용을 포함한 10대 실행과제도 정해 중점 관리하겠다고 말했다. 이와 관련, 국군사이버사령관을 역임한 변재선 장군(예비역 육군소장)을 만나 국방부가 발표한 사이버사령부 발전 방향에 대한 의견을 들어 보았다. 그는 포병 병과로서 작전 분야에도 능통하지만, 중령 시절 육군 C4I 개발단에서 실무자로 근무했고, 대령 시절 2작전사 및 육군본부 지휘통제체계과장을 거쳐 장군으로 진급한 특이한 이력을 갖고 있다. 준장시절 육군 정보화기획처장으로 근무했고, 소장 진급 후 육군 정보화기획실장(18개월)과 국군사이버사령관(20개월)을 역임한 후 2017년 6월 전역했다. 그는 육군사관학교에서 전산학을 전공했고, 아주대에서 사이버보안·C4I 분야 석사 학위를 취득했으며, 오스트리아 국방대 및 서울대·카이스트 최고위 과정을 이수하는 등 군 경력에 다양한 학문적 배경이 어우러져 사이버전 분야의 최고 전문가 중 한 사람으로 알려져 있다. 사이버사령관 재직 시 국방망이 해킹된 사실을 최초로 발견해 보완했음에도 오히려 책임 추궁을 당하는 상황이 벌어져 한 때 고초를 겪기도 했다. 사이버사령부 부대원들에게는 역대 사령관 중 가장 전문성이 뛰어나고 업무 발전을 위해 헌신한 지휘관으로 기억되고 있다. - 국방부가 최초로 사이버안보에 대한 구상을 밝히면서 사이버사령부 개편을 발표했는데. “사이버사령부가 9월 1일부터 사이버작전사령부로 개편되고 내년에 300여명 증편된다는 소식을 들어 매우 기쁘다. 2020년 이후에는 현재보다 규모가 2∼3배 확대되는 것으로 아는데, 사령관 재임 시 국회와 국방부를 오가면서 주장했던 내용이 이제라도 반영되어 다행이라고 생각한다.” - 10대 실행과제를 정해 중점 관리하겠다고 하는데 잘 되리라 보는가? “작은 것으로 큰 것을 이길 수 있는 분야가 ‘사이버전’이다. 이 분야가 처음으로 국방개혁 과제가 되어 출발한다는 것이 의미가 있다. 과제별로 관련되는 부서 및 부대들이 있을 텐데 상호 의견을 충분히 나누면서 내실 있게 추진하는 것이 중요하다. 과거에도 유사하게 과제를 도출하고 추진했지만 제대로 되지 않았다. 그 이유는 과제를 누가 어떻게 해야 하는지 명확히 정하고 강력히 리더십을 발휘하는 주체가 없었기 때문이다. 문제는 리더십을 발휘할 전문 역량이 있으면 권한이 없고, 권한을 가진 사람은 전문성은 고사하고 기본적인 내용도 몰라 리더십이 발휘되지 않는데 있다. 사이버 분야는 국방부, 합참, 사이버사령부는 물론, 각 군 및 각 작전사의 관련 부서들이 모두 해야 할 역할이 있다. 따라서 제대로 임무를 분장하고 각 부서 및 부대가 역할을 잘하도록 챙기는 리더십이 지속적으로 발휘되어야 한다.” - 사이버사령부 개편 방향에 대해 어떻게 생각하나? “사이버작전사령부로 변경하고 합동부대로 지정한 것은 과거에 이미 되었어야 할 조치다. 내부 조직도 구체적으로 밝힐 수야 없겠지만 과거부터 개선이 필요하다고 주장한 것들이 받아들여진 것으로 보인다. 잘 발전시키길 바라며 이제 조금씩 제 모습을 갖춰가는 것 같다. 사이버심리전 기능은 민사심리전 부서에서 수행하되, 유사시 사이버사령부 차원에서 의견을 내거나 지원할 요소가 있을 거다. 