일명 ‘인터넷나야나’ 사건 이후로 사이버보안에 대한 우려의 목소리가 높다. 그리고 랜섬웨어는 범죄자와 결탁해 ‘비트코인’ 거래로 수익을 창출하고 있다. 우리 정부와 기업들은 랜섬웨어 등 막상 사건이 발생하면 ‘사후약방문’ 등 땜질 처방으로 대처한다.

중요한 데이터를 ‘인질’로 삼아 비즈니스 모델이 창출하는 해커를 대처하는 방법은 뭘까. ICT 융합시대에 걸맞는 보안체계를 확립하기 위해 정부와 기업의 보안관리 실태에 대한 전문가들의 대안을 모색하는 자리가 마련되었다.

구태언 변호사(테크앤로), 김인순 보안 전문기자(전자신문), 이동근 단장(한국인터넷진흥원), 이준호 대표(센스톤)가 25일 서울 강남구 삼성동 현대타워 7층 한국인터넷기업협회 엔스페이스서 만났다.

■ “보안은 백업의 문제가 아니라 IT문제”

이준호 대표는 “큰 기업은 백업을 하고, 중소기업은 그 마저도 열악하다. 보안은 백업의 문제가 아니라 IT문제”라고 짚었다. 특히 “기업 90% 해킹은 사람 관리에서 나온다”고 설파했다.

수법을 보면 악성코드는 미끼고, 보이싱피싱을 당하는 할머니 같은 변형 버전이라는 것. 그래서 ‘보안 담당자가 이 내용에 대해 교육을 해야 한다’고 강조했다. 공직자 메일의 경우 행자부나 국정원이 아닌 문화부 IT담당을 하고 비상식에 대해 지적도 했다.

김인순 전자신문 보안전문기자는 “중국은 랜섬웨어를 다단계수법으로 뿌린다. 군인이나 공무원의 국가차원과는 다른, 낮은 차원의 민간 중국 해커는 비즈니스 구조 ‘트리’안에 있다”고 있고 말했다. 이어 “MS 백신업데이트, 매일 이상 메일 체크, 택배 누르지 마세요 등 그 업데이트만해도 안전하다” 덧붙였다. 

김 기자는 랜섬웨어로 10년 암연구 임상데이터가 날아간 한 연구원과 정치인생을 자료로 정리한 모 중진국회의원의 예를 들었다. 연구원은 사설로 30만원, 20만 수수료로 복구했다. 의원도 해커에 돈을 주고 복구했다.

절박한 선택은 이해되지만 “범죄자에 돈을 준다” “한국에서 뿌리자”는 마음으로 비트코인을 이용한 몸값을 주면 ‘데이터인질’ 비즈니스로 인식된다. 보안 입장에서는 반대한다는 것.

이동근 한국인터넷진흥원 단장은 “한때 디도스 협박이 많았다. 이제 방어에 투자하고 민관합동 사이버대피소 등 방어서비스와 기업보안 인식이 높아졌다. 해커들도 수익이 낮다고 인식한다. 랜섬웨어도 ‘돈안되네’라는 인식을 바꿔줄 필요가 있다”고 말했다.

사람 관리 철저히 하고 직원 보안의식이 달라지면 90% 이상 위험을 줄일 수 있다는 것. 구태언 변호사도 “사이버보안에 대한 기본 소양으로 새 위험 적응하는 자구책과 시민의식이 필요하다”고 소양이 있으면 안전하다고 덧붙였다.

김 기자는 “계정관리를 단순화시킨 것은 피해라. ADMIN/ 1234식으로 해놓으면 해킹을 절대로 못막는다”고 말했다.

■ “이스라엘 수상이 사이버보안 키노트하는 모습 감명”

김인순 기자는 이스라엘 사이버보안에 대한 사례를 소개했다.

“이스라엘은 인구가 700만명이다. 한국의 5분의 1이다. 그런데 사이버보안 키노트 발표자로 수상이 등장해 ‘중요한 주제’로 연설해 감명을 받았다. 이스라엘의 경우 육해공 사령관 위에 사이버 사령관이 있다. 물리적인 안보뿐 아니라 사이버 보안을 중요하게 하면서 국가 차원 정보를 공유한다. 피아구별이 없는 사이버상에서 자주국방을 구현하고 있다.”

현재 이스라엘 사이버 도우미 산업은 국제적으로 10%를 차지하면서 미국 다음이다. 이에 비해 한국은 군 사이버 위협 정보를 민간기업과 공유하지 않는다.

