[미래포럼]사이버 보안 핵심은 사람이다

최근 연예 병사의 근무 실태 논란이 불거져 세간이 한 차례 소란스러웠다. 해당 사건은 아직 현재진행형인 듯 보인다. 경위야 어찌됐건 그 사건을 계기로 문득 떠오른 게 한 가지 있다. `연예 병사는 양성되고 있는데, 사이버 보안 병사는 왜 아직 없는 것일까` 하는 의문이다.

최근 북한 내 해커부대 존재가 알려지면서 우려의 목소리가 크다. 사이버 테러에 대한 불안과 성토가 높아감에도 어찌된 일인지 우리의 사이버전 대비 태세나 공격 역량은 그다지 화두가 되지 않는 듯하다.

사이버 공격은 상대가 예상하지 못한 수단과 방법으로 상대의 강점을 무력화하고 약점을 이용해 목적을 달성하는 이른바 `비대칭 무기`로 현대 전쟁의 전략적 요소다. 물론 우리나라에서도 사이버 사령부를 만들어 준비를 속속 진행하고 있으나 현재의 급박한 상황을 고려할 때 사이버 부대의 발전 속도나 규모에서 아쉽다.

오늘날 첨단 무기의 대부분이 컴퓨터에 의해 작동하는 것을 감안하면 전쟁이 발발할 때 선제적인 사이버 공격과 방어는 대단히 효과적이고 치명적이다.

만약 60만명의 병력 가운데 단 몇 퍼센트의 인력이라도 사이버 보안 병과로 지정해 별도로 양성한다면 어떻게 될까. 우리 사이버 국방에 큰 힘이 될 것이다. 암호 해독, 사이버 무기 개발 및 공격 수행, 사이버 테러 대응 등 전문 병사가 수행해야 할 업무는 무궁무진하다. 또 전문 병사들이 저변을 받치고 우수한 장교와 영속적인 인력이 지속적으로 수혈된다면 우리 사이버 국방의 미래는 밝아질 것이다.

또 양성한 사이버 보안 병사를 경제 성장동력으로 삼을 수 있다. 사이버 병사가 제대한 뒤 국내 정보기술(IT) 기업의 든든한 인재가 될 수 있기 때문이다. 이스라엘의 경제 성장을 분석한 책 `창업국가`는 이스라엘은 엘리트 부대 병사들이 세계적인 벤처 기업을 다수 탄생시키는 배경의 하나라고 지적했다. 전문 인력의 첨단 기술 연구 실적과 인적 네트워크가 경제 성장의 뿌리로 발현됐다는 얘기다.

사이버 보안은 독특한 특성을 지닌다. 제대로 된 공격이 있을 때 비로소 그 진가를 알 수 있다는 점이다. 따라서 다양한 공격을 시도해 보지 않은 상태에서 우리의 방어 체계가 잘 돼 있다고 장담하는 것은 의미가 없다.

7·7 DDoS 공격 사건 이후 많은 기업과 기관이 대응 장비를 도입했다. 그러나 그 후 공격 기법은 많이 바뀌었다. 과거에 수많은 좀비 PC를 이용해 대규모 트래픽을 발생시켰다면, 지금은 적은 수의 PC만으로도 세밀하고 스마트한 공격을 수행한다. 도입한 장비가 새로운 공격에 대응할 수 없다면 무용지물이 되거나 부분적 방어에 그칠 수밖에 없다.

창과 방패는 경쟁적으로 진화한다. 그러나 공격이 너무도 빨리 진화하고 기술적으로도 고도화하면서 수세적인 차원의 방어에만 급급한 모습이다. 공격이 절대적인 해답은 아니지만 제대로 방어하려면 공격에 대한 이해가 무엇보다 중요하다.

해커는 수많은 보안 솔루션이 어떻게 방어하는지 테스트하면서 악성코드와 공격 도구를 만든다. 선제적 대응 체제는 현재 정보 보안에서 최대의 화두다. 공격과 방어를 훈련하면서 치열한 기술 개발에 전념할 필요가 있다. 보안 체계에 대해서는 우리 스스로가 철저하고 냉정하게 평가해야 한다.

IT 의존도가 점점 높아지고 있다. 반면에 IT시스템을 공격하는 기술이 무서울 정도로 발전하고 있다는 점은 매우 위협적이다. 정보 보안은 막연한 이론이나 슬로건이 아닌, 실전 그 자체임을 유념해야 한다. 이를 해결하는 것은 역시 풍부한 보안 인력이라는 사실을 잊지 말아야 할 것이다.

김홍선 안랩 대표 phil_kim@ahnlab.com