최근 보안 업계는 끊임없이 새로운 키워드들로 들썩이고 있다. 제로 트러스트 아키텍처가 차세대 보안 패러다임으로 주목받고 있으며, 복잡해진 글로벌 공급망을 보호하기 위한 공급망 보안이 화두다. 여기에 인공지능(AI) 기반 보안 솔루션은 마치 만능 해결사처럼 보안 위협을 탐지하고 대응하겠다며 시장을 장악해 나가고 있다. 이에 따라 국가 연구개발(R&D) 예산 또한 새로운 분야에만 집중되고 있다.
분명 이러한 새로운 기술은 나름의 가치와 필요성이 있다. 제로 트러스트는 내부망이라 해서 무조건 신뢰하던 기존의 관행에 경종을 울렸고, 공급망 보안은 글로벌화된 비즈니스 환경에서 피할 수 없는 과제가 됐다. AI도 폭증하는 보안 위협에 대응하기 위한 자동화된 도구로서 분명한 장점이 있다.
하지만 우리는 여기서 잠시 멈춰 서서 생각해 볼 필요가 있다. 이런 첨단 기술이 과연 보안의 본질적인 문제를 해결해 주고 있는가? 2023년 한 해 동안 약 3만건의 새로운 취약점이 발견됐다는 사실은 우리에게 무엇을 말해주는가? 현장에서 마주하는 대부분의 보안 사고를 들여다보면, 그 원인은 놀랍도록 단순하고 기본적인 것들인 경우가 많다. 패치되지 않은 알려진 취약점, 잘못 설정된 접근 권한, 안전하지 않은 기본 설정값들. 이런 것들이 여전히 공격자들의 주요 침투 경로가 되고 있다.
한국인터넷진흥원(KISA)의 2024 상반기 사이버 위협 동향 보고서를 보면, 취약점이 얼마나 근본적인 문제인지 명확해진다. 가상자산 탈취 사고엔 취약한 계정 관리가, 공유기 악성 코드 감염은 취약한 공유기가, 국내 홈페이지 해킹은 홈페이지에 대한 취약점 분석 부재가, 알뜰폰 부정 개통 사고는 본인 확인 우회 취약점이, 스팸 문자 급증에도 문자 발송 시스템 취약점이 이용되는 등, 보안 사고 중 실제 취약점이 개입되지 않은 경우는 거의 없다.
특히 2023년 북한이 인터넷 뱅킹에 사용하는 금융 보안 인증 소프트웨어(SW) 보안 취약점을 이용해 해킹 공격을 벌인 것도 우리가 현재 가장 큰 문제를 갖고 있는 것이 미래 보안 문제라는 주장에 회의감을 갖게 한다. 이는 마치 건강관리에서 새로운 건강기능식품이나 의료 기술만 찾으면서, 규칙적인 운동과 균형 잡힌 식사라는 가장 기본적인 것을 소홀히 하는 것과 다를 바 없다.
진정한 보안 강화는 취약점을 찾고, 이를 패치하고, 실제 패치가 적용되는 전체 사이클이 원활하게 작동할 때 가능하다. 취약점을 아무리 잘 찾아도 패치가 나오지 않으면 소용이 없고, 패치가 나와도 적용되지 않으면 의미가 없다. 각각의 구성요소가 어떻게 상호작용하는 지, 어떤 취약점이 잠재해 있는 지를 이해하고, 이를 체계적으로 점검하고 보완하는 과정이 전체적으로 잘 작동해야 한다. 마이크로소프트(MS)가 매달 수십건의 보안 패치를 발표하고 윈도 업데이트를 강제하는 것처럼, 취약점을 찾고 패치하는 것은 인간은 누구나 실수할 수 있기에 부끄러운 일이 아니라 당연하고 필수적인 과정이다.
