김승주 교수 "온 나라가 털렸다…사이버 보안 3축 체계 수립·자율 보안 활동 장려해야"
[뉴스웍스=박광하 기자] 민간 기업, 정부 기관의 효과적인 해킹 대응을 위해 '탐지-방어-공격 무력화'라는 사이버 보안 3축 체계 수립, 시행이 제안됐다. 기업의 해킹 예방, 피해 최소화 활동을 책임 경감 사유로 인정하는 등 범국가적인 정보보호 제도, 정책 개선이 필요하다는 의견도 나왔다.
김승주 고려대 정보보호대학원 교수는 24일 국회 과학기술정보방송통신위원회 'KT·롯데카드 대규모 해킹사고 및 소비자 피해 청문회'에 참고인으로 출석했다. 그는 특별 발제에서 "프랙 보고서에 따르면 한국 정부가 상당 부분 털렸다"며 충격적인 해킹 피해 실태를 공개했다.
김 교수는 "행정안전부, 외교부, 통일부, 방첩사 등에 대한 해킹이 계속 나오고 있고, 공무원들이 보고서를 공유하거나 회의록을 공유하는 온나라시스템도 뚫렸다"며 "실제 온나라시스템이 뚫렸는지 여부는 우리 정보기관도 확인한 것으로 안다"고 말했다.
온나라시스템은 공무원들과 지자체 모두를 포함해 회의록, 보고서, 메모 등 모든 것이 공유되는 핵심 전산시스템이다. 김 교수는 "해커가 이 시스템에 산하기관을 통해 침투해 통일부와 행안부 직원의 아이디와 비밀번호를 탈취한 다음 그 안에 들어가서 정보를 입수했다"고 설명했다.
문제는 피해 범위가 정확히 파악되지 않고 있다는 점이다. 김 교수는 "언제부터 언제까지 정보가 유출됐는지, 계정이 탈취된 공무원이 몇 명인지, 해커가 침투할 수 있는 백도어(침투 경로)가 더 있는지에 대해 전수조사를 해봐야만 알 수 있다"고 강조했다.
온나라시스템 외에도 피해는 광범위했다는 게 김 교수의 지적이다. 그는 "공무원들이 쓰는 GPKI 인증서 관련 소스코드도 유출됐고, 내부 메일 서버의 소스 코드도 유출됐다"며 "해커들이 대검찰청 등 주요 부서에 있는 분들을 전문적으로 피싱 스팸 메일을 보내서 피싱한 사례도 보인다"고 덧붙였다.
우려되는 점은 이런 내용들이 소수 해커의 컴퓨터에서 나왔다는 사실이다. 김 교수는 "보통 해커들은 팀을 짜서 단체로 움직이기 때문에 전체가 이 도구들을 가지고 움직이면 피해는 훨씬 더 광범위할 것"이라고 경고했다.
개인정보 암호화 문제의 심각성도 적나라하게 드러났다.
이정헌 민주당 의원이 "롯데카드에서 고객 주요 정보가 암호화되지 않은 평문으로 유출됐다"고 지적하자, 김 교수는 상세한 해킹 과정을 설명했다. 그는 "롯데카드의 경우 원래 주민등록번호가 저장된 곳에서는 암호화돼 있었지만 로그 서버에서는 풀린 채로 들어가 있었다"며 "암호화된 개인정보가 로그 서버에서 평문으로 풀려서 들어간 것"이라고 짚었다. 그러면서 "보통 로그 기록에는 주요 정보를 담지 않도록 돼 있고 보호 조치를 하도록 돼 있는데 그걸 안 지킨 것"이라고 비판했다.
SK텔레콤 사건과의 유사성도 지적됐다. 김 교수는 "SK텔레콤은 처음에 주민번호가 전부 암호화돼서 DB에 보관되고 있어서 개인정보보호법 위반 사실이 없다고 말했지만, 전수조사 과정에서 개발자들이 편의상 만든 임시 서버 2대가 발견됐다"고 밝혔다. 그는 "모든 암호화된 데이터가 일단 임시 서버에서 풀려서 일정 기간 저장돼 있었고, 해커는 거기에 악성 코드를 심었다"고 설명했다. 결국 롯데카드와 SK텔레콤 모두 "(시스템의 암호화 구현 등) 자산 파악 자체가 안 돼 있어서 생긴 문제"라고 진단했다.
통화상세기록(CDR) 유출의 국가안보 위험성도 심각한 수준으로 제기됐다. 김 교수는 "CDR을 파악하면 주요 공직자나 군 주요 인사가 언제 어디서 누구랑 만나고 동선이 어떻게 되는지 이 모든 걸 파악할 수 있다"고 경고했다.
실제 해외 사례를 들어 위험성을 강조하기도 했다. 김 교수는 "지난해 말 미국의 9개 통신사가 해킹당했을 때 월스트리트저널은 CDR 유출 여부부터 조사했다"며 "조사 결과 트럼프 캠프 인사부터 시작해 주요 공직자의 통화 상세 기록이 나갔고, 해커들이 더 나아가서 감청 장비까지 접근했다는 내용이 있다"고 설명했다.
보안 체계 문제가 본격 대두한 시기는 코로나19 대유행 시점을 지목했다.
