"통신망 보안 취약점 드러나…금융·공공기관까지 전방위 점검 필요"
"과태료 강화는 단기 효과, 보안 사고 대응 높이려면 통합 지휘 체계 검토해야"
[서울=뉴스핌] 양태훈 기자 = "보안은 비용이 아니라 기업의 연속성을 지키는 자산입니다. 투자 효과가 눈에 '당장' 보이지 않는다고 줄이면 안 됩니다."
최근 통신·금융권을 중심으로 대형 해킹 사고가 연이어 발생하는 가운데, 곽진 아주대학교 사이버보안학과 교수는 19일 <뉴스핌>과의 통화에서 이같이 말했다.
곽 교수는 "정교해진 '지능형 지속 위협(APT:Advanced Persistent Threat)과 잠복형 공격은 관제 시스템과 솔루션이 갖춰져 있어도 100% 완벽 차단이 어렵다"며 "중요 시스템에 '이상 징후가 없어 보여도' 상시 점검·검사로 조기 탐지하고 피해 확산 전에 대응하는 체계를 갖춰야 한다"고 강조했다.
이어 "KT도 롯데카드도 보안·관제 시스템을 안 한 게 아니다. 통신·금융권은 국내에서 상대적으로 높은 보안 수준을 유지해왔다"면서도 "그럼에도 사고가 발생했다는 점은 다른 분야에서도 유사 위험이 존재한다는 뜻"이라고 지적했다.
또 "해외 사례를 참고하면 펨토셀(초소형 기지국)과 같은 인프라 장비 관리는 신청·설치·회수 등 전 과정의 통제와 인증이 핵심"이라며 "정상 인증을 거치지 않은 장비는 기지국에 붙을 수 없도록 운영돼야 한다. 이번 KT 사안은 구형 장비 방치 등 관리 미흡 정황이 드러난 만큼 추가 점검이 필요해 보인다"고 말했다.
아울러 계속되는 KT 무단 소액결제 피해가 늘어나는 것과 관련해 "펨토셀 해킹만으로 설명되지 않는 퍼즐이 있다"며 "KT가 서버 침해 정황 신고와 추가 개인정보 유출 정황을 발표했는데, 소액결제를 위해서는 전화번호만으로는 부족하고 주민등록번호 등 추가 정보와 인증 절차(ARS 등)가 얽힌다. 펨토셀에서 얻은 정보만으로 ARS 인증 통화를 '가로채는' 것은 구조상 어렵다. 여러 가능성을 열어두고 폭넓게 조사해야 한다"고 강조했다.
정부가 해킹 사고 예방을 위해 처벌 강화 및 보안 거버넌스 재정립 방안을 검토 중인 것과 관련해서는 "과태료·과징금 강화는 단기적 효과가 있을 것"이라면서도 "장기적·근본적 해법은 아니다"라고 선을 그었다.
곽 교수는 "현행 신고 체계는 침해사고는 과기정통부·한국인터넷진흥원(KISA), 개인정보 유출은 개인정보보호위원회로 각각 가는 구조"라며 "이로 인해 조사 지연·엇박자가 발생할 수 있다. 신고 체계 일원화, 조사 주체 조정 같은 제도 개선을 검토할 필요가 있다"고 강조했다.
일각에서 제기되는 사이버보안 전담 컨트롤타워 신설 필요성에 대해서도 곽 교수는 "컨트롤타워를 만들어야 한다는 이야기는 오래전부터 거론됐다"며 "관련 부처들 간 업무 조정 등을 충분히 논의하고 면밀하게 검토한 뒤 만드는 것은 도움이 될 수 있다. 다만 권한이나 역할을 어떻게 정할지에 대해서는 신중한 고려가 필요하다"고 말했다.
곽 교수는 기업 내부 보안 투자에 대한 인식 전환도 주문했다. 그는 "기업에서 보안 예산을 '비용'으로 보면 투자 축소로 이어진다. 점검·테스트·전담 인력 운영은 모두 비용처럼 보이지만 사실은 기업 핵심 가치와 직결된 투자라고 봐야 한다"며 "사고가 안 나면 투자 효과가 없는 게 아니라, 바로 그것이 효과"라고 강조했다.
또 "사고가 나더라도 얼마나 빨리 대응·복구·정상화하느냐 역시 보안 투자 효과로 볼 수 있다"며 "이는 대기업만의 문제가 아니라 중소·스타트업도 같은 원칙으로 접근해야 한다. 따라서 정부의 지원책도 병행돼야 한다"고 덧붙였다.
최근 인공지능(AI)을 활용한 해킹 공격이 고도화되고 있는 것에 대해서는 "어떤 새로운 공격 유형이 '등장할지'보다 현재 시스템이 가진 잠재적 위협과 우리가 놓친 위험이 무엇인지 면밀히 파악하는 게 먼저"라며 "직원 교체나 운영상 실수 같은 내부 요인도 위험이 될 수 있다. 이번 사태를 계기로 잠재 위협을 체계적으로 점검해야 한다"고 강조했다.
* 용어 설명
APT(Advanced Persistent Threat, 지능형 지속 위협) : 특정 조직·기업·정부 기관을 장기간 겨냥해 은밀하게 침투하고 정보를 빼내거나 시스템을 교란하는 목적 지향적·지속적 공격을 말함.
펨토셀(Femtocell) : 초소형 이동통신 기지국. 가정이나 소규모 사무실에 설치해 휴대폰 신호를 보강하는 장치. 불법 개조 시 해킹·소액결제 범죄에 악용될 수 있음.
dconnect@newspim.com
