[보안컬럼]4차 산업혁명, SW 보안 혁명과 글로벌 보안시장

시스코는 2조6000억원을 내고 한국계 해커인 송덕준 씨가 운영하는 듀오의 기술을 사들였다. 송 씨는 패스워드 탐지와 통신 프로토콜 분석 도구인 디스니프(dSniff)를 개발, 공개했다. 분산서비스거부(DDoS) 트래픽 분석 대응, 정상 행위 탐지 기술 개발 등 시스템 보안 기술로 명성이 났다. 시스코는 글로벌 보안 제품 시장 15% 이상을 점유했다. IDC 조사에 따르면 2021년 보안 제품과 서비스 시장이 1200억달러에 이른다. 미국은 시스템 보안 기술을 공개한 송 씨의 지식재산권을 어느 국가보다 인정하고 보장한다. 이 인수합병(M&A)은 시스코의 시장 선점 전략이다.

국내에서는 한글 워드프로세서 취약점을 이용한 피싱 메일 지능형지속위협(APT) 공격 등으로 몸살을 앓고 있다. 이는 전자우편 악성코드, 웹 기반 악성코드, 계정 탈취, 웹 공격 등을 4대 공격 경로로 보고 있는 미국의 경고와 일치한다. 네이버는 이러한 모든 경로에서 비정상 행위를 오래 전부터 모니터링하고 탐지한다. 2009년에 발생한 7·7 DDoS 공격 사태에서는 모든 직원 PC를 실시간 감시, 정상 행위를 분석해서 네이버 메일시스템을 공격하는 악성코드를 신속하게 탐지·대응했다. 또 각종 애플리케이션(앱)과 웹 서비스도 매일 평가, 대응하고 있다.

최근 가장 큰 사회 문제는 암호화폐 거래소 해킹이다. 350억원이 탈취되는 등 해킹 사고가 끊이지 않는다. 비트코인은 분산 앱이다. 접근하는 모든 시스템이 이미 해킹 당해서 털렸다. 비트코인에서 암호는 이론 형태 보안이다. 실전에서는 안전한 소프트웨어(SW) 개발과 운영의 문제다.

임채호 빛스캔 연구소장
임채호 빛스캔 연구소장

'SW가 세상을 집어삼키고 있다.' 4차 산업혁명은 향상된 SW 성능과 품질에서 출발한다. 그동안 SW는 버그와 취약점으로 악성코드 공격의 대상이 됐다. 해외에서는 SW 개발과 운영의 문제점을 100배 이상 개선하는 데브옵스/데브시큐옵스 개념이 출현했다. 구글과 아마존 등이 선도한다. SW 개발, 운영, 보안, 품질 보증을 통합해서 자동화 테스트하는 기법이다. 여러 부서가 통합해 개발 주기와 테스트 기간을 앞당기고, 자동화 수준을 높여 코드의 품질과 보안 수준을 높인다. 한국인터넷진흥원(KISA)은 'SW 개발보안 가이드' '시큐어코딩 가이드' 'SW 보안약점 진단가이드' 등의 지침을 공개하고 법령 준수를 요구한다. 그러나 아직도 급변하는 SW 문제를 이용하는 공격·방어에 법제도는 미흡한 실정이다.

개인정보보호법, 개인정보관리체계(ISMS), 보안감사 등은 대부분 침해 사고 발생 사후에 적용된다. 예를 들어 삼성전자 해킹방어대회를 보면서 보안 사고가 생겼을 것으로 판단했다. 그런데 그 누구도 사실을 알 수 없다. 삼성전자 투자자나 이사들은 이러한 사실을 알아야 하며, 개선 방안을 보고받아야 한다. 삼성뿐이 아니다. 누구도 2000개나 되는 상장 기업의 보안 검증을 지속할 방법이 없다.

현재 법 체계로는 해킹 침해 사고가 발생된 이후에야 책임 소재를 묻는다. 2002년에 발의된 미국의 사베인스-옥슬리법(SOX)을 보자. '상장기업회계개혁 및 투자자보호법'이라고 부르는 이 법령은 엔론 등 기업회계 스캔 때문에 제정됐지만 11개 항목 가운데에는 정보기술(IT) 범죄에 대한 법규 준수 사항이 명기됐다. 법령은 세계 각국에 영향을 미쳤다. 상장기업 등 모든 기업이 정부의 보안 지침을 지키고 있는지를 투자자가 알 수 있는 유일한 방법이다.

미래 경제는 4차 산업혁명이다. 4차 산업혁명은 SW 산업 인프라, SW 산업은 사이버보안이 각각 가장 중요하다. 보안에는 시스템 보안과 앱 보안이 있다. 시스템 보안은 송 씨의 기술이 시스코와 함께 개시했다. 앱 보안은 아직 대표 주자가 없다. 대표 웹 앱 보안은 개인정보를 쉽게 빼내 가는 심각성이 있다. SQL인젝션 등은 신종 취약점이 매년 4000종 발표된다. 주로 개발자의 개발코딩 오류와 운영관리 문제다. 전 세계에 웹서버가 약 2조개 존재하는 웹 보안 시장은 저렴한 자동화 시험테스트 도구의 출현을 기다리고 있다. 우리나라는 이미 4차 산업혁명 시대임에도 경쟁력을 발휘하는 자동 SW 검증 관리보다 노동력에 의한 인력 보안이라는 수렁에서 벗어나지 못하고 있다. 프로세스 기반의 생산성이 없다. 또 기업이 보안 법령을 준수하는지 알 수 있는 방법이 없다. 변화된 환경을 따라가지 못하는 실무 교육이나 운영에서 비롯된다.

임채호 빛스캔 연구소장 skscogh@naver.com