사이버보안Home >  사이버보안
-
시큐아이, 고용노동부 '일·생활 균형 우수기업' 선정
[시큐리티팩트=김상규 기자] 시큐아이가 고용노동부가 주관하는 '대한민국 일·생활 균형 우수기업'에 선정되었다고 11일 밝혔다. ‘일·생활 균형 우수기업’은 고용노동부, 산업통상자원부, 중소벤처기업부, 한국경영자총협회, 대한상공회의소, 중소기업중앙회가 공동 주최하며 일과 생활 균형을 적극 지원하는 우수 기업에 수여하고자 올해 처음 도입됐다. 시큐아이는 ▲유연근무 활성화 ▲연차 사용 권장 ▲육아 지원 제도 등에서 우수한 성과를 인정받아 선정되었다고 설명했다. 시큐아이는 일과 휴식의 균형을 보장하기 위해 유연근무제와 권장 휴무제도를 시행하고 있다. 임직원은 출퇴근 관리 시스템을 통해 근무 시간을 자유롭게 조정할 수 있다. 권장 휴무날에는 부서장 승인 없이 휴가 사용이 가능하다. 장기근속자의 경우 리프레쉬 휴가와 상여금 제도를 통해 휴식과 재충전 기회를 갖는다. 특히 시큐아이는 출산이나 육아로 여성의 경력이 단절되지 않고 일과 가정이 양립할 수 있도록 힘쓰고 있다. 이를 위해 가족돌봄휴가, 임신기간 근로시간 단축, 난임 시술 및 휴가 지원 제도를 운영하고 있다. 더불어 출산 선물, 학자금, 육아 교육 프로그램 등 실질적인 지원도 제공하고 있다. 한편 이번 선정에 앞서 시큐아이는 일과 가정의 균형을 보장하는 다양한 제도를 높이 평가받아 가족친화기업에 선정된 바 있다.
-
쿤텍-ETRI, HW/SW 공급망 보안 관리 토탈 솔루션 ‘이지스(AEGIS)’ 고도화
[시큐리티팩트=김상규 기자] 쿤텍은 하드웨어 및 소프트웨어 전체 공급망 보안 관리가 가능한 토탈 솔루션인 ‘이지스(AEGIS)’ 기능 고도화에 성공했다고 11일 밝혔다. 이는 쿤텍이 ETRI와 과학기술정보통신부에서 지원하고 정보통신기획평가원(IITP)이 주관하는 정보보호 핵심원천 기술개발사업인 ‘시스템 디바이스의 하드웨어 공급망 위협 대응 핵심기술 개발’ 과제 수행을 통해 얻은 결과다. ‘이지스’는 이번 기능 고도화를 통해 NVD 취약점 데이터베이스(DB)를 자체 DB에 초기 마이그레이션하고 주기적인 NVD 데이터베이스 동기화를 통한 원데이 취약점 자동 식별 및 조치 가이드 기술을 구현했다. 또한 취약점 등급을 긴급, 높음, 중간, 낮음으로 구분하고 이와 관련된 분석 결과를 대시보드를 통해 사용자에게 제공하여 쉽고 빠른 분석을 지원한다. 이상수 ETRI 책임연구원은 “쿤텍과 ETRI는 본 과제 수행을 통해 CBOM 관리 도구인 이지스의 취약점 점검 기능을 향상시킨 것은 물론 IC칩, PCB 보드, 펌웨어와 같은 하드웨어에 대한 취약점을 분석하는 기술 및 5G Core 보안 취약점 점검 기능을 추가적으로 적용했다. 이를 통해 HW/SW 전체 공급망에 대한 위협대응 체계 구축을 지원할 수 있을 것으로 기대한다”고 전했다.
-
“2025년은 AI·딥페이크 악용 공격 증가할 것”…이글루코퍼레이션 전망
[시큐리티팩트=김상규 기자] 내년 사이버 보안 분야에서 AI·딥페이크 악용 공격, 차세대 보안관제센터 자동화, MLS 등 신보안체계를 충족하는 공급망 보안 아키텍처 등이 핵심 이슈가 될 전망이다. 이글루코퍼레이션은 사이버 보안에 대한 주요 전망을 담은 ‘2025년 사이버 보안 위협 및 기술 전망 보고서’를 10일 발표했다. 보고서에서 이글루코퍼레이션은 인공지능(AI)의 급속한 발전 및 보편화로 인한 사회적 불안이 고조되는 가운데 사이버 보안 역시 그 영향을 받을 것으로 전망했다. 악성 거대언어모델(LLM) 서비스, 딥페이크 등과 같은 신기술을 누구나 활용할 수 있게 되면서 이를 악용한 사이버 위협이 증가해 사회적 문제를 초래할 것으로 예상했다. 또한 국가 주도의 공급망 공격, 다변화된 랜섬웨어 공격, 크리덴셜 탈취 공격 역시 늘어날 것으로 내다봤다. 이에 맞서 보안 위협의 복잡성을 해소하여 효율성을 높이고 수많은 인프라·자산에 대한 통합적인 가시성을 확보할 수 있는 기술 및 방법론의 중요성이 높아질 것으로 전망했다. 이글루코퍼레이션은 보안 정보 및 이벤트 관리(SIEM), 보안 운영·위협 대응 자동화 (SOAR), 위협 인텔리전스(TI) 등이 적용된 AI 기반의 차세대 보안관제센터 자동화 구축에 대한 수요가 늘어날 것으로 예상했다. 또한 위험 표면(Risk Surface)을 최소화하는 클라우드 보안 강화 및 해양 선박 운영기술(OT) 보안의 중요성이 높아지고, 제로트러스트 아키텍처(ZTA) 및 다중계층보안(MLS) 등 신보안체계를 충족하는 공급망 보안 아키텍처 전략이 부각될 것으로 예측했다.
-
파수 외부협업 SaaS솔루션, 보안성·UX 개선
[시큐리티팩트=김상규 기자] 파수는 외부 협업 SaaS 솔루션 ‘랩소디 에코 클라우드’의 보안성과 UX를 개선했다고 10일 밝혔다. ‘랩소디 에코 클라우드’는 중요 문서를 암호화해 공유한다. 구성원별로 세밀하게 권한을 제어하고 언제든지 변경할 수 있어 외부 협업 과정에서 중요 데이터를 안전하게 보호한다. 문서가상화 기술을 기반으로 문서 열람 시 자동으로 최신 버전으로 동기화하며, 문서 공유나 채팅 등 모든 협업 이력과 채팅 이력을 워크그룹 중심으로 제공해 편의성이 뛰어난 게 특징이다. 이번에 UX 사용성을 대폭 개선한 랩소디 에코 클라우드는 워크그룹 생성이나 관리, 권한 설정, 문서 업로드 등의 기능과 편의성을 향상했다. 또한 보안이 필요하지 않은 문서는 링크로 쉽게 공유하고, 인증 등의 번거로움 없이 확인이 가능하다. 파수 관계자는 “랩소디 에코 클라우드 업데이트를 기념해 이달 말까지 프로모션을 진행한다”고 말했다.
-
에스코어, NH농협은행 오픈소스 관리포털 구축 완료…금융권 오픈소스 컴플라이언스의 새로운 기준 제시
[시큐리티팩트=김상규 기자] 에스코어는 지난 6일 NH농협은행 임직원 대상 ‘오픈소스 관리포털 시스템 구축' 프로젝트를 성공적으로 완료했다고 9일 밝혔다. 에스코어는 이 프로젝트 구축으로 금융권 대상 오픈소스 관리 체계를 성공적으로 제공할 수 있음을 입증하는 계기가 되었다. 이번 프로젝트는 올해 6월부터 6개월간 진행됐다. 금융감독원이 발행한 ‘금융분야 오픈소스 소프트웨어 활용 관리 안내서’의 가이드라인을 충족했다. 에스코어는 오픈소스 관리포털 구축과 오픈소스 거버넌스 컨설팅 두 영역으로 프로젝트를 추진했다. 에스코어는 먼저 오픈소스 관리 정책과 절차를 수립하고 전담 조직을 구성해 지속 가능한 관리체계를 마련했다. 이어 NH농협은행의 오픈소스 사용 현황과 임직원 요구사항을 반영한 맞춤형 설계를 통해 내부 업무 시스템과 연계된 통합 관리포털을 구축했다. NH농협은행의 오픈소스 관리포털은 오픈소스의 반입부터 사용까지의 활용 현황을 한 눈에 확인할 수 있도록 오픈소스 사용 현황 및 리스크 관리 기능을 최적화한 게 특징이다. 또한 산재되어 있던 오픈소스 저장소 통합 및 오픈소스 라이브러리 반입 절차를 업무자동화(RPA)를 활용해 업무 프로세스를 단축 및 개선하고 운영 효율성을 크게 향상시켰다. 향후 에스코어와 NH농협은행은 공신력 있는 오픈소스 관리체계를 확보하기 위해 ISO 5230 오픈체인(OpenChain) 국제 표준 인증을 획득함으로써 금융권 오픈소스 선도기업으로 자리매김한다는 계획이다.
