사이버보안Home >  사이버보안
-
삼성전자, 강력한 보안 솔루션 적용 '원 UI 7' 베타 프로그램 운영 개시
[시큐리티팩트=김상규 기자] 삼성전자가 차세대 ‘갤럭시 AI’와 강력한 보안 솔루션을 적용한 ‘One UI 7’의 베타 프로그램을 5일부터 운영한다. ‘One UI 7’ 베타 프로그램은 한국, 미국, 영국, 독일, 폴란드, 인도에서 갤럭시 S24 시리즈(S24 울트라∙S24+∙S24) 사용자를 대상으로 순차적으로 진행된다고 삼성은 6일 밝혔다. One UI 7은 초연결 시대에 맞춰 스마트하고 안전한 모바일 경험을 뒷받침하는 신규 보안 기능을 대거 탑재했다. 주요 보안 기능으로 ‘내 기기 보안 상태(Security Status of Your Devices)’ 기능은 서로 연결된 기기들을 통합적으로 보호하는 보안 솔루션 ‘녹스 매트릭스(Knox Matrix)’를 통해 갤럭시 에코시스템 내 연결된 모바일∙TV∙가전 등의 기기 보안 상태를 한눈에 확인할 수 있게 해준다. 와이파이(Wi-Fi) 자동 재 연결, 첨부파일 자동 다운로드 등을 막아 사이버 위협을 보다 강력하게 방어하는 ‘최대 제한(Maximum Restriction)’ 기능도 탑재했다. ‘안전 설치(Safe Install)’기능이 있어 승인되지 않은 출처의 앱이 설치되는 ‘사이드로딩(Sideloading)’이 진행될 경우 사용자에게 보안 위험을 경고한다. 삼성전자는 ‘잠금 상태에서 USB 연결 차단’ 기능과 ‘도난당한 기기 보호(Theft Protection)’ 기능도 이번에 새로 추가했다. 삼성전자는 ‘One UI 7’에 생성형 AI 기반 기능을 보강했다. 각 앱 별로 지원되던 텍스트 요약, 맞춤법과 문법 검사 등 생성형 AI 기반의 텍스트 편집 기능들을 프레임워크 단에서 지원하도록 통합했다. 이를 통해 생성형 AI 기반의 텍스트 편집 기능 사용 범위가 기기 전반으로 확장돼 사용자는 사용중인 화면에서 해당 기능을 쉽게 활용할 수 있다. 또한 통화 내용을 글로 옮겨주는 ‘텍스트 변환(Call Transcript)’ 기능도 새롭게 추가했다. 사용자가 해당 기능을 설정해두면 번거로운 과정없이 자동으로 통화 녹음이 글로 기록된다. 직관적이고 몰입도 높은 모바일 경험을 제공하는 UI 기능도 강화했다. 삼성전자는 “‘One UI 7’ 공식 버전은 2025년 1분기에 출시될 갤럭시 S 시리즈부터 탑재되며 이후 기존 출시된 갤럭시 기기에도 순차 적용될 예정”이라고 전했다.
-
“2025년 AI가 테크 빅뱅 촉발할 것”…델 테크놀로지스, 2025 IT 기술 전망 발표
[시큐리티팩트=김상규 기자] 델 테크놀로지스가 5일 내년도 기술 트렌드 전망을 발표했다. 보고서에 따르면 2025년에는 AI가 일상 생활과 업무 환경, 여가에 이르는 모든 영역에 핵심 기술로 자리 잡으며 미래를 재정의할 전망이다. 델은 구체적으로 보고서에서 ▲에이전틱 AI 아키텍처의 부상 ▲엔터프라이즈 AI가 개념 단계에서 실무 환경으로 확대 ▲소버린 AI의 가속화 ▲AI와 신흥 기술의 융합 ▲AI 데이터센터를 위한 초고속 분산형 아키텍처 ▲AI PC가 분산 아키텍처의 중요한 역할 담당 ▲지속가능한 데이터센터로 비용 및 환경문제 해결을 제시했다. ▶에이전틱 AI 아키텍처의 부상 에이전틱 AI 아키텍처가 인간과 AI의 상호작용에 새로운 장을 열 것으로 전망된다. 델 테크놀로지스의 글로벌 CTO이자 CAIO(최고 AI 책임자)인 존 로즈는 2025년에는 보다 발전된 형태의 에이전트가 등장할 것으로 전망했다. 자율적으로 작동하고, 자연어로 소통하며, 다른 에이전트 및 사람과 팀을 이루어 작업하는 등 상호 작용이 강화된 형태의 에이전트가 부상할 것이라는 전망과 함께 코딩, 코드 검토, 인프라 관리, 비즈니스 계획 및 사이버 보안과 같은 특정 기술을 수행하도록 AI가 세밀하게 조정되고 최적화될 것으로 내다봤다. ▶엔터프라이즈 AI가 개념 단계에서 실무 환경으로 확대 엔터프라이즈 AI는 기업이나 공공기관의 기관의 생산력 향상을 위해 가장 중요한 영역에서 가장 영향력 있는 프로세스에 AI 기술을 적용하는 것을 의미한다. 2025년에는 우선 순위를 중심으로 반복 가능한 명확한 접근 방식을 취하고, 턴키 형태로 정교하게 정의된 AI 플랫폼 및 AI 인프라 옵션이 등장할 전망이다. 터프라이즈 영역에 AI를 적용하는 과정 또한 더 간편해질 전망이다. ▶소버린 AI의 가속화 소버린 AI란 국가가 자체 인프라와 데이터를 사용하여 AI 가치와 차별화를 창출하고 현지 문화, 언어 및 지적 재산에 부합하는 생태계를 설계하는 능력을 의미한다. 데이터 보안이 가장 중요한 시대에 각국은 공공과 민간의 강력한 협력을 통해 소버린 AI 전략과 솔루션을 확보하는 추세이다. 소버린 AI를 위해 인프라, 데이터 관리, 인재 양성, 생태계 개발을 위한 투자가 증가하고 있으며, 이러한 추세는 앞으로도 계속될 것으로 예상된다. ▶AI와 신흥 기술의 융합 AI의 진정한 잠재력은 여러 신흥 기술들과 만났을 때 더욱 커질 수 있다. 양자 컴퓨팅, 지능형 엣지, 제로 트러스트 보안, 6G 기술, 디지털 트윈 등과 결합하면 그 영향력은 배가되며, 혁신과 기존 과제의 해결을 위한 역동적인 환경을 조성한다. 예를 들어, AI와 결합된 양자 컴퓨팅은 AI를 확장하는 데 필요한 컴퓨팅 기능을 제공함으로써 전통적인 컴퓨팅의 한계를 극복할 것이다. 복잡한 재료 과학, 신약 개발, 복잡한 최적화 문제 등을 해결함으로써 다양한 산업에 큰 영향을 미친다. 제로 트러스트 보안과 AI도 서로 영향을 미친다. 제로 트러스트 아키텍처는 더 안전하고 더 나은 세상을 위한 최선의 방법이지만, 전통적인 영역(브라운필드)의 레거시 IT에서 제로 트러스트를 구현하는 것은 제한적이다. 반면, AI 인프라는 새로운 그린 필드이다. 최적의 보안을 위해 AI 팩토리에 제로 트러스트를 기본 옵션으로 채택하는 사례가 늘어날 것으로 전망된다. ▶AI 데이터센터를 위한 초고속 분산형 아키텍처 AI는 이제 학습에서 추론으로의 전환이 이루어지고 있다. 학습과 달리 추론은 워크로드를 실행할 위치를 품질, 비용, 데이터, 보안 및 지연 시간에 따라 최적화하는 데 중점을 둔다. 이러한 변화와 함께 AI는 컴퓨팅, 스토리지 및 네트워크를 각각 독립적으로 확장할 수 있는 초고속 분산형 아키텍처로 이동하고 있다. 이를 통해 기업과 기관에서는 비용을 절감하고, 사일로(silo)를 해소하며, 공급업체 종속을 방지할 수 있다. ▶AI PC가 분산 아키텍처의 중요한 역할 담당 2025년에는 데이터가 점점 더 분산되어 이로 인해 기업이 데이터에 맞춰 AI를 적용하는 위치도 변화할 전망이다. 데이터센터와 클라우드를 넘어 엣지와 PC로 이동함에 따라 AI PC를 사용하면 데이터를 디바이스에서 직접 처리하여 클라우드에 의존하는 것보다 더 빠르고 비용 효율적이며 안전하게 처리할 수 있다. 거의 모든 디바이스에 NPU가 탑재되고, 이는 PC가 디바이스에서 로컬로 AI 워크로드나 앱을 실행할 수 있다는 것을 의미한다. PC의 AI 도구와 애플리케이션은 모든 일상 업무를 지원하며 사용자와 함께 진화하여 요구를 예측하고 생산성을 높여준다. 고성능의 CPU, GPU, NPU와 다양한 PC 실리콘 옵션이 등장하며 선택과 혁신의 폭이 그 어느 때보다 넓어질 것 전망이다. ▶지속가능한 데이터센터로 비용 및 환경문제 해결해야 에너지 비용의 상승과 특정 AI 워크로드의 에너지 수요 및 환경에 미치는 영향은 중대한 과제이다. 전 세계적으로 규제 요건이 더욱 엄격해지면서 새로운 수준의 요건들이 등장하고 있다. 데이터센터의 경우, 하드웨어 차원의 에너지 효율 혁신, 오래되거나 노후화된 장비의 책임 있는 폐기, 다양한 에너지원 사용을 통해 환경 영향을 최소화하고 수익을 극대화하는 노력이 요구된다. 대표적인 사례로는 액체 냉각 혁신이다. 최적화된 냉각판과 누출 감지 기술을 통해 안정성과 효율성을 높일 수 있다. 더 나은 효율성과 성능 최적화를 위한 워크로드 관리 및 모니터링 도구도 필수적이다. 이러한 데이터를 분석하면 조직이 원하는 성능에 맞게 AI 솔루션의 규모를 조정하고 요구 사항을 효과적으로 충족할 수 있다.
-
쿤텍, AI기반 사이버공방 가상화 전장 구축
[시큐리티팩트=김상규 기자] 쿤텍은 AI 기반의 사이버보안 위협 탐지 엔진 개발을 위한 ‘사이버공방 가상화 전장’ 구축에 성공했다고 5일 밝혔다. 이는 과학기술정보통신부에서 지원하고 정보통신기획평가원(IITP)이 주관하는 정보보호 핵심원천 기술개발사업의 ‘자가진화형 AI기반 사이버공방 핵심원천기술 개발’ 과제 수행을 통해 얻어 낸 결과다. 쿤텍은 ETRI와 사이버공격 시나리오를 자동으로 생성하고 사이버 전(Self-Play)을 수행하여 스스로 학습·진화하는 AI 기반 진화형 사이버공방 핵심기술을 개발했다. 인공지능 기반 사이버 훈련장을 통해 실증도 수행했다. 쿤텍이 개발한 사이버 전장 환경은 SDN(Software Defined Network) 기반의 가상 네트워크를 통해 다양한 구조의 가상 전장을 유연하게 구성할 수 있다. 가상 네트워크 전장 구축은 가상 전장 구성 요소와 연결 정보를 설정 파일에 입력하면 자동으로 구축되는 방식이다. 사용성이 편리하고 자동화에 용이한 이점이 있어 기존에 가상 전장을 수동으로 구성하는 방식에서 크게 개선되었다는 것이 특징이다.