해당 부서와 유기적인 소통은 필요하리라 본다.” - 사이버사령부 인력 운용에 애로가 많다고 하던데, 생각하는 대책이 있는가? “장교와 부사관은 사령부와 여타 관련부서 간 순환 보직을 하도록 되어 있어 전문성을 기르는데 애로가 많다. 과거 기무사처럼 필요한 인력을 별도로 선발하고 장기간 운영이 가능한 제도를 만들면서 필요시 민간에서 탁월한 능력을 갖춘 인원을 특채하는 방법을 병행할 필요가 있다. 우수인력을 확보하려면 사기진작 대책도 필요하다. 현재 6급 10호봉 기준으로 군무원 연봉이 3,300만원인데, 유사 기관인 인터넷진흥원(KISA)·정보화진흥원(NIA)·데이터진흥원 등에 소속된 인원은 5,600∼6,400만원을 받는다. 고려대 사이버국방학과에서 배출한 장교들 또한 현재 ADD에서 연구 인력으로 3년간 근무 후 관련 부대(서)로 배치하게 되어 있는데 실효성 측면에서 재검토가 필요하다. 예를 들면 연구부서에 근무하면서도 일정기간 공동 연구개발, 전투실험, 합동 취약점 평가 등 다양한 사이버작전 현장에 투입돼 경험할 기회를 가져야 한다. 이렇게 ‘연구 활동’과 ‘현장의 생생한 실무’를 동시 경험하면 상당한 시너지 효과를 얻을 수 있을 것이다. 부가적으로 연구 활동 후 배치될 부대(서) 업무 중 자신에게 적합한 분야도 미리 찾을 수 있어 여러모로 도움이 될 것 같다.” - 사이버방호작전과 사이버방어작전은 어떤 차이가 있나? 또 사이버작전 수행 간 각 군과 사이버작전사령부의 역할은? “모든 조직은 임무 수행을 위한 정보체계를 운용하고, 체계 보호를 위해 정보보호체계를 설치하며 컴퓨터침해사고대응팀(CERT)을 편성한다. 사이버방호작전은 모든 조직이 정보보호체계를 이용해 정보체계가 정상적으로 운용되도록 하는 탐지, 차단 및 대응, 방어체계 보완 등의 활동을 말한다. 사이버방어작전은 사이버 감시정찰로 위협을 판단하고, 피해 발생 시 공격 주체·무기·전술 등을 분석하며, 필요시 추적하는 활동을 말한다. 따라서 국방 영역에서 사이버방호작전은 각급 부대가 수행하고, 사이버작전사는 이를 지원하며, 국방 영역과 업무용 인터넷이 연결된 관심 영역에 대한 사이버방어작전은 사이버작전사령부에서 수행한다.” (하편에 계속)
    • 사이버보안
    • 전문가 분석
    2018-08-29
  • [사이버전문가 릴레이 인터뷰] ① 이명환 사이버군협회장, “사이버작전사 합참이 주도해야...신속 획득제도도 도입 필요”
    (정리=김한경 총괄 에디터) 지난 9일 국방부는 ‘국방사이버안보 역량 강화방안’을 국방개혁의 과제로 선정하고 본격 추진한다고 밝혔다. 사이버사령부 임무와 기능을 개편하는 내용을 포함한 10대 실행과제도 정해 중점 관리하겠다고 말했다. 이와 관련, 사이버전 분야의 전문가인 이명환 사이버군협회장을 만나 이번에 국방부가 발표한 방안에 대한 의견을 들어 보았다.
    • 사이버보안
    • 전문가 분석
    2018-08-21
  • [사이버 투시경] ⑬ 사이버안보의 실질적 컨트롤타워는 ‘사이버보안 코디네이터’
    (시큐리티팩트=김한경 총괄 에디터) 지난달 26일 청와대가 조직운영 개편안을 발표했다. 청와대 전체로 1개 비서관 직위가 늘었는데, 문대통령이 “중소상공인의 경쟁력 제고 등 자영업 정책 총괄조정 기능을 강화할 예정”이라고 회의에서 말한 뒤 만들어진 자영업 비서관이다.