-
스파이런트 PNT 시뮬레이션 솔루션, 중국 자동차 위치추적 표준 지원
[시큐리티팩트=김상규 기자] 스파이런트 커뮤니케이션은 자사의 고정밀 PNT(위치, 항법, 시각) 시뮬레이션 시스템이 중국 자동차 위치추적 표준(GB/T 45086.1-2024) 제정에 기여했다고 9일 밝혔다. 최신 GB/T 표준의 도입은 자동차의 안전과 위치 정확도를 강화하는 데 있어 획기적인 전환점이 될 것이다. 특히 GB/T 표준은 내년부터 중국에서 판매되는 모든 차량에 필수적으로 적용될 AECS 프레임워크의 핵심적인 기반 역할을 할 것으로 기대된다. 유럽의 eCall(긴급호출시스템)에 해당하는 중국의 AECS는 자동차 사고 발생 시 신속하고 효과적인 대응을 통해 많은 생명을 구할 수 있다. 공공 도로에서 자율주행차 규제를 위한 견고한 기반을 제공하며 미래의 자동차 기술 발전에 중요한 역할을 할 수 있을 것으로 예상된다. PNT 시뮬레이션 시스템은 단일 테스트 플랫폼에서 높은 정확도와 함께, L-밴드, S-밴드 및 대체 항법 신호를 포함하는 대부분의 신호 소스를 동시에 간편하게 테스트해볼 수 있다. 미션 크리티컬 테스트 시나리오에 대한 실시간 피드백도 제공한다. 아담 프라이스 스파이런트 PNT 시뮬레이션 담당 부사장은 “PNT, 특히 GNSS의 성능 규제는 다양한 산업과 기술 분야에서 매우 중요한 주제이며, 중국이 강력하고 정밀한 시스템 구현을 가속화하기 위한 조치를 취하고 있는 것은 매우 고무적인 일이다”라고 말하며, “이 새로운 GB/T 사양은 자동차 성능 향상을 위한 수많은 가능성을 열어준다. 스파이런트의 최첨단 전문 지식과 테스트 솔루션을 사용하여, PNT 성능 개선을 통해 시스템을 보다 정밀하게 설계하고 구현하겠다는 목표를 현실로 옮겨가고 있다”라고 말했다.
실시간 사이버보안 기사
-
-
양자암호통신, 양자컴퓨팅 시대 사이버보안에 필수적
- ▲ 그레고아 리보디 IDQ 최고경영자(CEO)가 지난 17일 핀란드 헬싱키 파시토르니 회관에서 기자간담회를 열고 양자암호통신의 중요성을 설명하고 있다. [사진제공=SK텔레콤] 리보디 IDQ 최고경영자, "새로운 암호화 방식 도입 지금부터 준비해야" [시큐리티팩트=이원갑 기자] 양자컴퓨터가 모든 암호를 단시간 내에 풀 수 있어 우려가 커지는 가운데 양자암호통신이 이런 사이버보안 위협의 대처법이 될 수 있다는 주장이 나와 주목된다. 그레고아 리보디 IDQ 최고경영자(CEO)는 지난 17일(현지시간) 핀란드 헬싱키 파시토르니 회관에서 기자간담회를 열고 "새로운 암호화 방식의 도입을 지금부터 준비하는 것이 필요하다"며 양자암호통신의 중요성을 강조했다. 양자암호통신은 양자역학에 기반한 암호 기술로, 난수로 정보를 암호화한 뒤 빛 알갱이(광자)에 실어 보낸다. 제3자가 정보를 가로채려 할 경우 송·수신자가 이를 알 수 있어, 해킹이 불가능하다고 알려졌다. 그는 "특히 5G 시대에는 데이터가 많이 이동하고, 물리적 공간과 사이버 공간이 융합되는 만큼 보안을 더 강조해야 한다"면서 "정보를 보호할 수 있는 '믿을 수 있는 암호'의 중요성은 더 커졌다"고 힘주어 말했다. 빠른 연산 속도로 '꿈의 컴퓨터'라고 불리는 양자컴퓨터는 복잡해 보이지만 패턴이 있는 현재의 암호체계를 충분히 풀어낼 수 있어 이에 대비하려면 양자암호통신 기술이 필수라고 그는 덧붙였다. 양자컴퓨터가 가져올 '장밋빛 미래'뿐 아니라 위협에 대해서도 대비책을 세워야 한다는 것이다. 리보디 CEO는 "양자컴퓨터를 활용하면 15분 내 모든 암호를 풀 수 있다는 말이 있다. 현재의 암호가 아무 의미가 없게 될 것"이라며 "양자컴퓨팅은 긍정적인 면이 많지만, 이를 악용할 경우 현재 사이버 보안 체계에 지대한 위협이 될 수도 있다"고 경고했다. 그는 이어 "IDQ의 미션 중 하나가 이런 위험으로부터 사회를 지키는 것"이라며 양자암호통신 시대를 열기 위해 패턴이 없는 암호를 만드는 '양자난수 생성'과 암호키를 송신자와 수신자에게 나눠주는 '양자키 분배' 연구에 집중하고 있다고 전했다. 2001년 설립된 IDQ는 현재 양자암호기술을 선도하는 기업으로 꼽힌다. SK텔레콤은 작년에 700억 원을 투자해 IDQ 주식의 절반 이상을 확보, 자회사로 편입하고 양자암호기술을 5G 등 이동통신에 적용하기 위한 연구를 공동으로 수행하고 있다.
-
- 사이버보안
- 종합
-
양자암호통신, 양자컴퓨팅 시대 사이버보안에 필수적
-
-
SK텔레콤, 유럽에 1천400㎞ 양자암호 통신망 구축
- ▲ IDQ가 스위스 제네바, 독일 베를린, 스페인 마드리드, 오스트리아 빈 등 총 14구간에 구축하는 OPEN QKD 프로젝트. [사진제공=SK텔레콤] 자회사 IDQ, EU 양자 플래그십 첫 프로젝트서 1위 공급사 선정 '퀀텀엑스체인지'와 함께 미국 최초의 양자암호 통신망도 구축 [시큐리티팩트=이원갑 기자] 복잡한 연산을 초고속으로 처리하는 '양자컴퓨터'와 해킹을 차단하는 '양자암호통신' 등 최근 양자 정보통신기술이 주목받고 있는 가운데, SK텔레콤이 유럽에 1천400㎞ 양자암호 통신망을 구축하게 된다. 유럽연합(EU)은 2028년까지 10억 유로(약 1조3천억 원)를 투자해 이 분야를 육성키로 했다. 올해는 첫 프로젝트로 유럽 주요국에 양자암호 시험망을 구축하는 사업을 진행하면서 사업 파트너로 SK텔레콤을 선택했다. SK텔레콤의 자회사인 IDQ의 그레고아 리보디 최고경영자(CEO)는 지난 17일(현지시간) 핀란드 헬싱키 파시토르니 회관에서 기자간담회를 열고 "EU 산하 양자 플래그십 조직(Quantum Flagship)이 처음 추진하는 OPEN QKD(오픈 양자키분배기) 프로젝트에 IDQ가 1위 공급사로 참여한다"고 밝혔다. 양자키분배기는 송신자와 수신자 양쪽에 위치해 통신망으로 양자를 주고받으며 해킹이 불가능한 암호키를 만든다. OPEN QKD 프로젝트에는 올해부터 3년간 총 1천500만유로(약 195억 원)의 예산이 투입된다. IDQ는 이번 프로젝트에서 스위스 제네바, 독일 베를린, 스페인 마드리드, 오스트리아 빈 등에 총 14구간의 양자암호 시험망을 구축하게 된다. 1구간 거리는 100㎞ 정도이므로 약 1천400㎞ 정도의 양자암호통신 시험망을 만들게 되는 셈이다. 이 프로젝트에서 6개 구간을 맡는 일본 도시바보다 두 배 이상 길다. 리보디 CEO는 "유럽은 양자(기술)에 투자를 적극적으로 추진하고 있다"면서 "이번 시험망 프로젝트를 거쳐 앞으로는 유럽 전체에 네트워크를 구축해 (사이버) 보안을 제공할 것"이라고 설명했다. IDQ는 작년에는 미국의 양자암호통신 구축 사업을 수주하기도 했다. 미국 양자통신 전문기업 '퀀텀엑스체인지'(Quantum Xchange)와 파트너십을 체결했고, 최근 미국 최초의 양자암호 통신망을 뉴욕과 뉴저지 사이에 구축했다. 이 통신망은 뉴욕 월스트리트의 금융정보를 지키는 데 활용된다. IDQ와 퀀텀엑스체인지는 내년에는 이 양자통신망을 워싱턴D.C.에서 보스턴까지 800㎞ 구간으로 확장할 예정이다. IDQ는 양자키분배기를 공급하고 퀀텀엑스체인지는 암호키 전송 거리를 확장하는 솔루션을 적용한다. 박진효 SK텔레콤 ICT기술센터장은 "5G 세상에는 모든 사물이 데이터화되는 만큼 보안이 절대적으로 중요해질 것"이라며 "양자암호통신이 대한민국의 '국보급 기술'로 거듭날 수 있게 지원을 아끼지 않을 계획"이라고 밝혔다.