-
KT, 큐싱 범죄 막는 '안심 QR 서비스' 출시
[시큐리티팩트=김상규 기자] KT는 최근 증가하는 큐싱 범죄 피해를 예방하기 위해 ‘안심 QR 서비스’를 출시한다고 5일 밝혔다. 안심 QR 서비스는 사용자가 QR코드를 스캔하면 해당 코드가 악성 앱 설치 URL이나 불법 웹사이트로 연결되는지 탐지해 알려준다. 스미싱 URL로 판단되면 연결을 차단하고 경고문구를 노출한다. 신뢰성이 검증되지 않은 새로운 URL인 경우 주의 문구와 함께 사이트 이동 여부를 고객에게 확인한다. KT 안심 QR 서비스는 ‘마이케이티’ 앱을 통해 누구나 로그인 없이 무료로 이용할 수 있다. KT는 안심 QR 서비스 활성화를 위해 ‘안심 QR 드로우 이벤트’를 오는 16일부터 2주간 진행한다. 마이케이티 앱 이용 고객이라면 누구나 이벤트 페이지에 있는 테스트용 QR코드 촬영 후 응모할 수 있다. 큐싱((QR코드+Phishing)은 공공장소나 서비스 등에 부착된 정상적 QR코드 위에 해커가 만든 악성 QR코드를 덧붙이는 등의 방식으로 이용자의 촬영을 유도해 악성 앱이나 해킹 프로그램을 설치하도록 만드는 피싱(Phishing) 사기 수법을 뜻한다.
-
스패로우 클라우드, 국정원 보안성 검토 통과…공공기관 도입 용이
[시큐리티팩트=김상규 기자] 스패로우는 SaaS형 애플리케이션 보안 취약점 분석 솔루션 ‘스패로우 클라우드’가 국가정보원의 보안성 검토를 통과했다고 5일 밝혔다. 스패로우 클라우드는 애플리케이션에 존재하는 보안 취약점을 분석하는 클라우드 서비스다. 국내에서 유일하게 소스코드 분석(SAST)·오픈소스 분석(SCA)·웹취약점 분석(DAST)을 모두 제공한다고 회사측은 설명했다. 이번에 스패로우는 보다 엄격한 보안을 필요로 하는 국가·공공기관도 스패로우 클라우드를 도입해 SW 취약점을 점검할 수 있도록 국정원 보안성 검토를 마쳤다. 인증과 접근, 암호화, 감사기록 등의 추가적인 보안 요건도 충족시켰다. 이로써 기관은 별도의 구축비와 유지관리비 없이 이용 요금만으로 지속적인 취약점 점검과 SW 안전 확보가 가능해졌다. 장일수 스패로우 대표는 “정부에서 민간 SaaS 이용을 촉진하는 가운데, 스패로우 클라우드는 국정원의 엄격한 보안성 검토를 통과함으로써 다시 한번 보안성을 검증받았다”며 “공공기관이 스패로우 클라우드로 안전한 SW 공급망을 구축할 수 있도록 적극 지원하겠다”고 말했다.
-
LG전자, 최고 수준 차량 사이버보안 인증…글로벌 전장 시장 공략 강화
[시큐리티팩트=김상규 기자] LG전자가 업계 최고 수준의 차량 사이버보안 관리체계(CSMS) 인증인 레벨3를 획득하며 글로벌 전장시장 공략을 강화한다. LG전자는 최근 국제 공인시험인증기관인 TUV라인란드로부터 CSMS 레벨3 인증을 완료했다고 밝혔다. CSMS 인증은 다양한 시나리오를 가정해 인포테인먼트, 텔레매틱스 등 전장 제품의 설계, 개발, 소프트웨어, 생산 및 사후관리까지 전 과정에 보안이 제대로 적용되어 있는지 확인하고 모의 해킹 침투 테스트 등을 통해 철저하게 역량을 평가한다. LG전자는 지난해 사이버보안 관리체계를 갖추고 있음을 인증 받는 CSMS 레벨2를 획득한 바 있다. LG전자 관계자는 “이번 인증을 통해 나날이 강화되는 글로벌 전장시장의 사이버보안 규제에 선제적으로 대응하고, 완성차 고객들이 신뢰할 수 있는 메이저 전장부품 공급사로서의 역량을 입증했다”고 전했다.
실시간 사이버보안 기사
-
-
[사이버안보 진단](8) 사이버보안 신기술, 인증 평가기준이 족쇄로 작용
- ▲ CC 인증과 보안적합성 검증으로 인해 보안 기업이 겪는 애로를 과기정통부와 함께 해결할 수 있는 실질적인 기관인 국가정보원 전경. [국가정보원 홈페이지 캡처] 한국은 세계에서 ICT 인프라가 가장 발달된 나라 중 하나로 꼽힌다. 하지만 보안에 대한 인식은 낮아 사이버공격을 무기화하는 일부 국가나 해커 조직들에게 무방비로 노출된 상태다. 뉴스투데이는 한국의 사이버안보를 강화하기 위해 정부와 군 차원에서 과연 무엇을 어떻게 해야 할지 짚어보는 ‘사이버안보 진단’ 시리즈를 시작한다. <편집자 주> 정부·공공기관 및 국방에 제품 도입하려면 ‘국내용 CC 인증’ 필요해 CC 인증 제품 아닌 시스템과 네트워크 장비 ‘보안적합성 검증’ 받아야 [시큐리티팩트=김한경 안보전문기자] 사이버보안의 획기적인 신기술이 개발되더라도 정부·공공기관 또는 국방 영역에 그 기술이 반영된 제품이나 솔루션을 도입하려면 정부가 법적으로 인정한 권한을 가진 기관으로부터 ‘CC(Common Criteria, 공통평가기준) 인증’ 또는 국가정보원이나 군사안보지원사령부의 ‘보안적합성 검증’을 받아야 한다. CC 인증은 정보보호제품의 보안성을 평가기관에서 평가하고 이에 대한 결과를 인증기관에서 인증하는 제도다. 한국인터넷진흥원·한국시스템보증·한국정보통신기술협회·한국정보보안기술원 등 6개 기관에서 평가하고, 국가보안기술연구소 IT인증사무국이 인증업무를 담당하는데, 국제상호인정협정(CCRA) 회원국이 공통으로 사용하는 평가기준 및 평가방법론을 적용한다. CC 인증은 국제용과 국내용으로 구분된다. 우리나라는 CCRA 회원국이어서 CCRA에서 정한 기준 및 절차를 엄격히 준수한 국제용 CC 인증서를 발급할 권한이 있다. 국제용 CC 인증은 CCRA 회원국 상호간 인정된다. 하지만 국제용 CC 인증을 받으려면 시간과 비용이 많이 들어 우리나라에서만 인정되는 국내용 CC 인증도 함께 운영하고 있다. 보안적합성 검증은 국가정보원에서 정부·공공기관이 도입하는 정보보호시스템과 네트워크 장비에 대한 안정성을 검증하는 제도다. 단일 정보보호제품이 아닌 시스템과 네트워크 장비를 사용하려면 국가정보원의 보안적합성 검증 절차를 따라야 하며, 국방 분야는 이 권한이 군사안보지원사령부에 위임돼 있다. 도입 기관들은 국정원이나 군사안보지원사의 보안적합성 검증을 받은 후, 이 과정에서 발견된 취약점을 해결한 다음 해당 정보보호시스템 또는 네트워크 장비를 운영해야 한다. 또 국정원이 필요성을 인정하는 24개 정보보호시스템 유형은 CC 인증 제품을 반드시 사용해야 한다. 따라서 정부·공공기관 및 국방 분야에 납품하려면 최소한 국내용 CC 인증은 받아야 한다. 보안 신기술, 24개 정보보호 유형과 기존 평가기준으로 평가 어려워 그러면 24개 정보보호시스템 유형에 해당하지 않는 보안 신기술일 경우 어떻게 해야 할까? 또 24개 유형에 포함되더라도 새로운 기술이라서 기존 평가기준과 방법으로는 평가가 어려울 경우 해법은 무엇일까? 이에 대해 국정원 관계자는 “도입하려는 기관에서 먼저 시스템을 구축하고, 보안적합성 검증을 받으면 가능하다”고 말한다. 이와 관련, 새로운 개념의 보안 신기술을 개발한 한 업체 대표는 CC 인증을 받기 위해 자신의 제품을 과기정통부에 문의하자, “24개 유형에 해당하지 않아 CC 인증은 어려우며, 도입하려는 기관에서 국정원의 보안적합성 검증을 받으면 된다”는 얘기를 들었다고 했다. 하지만 현실은 어떤 기관도 그런 모험을 시도하는 실무자가 거의 없다는 것이다. 이 기업의 대표는 과거 국정원에서 CC 인증 업무를 담당했던 고위관계자도 만났다. 그로부터 “24개 유형은 보안에 관한 모든 것을 커버하는 고속도로”라면서 “신제품은 그 고속도로에 차선을 그리는 일이므로 국정원과 과기정통부가 협의하면 가능함에도 선례가 없다는 핑계로 기피하는 것”이라는 얘기를 들었다고 한다. 보안적합성 검증 대신하는 ‘시험성적서 발급’에도 한계 존재해 국방 분야, 국정원 보안적합성 검증 받았어도 다시 검증 거쳐야 보안적합성 검증 대신 시험성적서를 발급받는 방법도 있다. 과거에 국정원이 네트워크 장비를 대상으로 실시하던 것을 2016년부터 정보보호제품으로 확대한 제도다. 공인된 시험기관으로부터 보안기능 평가를 거쳐 시험성적서를 발급받은 네트워크 장비와 정보보호 제품은 정부·공공기관에 도입되더라도 보안적합성 검증을 별도로 받지 않는다. 하지만 이런 시험기관들도 신기술에 대해서는 “시험성적서를 내줄 제품이 아닌 것 같다”는 애매한 답변으로 일관한다. 따라서 신기술은 시험성적서 발급도, 평가기관들의 평가를 통한 인증서 발급도 쉽지 않은 상황이다. 결국 아무리 획기적인 보안 신기술이 나와도 기관장이 책임을 지겠다는 자세로 결심하지 않는 한 도입이 어려운 실정이다. 국방 분야에 진출하려는 기업은 과정을 한 단계 더 겪어야 한다. 국방 분야의 인증 권한은 앞서 언급했듯이 군사안보지원사가 갖고 있다. 따라서 국정원의 보안적합성 검증을 통과했더라도 다시 군사안보지원사의 검증을 받아야 한다. 군사안보지원사 정보보호인증센터 관계자는 “이 경우 서류 검토로 끝나기 때문에 시간은 오래 걸리지 않는다”고 말했다. 하지만 이미 검증을 받았더라도 시스템 구성이나 제품 사양이 변경되면 얘기는 달라진다. 이 경우 달라진 부분은 다시 보안적합성 검증 과정을 거쳐야 한다. 안보지원사는 2017년에 정보보호인증센터가 만들어져 국정원보다 축적된 경험과 노하우가 부족하기 때문에 국정원과 협의하면서 부족한 부분은 지원 받는다고 센터 관계자는 말했다. 보안기업, 소통 창구 개설되지 않아 애로...기존 틀에 맞지 않아 막막 정부, 신기술 테스트해 도입할 길 열고 관련업무 전담조직도 만들어야 CC 인증과 보안적합성 검증을 받는 과정에서 보안 기업들이 가장 힘들어 하는 것은 전문적인 분야임에도 소통 창구가 제대로 개설되지 않아 어느 기관 누구를 통해서 접근해야 할지 모른다는 것이다. 여러 번 시행착오 끝에 인증과 검증 절차를 알게 되더라도 기존 제도의 틀에 맞지 않을 경우 또 다시 막막한 상황에 부딪히게 된다. 정부가 CC 인증을 받도록 제도화하고 국정원과 군사안보지원사가 보안적합성 검증을 실시하는 근본 이유는 해당 시스템의 보안성을 높이기 위해서다. 그런데 보안성을 높일 수 있는 신기술들이 제도의 걸림돌 때문에 도입되지 못하는 이율배반적 상황이 만들어진다. 이 때 가장 바람직한 해결책은 무엇일까? 결국 정부가 나서서 신기술의 테스트베드를 만들고, 우리만의 평가기준과 방법을 개발해 테스트를 통과하면 그것을 근거로 정부·공공기관과 국방에서 도입할 수 있도록 길을 열어줘야 한다. 언제까지 남이 만들어주길 바라고 그것이 족쇄가 돼서 세계적인 신기술을 개발하고도 국내에서 적용하지 못하는 상황을 보고만 있을 것인가? 이를 지원하기 위해 전문성을 가진 조직이 관련부처 산하에 별도로 만들어져야 하고 보안 기업들과 유기적인 소통도 이뤄져야 한다. 그래야 우수한 기술력을 가진 보안 벤처기업들이 국내에서 레퍼런스를 만들고, 이를 바탕으로 해외로 진출할 기회를 갖게 된다. 정부가 한·일 갈등으로 국내 기업의 중요성을 인식한 지금이 추진할 적기다.
