김귀남 경기대 융합보안학과 교수

“농협·현대캐피탈의 전산사고는 보안의식 부족에서 온 참사입니다. 보안사고가 터졌을 때 복구비용이 사전 예방 비용보다 적게 든다는 생각에 지금껏 투자를 하지 않았기 때문이죠. 심지어 기업들은 인건비를 줄이기 위해 보안업무를 하청업체에 맡깁니다. 이는 자기 재산을 남에게 맡긴 것과 같습니다.”

김귀남 경기대 융합보안학과 교수는 제2, 제3의 농협 사태는 얼마든지 재발할 수 있다고 경고했다. 그는 “농협뿐 아니라 대부분의 기업이 인건비를 아끼기 위해 보안을 하청업체 전문인력에 맡긴다”며 “이렇다 보니 CEO들은 자체 보안시스템이 어떻게 돌아가는지 모르고, 이번 농협 사태처럼 사건이 터져도 뭐가 문제인지조차 모르는 경우가 대부분”이라고 꼬집었다.

김 교수는 우리나라에서 손에 꼽히는 최고 보안전문가다. 2001년부터 2008년까지 사이버테러정보전학회장을 지냈으며 2008년엔 한국산업보안포럼을 처음 만들고 현재 수석부회장으로 활동 중이다. 특히 올해는 경기대 학부과정에 융합보안학과를 신설하는 데 주도적 역할을 했으며, 인재 양성에 주력하고 있다.

김 교수는 최근 농협·현대캐피탈 등 일련의 전산사고는 당연한 결과라며 ‘소 잃고 외양간 고친다’는 속담이 우리나라 보안의 현 주소라고 지적했다.

“사실은 외양간도 고치다 말죠. 더 심각한 문제는 큰 사건이 터져도 그 당시뿐이라는 겁니다. 시간이 지나면 금방 잊고 크게 신경을 안 쓴다는 거죠. 공인인증서 하나만 있으면 PC뿐 아니라 휴대폰으로도 모든 전산 처리가 가능한 이 시대에 상당히 위험한 생각입니다.”

우리나라 보안의식 부족은 어제 오늘 일이 아니다. 최근 농협·현대캐피탈 금융권 보안사고에 앞서 지난 2009년 7·7 DDoS 대란, 올들어 3·3 DDoS 공격이 잇따랐다. 전국에 구축된 초고속 인터넷, 인터넷 사용자 4000만 등 수치상으론 IT 강국일지 몰라도 보안에 있어선 여전히 약자인 셈이다.

“IT 인프라가 잘 구축된 만큼 해킹할 수 있는 해킹 툴도 여과 없이 돌아다닙니다. 이처럼 해킹이 대중화되고 해킹기술은 발전하는데 보안인식은 제자리걸음인 셈이죠. 10여 년 전부터 보안전문가들이 ‘보안의식이 없다’ ‘보안교육이 필요하다’고 끊임없이 외쳐 왔지만 소용없었습니다. 시간과 돈이 투자돼야 하는데 당장 필요없다고 생각하니 신경을 안 써왔죠.”

보안의식 부족은 보안을 위한 기술발전에도 걸림돌이 되고 있다. 보안을 위한 연구개발이 활성화돼야 하지만 인프라가 턱없이 부족하다.

“해킹기술 발전에 따라 방어기술이 함께 개발돼야 하지만 우리나라 150여개 보안업체 가운데 연구개발이 이뤄지는 곳은 10여개에 불과합니다. 그나마 좋은 제품을 개발한다 해도 기업이나 전문기관에서 구매하지 않습니다. 외산이 더 믿을 만하다는 인식이 저변에 깔려 있기 때문이죠. 이렇다 보니 연구개발 속도는 계속 늦어질 수밖에 없습니다.”

특히 김 교수는 “IT 보안 관련 연구가 70% 이상 이뤄지던 정보통신부가 없어지면서 IT 보안에 대한 투자는 엄청나게 줄었다”며 “IT 보안을 위한 정부 지원이 필요하다”고 힘줘 말했다.

“우리나라 보안을 책임질 수 있는 연구개발이 가능한 기업도 극소수밖에 없습니다. 더욱이 매년 100억원 이상의 매출이 나오는 보안기업은 150여개 중 10개 내외에 불과하죠. 열악한 보안기업에 대한 정부의 지원이 적극 이뤄져야 연구개발에 매진할 수 있고, 전문가 고용도 가능해질 수 있다고 봅니다.”

안이한 보안의식과 열악한 인프라가 불러온 농협 대형 전산사고. 김 교수는 이번 사태가 우리나라 보안기술의 현실을 깨닫고, 기술개발에 나서는 계기가 돼야 한다고 거듭 강조했다.

“해킹에 대한 100% 방어는 불가능합니다. 그러나 우린 해킹에 대한 방어기술과 사후 복구를 위한 기술을 끊임없이 개발하고 준비해야 합니다.”
저작권자 © 한국대학신문 무단전재 및 재배포 금지