-
- 사이버보안
-
SK텔레콤, 유럽에 1천400㎞ 양자암호 통신망 구축
-
-
강경화 장관, "사이버공간, 국제규범과 실질 협력 필요" 강조
- ▲ 8일 서울 종로구 포시즌스 호텔에서 열린 바르샤바 프로세스 사이버안보 워킹그룹 회의에서 강경화 외교부 장관이 개회사를 하고 있다. [사진제공=연합뉴스] '바르샤바 프로세스 사이버안보 워킹그룹 회의' 서울서 개최 [뉴스투데이=이원갑 기자] 강경화 외교부 장관은 8일 사이버 위협에 대처하기 위해서는 국제규범을 마련할 필요가 있다고 밝혔다. 강 장관은 이날 서울 포시즌스 호텔에서 열린 '바르샤바 프로세스 사이버안보 워킹그룹 회의' 개회사에서 "오늘 회의에서는 국제규범과 실질 협력이라는 두 가지 주요 주제에 대해 논의할 것"이라며 이렇게 말했다. 그는 "이 두 사항은 안전하고 안정적이고 접근이 편하고 평화로운 열린 사이버공간에 있어 필수적"이라고 강조했다. 그러면서 "가장 약한 고리만큼 강할 뿐이라는 말이 있다. 이것이 안전한 사이버공간을 위한 협력이 필요한 이유"라며 개발도상국의 사이버안보 역량 강화를 적극적으로 지원할 필요가 있음을 강조했다. 야체크 차푸토비치 폴란드 외교장관과 로버트 스트레이어 미 국무부 부차관보도 환영사를 통해 사이버위협에 대처해 국제협력을 강화해야 한다고 밝혔다. 한국과 미국, 폴란드가 공동 주최한 이번 회의는 지난 2월 바르샤바에서 열린 '제1차 중동 평화·안보 증진을 위한 장관급 회의(일명 바르샤바 프로세스)'의 후속조치로 설립된 7개 워킹그룹 중 하나다. 이날 회의에는 50여 개국 120여명의 정부 인사 및 전문가들이 참석해 사이버안보와 관련한 국제협력 강화 방안에 대해 논의했다.
-
- 사이버보안
-
강경화 장관, "사이버공간, 국제규범과 실질 협력 필요" 강조
-
-
미국·영국 등, “향후 10년 내 ‘사이버공격’이 사업 활동 최대 리스크”
- ▲ 지난 2017년 12월 3일 옌스 스톨텐베르크 나토 사무총장(오른쪽)이 세계경제포럼(WEF·다보스포럼)에 참석해 나토에 대한 사이버공격이 전년 대비 60% 증가했다고 밝혔다. [사진제공=연합뉴스] 세계경제포럼(WEF), 전 세계 141개국 사업가 12,879명 상대로 조사 [시큐리티팩트=이원갑 기자] 미국·영국 등 선진국 대열에 오른 나라들은 향후 10년 내 사업 활동 최대 리스크로 '사이버공격'을 꼽았다. 반면 한국은 '실업 및 불완전 고용'을, 일본은 '자연 재해'를 사이버공격보다 더 두려워했다. 지난 6일 세계경제포럼(WEF)이 전 세계 141개국 12,879명의 사업가를 상대로 조사한 보고서에 따르면, 향후 10년 내 국가별로 사업 활동의 최대 리스크 5가지를 묻는 질문에 선진국이 다수 포함된 북미·유럽 지역은 '사이버공격'을 최대 위험요인으로 꼽았다. 반면, 한국·일본·중국 등이 속한 동아시아·태평양 지역의 최대 위험요인은 '자연 재해'였고 '사이버공격'이 뒤를 이었다. 보고서는 자연 재해의 사례로 지난해 인도네시아를 강타한 지진 및 쓰나미와 일본의 대홍수를 언급했다. 하지만 한국의 경우 '실업 및 불완전 고용'을 가장 큰 위험 요인으로 지목했다. '기상이변'과 '인간이 만든 환경 재해'가 각각 2위와 3위에 올랐으며, '사이버공격'과 '국가 간 분쟁'은 공동 4위를 기록했다. 앙골라·말라위·보츠와나·카메룬·가나·케냐 등 사하라 이남 아프리카 나라들이 최대 리스크로 꼽은 '실업 및 불완전 고용'은 동아시아·태평양 지역에서는 한국과 브루나이가, 유럽에서는 스페인이 유일하게 1위로 꼽았다. 향후 10년 내 사업 활동 최대 리스크를 묻는 이번 조사에서 전 세계 평균은 '재정 위기'가 1위를 차지했으며 '사이버공격'과 '실업 및 불완전 고용'이 2위와 3위로 그 뒤를 이었다. 미국·영국·캐나다는 '사이버공격'과 '데이터 사기 및 절도'를 각각 1위와 2위라고 답했다.