-
- 사이버보안
-
[사이버안보 진단](8) 사이버보안 신기술, 인증 평가기준이 족쇄로 작용
-
-
[사이버안보 진단] (7) 사이버위협에 노출된 국방부, 하루빨리 ‘버그바운티’ 도입해야
- ▲ 우리나라 국방부가 사이버 위협에 노출돼있음에도 불구하고 적극적인 대응시스템 구축이 부족하다는 지적이 높다. 사진은 지난 2016년 9월 10일 서울 마포구 상암동 한국지역정보개발원 내 사이버침해대응지원센터 상황실에서 북한의 5차 핵실험 이후 사이버 위협에 따른 휴일 비상근무를 하고 있는 모습. [사진제공=연합뉴스] 한국은 세계에서 ICT 인프라가 가장 발달된 나라 중 하나로 꼽힌다. 하지만 보안에 대한 인식은 낮아 사이버공격을 무기화하는 일부 국가나 해커 조직들에게 무방비로 노출된 상태다. 뉴스투데이는 한국의 사이버안보를 강화하기 위해 정부와 군 차원에서 과연 무엇을 어떻게 해야 할지 짚어보는 ‘사이버안보 진단’ 시리즈를 시작한다. <편집자 주> 미 국방부, ‘버그바운티’ 도입해 보안 취약점 찾는 해커에게 포상 [시큐리티팩트=김한경 안보전문기자] 2015년 8월 한국 20대 초반의 해커 팀(DEFKOR00T)이 세계 최고의 해킹방어대회인 ‘데프콘(DEFCON)’에서 최초로 우승했다. 1년 뒤인 2016년 8월 카네기멜론대학 연구팀이 만든 인공지능 컴퓨터 ‘메이헴(Mayhem)’은 미국 방위고등연구계획국(DARPA)이 개최한 인공지능 해킹방어대회인 ‘사이버그랜드챌린지(CGC)’에서 우승했다. 메이헴은 곧바로 데프콘에 참가해 인간 해커 팀들과 자웅을 겨뤘고, 비록 하위권에 머물렀지만 가능성을 충분히 인정받았다. 당시 한 보안업계 관계자는 "이번 데프콘을 계기로 인공지능이 해킹방어대회 우승을 차지하는 날이 점차 가까워질 것"이라고 내다봤다. 이와 같이 미국은 해킹에 악용될 수 있는 보안 취약점을 자동으로 찾아주는 로봇을 개발하고 있다. 미국 국방부는 2016년부터 자체 시스템을 대상으로 화이트 해커들이 보안 취약점을 찾아내면 포상금을 지급하는 ‘버그바운티(bug bounty)’ 행사를 'Hack the Pentagon'이란 이름으로 시행하고 있다. 사이버전에서는 상대 시스템의 보안 취약점을 많이 파악할수록 확실한 군사적 우위를 차지할 수 있기 때문이다. 첫 행사에서 전 세계 50개국 해커 1410명이 버그(보안 취약점) 138개를 찾아냈고 7만 5000달러가 포상금으로 지급됐다. 이 행사 이전에 미 국방부는 전문업체에게 3년간 500만 달러의 거액을 주고 겨우 10개의 버그를 찾았다. 버그바운티 행사가 비용대비 효과가 매우 뛰어나자 미국은 공군과 연방 정부 등으로 버그바운티를 확대했다. KISA, 미 국방부 버그바운티 벤치마킹한 'Hack the KISA' 개최 한국 국방부, 시스템의 보안 취약점 파악하려는 노력 없어 한국도 2018년 11월 한국인터넷진흥원(KISA)이 미국 국방부의 버그바운티 행사를 참고해 'Hack the KISA'를 개최했다. KISA에서 실제 운영하는 5개의 웹 사이트를 대상으로 진행한 버그바운티 행사에서 유효한 보안 취약점 60개를 찾아내 28명에게 2,555만 원의 포상금을 지급했다. KISA는 국내 기업들의 버그바운티 참조 모델을 만들어 국내에 버그바운티 프로그램을 활성화시키는데 목적이 있다고 행사 개최 이유를 밝혔다. 민간의 이런 움직임에 비해 한국 국방부는 아직도 버그바운티 프로그램을 도입하지 않고 있다. 따라서 자체 시스템에 어떤 보안 취약점이 있는지 알지 못한다. 취약점이 파악돼야 보완이 이루어져 사이버방어가 튼튼해지는데도 이런 노력을 하지 않는 이유는 무엇일까? 일각에서는 “버그바운티 행사를 기획했다가 예상치 못한 취약점이 드러나 책임질 상황이 초래될 것을 우려하기 때문”이란 주장이 제기됐다. 또 “포상금을 많이 줄 수 없어 행사 효과보다 해커에게 취약점 노출 기회만 제공할 수 있다”는 의견도 나온다. 손영동 교수, “정보 공유, 침해사고 대응과 확산 방지에 결정적 역할” 버그바운티 행사를 통해 수집되는 정보통신망·정보통신기기·소프트웨어의 보안 취약점 관련 정보 외에도 사이버공격에 관한 정보, 악성코드 및 이와 관련된 정보 등 수집해야 할 사이버위협 정보는 다양하다. 이러한 위협정보를 필요한 조직끼리 공유하는 것은 사이버방어에 대단히 중요하다. 손영동 한양대 교수는 “침해사고가 발생했을 때 신속한 정보 공유는 국가 차원의 대응과 피해 확산을 방지하는데 결정적 역할을 한다”고 강조했다. 현재 정보 공유에 가장 심혈을 기울이는 나라는 미국이다. 미국은 자국에 대한 사이버공격 표적이 군사시설은 물론 통신·전력·교통 등 사회기반시설로 보고 이에 대한 보안을 법제화했다. 정부기관의 사이버위협 정보 수집과 공유는 국토안보부(DHS) 산하의 국가사이버보안정보통합센터(NCCIC)가 관문 역할을 하고 있다. 민간 부문의 위협정보는 2015년 2월 대통령 행정명령으로 설립된 정보공유분석기구(ISAO)가 관장한다. 이를 제도적으로 뒷받침할 ‘사이버안보정보공유법(CISA)’이 2015년 12월 시행됐다. 이 법은 정보공유 절차를 명확히 하고 참여기관 간 정보공유 과정에서 발생할 수 있는 일부 부작용에 대해 소송의 원인이 되지 못하는 면책권을 부여하고 있다. 한국, 침해사고 터질 때마다 부문별 보유 위협정보 공유 주장 제기 한국은 대규모 사이버침해사고가 터질 때마다 각 부문별로 보유하고 있던 위협정보를 통합·공유해야 한다는 주장이 제기돼왔다. 특히 사이버공격이 공공부문보다 보안이 허술한 민간부문을 이용하는 경향이 두드러지자, 과학기술정보통신부는 2014년 8월 KISA를 통해 민간부문의 위협정보를 공유하는 사이버위협정보 분석·공유시스템(C-TAS)을 구축했다. 같은 시기에 행정안전부는 중앙부처와 지자체가 참여하는 사이버침해대응센터를 국가정보자원관리원과 한국지역정보개발원 산하에 만들었고, 금융위원회는 2015년 4월 금융보안원 산하에 은행·증권 등 금융기관이 참여하는 통합보안관제센터를 만들었다. 기반시설관리기관은 이미 2002년 3월부터 정보공유분석센터(ISAC)를 구축해 정보를 공유해오고 있다. 국방부는 자체적으로 안보지원사와 사이버작전사, 각 군의 사이버작전센터 및 사이버방호조직 사이에 위협정보를 공유하고 있다. 군이 활용하는 위협정보의 대부분은 국가기관과 민간에서 수집된 정보로서 주로 국정원, 경찰청, KISA 등을 통해 받게 되며, 군 자체적인 활동으로 수집된 위협정보는 일부에 지나지 않는 것으로 알려졌다. 정부기관 간 정보 공유 취약...미국처럼 정보공유법 도입 검토해야 이처럼 국가기관 및 민간부문은 상호 연관된 조직끼리 침해사고 정보를 단편적으로 공유하는 수준에 머물러 있다. 또 부처별, 산업별로 제각기 정보공유시스템을 구축함으로써 효율성이 떨어지고 상호간 정보 공유도 잘 되지 않는다. 게다가 정보 가치에 대한 객관적 판단 기준이 모호하고 정보 제공에 대한 피드백이나 보상이 없어 정보 공유가 활성화되지 못하는 상황이 지속되고 있다. 이런 문제를 인식한 정부는 2015년 12월 전 부문의 위협정보를 통합하기 위해 유관부처가 합동으로 ‘국가 사이버위협 정보공유시스템(NCTI)’을 구축했다. 2016년 6월 전체 중앙행정기관이 연결됐고, 광역지자체와 공공기관을 대상으로 연결을 확대하고 있다. 또 첨단기술 보유기업, 방위산업체, KISA, 금융보안원 등에도 제공하고 있다. 이와 같은 사이버위협 정보 공유의 중심에 국정원이 있다. 한 보안 전문가는 “정말 필요한 정보가 관련 부처 및 기관 간에 공유되려면 상호 신뢰를 바탕으로 원활한 소통이 이뤄져야 한다”면서 “각각의 입장과 여건을 고려한 국정원의 실질적인 역할이 필요하다”고 말했다. 가장 큰 과제는 정부와 민간 기업 사이의 정보 공유다. 기업은 법적 보호 없이는 정보를 공유할 수 없다고 생각한다. 좋은 의미로 정보를 제공했다가 불이익을 당할 수도 있기 때문이다. 하지만 우리는 아직 미국처럼 정보공유법이 도입되지 않았다. 따라서 정보공유 활성화를 위한 법적 근거를 마련하고 정보제공 기관 및 기업들이 혜택을 받을 수 있도록 해야 한다.