    • 사이버보안
    • 전문가 분석
    2018-08-06
  • [사이버 투시경] ⑫ 사이버 범죄의 근원지 ‘다크 웹’과 해커들의 놀이터 ‘쇼단’
    (시큐리티팩트=김한경 총괄 에디터) 일반적으로 인터넷에 접근하려면 익스플로러, 크롬 등 인터넷 브라우저를 이용해 구글, 네이버 등 포털의 검색 페이지를 접속하여 연결된다. 이렇게 접근하는 웹을 표층 웹(Surface Web)이라고 한다.
    • 사이버보안
    • 전문가 분석
    2018-07-23
  • [사이버 투시경] ⑪ 시스코 ‘보안역량 벤치마크 연구’에서 알게 된 새로운 사실들
    (안보팩트=김한경 총괄 에디터) 글로벌 네트워크 장비 업체인 시스코(Cisco)는 해마다 ‘연례 사이버 보안 보고서’를 내놓는다. 기업의 비즈니스 전략과 홍보의 일환이지만, 이 보고서를 통해 사이버안보에 도움이 되는 새로운 사실들을 알 수 있다.
    • 사이버보안
    • 전문가 분석
    2018-06-11
  • [사이버 투시경] ⑩ 최고의 실력을 갖춘 북한 해커들, 위험한 '화약고'
    (안보팩트=송승종 대전대 교수) 트럼프 미국 대통령과 김정은 북한 국무위원장 간에 벌어질 ‘세기의 정상회담’을 앞두고, 갈수록 대담해지는 북한 해커들의 위험성을 알리는 경고음이 잇따라 울리고 있어 주목된다.
    • 사이버보안
    • 전문가 분석
    2018-05-08
  • [사이버 투시경] ⑨ 이스라엘의 ‘IT 군·산·학 협력’을 벤치마킹하라
    ▲ 사이버테크 행사장에 내걸린 '사이버스파크' 플래카드. '이스라엘의 사이버 혁신 아레나'로 표기되어 있다. 이스라엘, 군·산·학 협력의 상징적 공간인 '사이버스파크' 조성...군사적 경력이 학문적 경력보다 높게 평가 한국처럼 작은 나라지만 사이버 강국 꿈꾸며 우수한 인재 발굴과 IT 군·산·학 협력에 정부의 관심 지대 한국은 사이버 인재 확보 및 활용 미흡하고 IT 군·산·학 협력에 대한 정책결정자의 관심 없어 효과 미미 (안보팩트=김한경 총괄 에디터) 이스라엘 남부의 사막 도시 베르셰바에는 황량한 들판 위로 대규모 사이버보안 연구·개발 단지인 '사이버스파크(CyberSpark)'가 조성되어 있다. 이스라엘이 글로벌 사이버 수도를 만들기 위해 2014년 발표한 프로젝트의 이름이기도 한 ‘사이버스파크’에는 현재 IBM·시스코 같은 글로벌 기업과 대학 연구소뿐 아니라 이스라엘군 소속 기관들도 입주해 있다. 많은 국가가 치열한 IT 기술 경쟁에서 앞서가기 위해 산·학(産·學) 협력과 군·산(軍·産) 협력에 열을 올리는데, 이스라엘은 여기서 한 걸음 더 나아가 군·산·학(軍·産·學) 3자의 힘을 합치고 있다. ‘사이버스파크’는 바로 이스라엘 ‘군·산·학 협력’의 상징적 공간이다. 2016년 1월 텔아비브에서 열린 이스라엘 최대 정보기술 박람회인 ‘사이버 테크 2016’ 행사장에선 진풍경이 벌어졌다. 