카이스트 사이버보안연구센터 주대준 센터장 “국가 사이버보안청 신설 검토할 때”

“현대캐피탈 해킹과 농협의 전산망 마비 사고 등은 금융에만 한정된 위협이 아닙니다. 교통, 통신, 원자력, 전력 같은 국가 기반시설의 사이버 안보에 대한 총체적 위기관리 측면에서 개선책을 서둘러 마련하는 계기로 삼아야 합니다.”

카이스트 사이버보안연구센터장을 맡고 있는 주대준(59) 부총장은 25일 “최근 제1, 2 금융권에서 연이어 발생한 사고는 지금까지의 단편적 금융 사고를 넘어 국민 생활에 직접 영향과 충격을 주고 있다”면서 “국가 주요 기반시설에 대한 디도스(DDoS·분산서비스 거부) 공격에서부터 해킹을 통해 기업 정보를 빼내 협박하는 사례, 내부 시스템 파괴 등 다양한 유형의 사이버 보안 사고가 계속되고 있는 오늘날 위기 상황에서 사이버 안보에 대한 진지한 성찰과 대비책이 요구된다”고 강조했다.

“현재 대부분 조직에서 사이버 보안을 위한 보호 조치들은 해당 시스템(정문)만을 철통같이 보호하는 데 주력하고 있지만, 치밀한 해킹 공격자들은 정문 외에 협력업체 및 유지 보수업체 등 시스템과 연결돼 있는 옆문, 쪽문, 뒷문 등 외부로 드러난 모든 취약점을 면밀히 체크해 사소한 구멍이라도 발견되면 시스템 내부로 침입하는 통로(진입점)로 삼고 있어요.” 주 센터장은 “특히 스마트폰 시대, 모바일 뱅킹이 증가하는 시점에 사이버 보안을 소홀히 취급하면 ‘호미로 막을 수 있는 것을 가래로도 막을 수 없는’ 심각한 사태가 초래될 수 있다”고 경고했다.

지금까지 기업들은 사이버 보안에 대한 투자를 비용으로 생각하고 투자에 인색했던 것이 오늘날 엄청난 화를 자초한 주요 이유라고 주 센터장은 진단했다. 그는 특히 보안 분야에서 빼 놓을 수 없는 중요한 요소가 보안을 전담하는 사람을 통제 관리하는 것이라고 말했다. 보안사고 통계에 의하면 보안 담당자의 고의나 실수로 인한 사고가 60∼70%를 차지한다는 것. 더 이상 기술자(쟁이) 취급하지 말고 전문성을 인정해 주고 잘 대접해 사명감을 갖고 자기 업무에 전념토록 하는 조직문화 개선이 시급하다고 주 센터장은 강조한다.

그는 “사이버 보안 전문용어로 ‘해킹을 당하고도 해킹 당한 사실을 인지하지 못하고 있는 것’을 ‘폴스 네거티브 에러(False Negative Error)’라 부른다. 도둑맞고도 도둑맞은 사실조차 모르는 것이다”면서 “사이버 안보의 무지로 이러한 우를 범하고 있는 기관이 없는지 국가 차원에서 서둘러 점검해야 할 때”라고 말했다. 만약 제1금융권(은행)에서 농협 사태 같은 해킹 사고가 2∼3개 더 동시다발적으로 발생했다고 가정하면, 우리 사회의 혼란과 국가 경제에 미치는 영향은 상상을 초월할 것이라고 그는 강조했다.

주 센터장은 “‘소 잃고 외양간 고치는 격’의 우를 더 이상 범하지 않기 위해서라도 금융, 산업기밀 관리 등 국가 총괄 사이버안보를 전담할 컨트롤타워인 ‘국가사이버보안청’ 신설을 검토해야 할 시점이며 체계적인 사이버 보안 전문인력 양성 대책도 시급하다”고 주장했다. 아울러 각 기업 및 기관은 끊임없이 진화하는 해킹 기술에 대비, 제반 보안 시스템에 대한 총체적 점검으로 유비무환 체제를 상시적으로 유지해야 한다고 그는 덧붙였다.

카이스트 전산학과·정보보호대학원 교수로 재직하며 사이버보안연구센터장을 겸직하고 있는 주 센터장은 현 정부를 비롯해 5개 정부에 걸쳐 20여년간 청와대에서 근무하며 국정지휘통신망 구축 등 청와대 디지털화를 주도한 ‘IT(정보기술), 사이버 보안’ 전문가다. 2008년 12월 대통령실 경호처 경호차장을 끝으로 정년퇴직 한 뒤, 카이스트에서 사이버 해킹 탐지 원천기술 연구개발과 정보보호 전문 인력(석·박사) 양성에 힘쓰고 있다.

민태원 기자



GoodNews paper ⓒ 국민일보(www.kmib.co.kr), 무단전재, 수집, 재배포 및 AI학습 이용 금지