[시론] 정보 유출 막으려면 ‘능동적 방어전략’ 펴야

송종석 영남이공대 사이버보안과 초빙교수

SK텔레콤 유심 정보 유출, KT 소액결제 피해, 롯데카드 개인신용정보 유출 등 산업 분야와 규모를 가리지 않고 연쇄적으로 발생하는 사이버 공격은 한국사회에 충격과 혼란을 주고 있다. 이는 단순히 기업의 시스템 마비를 넘어 국민의 일상과 국가안보까지 위협하는 중대한 경고 신호로 받아들이고 대책을 마련해야 한다.

기업들이 사이버 보안 이슈에 대해 생존을 좌우하는 핵심 경영 과제로 인식하지 않고 단순히 비용으로 치부하다 보니 관련 투자에 소홀하고 시스템 관리가 미흡했다. 이는 낮은 수준의 공격에도 핵심 정보가 쉽게 유출되는 구조적 취약점으로 이어진다.

■

「 은밀히 오래 잠복하는 위협 많아
공격과 방어의 균형 이미 무너져
공격 징후를 선제적 무력화해야
」

그러나 더 큰 위협은 사고를 당하기 전까지 식별되지 않는 지능화된 위협에 있다. 보안 트렌드 분석에 따르면 사이버 공격의 상당 부분은 오랜 기간 은밀하게 잠복해 활동하는 ‘지능형 지속위협(APT) 공격’ 유형이다. 실제로 국가 통신망의 핵심 인프라를 노린 SKT 해킹 사례는 공격자가 4년 동안 시스템에 침투해 자료를 탈취했는데도 까맣게 모르고 있었다니 큰 충격이 아닐 수 없다.

불법 소형 기지국을 이용한 KT 해킹은 기지국 관리 부실을 악용해 통신을 가로채고 무단 소액결제를 시도한 공격이다. 사용자 인증 절차를 우회하고 기지국 사이의 복호화된 통신 상태를 악용했다는 점에서 고도화한 범죄 수법임을 알 수 있다.

최근 해킹 사고가 급증하는 근본 원인은 기존 방어 방식의 한계로 인해 ‘공격과 방어의 균형’이 무너졌기 때문이다. 사이버 공간에서 벌어지는 치열한 창과 방패 싸움에서 공격은 갈수록 정교해지고 조직화하고 있다. 하지만 방패는 여전히 과거의 수동적이고 사후적인 대응에 머물러 있다. 무너진 균형을 회복하고 사이버 위협을 실질적으로 억제하기 위해서는 대응 전략의 근본적 대전환이 필수다.

정부는 최근 사이버 위협을 ‘국민과 국가 안보에 대한 위협’으로 규정하고 해킹과의 전쟁을 선포하며 제도적·시스템적 개선 의지를 밝혔다. 하지만 이 전쟁에서 진정한 승리를 거두기 위해서는 공격자의 수준을 능가하는 전략적 사고의 전환과 함께 실질적인 방어 능력을 반드시 확보해야 한다.

이제는 단순히 취약점을 분석하고 침입을 탐지하는 수동적 방어를 넘어서야 한다. 선진국의 공세적 방어 개념을 기초로 한국형 능동적 방어 전략을 개발해야 한다. 이 전략의 핵심은 사이버 위협에 대한 방어선을 협력사는 물론 클라우드 등 기업 외부 생태계까지 확장해 공격 징후를 선제적으로 수집·분석하고 위협의 원점을 추적해 무력화해야 한다. 동시에 네트워크 내부에 이미 침입했을지 모르는 잠복한 위협을 미리 탐색하고 추적해 무력화하는 능동적인 사이버 방어 전략이 필요하다. 공격자가 침투 이후 장기간 은밀하게 잠복할 수 없도록 해야 한다.

이를 실현하기 위해서는 관련 기관을 중심으로 고도의 전문성을 갖춘 ‘위협 헌팅 전담팀’을 편성하고 사용할 도구를 개발해야 한다. 이들이 공공 및 민간 주요 인프라에 대해 상시로 ‘공세적 방어 활동’을 전개할 수 있도록 조직 및 법적 권한을 지원해야 한다. 미군이 2018년에 이런 방향으로 전략적 전환을 추진한 배경도 기존 방어 개념의 명확한 한계를 인식했기 때문이다.

사이버 전문 인력에 대한 실전형 교육 훈련도 강화해야 한다. 이론이나 단순 실습 교육에서 벗어나 사이버 모의 전쟁 훈련, 실제 사고 대응 시뮬레이션 등 실전 경험을 극대화하는 훈련을 의무화해야 한다. 그러기 위해서는 최고 수준의 사이버 훈련장을 구축해야 한다. 이스라엘 통합군사령부(IDF)의 사이버 훈련장에 쓰여 있는 ‘사이버 보안팀을 전투기 조종사처럼 훈련한다’는 문구에서 교훈을 얻어야 한다. 2016년 북한 해커가 국군 내부망을 공격했을 당시 우리 측 전문가들이 실전 훈련 부족 때문에 효과적으로 대응하지 못한 뼈아픈 경험을 반복하면 안 된다.

인공지능(AI) 3대 강국을 꿈꾼다면 그에 걸맞은 강력하고 능동적인 사이버 방어 역량을 갖추는 것이 필수적이다. 더는 보이지 않는 위협에 대한 공포에 떨지 않으려면 정부와 기업, 그리고 모든 국민이 ‘보안은 비용이 아닌 미래를 위한 투자’라는 인식을 확고히 공유해야 한다.

※ 외부 필진 기고는 본지의 편집 방향과 다를 수 있습니다.

송종석 영남이공대 사이버보안과 초빙교수