[ET단상] 해킹 앞에 무릎 꿇은 보안, 기본으로 돌아가자

　올해 3·4 분산서비스거부(DDoS) 공격, 현대캐피탈, 농협 등의 굵직한 보안사고가 발생했다. 해외에서도 시티뱅크, 소니, 구글 등 글로벌 기업들이 해커들에게 허망하게 당했다. 믿었던 세계 최고의 보안회사인 RSA마저 해킹되었을 때 이미 보안에 대한 믿음은 사라진 것 같다.

　지난달 26일엔 SK커뮤니케이션즈 해킹사고로 3500만 회원의 개인정보가 유출됐다. 보이스 피싱, 스팸메일 등 2, 3차 피해도 우려된다. 다른 해킹사건과는 달리 이번 SK컴즈 해킹사건의 중심에는 암호화 논란이 있다.

　SK컴즈 측에선 이번에 유출된 비밀번호와 주민번호가 암호화되었기 때문에 안전하다고 주장했다. 반면 암호가 수초 만에 풀릴 수 있다는 보안 전문가들의 주장도 있다. 대중은 생소한 ‘암호화’에 대한 탐구에 들어갔다. 줄기세포 연구와 광우병 파동 등을 거치면서 기술적 이슈에 대한 올바른 인식이 확립되기까지 경험해야 했던 많은 소모적 논란과 불안감, 갈등이 다시 유발되는 것이 아닌가 하는 우려마저 낳게 한다. 올바른 암호에 대한 대중적 이해가 시급한 때다.

　암호화의 중요성은 해킹에 성공하더라고 암호화된 정보는 볼 수 없다는 점에 있다. 정보통신망법 등 여러 법 조항에서 ‘암호화’라는 용어를 쉽게 볼 수 있다. 특히 오는 9월 30일 시행되는 개인정보보호법에는 개인정보를 의무 암호화하라고 명기하고 있다. 이 법의 존재조차 모르는 수백만의 법 적용 대상자가 당장 위법상태에 빠질 상황에 처해있다. 더욱 난감한 현실은 법의 암호화 조항을 준수하고도 현실을 고려하지 못한 각주구검(刻舟求劍)을 범하기 십상이다. 단순히 암호화가 안전성을 의미하는 것은 아니기 때문이다.

　SK컴즈나 현대캐피탈의 경우도 법에 따라 암호화를 했지만 검증되지 않거나 취약점이 발견된 암호기술을 사용해 암호화된 개인정보가 쉽게 노출될 수 있다는 우려를 낳고 있다. 무엇보다 법을 넘어서 현실적으로 안전한 암호기술을 사용해야 한다. ‘안전한 암호기술을 사용해야 한다’는 것은 더욱 어려운 문제일 수 있다. 현재 누구도 어느 암호기술이 어느 정도 안전하다고 책임 있게 이야기하고 있지 않기 때문이다. 이런 현실을 고려할 때, 공신력과 권위를 갖춘 기관·단체가 암호기술을 정확하게 설명해 일반인들의 올바른 암호기술 선택 기준을 제공하는 것이 가장 시급하다.

　일본에서 전자정부 출범 시 설립된 암호기술검토회(CRYPTREC)가 좋은 예다. CRYPTREC은 다섯 곳의 정부부처가 권위를 부여해 암호기술의 안전성 검토, 암호구현, 암호운용 관련 이슈의 기술보고 체계를 갖추고 있다.

　다음으로 시급한 것은 전문인력의 양성이다. 과거 보안사고가 날 때마다 거론된 항목이기도 하다. 특히 보안전문인력과는 차별되는 암호전문인력의 양성을 논하고 싶다. 현재 국내 암호전문인력 상황은 참담하다. 대학의 대부분 암호관련연구실이 열악한 환경으로 암호가 아닌 정보보호로 돌아선지 오래고, 정통부 이후 지경부가 보안분야를 지원하면서 산업과 특별한 관련이 없어 보이는 암호에 대한 지원은 더욱 메말라 가고 있다. 일본은 수십 년 동안 꾸준한 지원으로 대학뿐만 아니라 NTT 등 연구소에서도 암호전문가를 꾸준히 배출하고 있다. 중국은 엄청난 지원에 힘입어 국제사회에 알려진 암호전문가만 수백 명이 넘는다. 암호는 보안 중에도 특히 이론 분야임을 고려할 때 장기간의 투자가 절실하다.

　어려울 때 선인들은 항상 ‘기본으로 돌아가라’는 말씀을 남겼다. 해킹에 손발 묶이고 당하는 지금, 보안의 가장 기본은 암호다. 올바른 암호에 대한 이해와 육성이 절실한 때다.

　이동훈 한국암호포럼 의장 donghlee@korea.ac.kr