업체마다 사이버 정보부대인 8200부대 출신자를 영입했다고 자랑했기 때문이다. 1952년 설립되어 비밀 정보를 수집하고 암호를 해독하는 등의 업무를 주로 맡는 8200부대(미국의 국가안보국(NSA)과 유사) 출신이라는 군사적 경력이 취업 인터뷰 때 학문적 경력보다 더 비중 있게 평가받는 상황이다. 미국 포브스는 8200부대가 최신 IT 기술로 무장한 약 5천명의 사이버 요원으로 구성돼 있다고 추정했다. 또 이 부대 출신이 차린 회사가 1,000개를 넘었을 것이라고도 했다. 마이크로소프트(MS)가 3억2천만 달러에 사들인 개인데이터 보안회사 ‘어데일롬’이나 페이스북이 1억5천만 달러에 산 데이터 분석회사 ‘오나보’가 대표적이다. 또 군대의 보안 기술을 활용해 창업하는 기업도 적지 않은데, 2015년 페이팔이 6천만 달러에 인수한 사이버보안업체 ‘사이엑티브’가 이에 해당한다. 8200부대 출신들은 사이버 보안이나 데이터 분석에 강하고 자기들끼리 커뮤니티를 구성해 정보 공유도 빠르다. 이들을 인터뷰한 기업 관계자는 “부대 안에서 엄청난 자유를 부여받고 어떻게 하라는 지시 없이 기업가처럼 스스로 문제를 해결해야 한다”면서 “부대원들끼리 여러 가지 프로젝트를 하다보면 창업할만한 아이템이 있게 마련”이라고 했다. 2017년 1월에 열린 ‘사이버테크 2017’ 행사에서는 첨단 장비로 가득한 기업의 대형 부스들 한쪽에 철제 탁자 하나만 덩그러니 놓인 '이상한' 부스가 있었다. 별다른 홍보물도 없었지만 사람들의 발길이 끊이질 않았는데, 알고 보니 이스라엘 대외첩보부 ‘모사드’의 입사 지원 접수처였다. 모사드 관계자는 “이란·북한 해커 등 나쁜 녀석들(bad guys)에 맞설 사이버 인재를 찾으러 나왔다”면서 “해커 요원 수요가 크게 늘고 있다”고 말했다. 이스라엘군 관계자는 “군이 사이버 세계의 동향을 파악해 어떤 기술이 필요한지 대학과 기업의 전문가들과 공유하면 다 같이 개발에 착수한다”며 “이렇게 탄생한 기술을 군은 군사 목적으로 활용하고 기업은 상업화할 방안을 찾는다”고 말했다. 또 ‘군·산·학 협력’의 효과를 극대화하기 위해 일부 핵심 사이버 부대들을 사이버스파크 인근으로 이전시키고 있다고 했다. 이스라엘군 사이버 전문가인 야론 로젠 준장(공군)은 “오늘날 전쟁에서는 키보드 하나로 적의 전투기를 떨어뜨리고 아이언 돔(이스라엘의 미사일 방어 시스템) 같은 방공망을 무력화할 수 있다”며 “사이버 기술 발전은 군대만의 문제가 아니라 전 국가적 과제”라고 말했다. 이스라엘 외교부 론 게르슈펠트 공보국장은 “이스라엘은 작은 나라이지만 사이버 세계에서는 중국보다 큰 나라가 될 수 있다”고 말했다. 반면, 이스라엘과 외견상 비슷한 조건을 갖춘 우리나라는 실질적인 IT 군·산·학 협력이 이루어지지 않는다. 이스라엘처럼 군에서 우수 자원을 얼마든지 선택할 수 있음에도 제도적 미비로 군내에서 인재를 제대로 확보하거나 활용하지 못한다. 일례로 정부가 장학금을 주고 양성한 고려대 사이버국방학과 졸업생들조차 우수한 사이버 인재들임에도 육군의 인력관리 프로그램이 불비하여 적재적소에 배치되지 못한 상태다. 또한 이스라엘처럼 계속 전쟁을 수행하는 군대는 자신들이 필요한 것이 무엇인지 정확히 안다. 