-
- 사이버보안
-
[사이버안보 진단] (7) 사이버위협에 노출된 국방부, 하루빨리 ‘버그바운티’ 도입해야
-
-
국내 이공계 최상위권 인맥 형성 산실된 ‘과학기술전문사관’
- ▲ 과학기술정보통신부가 16일부터 다음달 16일까지 ‘제6기 과학기술전문사관 후보생’을 모집한다. [사진제공=과학기술정보통신부] 과기정통부, ‘탈피오트’ 벤치마킹한 과학기술전문사관 후보생 모집 후보생 기간 중 매년 등록금 전액과 전문역량 개발비 500만원 지원 [시큐리티팩트=김한경 안보전문기자] 과학기술정보통신부가 국내 이공계 최상위권 인맥 형성의 산실로 발전하고 있는 ‘과학기술전문사관’ 제6기 후보생을 16일부터 다음달 16일까지 공개 모집한다. 과학기술전문사관은 과기정통부가 국방부와 함께 이스라엘의 엘리트 과학기술전문장교 양성 프로그램인 ‘탈피오트’ 제도를 벤치마킹하여 마련한 제도다. 이공계 분야의 뛰어난 인재들을 선발, 소정의 교육을 거쳐 장교로 임관시킨 후 국방과학연구소에서 3년간 연구개발을 수행함으로써 군 복무로 인한 경력단절 없이 해당분야의 전문성을 배양하고 전역 후 취·창업까지 연계하자는 취지다. 과학기술전문사관 후보생으로 선발되면 대학 재학 중 국방과학교육·창업전문교육·국방과학연구소 현장실습 등 추가 의무교육을 받아야 하며, 후보생 기간 중 매년 등록금 전액과 전문역량 개발비로 500만원의 장학금을 지원 받는다. 2014년에 최초로 1기 후보생을 선발했다. 당시에는 KAIST, 포항공대, 광주과학기술원(GIST), 울산과학기술원(UNIST)의 전기, 전자, 컴퓨터, 기계, 항공, 순수과학(물리, 화학 등) 계열 전공을 선택한 학생만 지원할 수 있었다. 2015년에는 여기에 대구경북과학기술원(DGIST)이 추가됐고, 2017년 4기 모집부터 이공계열에 일정 범위의 학기를 이수한 재학생이라면 다른 조건 없이 지원할 수 있게 됐다. 매년 이공계 분야 전체에서 20-25명을 선발하고 있는데, 3기까지는 과기특성화대학교와 대통령과학장학금 및 이공계장학금 수여자가 지원 자격 기준이어서 국내 이공계 최상위권 인맥이 자연스럽게 형성된다. 한 기수의 전자전기 계열 중에 카이스트, 포스텍, 유니스트 수석이 모두 배출된 선례가 있다. 또 학부 시절에 SCI급 논문 1저자로 게재되거나 세계대회에서 수상한 사람들도 있으며, 해외 대학에서 박사과정 장학금을 포기하고 지원한 사람도 있다고 한다. 이번에 선발되는 과학기술전문사관 후보생은 대학 재학 중 2년의 국방과학기술 양성과정을 거치며, 졸업 후 육군학생군사학교에서 전문사관 과정 교육을 받고 연구개발장교로 임관해 2022년부터 국방과학연구소(ADD)에서 3년간 복무하게 된다. 과학기술전문사관이 되면 정부출연연구소에서 석·박사급이 하는 연구에 학사 출신이 참여해 경험을 쌓을 수 있는데다, 일과 이후 및 주말 시간을 이용해 석사학위를 취득할 수도 있다. 또 전역 후 국방과학연구소나 방위산업체 취업에도 도움이 된다. 과기정통부는 전국 4년제 이공계 분야 전공자 가운데 올해 9월 현재 제4∼5학기 재학생 또는 2020년 3월 제5∼6학기 복학 예정자를 대상으로 모집한다. 지원을 희망하는 학생은 서류를 구비해 과학기술전문사관 지원센터(대전광역시 유성구 문지로 193 한국과학기술원(KAIST) 학부동(F) 444호)로 직접 제출하거나 등기우편으로 보내면 된다.
-
- 사이버보안
-
국내 이공계 최상위권 인맥 형성 산실된 ‘과학기술전문사관’
-
-
[사이버안보 진단](6) 사이버인재 양성과 활용, 북한과 이스라엘 벤치마킹해야
- ▲ 지난해 1월 30일(현지시간) 이스라엘 수도 텔아비브에서 열린 '2018 사이버테크 컨퍼런스'에서 한 이스라엘 군인이 마이크로소프트(MS)사 부스에서 해킹과 사이버 보안에 관한 영상물을 시청하고 있다. [사진제공=연합뉴스] 한국은 세계에서 ICT 인프라가 가장 발달된 나라 중 하나로 꼽힌다. 하지만 보안에 대한 인식은 낮아 사이버공격을 무기화하는 일부 국가나 해커 조직들에게 무방비로 노출된 상태다. 뉴스투데이는 한국의 사이버안보를 강화하기 위해 정부와 군 차원에서 과연 무엇을 어떻게 해야 할지 짚어보는 ‘사이버안보 진단’ 시리즈를 시작한다. <편집자 주> 북한, 수학 영재 조기 선발해 해커 양성...4년간 20억 달러 탈취 [시큐리티팩트=김한경 안보전문기자] 최근 발표된 유엔 안전보장이사회(대북제재위원회 전문가 패널) 보고서에 의하면, 북한은 사이버공격으로 4년간 약 20억 달러(2조 4천억 원)를 탈취해 탄도미사일 등 대량살상무기 개발에 사용했다고 한다. 북한 해커들은 주로 세계 각국의 은행과 암호화폐 거래소를 공격해 필요한 자금을 확보해온 것으로 알려졌다. 북한이 그동안 가장 공들여 양성해온 ‘사이버 전사’(해커)들이 진가를 발휘하고 있다. 북한은 전국적으로 수학 영재를 선발해 최우수 자원을 평양의 금성 1·2중학교 컴퓨터 영재반에 입학시킨다. 이곳을 졸업하면 김일성종합대학, 김책공업종합대학, 평양컴퓨터대학, 미림대학 등에 우선 입학시켜 특별 관리한다. 대학 졸업 후 우수한 인원을 외국에 유학 보내고, 귀국 후에는 대부분 해킹 전문부대에 배치한다. 따라서 ‘사이버 전사’들의 나이는 20대가 대부분이다. 또 수시로 리더급 컴퓨터 영재들을 장교로 발탁해 사이버공격에 대한 작전 지휘능력을 향상시키고 있다. 이렇게 국가 차원에서 조직적으로 양성한 해커가 수천 명에 이르며, 이들의 해킹 역량은 세계 최고 수준이다. 사이버국방학과, 3개기 90명 졸업...장교로 ADD 근무하나 인재 활용 미흡 박대섭 세종대 교수, “사이버국방학과 만들 때 이스라엘 ‘탈피오트’ 생각” 그러면 이런 북한과 사이버전을 해야 할 한국군의 상황은 어떨까? 우리는 2012년 최초로 국방부가 고려대와 계약을 맺고 사이버전에서 나라를 지킬 정예요원을 양성하기 위해 ‘사이버국방학과’를 신설했다. 이 학과에 입학하면 대학 4년간 전액 장학금을 받고, 매월 50만원의 학업 장려금도 받는다. 고려대 의대에 합격할 수준의 우수한 학생들이 지원한다. 이들은 졸업하면 정보통신 장교로 임관하고 사이버 부특기가 부여되며, 7년간 복무 후 전역한다. 장기복무를 원하면 일부 인원은 계속 군 복무가 가능하며, 국내외 대학원에서 석·박사과정 위탁교육도 받을 수도 있다. 2016년 1기 30명(육군 24명, 해·공군 각 3명)이 처음 졸업했고, 현재 3기까지 90명이 장교로 임관해 전원 국방과학연구소(ADD)에서 3년간 근무 중이다. 고려대에 사이버국방학과를 만들 당시 국방부 인사복지실장이었던 박대섭 세종대 교수는 “이스라엘의 엘리트 군인 육성 프로그램인 ‘탈피오트’를 생각했다”고 말했다. 하지만 탈피오트는 이스라엘군이 히브리대 교수들과 함께 선발, 교육, 훈련, 복무, 활동 등 모든 과정에 대해 종합적이고 세밀한 검토를 거쳐 만들어진 제도임을 국방부는 인식하지 못했다. 사이버국방학과 신설 후 4년이란 긴 시간이 있었지만 첫 졸업생이 나올 때까지 국방부는 사이버인재를 어떻게 양성해 활용할지 준비하지 않았다. 즉 탈피오트를 생각했지만 이스라엘이 인재를 양성하고 활용하는 과정은 정확히 들여다보지 못했다. 그 결과 1기 30명의 진로는 졸업 직전 논란 끝에 임종인 교수(전 청와대 사이버안보 특보)의 의견에 따라 ADD로 정해졌다. ADD 근무 효과 없어...내년 졸업생부터 모두 사이버작전사령부 배치 정홍용 전 ADD 소장, “이스라엘이 계획적 인재 육성의 대표적 모델” 하지만 ADD가 이들을 받아들여 효율적인 사이버인재 양성이 가능할지는 국방부의 어느 누구도 판단하지 않았고, 시간은 흘러 3년이 경과했다. 최근 사이버작전사령부 관계자는 “ADD 근무가 효과가 없는 것으로 나타나 내년에 졸업하는 4기부터는 모두 사이버작전사령부로 배치해 3년 동안 근무할 예정”이라고 말했다. 정홍용 전 국방과학연구소장(예비역 육군 중장, 합참 전략기획본부장 역임)은 “인재 양성은 지속적인 진단과 관리·보완이 필요하며, 양성된 자원의 활용이 제대로 되고 있는지에 대한 추적 관리가 되지 않으면 본래의 취지와 목적을 달성할 수 없다”고 강조했다. 그는 이스라엘 사례가 계획적 인재 육성의 대표적 모델이라고 말했다. 민간에서 사이버 인력을 선발하는 군무원의 경우, 2019년 국방부 주관 일반 군무원 채용 공고에 의하면 사이버작전사는 4급에서 8급에 이르기까지 전산 직렬로 130여명을 선발한다. 지난해 35명에 비해 상당히 많은 인원을 한꺼번에 충원한다. 국방개혁 차원에서 민간 직위를 확대하는 취지와 정부의 일자리 정책이 맞닿아 군무원 비중이 늘어나면서 생긴 공석이다. 군무원, 전문 역량 평가하기 힘들어 우수한 민간 인력 유입 한계 손영동 한양대 교수, “직무분석 통해 분야별 인재 모집·양성해야” 대부분 경력직 위주로 선발해 관련 분야에서 장교나 부사관으로 근무하던 인원들이 이 자리를 차지할 가능성이 높다. 게다가 국방부가 뽑는 전체 군무원 중 한 분야로 인식해 국방부의 일반적인 군무원 채용 방식을 따른다. 따라서 사이버 인력에게 필요한 전문 역량을 제대로 평가하기 힘들어 우수한 민간 인력이 유입되기에는 한계가 있어 보인다. 정 전 소장은 “이스라엘은 분야별로 필요한 인재 소요를 판단하고, 요구되는 자질과 능력이 무엇인지를 먼저 식별한다. 그 다음 심리학자를 포함한 전문가팀이 분야별 특성에 맞는 자질을 가진 인재를 선발하고, 학문적 지식을 갖추기 위한 전문교육에 이어 실무 경험을 쌓는 양성과정을 거친다. 그 후 목적에 맞는 인재를 적재적소에 배치해 활용한다”고 설명했다. 손영동 한양대 교수도 “국방 사이버 업무에 대한 직무분석을 통해 해킹뿐 아니라 관제, 암호, 포렌식, 빅데이터 등 분야별로 인재를 모집하고 양성해야 한다”면서 “군무원·부사관 위주로 전문성을 강화해 나가되, 해킹 대회를 통해 인재를 발굴하는 노력도 필요하다”고 강조했다. 또 “사이버 예비군을 창설하고, 전역자원 관리시스템도 구축해야 한다”고 말했다. 변재선 전 사이버사령관, “인원 선발권 갖고 민간 전문가 특채 가능해야” 변재선 전 사이버사령관은 “사이버작전사령부에 근무할 장교·부사관·군무원은 안보지원사령부처럼 사령관이 필요한 인원을 직접 선발할 권한이 있어야 한다”고 말했다. 또 “사이버작전사령관이 민간 전문가를 특별 채용할 권한을 갖고, 전문 역량에 따라 직급과 대우를 조정할 수 있는 제도가 필요하다”고 주장했다. 특히 사이버공격 분야에서는 뛰어난 역량을 가진 해커의 역할이 대단히 중요하다. 스턱스넷의 존재를 발견한 사이버보안 전문가 랄프 랭거는 자신이 직접 고른 10명의 전문가가 미국 사이버사령부에서 자신에게 제공해줄 수 있는 모든 자원보다 낫다고 말했다. 랄프가 과장한 측면은 있지만, 인력을 무조건 늘리는 것보다 전문가 역량을 가진 소수가 필요한 이유다. 정홍용 전 소장은 “이스라엘은 적은 인구와 좁은 국토, 빈약한 자원 그리고 적대적 세력에 둘러싸인 환경에서 생존하기 위해 계획적 인재 양성과 철저한 활용이 가장 중요하다고 판단했고, 이스라엘의 이러한 인식은 투철하다 못해 처절하다”고 말했다. 이스라엘과 유사한 환경에 처해 있는 한국군은 과연 인재 양성과 활용에 대해 그런 인식을 갖고 있는가?