-
- 사이버보안
-
미국·영국 등, “향후 10년 내 ‘사이버공격’이 사업 활동 최대 리스크”
-
-
[사이버안보 진단](10) 국방부, 방산업체 망분리 정책 강요 대신 보안 신기술로 해법 찾아야
- ▲ 정경두 국방부 장관이 지난 7월 24일 서울 용산구 국방 컨벤션에서 열린 ‘2019년 전반기 방산업체 CEO 간담회’에서 참석자들과 인사하고 있다. [사진제공=연합뉴스] 한국은 세계에서 ICT 인프라가 가장 발달된 나라 중 하나로 꼽힌다. 하지만 보안에 대한 인식은 낮아 사이버공격을 무기화하는 일부 국가나 해커 조직들에게 무방비로 노출된 상태다. 뉴스투데이는 한국의 사이버안보를 강화하기 위해 정부와 군 차원에서 과연 무엇을 어떻게 해야 할지 짚어보는 ‘사이버안보 진단’ 시리즈를 시작한다. <편집자 주> 국방부, 사이버안보 위해 방산업체 ‘물리적 망분리’ 구축 의무화 [시큐리티팩트=김한경 안보전문기자] 박근혜 정부 당시 사이버안보를 위협하는 징후들이 여러 분야에서 다양하게 나타났다. 급기야 국방부 업무망이 상당기간 사이버공격에 노출된 정황이 드러났고, 대기업 방산업체들도 해킹을 당하는 사례가 빈발했다. 이에 정부는 사이버안보를 강화하는 차원에서 2016년부터 ‘방산업체 망분리’를 적극 추진했다. 이와 관련된 훈령도 2016년 12월 개정되어 방산업체들은 2017년 12월 말까지 인증기관에서 CC(국제공통평가기준) 인증을 받은 제품으로 ‘물리적 망분리 시스템’을 구축하도록 기본 원칙이 정해졌다. 이에 방산업체들은 수억 원에서 수십억 원을 투입해 물리적 망분리 시스템을 구축했지만 일부 업체들은 망분리 비용을 감당하지 못해 방산업체 자격을 스스로 포기했다. 물리적 망분리를 하게 되면 업무망(내부망)과 인터넷(외부망)이 물리적으로 단절돼 망간 접근경로가 완전히 차단됨으로써 궁극적으로 정보 유출을 막을 수 있다. 하지만 내부망과 외부망 간 자료 교환이 불가능해 업무 효율성이 크게 떨어진다. 따라서 망분리의 보안 목적을 충족하면서도 안전한 망간 자료전송을 위해서는 ‘망연계 솔루션’을 필수적으로 구축해야 한다. 하지만 망연계 솔루션을 구축해도 운용 방법에 따라 보안취약점은 여전히 남는다. 즉, 자료전송 절차가 불편하다는 이유로 보안정책을 완화하거나, 보안환경이 다른 외부망으로 자료전송을 요구하는 예외 신청을 과도히 승인하는가 하면, 보안담당자들의 업무 미숙과 과오·나태 등으로 망간 자료전송이 허술해져 물리적 망분리의 목적을 무색하게 만드는 사례도 발생한다. 대기업 계열 방산업체, 그룹 ERP와 망분리 못해 해킹에 취약 게다가 대기업 계열사인 방산업체의 경우, 그룹 계열사가 공통으로 사용하는 서버들을 물리적으로 분리하기에는 엄청난 비용 부담이 따른다. 예를 들어 그룹 계열사 전체의 자원을 관리하는 ERP(Enterprise Resource Planning) 서버를 물리적으로 망분리하려면, 전산실에 있는 각종 정보처리시스템 및 해당 시스템의 운영·개발·보안을 목적으로 접속하는 단말기 등 적게는 수십에서 1백여 대의 서버를 외부망과 분리해야 한다. 이렇게 망분리 구축 비용의 수십 배를 투자하여 ERP 서버를 물리적으로 분리한다는 것은 그룹 내부에서 도저히 수용하기 어려운 현실이다. 이러한 이유로 현재 방산 대기업들은 ERP 서버 등 방산과 민수가 공통으로 사용하는 시스템은 물리적 망분리를 하지 못한 상태다. 사실 상 이런 시스템들은 원활한 업무 수행을 위해 인터넷과도 연결돼 있어서 해킹 공격으로부터 안전하다고 볼 수 없다. 한편, 대다수 협력업체들은 체계종합업체인 방산 대기업과 협업 시 자료 교환을 위해 인터넷 메일을 사용한다. 이러한 상용 메일의 보안취약점을 해소하기 위해 ‘협력업체 보안 솔루션’을 구축해 운용하는 대기업도 있다. 하지만 여러 체계종합업체들과 자료를 교환해야 하는 협력업체들은 체계종합업체별로 다른 보안 프로그램을 사용할 경우, 충돌이 발생해 보안솔루션이 제대로 활용되지 않는 경우가 많다. 더구나 방산업무와 민수업무를 병행하는 대기업일수록 글로벌 영업망을 유지하려면 해외지사와 인터넷을 사용하지 않고 업무를 수행하기는 어렵다. 그런데 해외지사를 위한 별도의 전용망을 구축하려면 너무 많은 비용이 들기 때문에 인터넷 기반의 가상사설망인 VPN(Virtual Private Network)을 주로 사용한다. VPN은 인터넷 상에 별도의 가상 폐쇄망을 만드는 기술이지만, VPN 터널을 개통하려면 인터넷에서 인증을 받게 돼 해킹으로부터 안전하지 않다. 김승주 고려대 교수, “물리적 망분리, 4차 산업혁명 개념과 모순돼” 보안전문가인 김승주 고려대 정보보호대학원 교수는 “물리적 망분리를 하면 인터넷을 이용해 업무망에 접속할 수 없어 스마트워크(원격 근무)나 클라우드 서비스 도입이 불가능하다. 더 큰 문제는 인터넷으로 모든 것이 연결되는 4차 산업혁명의 개념이 본질적으로 물리적 망분리 정책과 맞지 않는다”라고 주장한다. 즉 외부와 인터넷을 기반으로 연결 및 융합이 이루어져 업무가 수행되는 초연결 시대에 업무 환경은 고려하지 않고 오로지 보안만 생각해 물리적 망분리를 추진하는 것은 시대착오적이란 얘기다. 지금은 외부와 안전한 연결을 제공하면서 정보보호가 되는 보안 및 망분리 신기술을 을 찾아 지속적으로 보완하는 지혜가 필요한 시대다. 더구나 방산업체는 국가안보를 위해 무기를 만들지만 이윤을 추구하는 기업이다. 따라서 이윤을 창출하는 투자는 환영해도 비용의 지출은 꺼리게 마련이다. 망분리 시스템 구축은 투자가 아니라 비용으로 간주되기 때문에 방산업체는 최소의 비용으로 정부가 요구하는 보안요건만 충족하려고 노력한다. 향후 해킹사고가 발생해 예기치 않은 위기에 처할 수도 있지만, 경영진은 요행을 바라면서 보안에 대한 우선순위를 두지 않는 경향이 농후하다. 국방부 또한 방산업체의 보안을 강화한다며 법규나 지침을 만들지만, 정작 자신들은 신기술을 이해하거나 받아들이지 못하고 낡은 규정에 얽매여 있다. 따라서 경제적이고 효율적인 보안 신기술이 나와도 기존 규정에 명시된 기술 유형이 도입을 차단하는 ‘사전 규제’로 작용한다. 결국 기업은 진짜 해법보다 비용을 적게 들여서 규제만 피하는 방법을 따르게 된다. 보안 전문가들, “방산업체 보안시스템 구축은 자율에 맡겨야” 이와 같이 방산업체들이 엄청난 예산을 들여 물리적 망분리를 했지만, 망연계 시스템 운용 간 보안취약점은 여전히 풀어야 할 숙제다. 게다가 협력업체와 자료전송을 위한 ‘협력업체 보안 솔루션’ 개발 없이 내부망을 외부망과 완전 격리시키는 것은 불가능하다. 따라서 국방부는 이러한 문제 해결을 위해 상용 보안 신기술의 신속한 도입과 개발을 적극 지원해야 한다. 보안 전문가들은 “국방부가 망분리 방식을 규정하지 말고, 보안이 강화되는 시스템을 구축하라는 원칙만 얘기하라”고 말한다. 그들은 “방산업체가 자신들의 업무 여건과 정보통신 환경에 가장 적합한 망분리 방식과 보안기술을 스스로 찾도록 하되, 이를 제대로 보완하지 않아 해킹 사고가 발생하면 강력히 책임을 묻는 구조가 바람직하다”고 목소리를 높인다. 이미 금융권에서 그 방향을 제시하고 있다. 금융권도 과거에 정부 주도의 방식을 시행하다가 문제가 나타났고, 이후 관련 법규를 개정해 스스로 보안을 책임지는 풍토로 변모하고 있다. 이런 분위기가 방산업계에도 자리를 잡으면 업체들은 사이버보안에 실질적 관심을 갖고 투자하게 되고, 그런 노력이 지속될 때 사이버위협에서 벗어날 수 있으며 보안 산업도 발전한다.