이러한 취약점 관리 사이클이 제대로 작동하기 위해선 제도적 뒷받침이 필요하다. KISA는 현재 버그바운티 제도의 개정을 추진하고 있는데, 이는 매우 고무적인 일이다. 2012년부터 시작된 '취약점 신고포상제'는 국내 보안 발전에 크게 기여했지만, 한계가 있었다. 운영 중인 서비스의 취약점 발굴이 불법 소지가 있어 평가·포상 대상에서 제외되고, 취약점 공개가 제조사의 동의가 있는 경우에만 가능하며, 제조사가 수정을 거부할 경우 명확한 대책이 없다는 점 등이 그것이다. 이제는 취약점 발견에 대한 적절한 보상을 제공하고, 기업이 발견된 취약점에 대해 반드시 일정 기간 내에 패치를 완료하고 패치 후엔 이를 공개하며, 사용자들의 패치 적용까지 지원하는 포괄적인 제도적 장치가 필요한 시점이다.
미국의 사이버·인프라보안국(CISA)이 2021년 연방 기관에 납품하는 SW 제조사에 취약점 공개 정책(VDP) 수립을 의무화한 것은 좋은 본보기가 된다. CISA는 단순히 취약점 공개를 넘어서, 취약점을 보고하는 보고자가 법적인 문제나 보복에 대한 보호를 받을 수 있도록 하고 있다. 정부에 SW를 납품하는 회사뿐만 아니라 다수의 사용자가 사용하는 SW, 하드웨어(HW), 서비스 운영자라면 소비자를 해킹 공격으로부터 보호하기 위해 이러한 취약점 공개 정책을 의무적으로 가져야 한다.
더 나아가 전문 기관별로 체계적인 취약점 분석 체계를 구축하고 운영하는 것이 필요하다. 금융보안원은 모든 필수 금융SW에 대한 취약점 분석을, KISA는 모든 웹페이지에 대한 자동화된 취약점 분석과 민간용 SW에 대한 취약점 분석을, 국가보안기술연구소는 국가용 SW에 대한 취약점 분석을 일상화해야 한다. 각 기관이 이미 이러한 업무를 훌륭하게 수행하고 있겠지만, 최근의 보안 사고 사례를 보면 취약점 발견부터 패치 적용까지의 전체 사이클에 어떤 문제가 있음이 분명하다.
예를 들어, 금융권의 보안SW 취약점이 발견돼 해킹에 악용된 사례나, 공공기관 웹사이트의 취약점이 장기간 방치된 사례는 현재의 취약점 분석-보고-패치 체계가 제대로 작동하지 않고 있음을 보여준다. 각 기관은 담당 영역에 대한 취약점 분석을 더욱 강화하고, 발견된 취약점이 적시에 패치되고 있는지 지속적으로 모니터링하며, 필요한 경우 강제력을 동반한 조치를 취할 수 있어야 한다. 특히 여러 기관의 업무가 겹치는 경계 영역에서도 취약점 관리의 공백이 생기지 않도록 기관 간 협력체계를 구축하는 것이 중요하다.
물론 이는 새로운 보안 기술의 가치를 부정하는 것이 아니다. 제로 트러스트, 공급망 보안, AI 기반 솔루션은 분명 현대 보안 환경에서 중요한 역할을 한다. 하지만 이러한 도구는 기본에 충실한 보안 관리를 대체하는 것이 아니라, 보완하고 강화하는 방향으로 활용돼야 한다.
결론적으로, 보안 분야에서 새로운 기술과 방법론을 추구하는 것은 당연하고 필요한 일이다. 하지만 화려한 신기술의 물결 속에서도, 취약점 점검을 게을리하고 패치 관리가 제대로 되지 않는 것은 기초가 불안한 모래성과 같다. 이것이 우리가 잊지 말아야 할 보안의 본질이다.
김용대 한국과학기술원(KAIST) 과학치안연구센터장·전기및전자공학부·정보보호대학원 교수 yongdaek@kaist.ac.kr
〈필자〉30여년간 보안을 연구했다. 국가보안기술연구소 전신인 한국전자통신연구원(ETRI) 부호기술부를 거쳐 미국 미네소타대 교수를 지냈다. 2012년 귀국해 한국과학기술원(KAIST) 전자공학부 및 정보보호대학원에서 보안 연구를 이어 가고 있다. 주요 연구 분야는 자율주행차, 드론, 이동통신, 블록체인 등 미래에 각광 받을 신기술의 보안 취약점이다. 김 교수는 세계 보안 최우수 학회 가운데 하나인 ACM CCS를 한국에 유치하는 등 한국과 세계 각국의 보안 연구를 연결하기 위해 노력하고 있다.