김 교수는 "한국의 기존 보안 정책은 '망분리'라는 폐쇄망 원칙으로, 모든 업무용 PC가 인터넷과 단절돼 있도록 하는 것"이라고 말했다. 이어 "(외부 인터넷에서 내부망으로) 연결이 시작된 게 코로나19 때부터"라며 "이후 AI 정책들이 도입되면서 연결이 확대됐다"고 분석했다. 그는 "망을 전부 끊어놓은 상태에서 보안을 하다 보니 (내부망 내의 시스템들이) '무균실'과 같은 상태"라면서 "(그런 상황에서 사이버 침해가) 한 번 들어오기 시작하니 속절없이 무너지고 있다"고 지적했다.
그는 국가적 정보보호 위협을 해결할 방안으로 '사이버 3축 체계' 구축을 제안했다. 국방 3축 체계(탐지-방어-공격 무력화)를 사이버 분야에 적용하자는 것이다. 김 교수는 "첫 번째가 탐지로, 전문 용어로 사이버 인텔리전스"라며 "KT가 사용하던 SSL 암호통신 인증서가 외부로 유출된 것을 먼저 안 건 외국에 있는 2명의 해커였다"고 지적했다.
두 번째 축인 방어 관련해서는 평가 인증 제도의 문제점을 지적했다. 김 교수는 "ISMS 인증 체계는 기본 건강검진 같은 것인데, 롯데카드 같은 경우 굉장히 중요하다고 긴급 업데이트하라고 공지한 보안 취약점이 8년 동안 방치돼 있었다"며 "이렇게 긴급한 보안 취약점이 8년 동안 방치돼 있었는데 2025년에 ISMSP 인증서가 나간 것은 분명한 관리 부실"이라고 비판했다.
세 번째 축인 공격 무력화와 관련해서는 로그 기록의 중요성을 강조했다. 김 교수는 "롯데카드나 SK텔레콤 등 여러 사건에서 항상 부딪히는 건 로그 기록이 제대로 보관 안 돼 있어서 유출 여부를 확인할 수 없다는 것"이라며 "롯데카드만 하더라도 취약점이 방치된 건 8년인데, 만약 로그 기록이 그것보다 훨씬 짧게 보관돼 있다면 그 사이에 그 취약점을 이용해서 어떤 일이 벌어졌는지는 미궁에 빠질 것"이라고 우려했다.
이정헌 의원이 2010년 방송통신위원회의 '초소형 기지국(펨토셀) 규제 완화' 정책 시행에 대해 묻자, 김 교수는 "규제 완화를 하면서 펨토셀에 대한 안전성 대책이 같이 나갔어야 했는데, 완화는 했지만 펨토셀에 대한 안전성 대책은 미흡했다"며 "그게 문제의 시작이 아니었나 싶다"고 답했다.
컨트롤타워 구성의 필요성도 제기됐다. 이주희 민주당 의원이 국가 정보보호 TF 구성 필요성을 묻자, 김 교수는 "국가 전반을 동시다발적으로 검사하려면 컨트롤타워가 분명히 필요하다"며 "한국의 경우 컨트롤타워는 국가안보실 3차장실이지만 거기에 그렇게 많은 인원이 있지 않다"고 지적했다. 그러면서 "파견 인력, 유관기관 등과 유기적으로 결합할 수 있는 토대를 마련해 줘야 한다"고 강조했다.
AI 시대 클라우드 보안 정책의 낙후성도 지적됐다. 김 교수는 "AI 정책은 반드시 해야 하는데, AI는 클라우드에 넣게 돼 있다"며 "외국에는 클라우드가 민간용과 정부용으로 나뉘어지고, 정부용은 탑시크릿용, 시크릿용, 일반용으로 다시 나눠진다"고 설명했다.
그는 "AI를 어디 쓰느냐에 따라서 국방·외교·안보에서 쓰는 AI는 탑시크릿 클라우드에 들어가고, 일반용 AI는 일반 정부용 클라우드에 들어간다"며 "그런데 지금 우리나라에서는 인증 제도 자체가 민간용 하등급 인증 제도밖에는 마련돼 있지 않다"고 아쉬움을 표했다.
류제명 과학기술정보통신부 차관은 "클라우드 서비스 보안 인증 제도를 운영하고 있어 보안 인증 기준 자체를 상중하 3등급 체제로 바꿔나가는 작업을 하고 있다"며 "하등급에 대해서는 글로벌 사업자들도 인증을 취득했고, 중등급과 상등급에 대한 것들은 보완 작업을 하고 있다"고 답했다.
류 차관은 "국정원에서는 국가망보안체계 N2SF라는 체계를 통해 현재 망 분리 상태에서 클라우드 서비스를 어떻게 써야 하는지, 이 AI 시대에 가장 중요한 인프라인 클라우드를 어떻게 가장 효율적으로 써야 하는지에 대해서 국정원과 과기부가 시범 사업을 해보고 있다"고 설명했다.
마지막으로 김 교수는 "우리는 피해가 발생하면 일단 업체에게 책임을 묻는데, 외국에서는 업체가 피해가 확산되지 않도록 노력을 많이 하면 그걸 경감 사유로 인정한다"며 "해외에서는 피해 최소화 노력이 경감 사유로 받아들여지므로, 해킹당한 기업은 굉장히 상세한 보고서를 만들어서 공유한다"고 제도 개선 방향을 제시했다. 국내 기업들의 활동을 정부가 더 의미 있게 평가하고, 적발과 처벌 위주에서 자체 정보보호 활동을 장려하는 구조로 제도를 바꿔야 한다는 뜻으로 풀이된다.