[포쓰저널=강민혁 기자] SK텔레콤의 유심(USIM·가입자식별모듈) 정보 해킹 사고로 인해 정보보호에 대한 경각심이 높아진 가운데 전문가들은 '정보보안 거버넌스'(조직 전체에 적용되는 공통의 규범과 관리 체계)에 문제가 있었다고 입을 모았다.

9일 '제14회 정보보호의 날'을 맞아 서울 용산 드래곤시티호텔 3층에서  열린 '정보보호의 현재와 미래 컨퍼런스'에서 박용규 한국인터넷진흥원(KISA) 디지털위협대응본부 위협분석단장은 "SKT 사고처럼 IT(정보기술) 부문의 시설과 네트워크 부분의 사고를 전혀 통제하지 못하는 상황은 결국 소통 부재나 전체 거버넌스 체계의 문제점이라고 결론내릴 수 있다"고 말했다.

박 단장은 'Time & Incident Response'(시간 및 사고 대응) 주제 발표에서 SKT 유심정보 해킹사고에 관해 이같이 진단했다.

그는 SKT 유심정보 해킹 사고는 많은 문제점들이 복합적으로 작용해 발생했다고 지적했다.

△ 2022년 2월 서버 비정상 재부팅 발생, 악성코드 존재 등 사전 전조증상이 있었고 △ 복잡한 네크워크 설정, 불필요한 공인IP설정 등 공격표면 관리도 제대로 되지않았다고 했다.

△ 네트워크 세그멘테이션, 이상행위 모니터링 미흡 등 내부에서 발생하는 비정상 행위 탐지나 △ 내부자산관리체계, 중요자산관리정책 미흡 등 네트워크·시스템 등 내부 운영자산 식별·관리도 제대로 이뤄지지 않았다고 지적했다.

△ 최고정보보호책임자(CISO)는 전체 자산 중 IT(정보기술)영역만 담당하고 △ 투자 규모도 너무 낮은 수준이었다고 했다.

홍관희 LG유플러스 CISO(전무)는 '최신 사이버 공격 동향 및 통신사 거버넌스 및 체계' 주제 발표에서 "최근 사이버위협은 인공지능(AI)과 같은 신기술을 악용해 더욱 지능화되고 있다"며 "이러한 동향은 단순히 기술적 방어를 넘어 전사적 차원의 체계적인 보안 거버넌스와 신속한 대응체계의 중요성을 부각시키고 있다"고 강조했다.

이어 "보안사고의 근본 원인은 기술적 결함보다 보안 거버넌스의 부재에서 비롯됐다"며 △책임과 권한의 불균형 △통합 관리 체계 미흡 △경영진의 인식 부족 등이 있다고 설명했다.

그는 "기술적 보안 강화는 단순한 솔루션 도입이 아닌 보안 거버넌스를 효율적으로 지원하고 구현하는 수단으로 활용되어야 한다"고 밝혔다.

또 "최근의 보안사고는 모든 기업이 기술적·관리적·거버넌스 측면에서 총체적인 보안 역량을 갖추어야만 급변하는 사이버 위협 환경에서 생존하고 성장할 수 있다는 경각심을 일깨워준 중요한 계기가 되었다"고 했다.

이진규 네이버 CISO(전무)는 '플랫폼사업자 정보보호 대응체계 방향' 주제 발표에서 "플랫폼을 정의하는 방식은 다양하게 있지만, 한마디로 하면 공급자와 수요자 사이에 가치가 공평하게 교환될 수 있는 하나의 마켓플레이스다"고 했다.

이어 "기존 정보보호 체계는 플랫폼 특성을 반영하지 못하고 새로운 방향이 필요하다"며 "플랫폼 특성에 맞는 정보보호체계를 통해 실효성·신뢰성·공공성 모두를 확보해야 한다. 정부·민간·이해관계자가 함께 설계하고 발전시켜야 할 시점이다"고 강조했다

제레미 웨스트 경제협력개발기구(OECD) 디지털보안안전실 실장은 영상을 통해 'Digital security implications of quantum computing and homomorphic encryption'(양자컴퓨터 및 동형암호 등 신흥기술의 디지털 보안적 합의)을 주제로 기조연설했다.

웨스트 실장은 "디지털 보안 환경을 근본적으로 재편할 수 있는 동형암호화, 양자컴퓨팅 두 가지 기술은 암호기술에 막대한 영향을 미칠 것으로 예상된다"며 "점점 더 상호연결되는 세계에서 암호기술은 경제적 회복력, 국가 안보, 민주적 거버넌스를 가능하게 하는 핵심 요소"라고 말했다.

동형암호화에 대해 "암호화된 데이터를 복호화하거나 비밀키 없이도 연산할 수 있게 한다"며 "완전동형암호(FHE)는 신뢰할 수 없는 환경에서도 안전한 데이터 처리를 가능하게 한다. 제로 트러스트(Zero Trust) 보안 패러다임의 기반이 될 수 있다"고 했다.