-
- 사이버보안
-
[사이버안보 진단](6) 사이버인재 양성과 활용, 북한과 이스라엘 벤치마킹해야
-
-
[사이버안보 진단](5) 군 수뇌부의 관심 비껴간 사이버작전사령부, 명확한 역할 정립 필요
- ▲ 2017년 11월 9일 한국을 방문한 마이클 로저스 미국 국가안보국장 겸 사이버사령관이 송영무 국방부 장관과 면담하기 전에 기념촬영을 하고 있다. 왼쪽부터 빈센트 브룩스 한미연합사령관, 마이클 로저스 미국 사이버사령관, 송영무 국방부 장관, 김병주 한미연합사 부사령관. [사진제공=연합뉴스] 한국은 세계에서 ICT 인프라가 가장 발달된 나라 중 하나로 꼽힌다. 하지만 보안에 대한 인식은 낮아 사이버공격을 무기화하는 일부 국가나 해커 조직들에게 무방비로 노출된 상태다. 뉴스투데이는 한국의 사이버안보를 강화하기 위해 정부와 군 차원에서 과연 무엇을 어떻게 해야 할지 짚어보는 ‘사이버안보 진단’ 시리즈를 시작한다. <편집자 주> 미 사이버사령부, NSA국장이 사령관 겸직하고 국가 기반시설 보호 조력 [시큐리티팩트=김한경 안보전문기자] 미국 사이버사령부(US-CYBERCOM)의 로고에는 매우 작은 글씨체로 ‘9ec4c12949a4f31474f299058ce2b22a’라는 이해할 수 없는 기호가 새겨져 있다. 사이버사령부의 임무를 암호생성기로 암호화한 것인데, 이를 해독하면 다음과 같다. “사이버사령부는 명시된 국방부 정보망을 운영하고 보호하기 위해 활동을 계획·조정·통합·동기화하며, 사이버공간에서 미국과 동맹국에 활동의 자유를 보장하고 적의 활동을 무력화시키기 위해 광범위한 군사적 사이버작전을 펼친다.” 미국은 2009년 6월 사이버사령부를 창설했고, 2010년 2월 ‘국방정책검토서(QDR)’에서 사이버공간을 육·해·공·우주와 함께 작전 영역에 포함시켰다. CYBERCOM 웹사이트에 명시된 사령부의 임무는 국방 네트워크와 시스템을 방어하고, 전투부대 지휘관의 임무 수행을 지원하며, 사이버공격에 대응하는 국가의 능력을 강화하는 등 크게 3가지 분야에 초점이 맞춰져 있다. ‘Cybersecurity and Cyberwar’의 저자이자 사이버전쟁 전문가인 미국 브루킹스 연구소의 ‘피터 싱어’ 박사는 그의 저서에서 CYBERCOM의 국가적 임무 수행은 중요한 국가기반시설의 보호를 돕는 것이라고 설명하고 있다. 초대 사령관은 국가안보국(NSA)을 2005년부터 이끌어온 키스 알렉산더 육군대장이 겸직했다. 즉 NSA 국장과 사이버사령관을 한 사람이 담당하는 체제다. 2014년 2대 사령관으로 마이클 로저스 해군대장이 부임했고, 2018년 5월부터 폴 나카소네 육군대장이 이어 받았다. 2017년 8월 전략사령부 예하의 사이버사령부는 독립적인 10번째 통합사령부로 격상됐다. 한국, 사이버사령부 창설시 역량 보유한 정보기관 정치 논리로 배제 한국도 미국처럼 정보기관장이 사이버사령관을 겸직하는 방안을 검토한 적이 있었다. 2009년 군 내부에서 사이버전 수행 역량을 보유한 조직은 기무사와 정보사였다. 당시 기무사 예하에 사이버사령부를 설치하는 안이 기무사 주도로 추진됐으나, 힘이 한 곳에 집중되는 것을 우려한 정치권의 반대로 2010년 1월 국방정보본부 예하 조직으로 변경돼 창설됐다. 이런 연유로 사이버사령부는 창설 이전에 군 관계자들과 충분한 협의가 없이 만들어졌다. 전문적인 임무를 수행할만한 정책적·제도적 기반이 미흡했고, 사이버전 임무를 수행할 전문인력 확보 및 양성도 어려웠다. 결국 경험이 부족한 인력들이 배치됐고 그마저도 전문성이 배양되기 전에 타 부서로 보직을 옮기는 일이 빈번했다. 군 내부에서는 ‘사이버 역량을 획기적으로 개선해야 한다’는 말만 무성할 뿐 누구 하나 책임 있게 업무를 추진하는 리더가 없었다. 변화를 선도해야 할 국방부 최고위층의 관심과 지원이 없다보니 사이버사령부 자체 노력만으로는 부여된 임무를 발전시키기에 역부족이었다. 게다가 댓글 사건과 국방망 해킹 사건까지 터지면서 사이버사령부는 만신창이 신세가 됐다. 역대 사이버사령관들이 소송에 연루되고 징계 대상이 되는 등 갖은 고초를 겪었다. 그런 어려움을 딛고 지난해 8월 사이버사령부는 국방개혁 차원에서 ‘국방 사이버안보 역량 강화방안’을 마련하고 10대 실행과제를 추진 중이다. 부대 명칭도 ‘사이버작전사령부’로 바뀌었고, 법령도 ‘국군사이버사령부령’을 ‘사이버작전사령부령’으로 전면 개정해 금년 2월부터 시행됐다. 개정된 법령, 국가기반시설 보호 등 국가 차원의 임무 불분명 사이버작전사령부령에 명시된 사령부의 임무는 사이버작전의 계획 및 시행, 사이버작전과 관련된 사이버보안 활동, 사이버작전에 필요한 체계개발 및 구축과 전문인력 육성 및 교육훈련, 사이버작전 유관기관 사이의 정보 공유 및 협조체계 구축, 사이버작전과 관련된 위협정보의 수집 분석 및 활용, 그밖에 사이버작전과 관련된 사항 등이다. 명시된 임무를 미 사이버사령부와 비교하면, ‘사이버작전의 계획 및 시행’은 전투부대 지휘관의 임무를 지원하는 의미로 해석이 가능하다. ‘사이버작전과 관련된 사이버보안 활동’이란 국방 네트워크 및 시스템 방어를 의미하는 것으로 볼 수 있다. 하지만 중요한 국가기반시설 보호를 돕는 국가적 차원의 임무는 드러나지 않는다. ‘유관기관과 정보 공유 및 협조체계 구축’이 임무에 포함돼 있지만 국방의 사이버안보를 위한 조항으로 이해된다. 이따금 사이버 상황이 발생하면 국정원이나 경찰청의 요청으로 사이버작전사령부에서 지원을 나가는 경우가 있지만, 미 사이버사령부처럼 명시된 임무에 근거한 것은 아니라고 한다. 이와 관련, 국방 사이버 분야를 경험한 몇몇 예비역 장성들은 “유사시 국가기반시설이 보호되지 않으면 국방의 사이버안보도 지키기 어렵다”면서 “국가 차원에서 중요한 시설들을 어떻게 보호할지 고민하고, 국방이 담당할 역할이 명확히 정립돼야 한다”고 말했다. 또 “군의 사이버 역량을 국가가 사용하려면 이에 대한 법적 근거도 필요하다”고 덧붙였다. 이명환 사이버군협회장, “사이버작전 교리 발전에 합참은 관심 없어” 손영동 한양대 교수, “미래전 담보할 핵심조직...사이버전에 최적화돼야” 이명환 사이버군협회장은 “전투부대 지휘관의 임무를 지원하려면 사이버공격작전과 사이버방어작전을 어떻게 수행할지 교리가 정립돼야 한다”면서 “현재 한국군 교리는 작전 전문가 참여 없이 미군의 교리를 번역해 보완한 수준으로 알고 있는데, 우리 사이버작전 환경에 부합된 교리가 합참 작전부서 주도하에 만들어져야 한다”고 주장했다. 그는 “미군은 2018년에 신교리가 나와서 이미 적용 중인데, 우리는 사이버작전 교리를 어떻게 발전시키고 있는지 알 수 없다”면서 “사이버군협회가 최근 자체적으로 미군의 신교리 번역을 완료했지만 합참의 어느 부서도 관심을 갖지 않는다”고 안타까워했다. 이번에 개정된 법령에서 특이한 점은 제8조에 사령관이 사이버작전 상 긴급한 조치가 필요한 경우 예하 부대가 아닌 다른 부대를 일시적으로 지휘·감독할 수 있다고 명시한 것이다. 변재선 前 사이버사령관은 “사령관이 필요하면 각 군의 ‘사이버작전센터’와 ‘사이버방호조직’을 언제든지 사용할 수 있어야 한다”면서 “이를 위한 근거 조항으로 보인다”고 말했다. ‘0과 1의 끝없는 전쟁’의 저자인 손영동 한양대 교수는 “사이버작전사령부는 미래전을 담보할 핵심조직이 돼야 하며, 예산 및 인력 지원을 아끼지 말아야 한다”면서 “현재 사이버전에 최적화된 조직으로 거듭나기 위해 재정비 중인데, 필요한 사이버무기를 적시에 개발해 사용할 수 있는 체계도 갖춰야 한다”고 강조했다.
-
- 사이버보안
-
[사이버안보 진단](5) 군 수뇌부의 관심 비껴간 사이버작전사령부, 명확한 역할 정립 필요
-
-
사이버범죄 전년 대비 22.4% 증가...인터넷 사기가 75.9% 차지
- ▲ 경찰청이 최근 발표한 2019년 상반기 '사이버위협 분석보고서' 표지 일부. [자료제공=경찰청] 경찰청, 최근 2019년 상반기 '사이버위협 분석보고서' 발표해 쇼핑몰 사용자 노리는 '폼재킹'과 이메일을 매개로 한 위협 증가 [시큐리티팩트=김한경 안보전문기자] 2019년 상반기 사이버범죄는 85,953건이 발생하여 지난해 같은 기간에 비해 약 22.4% 증가했으며, 이 중 인터넷 사기가 65,238건으로 전체 발생 건수의 75.9%를 차지했다. 경찰청이 발표한 2019년 상반기 '사이버위협 분석보고서'에 의하면, 전체 사이버범죄 85,953건 중 인터넷 사기가 65,238건(75.9%)으로 대다수를 차지했고, 이어 사이버명예훼손·모욕 7,664건(8.9%), 사이버금융범죄 4,142건(4.8%), 사이버도박 3,155건(3.7%), 사이버저작권 침해 1,208건(1.4%) 등이 사이버범죄의 주종을 이루고 있다. 전체 범죄 중 해킹·악성프로그램 유포 등 정보통신망 침해 범죄는 지난해 동기간 대비 19.4% 증가했으며, 인터넷 사기 및 사이버금융범죄 등 정보통신망 이용 범죄는 21.5% 증가했다. 또한 사이버음란물, 사이버도박 등 불법컨텐츠 범죄도 지난해 동기간 대비 28.7% 증가했다. 보고서에 언급된 사이버범죄의 양상은 첫째로, 갠드크랩 랜섬웨어가 경찰서, 한국은행, 헌법재판소 등 다양한 기관을 사칭하여 유포됐다. 갠드크랩은 ‘서비스형 랜섬웨어’의 한 종류로, 감염된 PC의 파일을 암호화하고 확장자를 변경한 뒤 데이터를 복구하려는 피해자에게 금전(암호화폐)을 요구한다. 서비스형 랜섬웨어란 제작자가 공격까지 하는 일반적인 랜섬웨어와 달리 랜섬웨어를 제작할 기술적 역량이 없는 공격자에게 별도의 제작자가 랜섬웨어를 서비스하는 형태인데, 수익은 공격자와 제작자가 나눠 갖는다. 둘째로, 지인을 사칭해 송금을 요구하는 메신저피싱이 SNS와 모바일 메신저를 통해 광범위하게 발생하고 있다. 지인의 이름과 사진을 도용하고 휴대폰 고장 등을 이유로 통화를 회피하며, 지연 인출을 피하기 위해 1백만 원 이하의 소액을 계좌로 송금하도록 요구한다. 최근에는 문화상품권 등의 고유번호를 받아 온라인에서 현금화하는 수법도 이용되고 있다. 보고서에는 최근 독일에서 마약, 개인정보, 악성코드 등이 거래되던 '다크넷(Darknet)' 사이트 운영자가 체포된 사례도 제시됐다. 다크넷은 IP 주소가 공유되지 않는 인터넷 암시장으로 많은 범죄에 이용되고 있다. 경찰청 사이버안전국은 금년 말 '다크넷 불법정보 수집·추적 시스템'을 도입해 다크넷 상에서 발생하는 범죄에 대응할 계획이라고 밝혔다. 보고서는 또 이메일해킹, 유사 이메일 주소 이용 등의 방법을 통해 "거래계좌를 변경해 달라"는 이메일을 발송하고 물품대금을 중간에서 가로채는 이메일무역사기 건수도 발표했다. 이 범죄는 지난해에 총 367건이 발생해 전체 범죄에서 발생비율은 0.2%로 낮지만 한 건당 피해액은 4,186만원으로 가장 크며, 금년 상반기에는 138건으로 감소했다. 매크로 프로그램을 이용한 티켓 구매 문제도 보고서는 지적했다. 매크로는 마우스나 키보드로 여러 번 실행하는 동작을 한 번의 명령으로 자동 실행시키는 프로그램이다. 매크로를 이용해 대량 구매한 티켓들을 웃돈을 얹어 다시 재판매하는 행위가 문제이나, 현재 이를 처벌할 마땅한 규정이 없는 상태이며, 관련 법안이 국회에 계류돼 있다고 한다. 보고서는 시만텍의 위협보고서를 인용하여 최근 사이버위협 트렌드로 폼재킹(Formjacking)이 증가하고 있다고 기술했다. 폼재킹은 인터넷 쇼핑몰 등 웹사이트를 악성코드에 미리 감염시켜 사용자가 입력한 정보가 담긴 양식(Form)을 중간에서 납치(Hijacking)한다는 의미다. 해커는 특정프로그램(자바스크립트)으로 제작된 결제 웹페이지를 사용한 쇼핑몰을 공격대상으로 하였고, 온라인 소매업체에서 흔히 사용하는 챗봇이나 고객 리뷰 위젯 등에 미리 악성코드를 감염시켜 폼재킹을 시도했다고 한다. 또 KISA 위협보고서를 인용하여 이메일을 매개로 한 사이버위협이 증가하고 있다고 언급했다. 악성코드 배포의 92.4%, 피싱의 94%가 공격수단으로 이메일을 활용하며, 이메일무역사기의 67%도 웹메일 기반이고, 이메일에 첨부된 문서의 40%가 악성코드일 정도로 첨부파일을 통한 악성코드 유포는 심각하다고 설명했다. 보고서는 사이버위협 트렌드와 관련, 이메일 수신자는 의심스러운 이메일을 받았을 때 첨부파일을 실행하지 않는 것이 매우 중요하고, 해외 직구 등 쇼핑몰 사용자들은 신뢰할 수 있는 웹사이트인지 반드시 확인한 후 불필요한 정보 입력을 하지 않는 등 각별한 주의가 필요하다고 강조했다.
