검찰청은 지난해 발생한 한국수력원자력 해킹 사태가 북한 소행임을 밝혔다. 당시 국가정보원은 한수원 보안 수준을 양호하다고 판단했다. 왜 다른 진단이 나왔을까. 그럴 만한 이유가 있다. 검찰은 수색영장을 발부해 한수원 모든 PC와 협력사 등 관계자 PC를 분석할 수 있다. 하지만 국정원이나 심지어 한수원 보안담당자조차도 이런 권한은 없다. 법적 근거가 없기 때문이다. 기반보호법을 만들고 운영 중인 정부는 기반시설에 대한 보안 거버넌스가 없다.
정보보안관리시스템(ISMS) 취약성 분석은 허점투성이다. 수검기관 보안 수준이 만점에 가깝다는 것은 누가 봐도 거짓이다. 웹 보안 10대 위협은 기업의 수만종 취약점을 포괄하는 광범위한 내용이다. 위협을 모두 제거·유지하는 것은 사실상 불가능하다. 소요되는 천문학적 비용을 어느 누구도 지불하지 않는다.
북한이 서울 메트로에 침입했다. 방송, 공항, 병원, 은행, 국방 등도 예외가 아니다. 해외 언론은 방송통신위원회가 운영하는 음란물 차단시스템 ‘스마트보안관’ 취약성을 보도했다. 중국 해커는 우리나라 금융권을 공격해 예금까지 빼간다. 사이버 아마겟돈 수준이다. 공격은 현재 진행형이다.
지능형지속위협(APT) 즉, 신종 악성코드 진화속도는 롱텀에벌루션(LTE)급이다. 샘플만 입력하면 수많은 신종 악성코드가 자동 생산된다. 컴퓨터 백신, 침입탐지시스템(IDS) 등 보안 제품은 알려진 위협만 탐지하니 신종 악성코드에 대처할 수 없다. 공격자는 신종 악성코드를 어떻게 목적지에 침투시키고 감염시킬 것인지에 열중한다. 매번 악성코드를 변경하듯 투입 전략을 수시로 바꾼다.
최근 전략이 모바일 환경으로 바뀌었다. ‘비정상행위’는 APT로만 이뤄지는 것이 아니다. 무작위로 국민 PC를 감염한 후 2차 공격을 한다. 국내 범죄자도 돈벌이를 위해 같은 수법을 쓴다. 하지만 보안전문가 조차도 보안 솔루션으로 비정상행위를 탐지할 수 있다고 착각한다. 비정상행위 탐지 솔루션은 환경에 적용해 업데이트될 뿐이다. 수동으로 수행하기 어려운 다량 데이터에 적용되는 것이다.
원자력(에너지), 금융, 지하철, 공항, 방송시설, 방위산업, 병원 등 기반시설은 국가 안보와 안전이 보장돼야 한다. 기반시설 운영조직은 시설을 안전하게 운용해야 할 책임이 있다. 하지만 APT 등 신종 공격기법은 국정원, 미래창조과학부 등의 전문 담당업무다. 한수원을 탓할 수 없는 이유가 하나 더 생긴 셈이다.
전문 담당정부기관이 APT를 막는 것은 당연한 임무다. 기반시설 운영기관은 APT 투입 경로를 최소화해야 한다. 전문 정부기관은 모니터링을 강화해야 한다. 탐지·분석능력도 강화해야 한다. 기반시설 운영기관은 전문 정부기관의 단일화 모니터링을 위해 단순 경로를 보장해야 한다. 이를 준수한다면 보안수준은 향상될 것이다. 소요비용은 절반 이하로 줄 것이고, 전문기관의 신종 APT 집중탐지는 낮은 수준의 보안업체 능력을 배가시켜 민간보안 수준도 향상될 것이다.
국정원과 미래부 본연의 임무인데도 검찰청처럼 보안을 분석할 권한이 없으니 ‘기반시설 사이버 감시대응법’을 만들어야 한다. 숙제다. 대상을 상시 감시·분석할 수 있어야 한다. 정부가 투자한 모든 기반 시설은 정부 소유다. 국가 사이버보안 임무를 보안업체에 맡길 수 없다.
사물인터넷(IoT), 모바일 등 IT환경은 발전하고 위협도 항상 변화를 거듭하고 있는데 우리는 아직도 보안을 배우고 있다. 사이버보안 업무정의와 핵심성과지표 즉, KPI는 요원하다.
임채호 KAIST 전산학과 정보보호 전공 초빙교수 chlim@kaist.ac.kr