-
- 사이버보안
-
[사이버안보 진단](10) 국방부, 방산업체 망분리 정책 강요 대신 보안 신기술로 해법 찾아야
-
-
[사이버안보 진단](9) 국제협력의 핵심은 부다페스트 협약 가입과 한·미 협력
- ▲ 지난 4일 서울 중구 롯데호텔에서 열린 국방차관급 다자안보 협의체인 '2019 서울안보대화(SDD)'에서 '사이버워킹그룹' 회의 참가자들이 기념촬영을 하고 있다. [사진제공=연합뉴스] 한국은 세계에서 ICT 인프라가 가장 발달된 나라 중 하나로 꼽힌다. 하지만 보안에 대한 인식은 낮아 사이버공격을 무기화하는 일부 국가나 해커 조직들에게 무방비로 노출된 상태다. 뉴스투데이는 한국의 사이버안보를 강화하기 위해 정부와 군 차원에서 과연 무엇을 어떻게 해야 할지 짚어보는 ‘사이버안보 진단’ 시리즈를 시작한다. <편집자 주> 사이버스페이스 총회와 사이버 워킹그룹으론 국제협력 성과 미약 [시큐리티팩트=김한경 안보전문기자] 정부는 지난 4월 발간한 ‘국가사이버안보전략’에서 6가지 전략과제 중 하나로 ‘사이버안보 국제협력 선도’를 제시했다. 그리고 이 과제를 위해 국제적 파트너십 강화를 통해 실질적 협력방안을 모색하는 ‘양·다자 간 협력체계 내실화’와 국제규범 형성을 주도하는 ‘국제협력 리더십 확보’를 추진방안으로 내세웠다. 이와 관련, 우리나라는 지난 2013년 제3차 사이버스페이스 총회를 서울에서 개최했다. 2011년 영국에서 시작된 사이버스페이스 총회는 사이버 분야와 관련된 문제를 포괄적으로 논의하는 국제회의다. 회원국이란 틀이 없이 정부기관, 국제기구, 시민단체, 기업, 학계 등 다양한 이해관계자가 참여해 공론의 장을 마련하는데 의미를 두며, 한국은 핵심적 참여자에 속한다. 지난 4일 열린 ‘서울안보대화(SDD)’의 첫 행사는 ‘사이버 워킹그룹’ 회의였다. 2014년부터 한국 주도로 시작된 사이버 워킹그룹은 사이버안보에 특화된 전문가 대화체로 사이버 현안에 대한 의견과 경험을 공유하며 신뢰를 구축하는 다자 대화의 장이다. 올해로 6회를 맞는 이 회의에 20여 개국 140여 명의 국방관료와 민간 전문가가 참가했다. 하지만 우리나라가 적극적으로 참여하는 사이버스페이스 총회나 SDD의 사이버 워킹그룹 모두 대화의 장 마련에 의미가 있다. 즉 대다수 논의가 의견교환 수준에 머물러 국제규범을 만들고 함께 대처하는 등 실질적인 성과는 도출되기 어렵다. 따라서 좀 더 적극적인 정부 차원의 노력이 이루어져야 국제협력 리더십 확보가 가능하다는 지적이 제기된다. 사이버범죄 규정한 부다페스트 협약 가입해야 국제협력 성과 나와 이와 관련해 우선 부다페스트 협약 가입 필요성이 거론된다. 이 협약은 인터넷을 이용한 모든 범죄행위를 상세히 규정하고 처벌하도록 한 최초의 국제협약이다. 2001년 열린 부다페스트 회의에서 출발된 사이버범죄 협약이어서 ‘부다페스트 협약’으로 불린다. 2004년부터 공식 발효됐고, 현재 전 세계 50여 개국이 가입했지만 우리나라는 아직 가입하지 않았다. 여기에 가입하면 가입된 국가들끼리 각국에서 겪고 있는 사이버범죄에 대해 핫라인이 설치돼 공동으로 대처할 수 있게 된다. 우리나라는 2013년부터 협약 가입 여부를 논의해 왔으나 부처 간 의견이 달라 결론을 내지 못했다. 올해 1월 외교부 당국자가 “부다페스트 협약 가입을 검토 중”이라고 밝힌 상태다. 우리나라가 ‘국가사이버안보전략’에서 제시한대로 국제규범 형성을 주도해 국제협력 리더십을 확보하려면, 우선 사이버범죄를 다루는 부다페스트 협약에 가입하는 것이 급선무이다. 손영동 한양대 교수도 “부다페스트 협약에 가입하는 것이 사이버안보를 위한 국제협력의 시작이니 여기에 집중해야 한다”고 주문했다. 일본처럼 미국과 사이버안보 위한 양자 간 실질적 협력 추진 절실 한편, 2015년 4월 미국과 일본은 미·일 방위협력을 위한 지침, 일명 ‘가이드라인 2015’를 함께 발표했다. 아·태 지역 안보에 대한 공동의 목표와 대응방식을 담은 이 가이드라인에서 양국은 상호 협력의 범위를 우주 및 사이버공간까지 확장시켰다. 사실 미국은 사이버방어를 위한 국제규범 확립을 서두르면서 그동안 일본과 긴밀한 협력관계를 만들어왔다. 2015년 6월 “미국이 이른바 ‘사이버 우산’을 일본까지 연장해 제공하기로 합의했다고 미·일 안보 당국이 밝혔다”는 언론 보도가 있었다. 당시 나카타니 겐 일본 방위상은 미국과 공동성명에서 “사회기반시설 뿐만 아니라 일본 자위대와 미군 시설에 대한 다양한 사이버위협을 해결하기 위해 공조할 것”이라고 힘주어 말했다. 이에 대해 국방 정책에 정통한 한 예비역 장성은 “사이버 우산이란 용어는 언론이 임의로 사용했을 것”이라면서 “그런 표현은 ‘핵’처럼 자국의 능력이 없어 전적으로 타국에 의존할 때만 쓸 수 있다”고 말했다. 그는 “한국도 미국과 사이버 분야 협력을 논의해 왔고, 한·미 사이버정책위원회도 있다”고 말했지만 “그동안 실질적 협력은 진행되지 않았다”라고 덧붙였다. 따라서 ‘국가사이버안보전략’에서 제시한 양·다자 간 협력체계 내실화 차원에서 “일본처럼 미국과 사이버안보를 위한 실질적 협력을 추진해야 한다”는 목소리가 높아지고 있다. 손영동 교수도 “사이버공간의 길은 인터넷이다. 미국이 인터넷을 만들었고 여전히 영향을 미치는 나라이므로 미국과 협력이 최우선돼야 한다”고 강조했다.
-
- 사이버보안
-
[사이버안보 진단](9) 국제협력의 핵심은 부다페스트 협약 가입과 한·미 협력
-
-
한국 주도한 보안 관련 권고안 4건 국제표준 사전 채택
- ▲ 이번 ‘ITU-T SG17’ 국제회의에서 보안 관련 권고안 4건 사전 채택을 이끌어낸 국립전파연구원. [국립전파연구원 홈페이지 캡처] ‘ITU-T SG17’ 회의에서 결정...지능형자동차 보안, 양자암호통신 등 ‘분산원장 기술’ 관련 신규 표준화 과제 4건도 제안해 통과시켜 [시큐리티팩트=김한경 안보전문기자] 과학기술정보통신부 국립전파연구원은 8월 27일부터 9월 5일까지 스위스 제네바에서 열린 ‘ITU-T SG17’ 국제회의에서 한국 주도로 개발한 지능형자동차 보안, 양자암호통신, 스마트그리드 권고안 등 4건이 국제표준으로 사전 채택됐다고 6일 밝혔다. ITU-T(국제전기통신연합 전기통신표준화 부문)는 전화·인터넷 등 네트워크와 사물인터넷(IoT), 빅데이터, 정보보호 등 관련 정보통신기술 및 활용, 요금 정산 등 분야의 국제표준 권고를 제정하는 정부 간 국제기구다. SG(Study Group)17은 보안 관련 ITU-T 권고 표준의 제·개정 활동을 수행하는 연구그룹을 말한다. 첫 번째 권고안인 'V2X 통신 환경 보안 가이드라인'(X.1372) 국제표준은 자율주행자동차 서비스에 가장 기본이 되는 차량 통신에 대한 보안기술을 정의하는데, V2X 통신은 차량과 차량, 차량과 교통인프라, 차량과 모바일기기, 차량과 보행자 간의 통신을 의미한다. 본 표준은 2014년부터 한국전자통신연구원, 현대자동차, 카카오모빌리티 주도로 개발됐다. 각 통신 간 보안 위협, 보안 요구사항 및 이용사례를 정의하고 있어 자율주행차를 연구하는 산업체의 제품 개발, 중복투자 방지 및 자동차 안전성 확보에 유용한 자료로 활용될 전망이다. 두 번째 권고안인 '커넥티드 카 보안 위협 정의'(X.1371) 국제표준은 지능형 자동차 보안서비스를 제공하기 위한 이용사례를 정의하고, 각 사례에서 발생할 수 있는 보안 위협을 식별하고 정의한다. 본 표준은 지능형 자동차 보안을 위한 외부 해킹, 백엔드 서버, 통신 채널, 업데이트 절차 등을 고려한 보안 위협을 식별 및 정의하고 있어 향후 국내 차량 보안 연구에 활용돼 기술적 우위를 확보함으로써 수출에도 도움이 될 것으로 기대된다. 세 번째 권고안인 '양자 잡음 난수생성기 구조'(X.1702) 국제표준은 세계 최초로 보안 관점에서 양자 기술을 적용한 난수 생성 방법을 정의한다. 본 표준은 2018년부터 SKT 주도로 개발됐으며, 예측이 불가능하고 패턴이 없는 순수 난수를 생성하는 양자 기술로서 사물인터넷, 자율주행차, 스마트시티 등 최첨단 서비스의 보안성을 강화할 것으로 기대된다. 네 번째 권고안인 '스마트 미터링 서비스 보안 가이드라인'(X.1332) 국제표준은 스마트그리드 환경에서 사용자의 스마트 미터(스마트 계량기)로부터 수집한 데이터를 안전하게 활용하기 위한 보안 대책을 정의한다. 스마트그리드는 전기공급자로부터 전기 소비자 전 구간에 전기 사용량 및 품질 정보를 원격 자동화해 효과적인 전기 공급을 관리해주는 서비스를 의미한다. 본 표준은 2016년부터 국가보안기술연구소 주도로 개발됐고, 최근 국내 에너지 신산업 계획을 통해 확대되고 있는 전력에너지 빅데이터 공동 활용에 응용될 것으로 기대된다. 한편, 이번 회의에서 한국은 ‘분산원장 기술 용어 정의’ 표준을 비롯한 신규 표준화 과제 4건을 제안하여 통과시켰으며, 향후 블록체인 기술을 비롯한 보안기술 연구 개발에 우리나라 표준화 입지가 더욱 확대될 것으로 기대된다. 이경희 국립전파연구원 국제협력팀장은 이번 국제회의 성과를 근거로 “ITU-T 내에 정보보호 분야에서 한국의 위상을 다시금 확인했고, 국내 정보보호 산업의 국제 시장 경쟁력 향상에 크게 기여할 것으로 기대된다”고 밝혔다.
