[정보보호 시큐리티 톱 뷰]<43회>로버트 F.렌츠 사이버시큐리티스트라테지 회장

로버트 F 렌츠 회장(CEO)은 보안컨설팅 전문기업 사이버시큐리티스트라티지를 이끌고 있다. 이 회사는 전 세계 정부와 포천 500대 기업을 대상으로 보안정책과 전략 및 기술적 아키텍처에 대한 컨설팅을 전문으로 한다.

국방부 부차관보를 역임한 그는 2000년 11월부터 국방부 최초의 최고정보보호책임자로 재직했으며, 3억달러 이상의 가치에 달하는 사이버 보안 프로그램을 총괄했다.

렌츠 회장은 “최근 글로벌 보안 산업에서 좋은 소식은 기업들이 보안에 대한 투자를 늘리는 것이고, 나쁜 소식은 엉뚱한 곳에 투자를 하고 있다”고 꼬집었다. 중장기 전략을 수립하지 않은 채 주먹구구식 투자를 하고 있다는 지적이다. 그는 “가장 최신의 진보된 기술을 채택하지 않고, 그저 보안시스템을 갖추려고 한다”며 “향후 3∼5년을 바라볼 수 있는 솔루션을 구비해야 한다”고 강조했다.

보안 아키텍처에 대한 견해도 밝혔다. 렌츠 회장은 “외부의 사이버 공격 한방에 침몰하는 배가 되지 않도록 하는 게 궁극적 투자의 방향이 돼야 한다”고 덧붙였다.

관리자 계정 탈취에 의한 지능형지속위협(APT) 공격 방어를 위해선 최소한 3단계의 다중요소인증 시스템이 필요하다고 강조했다. 그는 “관리자의 아이디와 비밀번호가 해커의 손에 넘어가는 것을 가정한 상황에서 하드웨어 기반 인증 및 지문 정맥 홍채 등 바이오 인식을 통한 인증이 요구된다”며 “특정인의 시그니처에 기반하지 않는 보안투자가 이뤄져야 효과가 있다”고 말했다.

우리나라 기업들의 보안 수준에 대해선 개선이 필요하다고 지적했다. 렌츠 회장은 “한국 보안 수준은 기존 제품을 구성해 막는 수준”이라며 “한 단계 높은 체계로 올라가려면 적절한 기술을 도입해야 한다”고 강조했다.

한국 정부에 대해서도 쓴소리를 쏟아냈다. “(북한에 의한) 도발 시에는 반드시 사이버전쟁이 병행될 것”이라며 “미사일 방어 경고시스템이 사이버 보안 시스템에도 도입돼야 한다”고 권고했다.

APT 공격의 타깃이 되는 대상에 대해 사전에 알려주는 경고시스템이 필요하다는 조언이다.

그는 “한국은 기간 인프라에 대한 사이버 공격에 매우 취약한 환경”이라며 “(6·25) 청와대 공격은 해커가 이미 정부 네트워크를 장악했다고 볼 수 있다”고 경고했다.

우리나라 국가기반 시설 중에는 전력과 지하철이 공격 대상이 될 것으로 조심스럽게 전망했다. 렌츠 회장은 “공격을 단행하는 조직에서는 정말 큰 위험한 공격을 하기 위한 기초자료를 모으고 있는 중”이라며 “이들은 조용하고 치밀하게 준비한다”고 설명했다.

김원석기자 stone201@etnews.com