-
- 사이버보안
-
사이버범죄 전년 대비 22.4% 증가...인터넷 사기가 75.9% 차지
-
-
[유니콘 보안] (4) 씨아이디스크의 DST, 특허 가치만 300억 대인 신개념 ‘데이터 은닉’ 기술
- ▲ 지난 2016년 미국 실리콘밸리 KOTRA 무역관에서 미 국방부 관계자들과 미팅 후 한 컷. 왼쪽에서 두 번째가 조성곤 씨아이디스크 대표다. [사진제공=CIDISK] ‘유니콘(Unicon)’은 신화 속에서 등장하는 ‘이마에 뿔이 하나 달린 말’을 뜻하는데, 최근 기업가치가 10억 달러 이상 되며 큰 성공을 거둔 스타트업을 지칭하는 용어로 사용된다. 뉴스투데이는 사이버보안 분야에서도 이와 같은 유망 기업이 나오길 바라면서 훌륭한 기술력을 가진 중견·중소기업의 신제품을 소개하는 ‘유니콘 보안’ 시리즈를 시작한다. <편집자 주> 해커 식별 불가능한 ‘스텔스 공간’ 생성해 악성코드 피해 원천 차단 [시큐리티팩트=김한경 안보전문기자] 인체를 공격하는 바이러스와 컴퓨터 바이러스의 공통점은 바이러스가 출몰해야 그 바이러스를 추출해 백신을 만들 수 있다는 점이다. 즉 새로운 바이러스가 만들어져 공격에 사용된 이후에야 그 바이러스의 백신을 만들 수 있는 구조다. 따라서 미래에 나타날 바이러스를 미리 알고 차단할 수 있는 보안기술은 전 세계 어디에도 없다. 이런 사실은 전 세계의 어떤 백신도 바이러스(악성코드로 통칭)에 적절히 대응할 수 없음을 의미한다. 백신 회사들이 새로운 백신을 만들긴 하지만 신종 악성코드가 짧은 시간에 워낙 많이 나타나 모두 대응하기는 불가능한 상태다. 오죽하면 세계 1위 보안 회사인 ‘Symantec’의 Bryan Die 수석 부사장이 지난 2014년 ‘월스트리트 저널’과 인터뷰에서 “백신은 죽었다”라고 고백했을까? 이와 같은 근원적인 보안 문제를 해결하기 위해 다년간 고민해온 국내 기업이 있다. 조성곤 대표가 이끄는 ‘씨아이디스크(CIDISK)’이다. 이 회사가 개발한 신개념의 데이터 은닉 기술인 ‘DST(Data Stealth Technology)’는 데이터가 저장되는 스토리지 기기나 컴퓨터 디스크에 해커가 식별할 수 없는 ‘Stealth 공간’을 생성하여 정상적인 사용자만 접근을 허용한다. 조성곤 대표는 지난 4일 기자와 만나 “50년 전 디스크가 처음 고안된 이후 현재까지 디스크 안에 데이터를 읽고 쓰는 방식은 달라진 것이 없다”고 말했다. “당시에는 보안을 고려할 필요가 없어 정보 저장의 효율성에만 초점을 맞췄다”면서 “디스크 접근 방식만 바꾸면 해커가 사용자의 데이터를 들여다볼 방법이 없게 된다”고 주장했다. 컴퓨터가 악성코드에 감염돼도 스텔스 공간에서 문서 작업 가능 개인용 마스터 키 하나만 만들고, 데이터는 2중 암호화 구조 사용 조 대표는 “설령 컴퓨터가 악성코드에 감염됐어도 Stealth 공간은 악성코드가 인식하지 못해 안전하다”면서 “정상적인 사용자는 악성코드와 관계없이 이 공간을 열어 문서 작성 및 편집, 저장 등이 가능하다”고 말했다. 또한 “저장장치에 DST 기술이 적용된 컴퓨터는 백신 같은 보안 제품에 의존하지 않기 때문에 컴퓨터 속도도 저하되지 않는다”고 덧붙였다. 소프트웨어 기술인 DST는 ‘Stealth 공간’을 생성할 때마다 해당 공간에 대한 개인용 마스터 키를 단 하나만 만드는 구조다. 이 디지털 키를 사용자가 지정한 비밀번호(다른 인증방식 대체 가능)를 통해 암호화하며, 데이터는 이 키에서 추출한 세계 유일의 키로 암호화되는 2중 암호화 구조를 사용한다. 또 통합 마스터 키가 없기 때문에 사용자의 신뢰도 제고된다. DST는 0.1초면 끝나는 간단한 설정만으로 디스크 내부의 논리적 구조를 변경해 기존 방식으로는 보이지 않는 보안 영역을 만들 수 있다. 기존의 운영체제(OS)가 인식하지 못하는 것은 물론 디스크를 통째로 포맷하거나 디스크를 분할하는 파티션 정보를 삭제해도 지워지지 않아 악성코드의 피해를 원천적으로 차단할 수 있다. 모든 데이터는 DST만의 독자적인 포맷으로 구성되고 완벽하게 실시간으로 암호화 처리돼 ‘Stealth 공간’에 저장된다. 이 과정에서 컴퓨터 성능이 저하되지 않고, 업데이트가 필요 없으며, 전용탐색기를 이용해서 편리하게 설정 및 사용할 수 있다. 모든 유형의 저장 장치에 적용 가능하며 저장장치를 사용(자동 백업 포함)하는 도중에 탈취 및 변조가 불가능하다. 조성곤 대표, “실리콘밸리서 1조원 이상의 기술가치 평가 받아” 정부가 나서 경쟁력 있는 국내 보안기술 지원하는 정책 펼쳐야 조 대표는 “보안 기술 측면에서 볼 때 해킹방지 기술은 1세대, 해킹 실시간 대응 기술은 2세대방식이라면 해킹을 선제적으로 대응하는 DST 같은 기술은 3세대 방식”이라고 설명했다. CIDISK는 2014년 DST 기술로 2건의 한국 특허를 취득했다. 이어 2017년 미국 특허를, 2018년 중국과 일본 특허를, 2019년 유럽연합(37개국) 특허를 취득했다. 조 대표는 지난 2016년 8월 미국 실리콘밸리의 인큐베이팅 전문가들을 만나 DST 기술의 시장 가치를 물었던 얘기를 꺼냈다. 당시 그들은 조 대표에게 “CIDISK가 보유한 기술 중 ‘랜섬웨어 바이러스 차단 기술’만으로도 엄청난 이슈가 될 것이며, 1조원 이상의 기술가치가 있다”고 평가했다고 한다. 2018년 6월에는 창조경제혁신센터의 지원을 받아 전 세계 정보보안 기술 1,680건과 DST를 비교 분석한 결과, 동종 기술이나 유사 기술이 한 건도 없다는 판정을 받았다. 같은 해 11월 국내에서 가장 보수적인 특허가치 평가기관인 특허청 산하 한국발명협회의 지원으로 한국 특허만 현물 가치를 평가받았는데 25억 5,700만원이란 평가가 나왔다. 미국 특허의 경우 글로벌 시장의 관문이라는 점에서 한국 특허의 최소 4배 이상이 된다고 하며, 여기에 중국·일본·유럽연합의 특허까지 가치 평가를 받게 되면 특허 가치만 최소 2∼3백억 원은 될 것이란 얘기도 나온다. 특허 현물 가치 평가를 담당했던 박사는 “한국 토종기술이 이렇게 좋은 평가를 받은 것은 반도체 발명 이후 처음 있는 일”이라고 말했다. 때마침 일본의 무역 보복조치로 인해 정부는 소재 및 원천 기술의 지원과 육성을 천명하고 있다. 보안 전문가들은 “CIDISK가 개발한 DST 같은 원천 기술이 한국 ICT 기술의 국제 경쟁력을 제고시키고 IoT 시장까지 선도적인 영향력을 미칠 수 있다”면서 “차제에 정부가 나서 경쟁력 있는 국내 보안기술을 적극 지원하는 정책을 펼쳐야 한다”고 목소리를 높였다. 윈도우·리눅스 환경에서 상용화 완료...금년 말 모든 기기 적용 가능 CIDISK의 기술은 현재 Microsoft 윈도우 환경과 오픈 소스인 리눅스 환경에서 100% 상용화를 완료한 상태다. 또한 유닉스, 모바일, 맥OS 등 기타 OS에 대한 지원도 각각 3개월 정도의 개발기간만 있으면 상용화될 것으로 예상된다. 현재 모바일 버전은 프로토 타입까지 완성됐는데, 금년 말이면 전 세계 모든 ICT 분야의 모든 기기에 적용이 가능하다. 조 대표는 “CIDISK는 아주 작은 벤처이지만 기술가치가 매우 높고 ICT 전반에 적용 분야가 매우 넓기 때문에 회사 가치는 매년 수직 상승할 것”이라며 “당분간 M&A는 하지 않겠다”고 말했다. 그는 “기기가 작아지는 IoT 시장이 도래하면 DST는 가정과 사회, 국가 전반의 정보보안뿐 아니라 생명보안 시장에서도 강력한 트랜드가 될 것”이라고 확신했다.