-
- 사이버보안
-
한국 주도한 보안 관련 권고안 4건 국제표준 사전 채택
-
-
[사이버안보 진단](8) 사이버보안 신기술, 인증 평가기준이 족쇄로 작용
- ▲ CC 인증과 보안적합성 검증으로 인해 보안 기업이 겪는 애로를 과기정통부와 함께 해결할 수 있는 실질적인 기관인 국가정보원 전경. [국가정보원 홈페이지 캡처] 한국은 세계에서 ICT 인프라가 가장 발달된 나라 중 하나로 꼽힌다. 하지만 보안에 대한 인식은 낮아 사이버공격을 무기화하는 일부 국가나 해커 조직들에게 무방비로 노출된 상태다. 뉴스투데이는 한국의 사이버안보를 강화하기 위해 정부와 군 차원에서 과연 무엇을 어떻게 해야 할지 짚어보는 ‘사이버안보 진단’ 시리즈를 시작한다. <편집자 주> 정부·공공기관 및 국방에 제품 도입하려면 ‘국내용 CC 인증’ 필요해 CC 인증 제품 아닌 시스템과 네트워크 장비 ‘보안적합성 검증’ 받아야 [시큐리티팩트=김한경 안보전문기자] 사이버보안의 획기적인 신기술이 개발되더라도 정부·공공기관 또는 국방 영역에 그 기술이 반영된 제품이나 솔루션을 도입하려면 정부가 법적으로 인정한 권한을 가진 기관으로부터 ‘CC(Common Criteria, 공통평가기준) 인증’ 또는 국가정보원이나 군사안보지원사령부의 ‘보안적합성 검증’을 받아야 한다. CC 인증은 정보보호제품의 보안성을 평가기관에서 평가하고 이에 대한 결과를 인증기관에서 인증하는 제도다. 한국인터넷진흥원·한국시스템보증·한국정보통신기술협회·한국정보보안기술원 등 6개 기관에서 평가하고, 국가보안기술연구소 IT인증사무국이 인증업무를 담당하는데, 국제상호인정협정(CCRA) 회원국이 공통으로 사용하는 평가기준 및 평가방법론을 적용한다. CC 인증은 국제용과 국내용으로 구분된다. 우리나라는 CCRA 회원국이어서 CCRA에서 정한 기준 및 절차를 엄격히 준수한 국제용 CC 인증서를 발급할 권한이 있다. 국제용 CC 인증은 CCRA 회원국 상호간 인정된다. 하지만 국제용 CC 인증을 받으려면 시간과 비용이 많이 들어 우리나라에서만 인정되는 국내용 CC 인증도 함께 운영하고 있다. 보안적합성 검증은 국가정보원에서 정부·공공기관이 도입하는 정보보호시스템과 네트워크 장비에 대한 안정성을 검증하는 제도다. 단일 정보보호제품이 아닌 시스템과 네트워크 장비를 사용하려면 국가정보원의 보안적합성 검증 절차를 따라야 하며, 국방 분야는 이 권한이 군사안보지원사령부에 위임돼 있다. 도입 기관들은 국정원이나 군사안보지원사의 보안적합성 검증을 받은 후, 이 과정에서 발견된 취약점을 해결한 다음 해당 정보보호시스템 또는 네트워크 장비를 운영해야 한다. 또 국정원이 필요성을 인정하는 24개 정보보호시스템 유형은 CC 인증 제품을 반드시 사용해야 한다. 따라서 정부·공공기관 및 국방 분야에 납품하려면 최소한 국내용 CC 인증은 받아야 한다. 보안 신기술, 24개 정보보호 유형과 기존 평가기준으로 평가 어려워 그러면 24개 정보보호시스템 유형에 해당하지 않는 보안 신기술일 경우 어떻게 해야 할까? 또 24개 유형에 포함되더라도 새로운 기술이라서 기존 평가기준과 방법으로는 평가가 어려울 경우 해법은 무엇일까? 이에 대해 국정원 관계자는 “도입하려는 기관에서 먼저 시스템을 구축하고, 보안적합성 검증을 받으면 가능하다”고 말한다. 이와 관련, 새로운 개념의 보안 신기술을 개발한 한 업체 대표는 CC 인증을 받기 위해 자신의 제품을 과기정통부에 문의하자, “24개 유형에 해당하지 않아 CC 인증은 어려우며, 도입하려는 기관에서 국정원의 보안적합성 검증을 받으면 된다”는 얘기를 들었다고 했다. 하지만 현실은 어떤 기관도 그런 모험을 시도하는 실무자가 거의 없다는 것이다. 이 기업의 대표는 과거 국정원에서 CC 인증 업무를 담당했던 고위관계자도 만났다. 그로부터 “24개 유형은 보안에 관한 모든 것을 커버하는 고속도로”라면서 “신제품은 그 고속도로에 차선을 그리는 일이므로 국정원과 과기정통부가 협의하면 가능함에도 선례가 없다는 핑계로 기피하는 것”이라는 얘기를 들었다고 한다. 보안적합성 검증 대신하는 ‘시험성적서 발급’에도 한계 존재해 국방 분야, 국정원 보안적합성 검증 받았어도 다시 검증 거쳐야 보안적합성 검증 대신 시험성적서를 발급받는 방법도 있다. 과거에 국정원이 네트워크 장비를 대상으로 실시하던 것을 2016년부터 정보보호제품으로 확대한 제도다. 공인된 시험기관으로부터 보안기능 평가를 거쳐 시험성적서를 발급받은 네트워크 장비와 정보보호 제품은 정부·공공기관에 도입되더라도 보안적합성 검증을 별도로 받지 않는다. 하지만 이런 시험기관들도 신기술에 대해서는 “시험성적서를 내줄 제품이 아닌 것 같다”는 애매한 답변으로 일관한다. 따라서 신기술은 시험성적서 발급도, 평가기관들의 평가를 통한 인증서 발급도 쉽지 않은 상황이다. 결국 아무리 획기적인 보안 신기술이 나와도 기관장이 책임을 지겠다는 자세로 결심하지 않는 한 도입이 어려운 실정이다. 국방 분야에 진출하려는 기업은 과정을 한 단계 더 겪어야 한다. 국방 분야의 인증 권한은 앞서 언급했듯이 군사안보지원사가 갖고 있다. 따라서 국정원의 보안적합성 검증을 통과했더라도 다시 군사안보지원사의 검증을 받아야 한다. 군사안보지원사 정보보호인증센터 관계자는 “이 경우 서류 검토로 끝나기 때문에 시간은 오래 걸리지 않는다”고 말했다. 하지만 이미 검증을 받았더라도 시스템 구성이나 제품 사양이 변경되면 얘기는 달라진다. 이 경우 달라진 부분은 다시 보안적합성 검증 과정을 거쳐야 한다. 안보지원사는 2017년에 정보보호인증센터가 만들어져 국정원보다 축적된 경험과 노하우가 부족하기 때문에 국정원과 협의하면서 부족한 부분은 지원 받는다고 센터 관계자는 말했다. 보안기업, 소통 창구 개설되지 않아 애로...기존 틀에 맞지 않아 막막 정부, 신기술 테스트해 도입할 길 열고 관련업무 전담조직도 만들어야 CC 인증과 보안적합성 검증을 받는 과정에서 보안 기업들이 가장 힘들어 하는 것은 전문적인 분야임에도 소통 창구가 제대로 개설되지 않아 어느 기관 누구를 통해서 접근해야 할지 모른다는 것이다. 여러 번 시행착오 끝에 인증과 검증 절차를 알게 되더라도 기존 제도의 틀에 맞지 않을 경우 또 다시 막막한 상황에 부딪히게 된다. 