김 기자는 “북풍 이용 등으로 국민도 다 안믿지 않는다. 실제 북한은 IBCM을 개발한 나라다. ‘정보를 팔테니 돈을 내라’는 탈북자를 만나봤다. 중국으로 넘어가 차로 무선으로 공격한다고 했다. 국가차원 구멍이 생겼다. 행자부 공무원 시험생 해킹도 도어록이 벽에 있었다. 이처럼 한국의 보안 수준이 낮다”고 비교했다.

그렇다면 적-아군 식별이 쉽지 않은 사이버 공간에서 대처법은 뭘까.

구태언 변호사는 “소말리아 해적은 러시아 배를 공격하지 않는다. 러시아는 테러리스트와 타협하지 않는다. 진압한다”고 비타협을 옹호했다.

이준호 센스톤 대표는 “아이러니한 것은 해킹을 한 도둑이 아닌 도둑을 받은 사람이 나와서 반성한다. 임원과 보안담담이 반성을 한다. 진압작전이 필요하다”고 말했다.

하지만 현실에서는 화이트 해커에 대한 인식 차이도 컸다. 김 기자는 “화이트 해커가 잠깐 사이트에 들어가 분석했다고 해도 검찰이 압수수색 영장을 받아 범법자가 되어버린다. 국가를 위한 일을 해도 PC 뺏기고 죄인이 된다”고 설명했다.

구 변호사는 대안으로 국회에 계류중인 ‘탐정업’을 양성화해 공익 분석을 ‘사이버탐정’에 맡기는 것도 필요하다고 말햇다.

■ “신고 의무가 되레 발목...비용과 소송, 과징금 등 ‘숨기는 법’”

‘나야나’ 사건도 KISA에 사고 신고 공유했으면 공격자 행적 알고 대응 가능할 사건이다. 이런 정보가 공유해야 사고시 2,3차 사고를 피할 수 있는데 신고를 안했다. 이유는 회사 신뢰도가 떨어지고 내용만 공유해야 하는데 기업이름이 공개되는 피해를 우려해서다.

이동근 단장은 “메르스 사태처럼 심각하게 퍼지는데 심각한 유형의 악성코드에 대해 신고가 필요한데 안한다”고 말했다.

구 변호사는 “신고의무가 있지만 비용과 소송, 과징금 등을 보면 기업들은 신고를 못하는 ‘모순’이 있다. 정보-유출 수십억-수백억 형사책임 책임을 진다. 자기 목을 치는 격이다. 법은 실제로 숨기도록 법이다”라고 설명했다. 
     
이준호 대표는 “법대 나온 사람들의 책임도 크다. 이공계 출신들은 신고방법을 공부하기 어렵다. 또한 부처간 파워게임이 생긴다. KISA-방통위 등 왜 안 알려주었느냐 논란을 빚는다”고 말했다.

■ “미래는 보안 일상화 시대...현재 보안 개념 사라질 것”

이준호 대표는 미래 전망에서 ‘보안 일상화’로 정리했다. 그는 “보안은 누구나 해야 할 일이다. 그래서 교육과정에 반영된다. 현재의 개념 ‘보안’은 사라질 수 있다”며 “각 분야가 정보공유를 해 위협을 대처한다”고 말했다.

구태언 변호사는 “보안은 기본이다. 10년 이후에는 외국 회사에 보안은 통째로 넘겨줄 지도 모른다. 한국 생태계를 만들어야 한다”고 했다.

김인순 기자는 보안에 대해서는 민간과 정부 차이가 없다며 새 정부 100대 국정과제에 보안이 빠진 것을 아쉬워했다.

김 기자는 “나 하나쯤이라는 생각은 금물이다. 가령 한 회사 임원 PC를 털면(?) 다 나온다. 임원들의 보안 교육이 중요한다. 교육을 기피하는 임원이 큰 구멍이다. 하나만 하면 다 무너진다. 보안교육은 다 함께 해야 한다”고 강조했다.

한편 ‘2017 굿인터넷클럽 6차 행사’는 한국인터넷기업협회가 주최·주관하고 네이버, 카카오, 구글코리아, 엔씨소프트, 이베이코리아, 넥슨코리아, 온오프믹스가 후원한다. 이날 김병관 더불어민주당 의원이 참석해 패널들의 ‘ICT 융합시대에 걸맞는 보안체계’의 의견을 경청했다.