-
- 사이버보안
-
[유니콘 보안] (4) 씨아이디스크의 DST, 특허 가치만 300억 대인 신개념 ‘데이터 은닉’ 기술
-
-
[사이버안보 진단](4) 삼성 스마트폰의 ‘비애’, 신속획득제도 조속히 도입해야
- ▲ 국내 최초 5G 스마트폰인 삼성전자 갤럭시S10 5G 모델이 판매량 100만대를 돌파했다. 사진은 지난 6월 24일 오후 서울 서초구 삼성 딜라이트 샵. [사진제공=연합뉴스] 한국은 세계에서 ICT 인프라가 가장 발달된 나라 중 하나로 꼽힌다. 하지만 보안에 대한 인식은 낮아 사이버공격을 무기화하는 일부 국가나 해커 조직들에게 무방비로 노출된 상태다. 뉴스투데이는 한국의 사이버안보를 강화하기 위해 정부와 군 차원에서 과연 무엇을 어떻게 해야 할지 짚어보는 ‘사이버안보 진단’ 시리즈를 시작한다. <편집자 주> 미군은 삼성 스마트폰 사용, 한국군은 신속히 도입할 제도조차 없어 [시큐리티팩트=김한경 안보전문기자] 국방부는 지난해 8월 국방개혁 2.0의 과제로 ‘국방 사이버안보 역량 강화방안’을 마련하고 10대 실행과제를 추진 중이다. 이 가운데 급속한 ICT 기술 발전 속도에 부합하는 별도의 획득제도를 검토하겠다는 내용이 담겨 있다. 또 사이버안보의 제도와 예산은 국방부가 총괄 수행해 정책의 일관성을 유지하겠다는 내용도 들어 있다. 현행 법규상 획득절차를 거쳐 무기체계를 도입하려면 평균 10년 이상이 걸린다. 반면, 무기체계가 아닌 전력지원체계는 전년도에 예산을 반영하면 다음해 도입이 가능하다. 그런데 ICT 분야는 전력지원체계와 무기체계에 동일한 제품이 들어가는 경우가 많고, 민간기술이 군용기술을 선도해 우수한 상용제품을 군의 작전 환경에 맞게 보완해 활용하는 것이 효과적이다. 전 세계에서 가장 선진화된 군대인 미군도 2013년부터 삼성 스마트폰에 자신들이 원하는 ‘녹스(Knox)’라는 보안 솔루션을 탑재해 작전에 사용하고 있다. 미국 정보기관인 국가안보국(NSA)도 자체 보안 소프트웨어를 적용한 삼성 스마트폰을 직원용으로 도입했다. 하지만 한국군은 아직 삼성 스마트폰을 작전에 사용하지 못한다. 삼성 스마트폰의 ‘비애’인 셈이다. 국방 정보화 업무에 정통한 한 예비역 장성은 “우수한 상용 제품을 무기체계에 사용하고 싶어도 신속히 도입할 획득제도가 없고 보안이 발목을 잡아 추진이 어렵다”고 주장했다. 보안 문제는 풀어갈 수 있지만 삼성 스마트폰의 ‘비애’를 해결하려면 기술의 발전 속도에 맞는 신속획득제도가 조속히 도입돼야 한다. 이와 관련, 지난해 1월 ‘방위사업 개혁 협의회’는 ‘방위사업 개혁방향’을 검토하면서 최초로 ‘신속획득제도’란 용어를 선보였고, 동년 8월에 사업 절차를 대폭 간소화한 ‘신속시범구매제도’를 신설하겠다고 밝혔다. 이 제도는 현장 지휘관이 필요로 하는 장비를 군에서 소량 구매하여 시범 운용한 후 성능이 입증되면 소요 결정 후 다음해부터 전력화하는 방식이다. 합참 관계자, “신속획득 절차와 예산 확보 필요해 제도 신설 검토” 우수한 상용제품을 작전 효용성만 검증 후 도입하는 ‘신개념기술시범(ACTD)’ 사업과 유사하다. 하지만 ACTD는 양산까지 다시 획득절차를 거치게 돼 신속한 도입이 어려운 상황이다. 이와는 별개로 현재 ‘국방전력발전업무훈령’에 전시·사변·해외파병 등 특별한 상황에 시급히 대응할 전력으로서, 소요 결정 후 2년 이내에 획득이 가능한 ‘긴급전력 제도’가 있다. 합참의 실무 관계자는 지난해 12월 한 세미나에서 “획득에 장기간이 소요되고 기술 진부화도 우려됨에 따라 무기체계를 획득이 용이한 전력지원체계로 변경해줄 것을 건의하는 사례가 증가하고 있다”고 말했다. 이런 현상을 해소하고자 그는 “긴급전력의 정의에 부합되지 않는 전력의 신속획득을 위한 절차와 예산 확보가 필요해 제도 신설을 검토 중이다”고 설명했다. 유형곤 안보경영연구원 방위산업실장은 “군에서 생각하는 신속획득은 ① 우수한 민간기술의 신속 활용과 ② 신속한 무기체계 획득으로 구분된다”면서 “ACTD 사업은 ①번에, 긴급전력 제도는 ②번에 해당하며, 신설 예정인 신속시범구매제도도 ②번에 가깝다”고 분석했다. 아직 우리는 신속획득에 대한 정의가 마련되지 않았으나, 통상 일반 획득절차를 간소화하여 획득시간을 단축하는 것으로 이해한다. 미국의 경우 신속획득(Rapid Acquisition)을 “승인된 긴급능력소요(UCR) 또는 우발능력소요(ECR)를 신속하게 생산·배치하기 위한 간소화되고 통합된 접근 방안”으로 정의하고 있다. 사이버안보, 명확한 소요 창출 힘들어...제도 핵심은 획득기간 단축 현행 방위사업 법규에 정통한 한 전문가는 “현행 법규 내에서도 꼭 필요한 무기체계라면 얼마든지 신속히 도입할 수 있다”면서 “연평도 포격 사건 이후 스파이더 미사일을 도입하는데 6개월도 걸리지 않았다”고 말했다. 그는 “정말 중요한 것은 모두가 공감하는 ‘소요’가 만들어지는 것”이라며 “군에서 활용하면 좋겠다는 정도로는 소요 창출이 힘들다”고 말했다. 미국처럼 전쟁을 계속하고 있어 명확한 소요가 창출되는 나라는 획기적인 기획을 할 수 있다. 2011년 방위고등연구기획국(DARPA)은 전직 해커 출신을 발탁해 ‘Cyber Fast Track(CFT)’이란 새로운 프로그램을 기획했고, 목표로 삼은 네트워크 보안 프로젝트를 위해 개인 및 소규모 기업을 상대로 두 달 만에 8건의 단기계약을 체결한 사례도 있었다. 하지만 우리는 미국처럼 명확한 소요를 창출하기 어렵다. 단지 미국을 비롯한 선진국 군대에서 이 제품 또는 기술을 어떻게 사용하고 있고 미래 전장에서 이럴 가능성이 있으니 도입이 필요하다는 정도로 설명할 수밖에 없다. 결국 소요 창출은 정책결정자의 사이버안보에 대한 관심과 의지에 달려 있고, 신속획득제도는 획득기간 단축이 핵심이다. 사이버안보 전문가들은 “획득기간 단축을 위한 특단의 방안을 시급히 마련하고 관련 법규와 제도를 정비해야 한다”면서 “사이버안보 정책을 다루는 정보화기획관실(사이버정책과)에서 방위사업 분야에서 신설하려는 신속시범구매제도와 ACTD, 긴급전력 제도 등을 면밀히 검토하고 해당 부서와 상호 의견을 조율하는 과정이 필요하다”고 주문했다. 최기일 건국대 교수, “별도 예산 배정 또는 불용 예산 전용 우선권 검토” 이런 과정을 거쳐 사이버안보에 적합한 신속획득제도가 만들어지면, 이어서 검토할 것은 신속획득 분야에서 사용할 예산의 확보 방법이다. 이를 지원하기 위해 중기계획 수립 및 예산 편성 시 신속획득을 위한 별도의 예산코드가 마련돼야 한다. 또 양산업체 선정 기준 및 수의계약 허용 여부 등도 함께 검토돼야 한다. 방위사업 예산에 정통한 최기일 건국대 교수는 “신속획득 전력으로 별도 예산을 배정하거나 용처를 명시하지 않는 예비비를 책정할 수도 있고, 매년 발생하는 불용 예산에 대한 전용 우선권을 주는 방법도 있다”고 말했다. 그는 “미국의 경우 국방부장관이 2억 달러 수준의 재원을 용도 변경해 사용할 수 있도록 허용한다”고 전했다. 결국 사이버안보 분야에 적합한 별도의 획득제도는 현재 ‘방위사업 개혁방향’에서 검토 중인 신속시범구매제도가 어떤 모습으로 최종 정리되느냐에 달려있다. 왜냐하면 이 제도는 현장 지휘관에게 필요한 소량의 무기체계를 신속히 구매해 주는데 초점이 맞춰져 사이버안보 분야에서 원하는 획득제도와 다를 수 있기 때문이다. 사이버안보 전문가들은 “일단 방위사업 분야에서 검토 중인 신속시범구매제도가 사이버안보 분야에서 필요한 내용을 담을 수 있는지 검토한 후 큰 문제만 없으면 빨리 도입해 시행해보는 것이 중요하다”면서 “제도가 없어 추진하지 못하는 것보다 미흡한 제도라도 시행하면서 보완하는 것이 사이버안보의 추동력을 갖게 만든다”며 목소리를 높이고 있다.