정부가 CC 인증을 받도록 제도화하고 국정원과 군사안보지원사가 보안적합성 검증을 실시하는 근본 이유는 해당 시스템의 보안성을 높이기 위해서다. 그런데 보안성을 높일 수 있는 신기술들이 제도의 걸림돌 때문에 도입되지 못하는 이율배반적 상황이 만들어진다. 이 때 가장 바람직한 해결책은 무엇일까? 결국 정부가 나서서 신기술의 테스트베드를 만들고, 우리만의 평가기준과 방법을 개발해 테스트를 통과하면 그것을 근거로 정부·공공기관과 국방에서 도입할 수 있도록 길을 열어줘야 한다. 언제까지 남이 만들어주길 바라고 그것이 족쇄가 돼서 세계적인 신기술을 개발하고도 국내에서 적용하지 못하는 상황을 보고만 있을 것인가? 이를 지원하기 위해 전문성을 가진 조직이 관련부처 산하에 별도로 만들어져야 하고 보안 기업들과 유기적인 소통도 이뤄져야 한다. 그래야 우수한 기술력을 가진 보안 벤처기업들이 국내에서 레퍼런스를 만들고, 이를 바탕으로 해외로 진출할 기회를 갖게 된다. 정부가 한·일 갈등으로 국내 기업의 중요성을 인식한 지금이 추진할 적기다.
-
- 사이버보안
-
[사이버안보 진단](8) 사이버보안 신기술, 인증 평가기준이 족쇄로 작용
-
-
[사이버안보 진단] (7) 사이버위협에 노출된 국방부, 하루빨리 ‘버그바운티’ 도입해야
- ▲ 우리나라 국방부가 사이버 위협에 노출돼있음에도 불구하고 적극적인 대응시스템 구축이 부족하다는 지적이 높다. 사진은 지난 2016년 9월 10일 서울 마포구 상암동 한국지역정보개발원 내 사이버침해대응지원센터 상황실에서 북한의 5차 핵실험 이후 사이버 위협에 따른 휴일 비상근무를 하고 있는 모습. [사진제공=연합뉴스] 한국은 세계에서 ICT 인프라가 가장 발달된 나라 중 하나로 꼽힌다. 하지만 보안에 대한 인식은 낮아 사이버공격을 무기화하는 일부 국가나 해커 조직들에게 무방비로 노출된 상태다. 뉴스투데이는 한국의 사이버안보를 강화하기 위해 정부와 군 차원에서 과연 무엇을 어떻게 해야 할지 짚어보는 ‘사이버안보 진단’ 시리즈를 시작한다. <편집자 주> 미 국방부, ‘버그바운티’ 도입해 보안 취약점 찾는 해커에게 포상 [시큐리티팩트=김한경 안보전문기자] 2015년 8월 한국 20대 초반의 해커 팀(DEFKOR00T)이 세계 최고의 해킹방어대회인 ‘데프콘(DEFCON)’에서 최초로 우승했다. 1년 뒤인 2016년 8월 카네기멜론대학 연구팀이 만든 인공지능 컴퓨터 ‘메이헴(Mayhem)’은 미국 방위고등연구계획국(DARPA)이 개최한 인공지능 해킹방어대회인 ‘사이버그랜드챌린지(CGC)’에서 우승했다. 메이헴은 곧바로 데프콘에 참가해 인간 해커 팀들과 자웅을 겨뤘고, 비록 하위권에 머물렀지만 가능성을 충분히 인정받았다. 당시 한 보안업계 관계자는 "이번 데프콘을 계기로 인공지능이 해킹방어대회 우승을 차지하는 날이 점차 가까워질 것"이라고 내다봤다. 이와 같이 미국은 해킹에 악용될 수 있는 보안 취약점을 자동으로 찾아주는 로봇을 개발하고 있다. 미국 국방부는 2016년부터 자체 시스템을 대상으로 화이트 해커들이 보안 취약점을 찾아내면 포상금을 지급하는 ‘버그바운티(bug bounty)’ 행사를 'Hack the Pentagon'이란 이름으로 시행하고 있다. 사이버전에서는 상대 시스템의 보안 취약점을 많이 파악할수록 확실한 군사적 우위를 차지할 수 있기 때문이다. 첫 행사에서 전 세계 50개국 해커 1410명이 버그(보안 취약점) 138개를 찾아냈고 7만 5000달러가 포상금으로 지급됐다. 이 행사 이전에 미 국방부는 전문업체에게 3년간 500만 달러의 거액을 주고 겨우 10개의 버그를 찾았다. 버그바운티 행사가 비용대비 효과가 매우 뛰어나자 미국은 공군과 연방 정부 등으로 버그바운티를 확대했다. KISA, 미 국방부 버그바운티 벤치마킹한 'Hack the KISA' 개최 한국 국방부, 시스템의 보안 취약점 파악하려는 노력 없어 한국도 2018년 11월 한국인터넷진흥원(KISA)이 미국 국방부의 버그바운티 행사를 참고해 'Hack the KISA'를 개최했다. KISA에서 실제 운영하는 5개의 웹 사이트를 대상으로 진행한 버그바운티 행사에서 유효한 보안 취약점 60개를 찾아내 28명에게 2,555만 원의 포상금을 지급했다. KISA는 국내 기업들의 버그바운티 참조 모델을 만들어 국내에 버그바운티 프로그램을 활성화시키는데 목적이 있다고 행사 개최 이유를 밝혔다. 민간의 이런 움직임에 비해 한국 국방부는 아직도 버그바운티 프로그램을 도입하지 않고 있다. 따라서 자체 시스템에 어떤 보안 취약점이 있는지 알지 못한다. 취약점이 파악돼야 보완이 이루어져 사이버방어가 튼튼해지는데도 이런 노력을 하지 않는 이유는 무엇일까? 일각에서는 “버그바운티 행사를 기획했다가 예상치 못한 취약점이 드러나 책임질 상황이 초래될 것을 우려하기 때문”이란 주장이 제기됐다. 또 “포상금을 많이 줄 수 없어 행사 효과보다 해커에게 취약점 노출 기회만 제공할 수 있다”는 의견도 나온다. 손영동 교수, “정보 공유, 침해사고 대응과 확산 방지에 결정적 역할” 버그바운티 행사를 통해 수집되는 정보통신망·정보통신기기·소프트웨어의 보안 취약점 관련 정보 외에도 사이버공격에 관한 정보, 악성코드 및 이와 관련된 정보 등 수집해야 할 사이버위협 정보는 다양하다. 이러한 위협정보를 필요한 조직끼리 공유하는 것은 사이버방어에 대단히 중요하다. 손영동 한양대 교수는 “침해사고가 발생했을 때 신속한 정보 공유는 국가 차원의 대응과 피해 확산을 방지하는데 결정적 역할을 한다”고 강조했다. 현재 정보 공유에 가장 심혈을 기울이는 나라는 미국이다. 미국은 자국에 대한 사이버공격 표적이 군사시설은 물론 통신·전력·교통 등 사회기반시설로 보고 이에 대한 보안을 법제화했다. 정부기관의 사이버위협 정보 수집과 공유는 국토안보부(DHS) 산하의 국가사이버보안정보통합센터(NCCIC)가 관문 역할을 하고 있다. 민간 부문의 위협정보는 2015년 2월 대통령 행정명령으로 설립된 정보공유분석기구(ISAO)가 관장한다. 이를 제도적으로 뒷받침할 ‘사이버안보정보공유법(CISA)’이 2015년 12월 시행됐다. 이 법은 정보공유 절차를 명확히 하고 참여기관 간 정보공유 과정에서 발생할 수 있는 일부 부작용에 대해 소송의 원인이 되지 못하는 면책권을 부여하고 있다. 