따라서 IT 기술에 대한 요구사항이 명확하고, 그 내용을 학계와 산업계의 전문가들과 실질적으로 공유한다. 하지만 한국군은 전쟁의 경험이 없어 무엇이 필요한지 모른다. 그로 인해 요구사항은 특정 업체나 기관이 제공하는 자료를 토대로 작성된다. 군의 요구사항이 불명확하니 학계 및 산업계와 공유할 내용도 별로 없고 잘못 접촉하면 오해받거나 치부만 드러날 수 있어 보안을 내세워 비공개로 진행되는 경우가 빈번하다. 결국 특정 업체나 기관 또는 소수의 업무 관계자가 의도하는 대로 사업의 방향이 결정된다. 그 결과 사이버스파크 같은 유기적인 협력 관계는 거의 형성되지 않는다. 정부가 R&D에 상당한 예산을 배정하여 다양한 형태의 군·산·학 기술 개발이 이루어지지만 내용을 살펴보면 의문이 앞선다. 개발하는 IT 기술이 정말 군에서 필요한 것인지, 상용 IT 신기술을 도입해서 활용할 수는 없는지, 군 이외의 IT 전문 연구기관들과 협업을 통해 해결할 것은 아닌지, 군·산·학 협력 효과가 정말 있는지 등등 짚어볼 부분이 많지만 제대로 검토되지 않는다. IT 군·산·학 협력에 대한 정책결정자들의 관심과 노력이 미미한데다, 실무자들이 자신의 승진과 평가에 맞춰 업무를 수행해온 결과이다. 하지만 지금이라도 늦지 않았다. 사이버 강국을 꿈꾸는 이스라엘의 발전하는 모습을 잘 살펴서 우리가 부족한 부분이 무엇인지 정확히 진단한 후 제대로 보완하겠다는 정책결정자들의 의지가 무엇보다도 중요하다. 그런 의지가 바탕이 되어 한국의 현실에 적합한 ‘IT 군·산·학 협력 모델’이 하루빨리 나오기를 기대하며, 고려대 사이버국방학과 졸업생을 비롯한 사이버 인재의 확보와 운영에 국방부와 육군의 실질적인 관심과 제도 마련을 촉구한다. 안보팩트 방산/사이버 총괄 에디터 겸 연구소장광운대 방위사업학과 외래교수 (공학박사)광운대 방위사업연구소 초빙연구위원한국안보협업연구소 사이버안보센터장한국방위산업학회/사이버군협회 이사前 美 조지타운대 비즈니스스쿨 객원연구원
    • 사이버보안
    • 전문가 분석
    2018-05-02
  • [사이버 투시경] ⑧ 미군이 버그바운티 제도를 전격 도입한 이유
    2016년 4월부터 사이버안보 차원에서 버그바운티 제도를 적용하고 있는 미국 국방부의 전경. 5각형의 건물 모양 때문에 펜타곤이란 별칭으로 불리운다. 미국 국방부와 육군 및 공군 등, 2016년부터 버그바운티 제도 도입하여 상당한 보안 취약점 보완 효과 거두어 싱가포르 국방부도 해킹 당하자 바로 도입, 반면 한국은 해킹 당하고도 여전히 구태의연한 보안대책으로 일관 (안보팩트=김한경 방산/사이버 총괄 에디터) 2016년 3월 미국 국방부가 역사상 최초로 버그바운티 제도를 도입한다고 발표했다. 버그바운티(Bug Bounty)란 이를 허락한 회사 및 기관의 제품이나 사이트 등에서 화이트 해커가 해킹을 통해 보안 취약점을 발견하면 이를 해당 조직에 통보하여 포상금을 받는 ‘보안 취약점 신고 포상’ 제도이다. 