김귀남 경기대 융합보안학과 교수
“농협, 현대캐피탈의 전산사고는 보안 의식 부족에서 온 참사입니다. 보안 사고가 터졌을 때 복구비용이 사전 예방 비용보다 적게 든다는 생각에 지금껏 투자를 하지 않았기 때문이죠. 심지어 기업들은 인건비를 줄이기 위해 보안 업무를 하청업체에 맡깁니다. 이는 자기 재산을 남에게 맡긴 것과 같죠.” 김귀남 경기대 융합보안학과 교수는 제2, 3의 농협 사태는 얼마든지 재발할 수 있다고 경고했다. 그는 “농협뿐 아니라 대부분의 기업들이 인건비를 아끼기 위해 보안을 하청업체 전문 인력에 맡긴다”며 “이렇다보니 CEO들은 자체 보안 시스템이 어떻게 돌아가는지 모르고, 이번 농협 사태처럼 사건이 터져도 뭐가 문제인지도 모르는 경우가 대부분”이라고 꼬집었다.
김 교수는 우리나라에서 손에 꼽히는 최고 보안 전문가다. 2001년부터 2008년까지 사이버테러정보전학회장 지낸 것을 비롯해 2008년엔 한국산업보안포럼을 처음 만들고 수석부회장으로 활동 중이다. 특히 올해는 경기대 학부과정에 융합보안학과를 신설하는데 주도적 역할을 했으며, 현재 인재 양성에 주력하고 있다.
김 교수는 최근 농협, 현대캐피탈 등 일련의 전산사고는 당연한 결과라며, ‘소 잃고 외양간 고친다’는 속담이 우리나라 보안의 현 주소라고 지적했다.
“사실은 외양간도 고치다 말죠. 더 심각한 문제는 큰 사건이 터져도 그 당시뿐이라는 겁니다. 시간이 지나면 금방 잊고 크게 신경을 안 쓴다는 거죠. 공인인증서만 하나면 PC뿐 아니라 핸드폰으로도 모든 전산 처리가 가능한 이 시대에 상당히 위험한 생각입니다.”
우리나라 보안 의식 부족은 어제 오늘 일이 아니다. 최근 농협, 현대캐피탈 금융권 보안 사고에 앞서 지난 2009년 7·7 DDoS 대란, 3·3 DDoS 공격도 잇따랐다. 전국에 구축된 초고속 인터넷, 인터넷 사용자 4000만 등 수치상으론 IT 강국일지 몰라도 보안에 있어선 여전히 약자인 셈이다.
“IT 인프라가 잘 구축된 만큼 해킹할 수 있는 해킹 툴도 여과 없이 돌아다닙니다. 이처럼 해킹이 대중화되고 해킹 기술은 발전하는데 보안 인식은 제자리걸음인 셈이죠. 10여 년 전 부터 보안전문가들이 ‘보안 의식이 없다’, ‘보안 교육이 필요하다’고 끊임없이 외쳐 왔지만 소용없었습니다. 시간과 돈이 투자돼야 하는데 당장 필요 없다고 생각하니 신경을 안 써왔죠.”
보안 의식 부족은 보안을 위한 기술 발전에도 걸림돌이 되고 있다. 보안을 위한 연구 개발이 활성화돼야 하지만 인프라가 턱 없이 부족하다.
“해킹 기술 발전에 따라 방어 기술이 함께 개발돼야하지만 우리나라 150여개 보안업체 가운데 연구개발이 이뤄지는 곳은 10여개에 불과합니다. 그나마 좋은 제품을 개발한다 해도 기업이나 전문기관에서 구매하지 않습니다. 외산이 더 믿을만하다는 인식이 저면에 깔려있기 때문이죠. 이렇다보니 연구개발 속도는 계속 늦어지고 있는 것이죠.”
MB정부 들어 IT에 대한 지원이 줄어 든 것도 문제점으로 지적됐다. 김 교수는 “IT 보안 관련 연구가 70% 이상 이뤄지던 정보통신부가 없어지면서 IT 보안에 대한 투자가 눈에띄게 줄었다”며 “IT 보안을 위한 정부의 지원이 필요하다”고 힘줘 말했다.
“매년 100억원 이상의 매출이 나오는 보안 기업은 150여개 중 10개 내외입니다. 더욱이 우리나라 보안을 책임질 수 있는 연구 개발이 가능한 기업은 극소수에 불과하죠. 무엇보다 열악한 보안 기업에 대한 정부의 지원이 적극 이뤄져야 합니다. 그래야 보안 기업들이 연구개발에 매진할 수 있고, 전문가 고용도 가능해질 수 있다고 봅니다.”
안이한 보안의식과 열악한 인프라가 불러온 농협 대형 전산사고. 김 교수는 이번 사태가 우리나라 보안기술의 현실을 깨닫고, 기술개발에 나서는 계기가 돼야한다고 거듭 강조했다.
“해킹에 대한 100% 방어는 불가능합니다. 그러나 우린 해킹에 대한 방어 기술과 사후 복구를 위한 기술을 끊임없이 개발하고 준비해야 합니다.”
송아영
songay@unn.net