한국, 침해사고 터질 때마다 부문별 보유 위협정보 공유 주장 제기 한국은 대규모 사이버침해사고가 터질 때마다 각 부문별로 보유하고 있던 위협정보를 통합·공유해야 한다는 주장이 제기돼왔다. 특히 사이버공격이 공공부문보다 보안이 허술한 민간부문을 이용하는 경향이 두드러지자, 과학기술정보통신부는 2014년 8월 KISA를 통해 민간부문의 위협정보를 공유하는 사이버위협정보 분석·공유시스템(C-TAS)을 구축했다. 같은 시기에 행정안전부는 중앙부처와 지자체가 참여하는 사이버침해대응센터를 국가정보자원관리원과 한국지역정보개발원 산하에 만들었고, 금융위원회는 2015년 4월 금융보안원 산하에 은행·증권 등 금융기관이 참여하는 통합보안관제센터를 만들었다. 기반시설관리기관은 이미 2002년 3월부터 정보공유분석센터(ISAC)를 구축해 정보를 공유해오고 있다. 국방부는 자체적으로 안보지원사와 사이버작전사, 각 군의 사이버작전센터 및 사이버방호조직 사이에 위협정보를 공유하고 있다. 군이 활용하는 위협정보의 대부분은 국가기관과 민간에서 수집된 정보로서 주로 국정원, 경찰청, KISA 등을 통해 받게 되며, 군 자체적인 활동으로 수집된 위협정보는 일부에 지나지 않는 것으로 알려졌다. 정부기관 간 정보 공유 취약...미국처럼 정보공유법 도입 검토해야 이처럼 국가기관 및 민간부문은 상호 연관된 조직끼리 침해사고 정보를 단편적으로 공유하는 수준에 머물러 있다. 또 부처별, 산업별로 제각기 정보공유시스템을 구축함으로써 효율성이 떨어지고 상호간 정보 공유도 잘 되지 않는다. 게다가 정보 가치에 대한 객관적 판단 기준이 모호하고 정보 제공에 대한 피드백이나 보상이 없어 정보 공유가 활성화되지 못하는 상황이 지속되고 있다. 이런 문제를 인식한 정부는 2015년 12월 전 부문의 위협정보를 통합하기 위해 유관부처가 합동으로 ‘국가 사이버위협 정보공유시스템(NCTI)’을 구축했다. 2016년 6월 전체 중앙행정기관이 연결됐고, 광역지자체와 공공기관을 대상으로 연결을 확대하고 있다. 또 첨단기술 보유기업, 방위산업체, KISA, 금융보안원 등에도 제공하고 있다. 이와 같은 사이버위협 정보 공유의 중심에 국정원이 있다. 한 보안 전문가는 “정말 필요한 정보가 관련 부처 및 기관 간에 공유되려면 상호 신뢰를 바탕으로 원활한 소통이 이뤄져야 한다”면서 “각각의 입장과 여건을 고려한 국정원의 실질적인 역할이 필요하다”고 말했다. 가장 큰 과제는 정부와 민간 기업 사이의 정보 공유다. 기업은 법적 보호 없이는 정보를 공유할 수 없다고 생각한다. 좋은 의미로 정보를 제공했다가 불이익을 당할 수도 있기 때문이다. 하지만 우리는 아직 미국처럼 정보공유법이 도입되지 않았다. 따라서 정보공유 활성화를 위한 법적 근거를 마련하고 정보제공 기관 및 기업들이 혜택을 받을 수 있도록 해야 한다.
-
- 사이버보안
-
[사이버안보 진단] (7) 사이버위협에 노출된 국방부, 하루빨리 ‘버그바운티’ 도입해야
-
-
국내 이공계 최상위권 인맥 형성 산실된 ‘과학기술전문사관’
- ▲ 과학기술정보통신부가 16일부터 다음달 16일까지 ‘제6기 과학기술전문사관 후보생’을 모집한다. [사진제공=과학기술정보통신부] 과기정통부, ‘탈피오트’ 벤치마킹한 과학기술전문사관 후보생 모집 후보생 기간 중 매년 등록금 전액과 전문역량 개발비 500만원 지원 [시큐리티팩트=김한경 안보전문기자] 과학기술정보통신부가 국내 이공계 최상위권 인맥 형성의 산실로 발전하고 있는 ‘과학기술전문사관’ 제6기 후보생을 16일부터 다음달 16일까지 공개 모집한다. 과학기술전문사관은 과기정통부가 국방부와 함께 이스라엘의 엘리트 과학기술전문장교 양성 프로그램인 ‘탈피오트’ 제도를 벤치마킹하여 마련한 제도다. 이공계 분야의 뛰어난 인재들을 선발, 소정의 교육을 거쳐 장교로 임관시킨 후 국방과학연구소에서 3년간 연구개발을 수행함으로써 군 복무로 인한 경력단절 없이 해당분야의 전문성을 배양하고 전역 후 취·창업까지 연계하자는 취지다. 과학기술전문사관 후보생으로 선발되면 대학 재학 중 국방과학교육·창업전문교육·국방과학연구소 현장실습 등 추가 의무교육을 받아야 하며, 후보생 기간 중 매년 등록금 전액과 전문역량 개발비로 500만원의 장학금을 지원 받는다. 2014년에 최초로 1기 후보생을 선발했다. 당시에는 KAIST, 포항공대, 광주과학기술원(GIST), 울산과학기술원(UNIST)의 전기, 전자, 컴퓨터, 기계, 항공, 순수과학(물리, 화학 등) 계열 전공을 선택한 학생만 지원할 수 있었다. 2015년에는 여기에 대구경북과학기술원(DGIST)이 추가됐고, 2017년 4기 모집부터 이공계열에 일정 범위의 학기를 이수한 재학생이라면 다른 조건 없이 지원할 수 있게 됐다. 매년 이공계 분야 전체에서 20-25명을 선발하고 있는데, 3기까지는 과기특성화대학교와 대통령과학장학금 및 이공계장학금 수여자가 지원 자격 기준이어서 국내 이공계 최상위권 인맥이 자연스럽게 형성된다. 한 기수의 전자전기 계열 중에 카이스트, 포스텍, 유니스트 수석이 모두 배출된 선례가 있다. 또 학부 시절에 SCI급 논문 1저자로 게재되거나 세계대회에서 수상한 사람들도 있으며, 해외 대학에서 박사과정 장학금을 포기하고 지원한 사람도 있다고 한다. 이번에 선발되는 과학기술전문사관 후보생은 대학 재학 중 2년의 국방과학기술 양성과정을 거치며, 졸업 후 육군학생군사학교에서 전문사관 과정 교육을 받고 연구개발장교로 임관해 2022년부터 국방과학연구소(ADD)에서 3년간 복무하게 된다. 과학기술전문사관이 되면 정부출연연구소에서 석·박사급이 하는 연구에 학사 출신이 참여해 경험을 쌓을 수 있는데다, 일과 이후 및 주말 시간을 이용해 석사학위를 취득할 수도 있다. 또 전역 후 국방과학연구소나 방위산업체 취업에도 도움이 된다. 과기정통부는 전국 4년제 이공계 분야 전공자 가운데 올해 9월 현재 제4∼5학기 재학생 또는 2020년 3월 제5∼6학기 복학 예정자를 대상으로 모집한다. 지원을 희망하는 학생은 서류를 구비해 과학기술전문사관 지원센터(대전광역시 유성구 문지로 193 한국과학기술원(KAIST) 학부동(F) 444호)로 직접 제출하거나 등기우편으로 보내면 된다.
-
- 사이버보안
-
국내 이공계 최상위권 인맥 형성 산실된 ‘과학기술전문사관’