-
- 사이버보안
-
[사이버안보 진단](4) 삼성 스마트폰의 ‘비애’, 신속획득제도 조속히 도입해야
-
-
[유니콘 보안] (3) 윤엠의 TSID, 세계에서 가장 안전하고 간편한 인증 시스템
- ▲ 지난 7월 중순 싱가포르에서 개최된 ‘월드 e스포츠 및 블록체인 서밋 마블스’에서 ‘TSID 인증’ 기술을 발표하는 윤태식 윤엠 연구소장. [사진제공=윤엠] ‘유니콘(Unicon)’은 신화 속에서 등장하는 ‘이마에 뿔이 하나 달린 말’을 뜻하는데, 최근 기업가치가 10억 달러 이상 되며 큰 성공을 거둔 스타트업을 지칭하는 용어로 사용된다. 뉴스투데이는 사이버보안 분야에서도 이와 같은 유망 기업이 나오길 바라면서 훌륭한 기술력을 가진 중견·중소기업의 신제품을 소개하는 ‘유니콘 보안’ 시리즈를 시작한다. <편집자 주> 윤엠, 인증의 근원적 문제인 해킹과 도용 차단한 세계적 신기술 개발 [시큐리티팩트=김한경 안보전문기자] 사이버 세상에서 ‘식별’이란 한 개체를 어떤 정보에 연결하는 행위다. 식별의 증거인 ‘인증’은 “당신이 아는 것과 당신이 갖고 있는 것”으로 정의된다. 당신이 아는 것은 우리가 늘 사용하는 ID와 비밀번호가 해당되며, 당신이 갖고 있는 것은 주로 지문, 홍채, 정맥, 얼굴, 땀샘 등 생체 인식을 의미한다. 이와 같은 식별의 증거들은 약점이 있다. 본인 인증을 위한 ID와 비밀번호는 통상 수십 개가 넘어 모두 기억하기 어려운데다 생체 인식도 위조될 수 있다. 또한 기존의 인증은 ‘고정값’인 개인정보들을 서버에 저장하고 사용자가 접속을 시도하면 저장된 정보와 대조해 허용하는 방식인데, 이 서버가 해킹을 당하면 속수무책이다. 윤엠(YOONAM)은 이와 같은 인증의 문제를 근원적으로 해결하기 위해 해킹과 도용의 가능성을 차단한 ‘TSID 인증’ 기술을 세계 최초로 개발했고, 한국을 비롯해 미국, 중국, 유럽연합, 일본, 인도 등에서 특허를 획득했다. 윤태식 윤엠 연구소장은 15년간 각고의 노력 끝에 이 기술을 직접 개발함으로써 최근 국내외적으로 큰 주목을 받고 있다. TSID, 일회성 식별코드 자동 생성하고 사용 후 사라져 해킹에 안전 2500년 간 사용되던 ‘고정값’ 암호체계 ‘양방향 비고정값’으로 바꿔 TSID(Time Sync Identification)는 수학적 암호화 기법으로 일회성 식별코드를 자동 생성해 서버로 되돌려 보내는 ‘AI’(인공지능) 기술이다. 비밀번호나 생체정보 같은 개인정보(고정값)가 없어 서버에 저장되지 않으며 생성된 식별코드도 사용 후 사라져 해킹으로부터 안전하다. 게다가 ID와 비밀번호 없이 개인의 전화번호 입력만으로 한 번에 편리하게 접속할 수 있다. 'TSID 인증'이 상용화되면 원스톱 인증을 통해 국방·방위산업은 물론 금융업, 각종 기관·단체 사이트, 모바일 홈쇼핑, 민원 업무 등을 안전하게 편리하게 이용할 수 있다. 특히 공인인증서 등 복잡한 인증 방식으로 힘들어 하는 사이버공간의 소외 계층에게 정말 필요한 기술이다. 윤엠은 기원전 450년경부터 현재까지 약 2500년 동안 사용되던 아날로그 방식인 ‘고정값’ 암호체계를 5G 시대에 적합한 디지털 방식인 ‘양방향 비고정값’ 암호체계로 바꾸는데 성공했다. 초연결 사회가 도래하고 있음에도 안전하고 편리한 인증 시스템이 없어 고민하던 많은 분야에서 가장 각광 받을 수 있는 기술이 드디어 나온 것이다. 윤태식 연구소장은 지난 7월 중순 싱가포르에서 개최된 ‘월드 e스포츠 및 블록체인 서밋 마블스’에 초청돼 TSID 인증기술을 주제로 발표했다. 그는 당시 ID와 비밀번호 없이 간단한 원터치로 송금하는 시연을 선보여 참석한 국내외 인사들의 호응을 얻어냈고, 특히 외국 투자자들의 관심을 한 몸에 받았다. 윤태식 소장, "국방 및 방산 분야에 TSID 적용하는 것 자체가 애국" 지난 1월에는 한국방위사업연구원과 양해각서(MOU)를 체결하고 국방 및 방산 분야에 적용할TSID 인증 기술을 공동 연구하기로 합의했다. 윤태식 연구소장은 지난 26일 기자와 만나 “전 세계가 인정한 TSID 인증 기술을 국방 및 방산 분야에 적용하는 것 자체가 애국하는 것이며, 국방 사이버보안에 앞장설 것”이라고 포부를 내비쳤다. TSID 인증 기술이 국방 분야에 적용되면 다양한 정보통신체계에 효율적인 업무 시스템을 구축할 수 있다. 개인 PC부터 출입통제시스템, 네트워크, IOT(사물인터넷) 기기, 전자우편, 홈페이지, 민원업무 등을 ID와 비밀번호 없이 안전하고 편리하게 이용할 수 있다. 윤엠의 기술본부장인 손상일 박사(예비역 육군대령)는 “30여 년간 국방 사이버보안을 위해 헌신했지만 ID와 비밀번호 노출로 인한 해킹 문제를 해결하지 못했는데, 전역 후 윤엠에 합류하면서 TSID 인증 기술을 통해 비로소 밀린 숙제를 해결하게 됐다”고 소회를 밝혔다. 아직 윤엠은 해결해야 할 과제들이 남아 있다. 핵심인 ‘TSID 인증’ 기술은 완성됐지만, 이를 적용할 워치형, 일체형, 카드형, 모듈형 등 4가지 인증 유형에 따라 해결해야 할 문제들이 있다. 특히 도난이나 악용을 방지하기 위해 기기 인증 시 홍채·지문 인증을 병행 사용하면서 AI 기술을 적용한 패턴 인식도 개발 중이며, 사용자간 프라이빗 블록체인 기술 적용을 위한 개발도 진행하고 있다.
-
- 사이버보안
-
[유니콘 보안] (3) 윤엠의 TSID, 세계에서 가장 안전하고 간편한 인증 시스템
-
-
[사이버안보 진단](3) 리더십 실종된 국방 사이버안보 조직·기능 개편돼야
- ▲ 지난해 11월 9일 서울 중구 웨스틴 조선호텔에서 열린 '2018 국방 사이버 안보 콘퍼런스'에서 김종일 당시 국군사이버사령관이 환영사를 하고 있다. [사진제공=연합뉴스] 한국은 세계에서 ICT 인프라가 가장 발달된 나라 중 하나로 꼽힌다. 하지만 보안에 대한 인식은 낮아 사이버공격을 무기화하는 일부 국가나 해커 조직들에게 무방비로 노출된 상태다. 뉴스투데이는 한국의 사이버안보를 강화하기 위해 정부와 군 차원에서 과연 무엇을 어떻게 해야 할지 짚어보는 ‘사이버안보 진단’ 시리즈를 시작한다. <편집자 주> 사이버작전사 출범했지만 통합방위법 작전 관할구역에 사이버공간 누락 [시큐리티팩트=김한경 안보전문기자] 지난해 8월 국방부는 ‘국방개혁 2.0’을 발표하면서 국군사이버사령부를 합동부대인 사이버작전사령부로 전환한다고 밝혔다. 이에 따라, 금년 2월 26일부터 시행된 ‘사이버작전사령부령’은 사이버작전사가 국방부 장관 소속 부대이지만, 사령관은 합참의장의 명을 받아 업무를 총괄하고 예하부대를 지휘·감독하도록 명시돼 있다. 실질적인 합동부대로 성격이 변화된 사이버작전사령부의 탄생으로 대다수 사이버안보 전문가들은 “조만간 국방의 사이버안보가 상당히 강화될 것”이라고 생각했다. 하지만 아직까지 별반 달라진 것이 없는 상태다. 통합방위법의 작전 관할구역은 여전히 지상·해상·공중뿐이고, 사이버공간은 아직 포함되지 않았다. 이를 반영이라도 하듯 합참의 ‘사이버작전과’는 현행 작전을 담당하는 ‘작전본부’가 아니라 작전을 지원하는 ‘군사지원본부’에 소속돼 있다. 그것도 정보통신 병과의 장군이 부장을 맡는 사이버·지휘통신부 예하에 편성돼 있다. 현행 작전도 버거운데 잘 알지도 못하는 사이버작전까지 맡으면 감당하기 어렵다는 작전본부의 속내가 작용한 듯하다. 합참의 ‘사이버작전과’도 작전 부서가 아닌 군사지원본부에 소속 작전본부로 옮겨야 작전 전문가들이 사이버안보에 관심 갖게 돼 작전 전문가들은 “사이버작전도 작전의 일부이므로 정보통신 전문가보다는 작전 전문가가 맡는 것이 타당하다”며 “전체 작전 차원에서 사이버작전을 다뤄야 한다”고 말했다. 그 사실은 러시아가 2008년 그루지야를 침공할 때 사이버공격에 이어 실제 전쟁을 벌이면서 이미 증명됐다. 그럼에도 한국군은 작전 부서가 해야 할 업무를 정보통신 병과에게 맡기고 있다. 이와는 달리 1990년대 후반 합참 작전본부 소속으로 ‘C4I부’가 있었다. 합참이 작전에 사용할 지휘통신체계 사업을 추진하던 조직으로 황진하 준장(전 국회 국방위원장, 예비역 육군중장)이 부장을 맡았다. 기자는 당시 작전지원 성격의 부서가 왜 작전본부에 있는지를 물었고, 그는 “가장 힘이 있는 작전본부에서 맡아야 사업이 제대로 되기 때문”이라고 답했다. 이렇게 한 때는 작전지원 부서의 업무도 작전본부에서 수행할 경우가 있었다. 그런데 지금은 작전본부가 당연히 수행할 업무를 작전지원 부서에 맡기고 있다. 2016년 이런 문제를 인식했던 김용현 당시 합참작전본부장(예비역 육군중장)은 최근 기자와 만나 “그 당시 사이버작전은 물론 전자전, 정보작전 등도 작전본부가 수행하는 것으로 심도 있게 검토했다”고 말했다. 작전 전문가들이 사이버작전을 다루게 되면 사이버안보에 대한 군의 관심이 전반적으로 높아진다. 이들이 대부분 군의 고위급 지휘관 및 수뇌부로 진출함으로써 사이버안보 분야의 의사결정 과정에 상당한 영향을 미치기 때문이다. 결과적으로 소수의 전문가들이 아무리 외치고 노력해도 달라지지 않던 사이버안보 분야가 빠른 시간 안에 달라질 수 있다. 사이버안보는 한국군이 작은 예산으로 유일하게 자주국방을 실현할 수 있는 분야이기도 하다. 하지만 지금까지 작전 지원을 주임무로 하는 정보통신 병과에서 주장하다보니 작은 예산조차 제대로 반영하기 어려웠다. 사이버작전과를 작전본부로 옮기는 문제는 결국 작전 전문가들의 사이버안보에 대한 관심을 제고시켜 국방의 사이버안보가 점차 강화되는 계기가 마련될 것이다. 손영동 한양대 교수, “국방부에 사이버안보 컨트롤타워 신설해야” 손영동 한양대 교수는 “국방 사이버안보의 수행체계는 국방부(정책·예산), 합참(합동작전), 사이버작전사령부(실행)의 삼각구도가 바람직하다”고 주장했다. 그는 “국방 사이버안보 이슈를 관철하려면 컨트롤타워가 절대적으로 필요하다”면서 “국방 사이버안보 정책을 총괄할 사이버안보기획국(가칭)이 국방부에 신설돼야 한다”고 말했다. 현재 국방부의 사이버안보 정책은 정보화기획관실 예하의 사이버정책과에서 담당하고 있다. 한 때 국방정책실에 있던 사이버정책 T/F가 해산되면서 당시 박래호 정보화기획관(예비역 육군준장)이 업무 욕심에 가져왔지만 제대로 수행하기 어려운 실정이다. 사이버안보 정책에 정통한 한 예비역 장성은 “사이버안보 정책은 청와대, 국정원, 과기정통부, 안보지원사 등 다양한 정부부처 및 군내 정보조직들과 조율해야 하는데다 미국 등 외국과 국제적 공조도 필요하므로 정보화기획관실이 추진하기에는 한계가 있다”면서 “별도의 국을 만들기는 힘드니 정책기획관실로 환원해 국방정책실장이 컨트롤타워 역할을 수행하면 된다”고 말했다. 변재선 전 사령관, “필요시 사이버작전사가 각 군 관련 조직 지휘해야” 한편, 국방부는 지난해 8월 국방개혁 2.0의 과제로 ‘국방 사이버안보 역량 강화방안’을 마련하고 10대 실행과제를 추진 중이다. 사이버작전사령부의 조직·기능을 전면 개편하고, 조직별 임무와 업무체계도 정립하고 있다. 변재선 전 사이버사령관(예비역 육군소장)은 “사이버작전사령부는 각 군과 제대별 사이버 관련 조직을 필요시 작전 통제할 수 있어야 한다”고 말했다. 그는 “사이버작전사는 전략적 차원에서 국방 주요자산을 방어 및 복구하고, 각 군은 전술적 차원에서 각 군의 주요자산을 방호 및 복구해야 한다”고 주장했다. 또 “공격자에 대한 역추적은 사이버작전사와 각 군 사이버 조직이 함께 수행해야 한다”면서 “국가 사이버안보 관련 기관들과 협업 체계도 명확히 정립돼야 한다”고 말했다. 이와 관련, 사이버작전사령부령 제8조에 “사령관이 사이버작전상 긴급한 조치가 필요한 경우 예하 부대가 아닌 다른 부대를 일시적으로 지휘·감독할 수 있다”고 명시돼 있다. 손영동 교수는 “국방 사이버안보 정책의 일관성 있는 수행을 위해 통합방위법, 계엄법은 물론 국방사이버안보훈령, 군사보안업무훈령 등 관련 법령을 현실 여건에 맞도록 개정해야 한다”고 말했다.
-
- 사이버보안
-
[사이버안보 진단](3) 리더십 실종된 국방 사이버안보 조직·기능 개편돼야