박지호기자 jihopress@etnews.com
사이버 보안 활동 가치를 인정하는 문화 정착이 시급하다. 기업이 보다 적극적으로 제품 보안 취약점에 대응해 완성도를 높이는 계기로 삼아야 한다는 지적도 나왔다. 보안 취약점을 찾아주면 보상하는 버그바운티 활성화도 논의됐다.
‘사이버보안 연구를 막는 것은 무엇이며 어떻게 바꿔야 하는가?’를 주제로 한 토론에서 패널은 보안 취약점 분석 연구를 보다 적극적으로 전환하고 사회적 인식을 바꿔야 한다고 입을 모았다.
창과 방패 원리에 따라 보안 취약점을 적극 발굴하고 개선해 제품 경쟁력을 향상시키는 선순환 구조 유도를 촉구했다.
류재철 충남대 교수는 “보안 취약점 분석 연구는 사이버 방어와 공격에서 기본 연구주제로 해외에서는 매우 활성화됐지만 국내는 소수 전문가가 비공개적으로 한다”며 “개발자나 기업이 제품에서 보안 취약점을 공지하는 데 극도로 예민하다”고 꼬집었다. 류 교수는 “글로벌 기업은 이런 문제에 적극 대처하며 제품 완성도를 높인다”면서 “버그바운티를 활성화해 능력 있는 해커를 제품 보안 강화에 활용한다”고 설명했다.
구태언 테크앤로 대표변호사는 “제품 보안 취약점이나 버그를 알려주면 범죄자 취급을 하고 고소·협박하는 사례가 많다”며 “옆집 자물쇠가 허술하다고 알려줬는데 도둑으로 신고하는 셈”이라고 비유했다. 구 변호사는 “시스코와 야후, 구글, 페이스북은 취약점을 알리는 절차와 정책을 홈페이지에 상세히 안내한다”며 “취약점을 신고하고 보상하는 문화 정착이 필요하다”고 말했다.
사이버 위협과 보안기술 정보공유도 시급하다. 사이버 위협 정보는 최근 인텔리전스로 발전하며 새로운 가치를 창출한다. 글로벌 기업이 앞다퉈 사이버 위협 인텔리전스 네트워크를 만들어 공동 대응하는 추세다. 국내에서는 이제 막 정보 공유 체계가 마련됐지만 아직 갈 길이 멀다.
손경호 한국인터넷진흥원 단장은 “기관별로 특화한 사이버 위협과 공격사례 정보가 외부와 전혀 공유되지 않는다”며 “해당 위협을 기술적으로 연구개발하고 검증하는 데 한계에 부딪힌다”고 말했다. 손 단장은 “규모가 영세한 국내 보안 기업은 다양한 분야 기술을 확보하는 일에 매우 제한적”이라며 “사이버 위협 정보 공유가 절실하다”고 강조했다.
사이버 보안 연구개발(R&D) 체계 개선도 논의됐다. 김기홍 세인트시큐리티 대표는 “연구개발 투자가 인색한 데 비해 성과는 몇 배로 뽑으려 한다”며 “하지만 연구개발 기간이 끝나면 후속조치가 없는 것도 문제”라고 언급했다. 김 대표는 “국내 연구개발 사업은 1년 안에 성과를 내야 하는 구조”라며 “1년이 지나 연구 과제가 없어질지 모르는 불안감 속에 충분한 테스트와 검증보다는 특허 출원과 소프트웨어 저작권 등록 등 숫자와 건수 위주 결과에 치중하게 된다”고 토로했다.
류 교수는 “정보보호 연구개발을 장기와 단기 두 트랙으로 분리 운영해야 한다”며 “장기 과제는 3년 단위로 평가해 계속 지원 여부를 결정하자”고 말했다.
손 단장은 “사이버 보안 분야 R&D 조정협의체를 조직해 연구개발 중복투자를 검토하고 미래창조과학부·국방부·국가정보원 등 관계 부처 연계 등을 추진해야 한다”고 덧붙였다.
김인순기자 insoon@etnews.com