김승주 교수 "사이버 보안 3축체계 마련해달라”

김승주 고려대 정보보호대학원 교수가 “국정과제를 살펴보면 국방 부분에 3축체계라는 게 있는데 사이버보안에도 3축체계를 만드는 방안을 검토해달라”고 국회에 요청했다. 김 교수는 24일 국회서 열린 해킹 관련 청문에 참고인으로 출석해 “(공격을 사전에) 탐지하고, (오는 공격에) 방어하고, (공격 상대방을) 원천 무력화하는 3축 체계가 사이버 보안에도 필요하다”며 이같이 말했다. 이날 김 교수는 전문가 견해를 상세히 설명해달라는 최민희 과학기술정보방송통신위원회 위원장의 요청에 따라 10분간 최근 벌어진 일련의 해킹에 대한 의견을 내놨다. 김 교수는 “우리나라의 보안 문제가 심각한 것은 코로나 시절부터 비롯됐다”며 “그간 보안의 절대 원칙은 망분리와 폐쇄망이었는데 코로나 시절에 업무용 PC가 인터넷에 연결되기 시작됐고, AI 정책이 도입되면서 연결이 확대됐다”고 설명했다. 이어, “망을 끊어놓은 상태, 즉 무균실 같았는데 한번 공격이 들어오니까 속절없이 무너지고 있는 것”이라며 “지금 문제가 되는 것들을 고쳐야 한다. 현황 파악을 해야 하는데 그러려면 전수조사를 할 수밖에 없다”고 강조했다. 3축체계와 관련해 “첫째가 탐지인데 전문용어로 사이버 인텔리전스라고 한다”며 “KT 사례를 많이 이야기 하는데 프랙 보고서에 KT가 사용하던 상담서버의 SSL 암호통신 인증서가 유출된 게 7월이다”고 했다. 이어, “정보당국이 일찍 입수해서 업체들에 통보해준 것인데, SSL 인증서 유출 먼저 알아차린 건 외국 두 명의 해커가 작성한 프랙 보고서”라며 “외국에서는 첩보를 일반인인 해커가 받았는데 우리는 외국 해커 두 명의 탐지할 수 있는 능력도 안된 것”이라고 지적했다. 김 교수는 “탐지가 이뤄진다면 방어하고 복구해야 하는데, 방어와 관련해 정부의 예방 능력이 중요하다”며 “롯데카드는 긴급 업데이트라고 공지한 보안 취약점이 8년 동안 방치됐고, 이는 벙부의 관리 부실을 봐야 한다”고 했다. 그러면서 “예방과 관련해 평가인증제도를 다시 살펴봐달라, 특히 지금 보면 통신장비는 보안성평가 대상에서 배제돼 있는데 펨토셀을 포함해 통신장비도 보안성평가를 받아야 한다”고 주문했다. 김 교수는 또 “(3축체계의 마지막인) 무력화에 대해서는 로그 기록이 중요한데 롯데카드와 SK텔레콤 사례에서 항상 부딪히는 게 로그 기록이 잘 보유하지 못한 점”이라며 “롯데카드가 취약점을 방치한 게 8년인데 로그 기록이 그보다 짧으면 피해 범위는 또 미궁에 빠지게 될 것”이라고 우려했다. 아울러 “국제공조도 필수인데 아직까지도 해결되지 않는 문제”라며 “3축체계는 과방위를 중심으로 다른 상임위도 고민할 수 있도록 해달라”고 요청했다. 해킹 피해 기업의 자체적인 구제 노력을 강조하기도 했다. 김 교수는 “해킹 피해를 당한 업체한테 책임을 묻는데, 외국에서는 피해구제 노력이 경감사유로 받아들여지기 때문에 해킹을 당한 기업은 상세한 보고서를 만들어 공유한다”며 “이를 체계화시키기 위해 과방위 중심으로 꼭 챙겨달라”고 말했다.