스타트업과 신기술에 정통한 미국 온라인 매체 테크크런치는 2016년 1월 '바퀴벌레 대 유니콘:사이버보안 스타트업의 황금시대'라는 기사에서 “보안(스타트업)은 유니콘이 아니다. 그들은 잘 죽지 않는, 극심한 겨울도 견뎌 낼 수 있는 바퀴벌레와 같다”고 말했다. 적은 예산으로 '엑시트'까지 오랜 시간을 버티고 유니콘이 되기 어려운 보안 스타트업의 현실을 직설적으로 표현한 말이다. '유니콘이 아닌 바퀴벌레'라는 표현은 특히 우리나라 보안 산업을 가장 잘 나타내는 문구일 수 있다.
흔히 기업의 보안 예산은 적어도 정보기술(IT) 전체 예산의 7%는 돼야 한다고 이야기한다. 그러나 불행하게도 우리나라 대부분 기업은 정보보호 투자가 충분치 않다. 한국정보보호산업협회가 발간한 '2021 정보보호실태조사'에 따르면 IT예산 가운데 정보보호 또는 개인정보보호 예산이 차지하는 비중이 1% 미만인 회사가 90%에 이른다.
글로벌 에퀴닉스 보고서에 따르면 세계 IT 의사결정권자 가운데 85%가 비즈니스 성공을 위해 '사이버 보안 개선'을 우선 과제로 꼽았지만 국내 IT 의사결정권자는 69%만이 택했다. 즉 국내 보안 회사는 해외보다도 훨씬 더 어려운 상황에서 사업을 하고 있다.
보안을 이렇게 가볍게 생각할 수 있을까. 최근 기술 동향을 보면 보안은 무시할 존재가 아니라 기업의 존폐, 국가 안보를 좌우하는 경쟁력이자 무기가 되고 있다.
최근 랜섬웨어 변화는 세계를 두려움에 떨게 하고 있다. 최소 투자로 많은 피해자를 양산하는 기존 방식에서 큰 돈을 뜯어 낼 수 있는 분야에 직접 피해를 낳는 방향으로 변신하고 있다. 콜로니얼 파이프라인은 랜섬웨어 공격으로 송유하지 못하게 되었고, 500만달러(약 70억원)를 해커에게 지불한 뒤에야 암호 해독을 했다. 그 사이 유가는 급등했다.
최근 테크타겟이 발표한 랜섬웨어 피해 분야를 보면 교육, 소매, 비즈니스 서비스업, 중앙정부, IT, 에너지, 제조업, 의료, 금융 등 광범위하게 분포돼 있다. 공격자는 보안이 취약하고 사업에 치명적인 영향을 미칠 수 있고, 쉽게 돈을 받을 수 있을 것으로 보이는 기업은 어디든 집요하게 공격한다는 의미다.
보안 기술이 특정 회사의 사업에 직접 영향을 미치는 사례가 늘고 있다. 대표 사례가 애플과 페이스북 간 광고 전쟁이다. 2021년 말 애플은 개인 정보 보호를 위해 앱 추적 투명성을 개선한다고 발표했다. 올해 2월 페이스북 모기업인 메타는 이 기능으로 말미암아 매출이 10조원 줄어들 것으로 예상했다. 당일 메타 주가는 23% 떨어졌다. 사업 모델 페이스북과 유사한 스냅챗의 주가도 이날 25% 떨어졌다. 반면에 애플의 광고 매출은 4조원 이상이며, 계속 증가할 것으로 예상됐다.
공급망 보안 이슈는 사업 환경을 변화시키고 있다. 2018년부터 시작된 화웨이 및 중국 기업에 대한 미국·유럽연합(EU)의 공급망 보안 정책은 이동통신 관련 산업의 급속한 변화를 이끌고 있다. 미국은 5세대(5G) 이동통신 시스템 개발에서 △보안 강화 △공급망 위협 평가 △기존 기반 시설 평가 △신뢰할 수 있는 5G 제조업체를 위한 혁신 도모 △위협 관리 측면에서 5G 응용에 대한 분석을 주요 전략으로 삼고 있다. 2020년 미국을 비롯한 세계 200여 기관에 대한 해킹은 마이크로소프트(MS)·솔라윈즈에 대한 공급망 보안 이슈, MS·VM웨어에 있던 취약점 때문에 발생했다. 이 사건의 배후로 미국은 러시아를 지목했고, 이후 소프트웨어(SW)·하드웨어(HW) 생태계 공급망 보안 이슈는 시장에 다양한 영향을 미치고 있다. 해커는 공급망이 중요한 역할을 하는 SW·HW 클라우드 등 서비스 벤더 등에 대한 해킹을 통해 더 많은 산업을 해킹하기 위해 노력하고 있다. 이들 벤더의 보안이 세계 보안에 직접 영향을 미치고 있다 해도 지나치지 않다.
올해 삼성, LG, 엔비디아, MS, 옥타, 티모바일, 시스코 등 세계 주요 회사를 해킹한 랩서스 그룹은 몇 가지 점에서 세상을 놀라게 했다. 체포된 7명의 해킹 그룹 멤버들 연령은 겨우 16~21세에 불과했다. 더욱 놀라운 점은 이들이 해킹에 사용한 가장 중요한 해킹 기법이 사회공학을 통한 내부자 공격이었다는 점이다. 이들은 이외에도 심스와프 같은 관리의 취약점을 이용했다. 일부 해커가 체포됐지만 사회공학 기법을 이용한 해킹이 골칫거리로 떠올랐음을 보여 준다.
IT 예산의 1% 미만을 보안에 투자하는 90%의 기업이 걱정되는 게 사실이다. 최근의 해킹 기술과 사회공학 공격은 보안에 더 많은 투자를 하는 기업도 안전할 수 없다는 것을 보여 준다. 공격 기술은 끊임없이 변화하고 공격자는 최소한의 노력으로 최대의 이익을 얻기 위하여 최선의 노력을 다한다. 따라서 보안 기업도 끊임없이 변해야 하며, 이러한 변화에 적응할 수 있는 유연한 국가 정책 또한 필요하다. 이러한 변화가 보안 유니콘 기업 탄생의 필수 조건이기도 하다.
김용대 KAIST 전자공학부·정보보호대학원 교수 yongdaek@kaist.ac.kr
〈필자〉김용대 교수는 30여년 동안 보안 연구를 수행했다. 국가보안기술연구소 전신인 한국전자통신연구원(ETRI)의 부호기술부를 거쳐 미국 미네소타대 교수를 지냈다. 2012년 귀국 후 KAIST 전자공학부 및 정보보호대학원에서 보안 연구를 하고 있다. 주요 연구 분야는 자율주행차, 드론, 이동통신, 블록체인 등 각광 받을 미래 신기술의 보안 취약점이다. 김 교수는 세계 보안 최우수 학회 가운데 하나인 ACM CCS를 한국에 유치하는 등 세계와 한국의 보안 연구 연결에 노력하고 있다. 산업에 직접 영향을 미칠 수 있는 보안 연구에 집중, 국내 대기업·스타트업 등에 자문역으로 있다.