양자컴퓨팅에 대해선 "원자 수준의 자연 특성을 이용해 기존 기술로는 불가능한 작업을 수행한다"며 "양자컴퓨팅은 공개키 암호화 기반을 무너뜨릴 가능성이 있다. 이는 우리의 경제·제도·일상생활을 뒷받침하는 디지털 신뢰 자체를 악화시키게 된다"고 경고했다.

이어 "지금 조치를 취하지 않으면 양자컴퓨터가 실현되는 순간 기존 암호체계가 급속히 붕괴할 수 있다. 대응할 시간조차 없을 것이다. 따라서 민감한 개인정보는 물론 국가 기밀이나 기업 정보 등 데이터를 보호할 수 있도록 지금 조치를 취해야 한다"며 "양자내성암호, 즉 포스트 양자암호(Post-Quantum Cryptograhpy) 전환이 해법이 될 수 있다"고 말했다.

파스토라 발레로 시스코(CISCO) 국제 대정부 담당 수석 부사장은 영상을 통해 'A Turning Point for AI and Cyber Threats'(AI와 사이버위협의 전환점)을 주제로 기조연설했다.

발레로 부사장은 "한국 기업의 45%만이 IT 예산의 10% 이상을 보안에 투자한다"며 "침입을 경고했음에도 불구하고 소수의 집주인만이 튼튼한 잠금장치와 창문을 설치한 것과 같다"고 지적했다.

이어 "사이버 위협은 IT만의 문제가 아닌 국가 안보, 공공 안전, 경제적 지속 가능성에 직접적인 영향을 미치는 중대한 위험"이라며 "이제는 '사이버 위협에 직면할지 여부'가 아니라 '언제 직면하게 될지'와 '그에 대비했는지 여부'가 중요한 문제가 됐다"고 강조했다.

윤두식 이로운앤컴퍼니 대표는 'AI 사이버보안 : 창과 방패의 경쟁' 주제 발표에서  "AI 시대의 사이버 위협은 근본적으로 이전과 다르다"며 "전통적인 방어 체계로는 대응 불가능한 새로운 차원의 위협"이라고 강조했다.

AI 사이버 위협은 △기존 보안 도구로 식별이 어려운 '탐지 곤란성' △즉각적인 공격과 빠른 확산 '실시간성'  △완벽에 가까운 위조 기술 '인간 수준' △ 대규모 동시 공격 가능 '자동화' △타겟 맞춤형 정교한 공격 '개인화' 등 요소로 기존 보안위협과 차별화된다고 설명했다.

이상직 인터넷법제도포럼 회장(법무법인 태평양 변호사)은 'AI 시대 패러다임의 변화와 사이버보안 강국의 길' 주제 발표에서 "AI를 알든 모르든 살기 위해선 AI 고속도로에 오르지 않을 수 없는 시대"라며 "AI에서 벗어날 수 있는 서비스 영역은 없다"고 했다.

AI 를 이용할 수 있는 비즈니스로 △정보 검색·통역·번역·추론 결과 제공 △문서·이미지·동영상 창작 지원 △AI 에이전트 기능으로 비서 등 무형의 일꾼 △피지컬 AI 기능으로 물리적 형태를 갖춘 일꾼 △시스템 운용 AI 기능으로 운송·제조·교통·에너지·경영 등이 있다고 설명했다.

김태성 충북대 교수는 '수요 기반의 통합형 사이버보안 인재 양성 방안' 주제 발표에서 "정보보호 인력도 반도체 부품 공급 체계처럼 인력 공급에 대한 공급망 관리가 필요하다"며 "이를 위해 수요에 대한 다면적 분석이 필요하다"고 강조했다.

이어 "인력도 마켓에서 거래되는 상품이다. 미국은 정보보안 인력 수요조사 및 데이터를 가공해 인터넷을 통해 공개하는 서비스가 있다. 공공 서비스이기 때문에 무료다"며 "정보보호 인력에 대한 수요와 공급의 불확실성을 해소해야 한다"고 말했다.

이석준 가천대 교수는 '제로 트러스트, 보안 기준은 신뢰 아닌 검증' 주제 발표에서 기존 경계망중심 보안에 대해 "보안 경계를 둔다는 것은 내부자에게 더 높은 신뢰를 부여하는 것"이라며 "회사 출입문에서만 진입을 통제하는 것과 같다"고 설명했다.

그는 "(제로 트러스트는) 정확하게 신뢰도를 평가하고 경계를 리소스 단위로 세분화하는 것"이라며 "제로트러스트는 조직의 보안 도덕성(Ethical Security Posture)을 시험하는 기준이다. 보안 프레임워크는 그 도덕성을 강제하는 법률과 절차에 가깝다"고 말했다.

이번 컨퍼런스는 과학기술정보통신부·국가정보원·행정안전부가 주최하고 KISA·한국정보보호산업협회(KISIA)가 주관했다.