[기술패권 시대 우리말] ⑪풀어드립니다…사이버 보안

게티이미지뱅크 제공

[편집자주] 신종 코로나바이러스 감염증(COVID-19·코로나19) 사태가 어느 정도 진정세를 보이고 있지만 우리 사회는 일본 후쿠시마 오염수, 기상 재해 등 과학기술과 관련된 이슈가 지속적으로 불거지고 있습니다. 우주개발, 양자컴퓨팅, 챗GPT 등 첨단 과학기술도 어느새 피부로 체감할 정도로 성큼 다가오고 있습니다. 정부는 국가전략기술을 선정하고 과학기술 중심의 패권 경쟁을 선도하겠다고 의지를 보이고 있습니다. 이 과정에서 알려지는 다양한 전문용어는 국민들이 편하게 받아들이기에는 너무 어렵습니다. 동아사이언스는 국어문화원연합회와 수년째 과학기술, 의학 용어에 대한 국민들의 이해를 높이는 방안을 찾는 기획을 진행했습니다. 올해는 정부가 의지를 보이고 있는 국가전략기술 관련 용어들을 들여다보고 국민들의 세금이 투입되는 국가전략기술에 대한 이해를 높이는 기획을 진행합니다.

정부는 범부처 민관합동으로 ‘12대 국가전략기술’ 육성 프로젝트를 준비하고 있지만, 국민들은 첨단 과학기술 용어를 어렵게 느끼고 있다. (관련기사: "처음 들어봐요"…난해한 전략기술 용어, 육성 걸림돌 우려)

최근 외교부 등을 대상으로 한 해킹 시도가 1만여 건 이상 발생하는 등 국가 기밀 정보나 핵심 기술을 타켓으로 한 사이버 공격이 이어지고 있다. 디지털에 의존하는 정보의 양이 늘수록 이를 보호하는 사이버 보안 기술의 중요성은 커진다.

정부는 12대 국가전략기술로 '사이버 보안'을 제시했다. 한국의 사이버 보안 기술이 선제적 대응 수준에 도달했다고 보며, 격차를 벌릴 방안을 찾는 모양새다. 2021년 기준 12조원을 기록한 국내 보안기업의 매출액을 2030년 20조원으로 늘린다는 계획이다. 핵심 보안 기술로 지목된 분야는 데이터·AI 보안, 네트워크·클라우드 보안, 디지털 취약점 대응 및 분석, 가상융합 보안 등이다. 

●데이터·AI 보안

데이터는 컴퓨터 안에 축적된 자료를 말한다. 데이터 보안이란 이 자료들이 권리가 없는 누군가에 의해 누설되거나 파괴되지 않도록 보호하는 것이다. 데이터 보안 기술에는 데이터가 위·변조되지 않도록 보호하는 '무결성', 유출되지 않도록 하는 '기밀성', 그럼에도 자료를 사용할 수 있도록 하는 '가용성'의 3요소가 갖춰져야 한다.

이 3요소를 갖추기 위해 인공지능(AI)이 활용되기도 한다. 예컨대 AI가 스팸메일과 일반 메일을 구분할 수 있도록 학습시켜 사람이 일일이 스팸메일을 분류하지 않아도 되는 시스템을 갖추는 것이다. 또 AI가 인터넷 공간에 퍼져있는 잘못된 정보나 악의적으로 위·변조된 데이터를 학습하지 않도록 보호하는 기술도 필요하다. 

●네트워크·클라우드 보안

네트워크는 1대 이상의 컴퓨터 사이에서 인터넷을 이용해 데이터를 전송할 수 있게끔 한 통신망이다. 네트워크를 보호한다는 것은 이처럼 한 단말기(컴퓨터)와 다른 단말기를 잇는 경로에서 해킹과 같은 이상 행위가 발생하지 않는지 감시하는 것이다. 

클라우드는 인터넷 환경에서 모든 정보가 관리될 수 있도록 하는 '인터넷 기반 저장소'다. 자신이 소유한 단말기 안에 데이터를 저장하던 과거의 방식과 달리 클라우드에 올려둔 정보는 인터넷만 있다면 누구나 접근할 수 있다. 이때 오로지 권한이 있는 사람만 클라우드 환경에서 관리되는 모든 정보와 프로그램 등에 접근할 수 있도록 안전한 방어벽을 세우는 것이 클라우드 보안이다. 

●디지털 취약점 분석·대응 (공급망 보안) 

보안에서의 '취약점'은 소프트웨어나 시스템이 의도하지 않은 기능을 수행하도록 조작할 수 있는 문제점을 말한다. 만약 해커에게 취약점이 발각된다면 이 지점을 통해 보안망이 뚫릴 수 있는 것이다. 공공기관·기업이 보유하고 있는 중요 정보와 기술을 보호하려면 취약점이 존재하지 않도록 안전하게 관리하는 것이 무엇보다 중요하다. 

공급망 공격도 있다. 기업을 직접 공격하는 게 아니라 기업에 납품되는 소프트웨어나 시스템의 취약점을 찾아 우회하는 방법으로 기업 시스템에 침투하는 것이다. 혹은 소프트웨어나 시스템을 보수(업데이트)할 경우 업데이트를 진행하는 용역 기업의 취약점을 뚫어 목표 기업의 데이터에 몰래 접근할 수도 있다. 다각도에서 언제든 발생할 수 있는 것이다. 

정부는 디지털 취약점 분석·대응을 5년에서 10년 이상 걸리는 중장기 프로젝트로 본다. 이재광 한국인터넷진흥원(KISA) 침해사고분석단 팀장은 "디지털 취약점을 분석하는 기술은 일반적인 정보보호의 기술을 뛰어넘는 굉장히 어려운 작업"이라며 "취약점을 찾는다는 건 최대한 안전하게 만든 제품 가운데서 빈틈을 찾는 것이므로 매우 높은 기술 수준과 많은 경험이 필요한 분야"라고 설명했다. 

●신산업·가상융합 보안

'메타버스'로 잘 알려진 가상융합기술은 가상현실(VR), 증강현실(AR), 혼합현실(MR), 확장현실(XR)을 모두 아우르는 개념이다. 이들 가상현실을 현실과 연결한 비즈니스 모델 기반의 신산업에는 가상현실의 보안 취약점을 악용하려는 시도가 잇따를 수 있다.

메타버스 게임 플랫폼 '로블록스' 해킹 사건이 대표적인 예다. 로블록스에서는 2012년과 2020년 각각 관리자 권한과 서버고객 지원패널의 접근권한이 해킹되는 사고가 발생했다. 이로 인해 로블록스 유저의 개인 정보가 해커에게 노출됐다. 전문가들은 메타버스 상의 데이터와 개인정보(프라이버시) 침해를 막기 위해선 네트워크, IT시스템, 개발, 디바이스, 콘텐츠까지 다방면에서의 보안 기술이 개발되고 도입돼야 한다고 본다.

정부는 향후 5년 내 AI 기반 보안관제·자동대응 등을 골자로 한 원천 기술을 개발하고 10년 내로 자립화된 사이버보안 체계를 구축한다는 방침이다. 

[박건희 기자 wissen@donga.com]