즉 국방부는 해커들에게 국방부의 웹 사이트 및 네트워크를 마음껏 뚫어보고 취약점을 제보해달라고 주문한 것이다. ‘핵 더 펜타곤(Hack the Pentagon)’으로 명명된 버그바운티 프로그램은 국방부 내 국방 디지털 서비스국(Defense Digital Service, DDS)에서 2016년 4월부터 시작했고, 배경조사를 거쳐 검증된 해커들에게만 참가자격을 부여했다. 버그바운티를 통해 발견된 취약점 때문에 중요한 업무가 마비될 것을 우려해 주요 핵심 시스템과 분리된 시스템을 대상으로 24일 동안 진행되었으며, 138개의 취약점을 찾아내 해결했다고 한다. 핵 더 펜타곤의 성공에 영향을 받은 미 육군도 2016년 11월 버그바운티 전문기업인 ‘해커원(HackerOne)’과 함께 ‘핵 디 아미(Hack the Army)’라는 버그바운티 프로그램을 진행했다. 당시 육군성 장관인 에릭 패닝(Eric Fanning)은 “미 육군의 컴퓨터 시스템에 들어올 수 있으면 얼마든지 들어와서 우리의 약함을 증명하고 상금도 타가기 바란다”고 발표했다. 하지만 완전히 공개된 버그바운티는 아니어서 신원이 확실한 화이트 해커나 보안 전문가들만 참가한 것으로 알려졌다. 총 1410명이 참가했고 250명이 취약점을 찾는데 성공했다. 416개의 취약점을 찾아냈고, 적게는 100달러에서 많게는 15,000 달러의 포상금을 받았다고 한다. 미 공군도 ‘핵 디 에어포스’라는 버그바운티를 시작해 207개의 취약점을 찾아냈고, 포상금으로 13만 달러를 지불했다고 한다. 공군은 이듬해에 두 번째 ‘핵 디 에어포스’를 실시하여 비슷한 성과를 거두었다. 미국 정부 기관들은 2016년 ‘핵 더 펜타곤’을 시작으로 버그바운티 제도를 활발하게 도입하고 있으며, 지금까지 3천개 이상의 취약점을 찾아 보완했다고 전해진다. 금년 4월초 미국 국방부가 다섯 번째 버그바운티를 시작한다고 발표했다. 이번 프로그램은 4월 29일까지 진행되며, 국방부에 소속된 수백만 명이 전 세계적으로 사용하는 대규모 사업용 시스템이 대상이 될 것이라고 한다. 이번 프로그램을 이끄는 잭 메서(Jack Messer)는 “현재까지 국방부는 해커들과 함께 손을 잡고 중요한 시스템을 안전하게 보호하는데 큰 성공을 거둬왔다”고 말했다. 미국 국방부의 버그바운티 프로그램에 참가하려면 미국 납세자이거나 영국, 캐나다, 호주, 뉴질랜드에서 공식적으로 월급을 받고 채용된 사람이어야 한다. 미국 정부 및 군에 소속되었거나 혹은 계약을 맺고 일하는 사람들도 참가할 수 있으나 포상금은 받지 못한다. 국방 디지털 서비스국의 레이나 스테일리(Reina Staley)는 “국방부가 실시하는 버그바운티 프로그램은 기관 외부에 있는 전문가들이 안전하고 합법적으로 국가 주요 기반시설의 보안 문제를 점검함으로써 애국을 실천할 수 있는 기회가 되기도 한다”고 덧붙였다. 한편, 지난해에 일부 군사시스템이 해킹 당했던 싱가포르 국방부도 이에 대한 후속 조치로 금년 1월초 버그바운티 프로그램을 추진하겠다고 발표했다. 