[보안리더] 이만희 교수 "공급망 보안 대가···제자와 회사도 설립"

공급망 보안은 제 인생에서 가장 중요한 일이 됐어요. 2021년부터 한국정보보호학회 공급망보안연구회장을 맡고 있습니다. 공급망 보안에 관심있는 사람들에게 날마다 뉴스를 알려주다 연구회를 만들었네요. 소식을 주고받는 사람이 200명이 넘어요. 연구원, 정책 입안자, 산업계 등 다양합니다. 한국에 공급망 보안 문제가 생기면 바로 뭉칠 수 있어요. 이렇게 공급망 보안만 생각하다 보니 회사까지 차리게 됐습니다. 공급망 보안 교수이면서 기업 대표인 사람은 한국에서 제가 유일할 것 같습니다. 이만희 한남대 정보보호학과 교수는 최근 지디넷코리아와의 인터뷰에서 이같이 밝혔다. 이 교수가 고급망에 관심을 갖게 된건 7년 전 도널드 트럼프 미국 대통령 때문이다. "당시 트럼프 대통령이 중국 반도체 칩 안에 스파이 칩'이 들어었다'고 주장하며 중국 제품을 밀어냈어요. '하드웨어 공급망에서 출발한 문제가 소프트웨어로 퍼지겠구나'라고 생각했죠. 이후 공급망에 관심을 갖게 됐습니다." 소프트웨어를 빠르게 개발하기 위한 오픈 소스가 퍼지면서 공급망 보안 위협도 두드러졌다고 이 교수는 전했다. 악성 코드에 감염된 오픈 소스를 쓰면 치명적이다. 그는 “소프트웨어 개발자는 보통 소스 20%를 직접 짜고 80%는 남이 만들어 개방한 코드를 갖다 쓴다”며 “자동차 회사가 차에서 가장 중요한 엔진을 직접 만들지만 타이어는 타이어 회사에서, 유리는 유리 회사서 사서 조립하는 것과 마찬가지”라고 빗댔다. 이어 “내가 어떤 오픈 소스를 갖다 썼는지 모를 수도 있다”며 “고구마 하나를 건지면 다른 줄기도 줄줄이 딸려 나오듯 숨겨진 오픈 소스가 많이 있다”고 덧붙였다. 한국은 현재 급망 보안 로드맵을 준비중이다. 과학기술정보통신부와 국가정보원, 한국인터넷진흥원(KISA), 한국정보보호산업협회(KISIA)가 주축이 돼 정부, 연구기관, 산업계가 참여했다. 이 교수도 힘을 보탰다. 그는 “보안 분야에서 처음으로 과기부와 국정원이 공동 지침을 지난해 5월 발표했다”고 전했다. 제도가 도입되면 시장도 생긴다. 국내 정보보호 기업이 공급망 보안에 기여할 수 있다. 그는 한국이 정보기술(IT) 강국인 만큼 IT 보안이 강해야 한다는 입장이다. IT 산업 규모가 클수록 사이버 공격을 많이 당해서다. 이 교수는 “완전히 소프트웨어 세상이 됐다”며 “보안 취약점 하나로 우리 사회가 무너질 수 있다”고 지적했다. 그러면서 “안전 장치를 구비해야 한다”며 “고속도로에서 더 빠르게 갈 수 있는데도 안전을 위해서라면 돈을 들여 카메라와 과속 측정기를 설치하지 않느냐”고 되물었다. 이 교수는 공급망 보안을 연구하는 교수 중 회사까지 차린 사람은 국내에서 유일할 것 같다고 자신을 소개했다. 그는 “제자가 '블록체인 기반 소프트웨어 보증 시스템 제작'을 주제로 박사 논문을 썼다. 2021년 11월 이 제자와 함께 공급망 보안 전문 회사인 '소프트버스'를 공동 창업했다”고 들려줬다. 이어 “지금은 비슷한 회사가 세계에 많이 있지만 당시에는 우리가 거의 세계 최초였다”고 말했다. 소프트버스는 '소프트웨어(software)'와 현실과 가상을 이어주는 '메타버스(metaverse)'를 합한 말이다. 이 기업은 소프트웨어 자산을 관리하도록 돕는 '서플라이 스캔(supply scan)'을 올해 선보이기로 했다. 우리 회사에 컴퓨터가 몇 대, 의자가 몇 개 있는지 기록해 관리하듯 우리 회사 컴퓨터 몇 대에 무슨 소프트웨어가 있는지, 보안 취약점은 있는지, 얼마나 위험한지 등을 자동으로 파악해 사고 나기 전 막아 준다. 아래는 이만희 교수 주요 경력 경북대 컴퓨터공학과 학사 경북대 컴퓨터공학과 석사 미국 텍사스A&M대 컴퓨터공학과 박사 1996.12~2003.7 한국과학기술정보연구원 연구원 2008.9~2009.9 시스코시스템스 하드웨어엔지니어 2010.2~2012.2 국가보안기술연구소 선임연구원 2012.3~현재 한남대 컴퓨터공학과 교수 한국정보보호학회 상임부회장, 충청지부장, 공급망보안연구회 회장, 정보보호학회지 편집위원 과학기술정통부 제로트러스트&공급망보안 포럼 공급망보안 기술/표준 분과장 국가정보원 암호검증위원회 위원, 정보보안 중장기계획 민간자문단 IT 보안인증사무국 인증위원회 위원 국가보안기술연구소 미래기술보안포럼 위원, 청렴시민감사관 국가정보원, 과기정통부 합동 소프트웨어공급망보안 포럼 워킹그룹장