싱가포르 국방부도 미 육군처럼 HackerOne을 통해 전 세계 300여 명의 화이트 해커를 초청하여 8개의 정부 웹 서비스를 대상으로 버그바운티를 실시하겠다고 한다. HackerOne의 CTO 알렉스 라이스(Alex Rice)는 “보안에 성숙한 조직일수록 외부 전문가의 도움을 얻는 데 원활하다”며 “미국 국방부도 해마다 버그바운티를 진행하면서 보안의 혁신을 이뤄왔다”고 설명했다. 구글, 페이스북, 마이크로소프트 등 글로벌 IT 기업에서는 이미 버그바운티 제도가 굉장히 활발하게 운영되고 있다. 특히 구글은 두둑한 포상금을 지급하는데, 지금까지 취약점 1건에 대한 포상금 중 최고액은 112,500달러로 중국의 인터넷 보안업체 직원이 받았다. 그들이 버그바운티 제도를 지속적으로 유지하는 이유는 해당 제도를 통해 신고 받은 보안 취약점을 신속하게 보완하면 피해를 사전에 예방할 수 있기 때문이다. 실제로 외국의 경우, 적은 포상금으로 치명적인 취약점을 발견한 사례가 다수 있고, 기업의 경우 버그바운티를 통해 고객들로부터 보안에 대한 신뢰를 얻어 긍정적인 이미지를 유지할 수 있다. 이런 효과 때문에 미국은 버그바운티를 도입하는 조직이 크게 증가하는 추세이고, 사기업은 물론 정부기관들도 버그바운티를 점차 도입하고 있다고 한다. 반면, 한국에서는 한국인터넷진흥원(KISA), 삼성전자, 한글과컴퓨터 등에서 버그바운티 제도를 운영하고 있으나 자사의 실수나 문제점이 밝혀진다는 두려움과 버그에 대한 소극적인 대처, 포상금 지급 한계 등으로 인해 확산되지 못하는 실정이다. 한국 국방부 또한 이들과 다르지 않아 2016년 인터넷과 분리된 국방망이 해킹되는 초유의 사태를 겪었음에도 버그바운티 제도를 도입할 기미는 보이지 않는다. 국방부는 아직까지 국방망이 언제 어떻게 뚫렸는지, 얼마나 많은 내용이 유출되었는지 정확히 모른다. 보안 전문가들은 “통상 망분리를 했으니 안전할 것이라고 생각하나, 폐쇄망은 정보의 전달과 가공을 위해 다수의 접점을 가질 수밖에 없어 접점 관리가 무엇보다 중요하다”고 말한다. 또 “공격의 패러다임은 바뀌었는데, 보안 대책은 최신 백신 업데이트, 서버 및 PC 패치 철저, 불법 파일 다운로드 금지, 첨부파일 실행 금지, 이상한 사이트 방문 금지 등 2003년부터 거론되던 내용만 제시한다”며 안타까움을 표시했다. 문제의 원인을 제대로 파악하지 못하면 올바른 대책은 나올 수 없다. 한국군이 운용하는 네트워크와 웹사이트들이 얼마나 보안에 취약한지 파악하는데 버그바운티 보다 더 좋은 제도는 없다. 한국군은 언제쯤 훈련 상황으로 해킹을 연출하는 쇼에서 벗어나 미군처럼 보안에 대한 실질적인 대책을 강구할 수 있을까? 사이버 안보가 중요하다고 말은 하면서도 일부 실무자 손에 맡겨놓고 무엇을 해야 할지 모르는 국방 정책결정자들의 모습이 그저 안타까울 따름이다. 안보팩트 방산/사이버 총괄 에디터 겸 연구소장광운대 방위사업학과 외래교수 (공학박사)광운대 방위사업연구소 초빙연구위원한국안보협업연구소 사이버안보센터장한국방위산업학회/사이버군협회 이사前 美 조지타운대 비즈니스스쿨 객원연구원
    • 사이버보안
    • 전문가 분석
    2018-04-23
비밀번호 :