김용대 교수 "보안 투자, 동기 유발해야...강요만으로 한계"
"보안 사고는 덮으면 덮을수록 더 큰 사고로 이어지기 때문에 사고가 날 경우 이를 기회로 보안 체계를 한 단계 끌어 올려야 한다." 과학기술정보통신부 공식 AI 주간 'AI페스타 2025' 부대 행사로 개최된 '대한민국 사이버 보안 컨퍼런스'에서 발표에 나선 김용대 한국과학기술원(KAIST) 교수는 이같이 밝혔다. 김 교수는 이날 '왜 우리는 계속 해킹을 당하는가?'를 주제로 발표했다. 김 교수는 "SKT, KT를 비롯해 프랙 보고서를 통해 공개된 중국이나 북한 추정 해커의 지속적인 한국 정부 공격, 롯데카드 침해사고 등 올해는 기업하고 싶지 않은 해"라며 "과연 대한민국은 개인, 기업, 국가에게 보안을 하고 싶게 만들고 있는지, 공격자로 하여금 한국 기업이나 정부를 공격하는 것을 두렵게 만들고 있는지, 보안을 '동기유발' 없이 '강요'만 하고 있지 않은지 점검해야 한다"고 역설했다. 그는 개인의 경우 여러 비밀번호를 돌려 쓰고 있으며, 기업은 보안 장비를 최대한 저가에 구매하려 하고 체크리스트를 구축해도 체크만 할 뿐, 구체적인 보안 전략을 수립하는 경우는 많지 않다고 지적했다. 국가의 경우도 강한 규제와 사후 대응 위주로 보안 위협에 대처하고 있다고 진단했다. 이에 김 교수는 "과학기술정보통신부(과기정통부)에는 침해 대응반만 있고 침해를 예방하는 것이 무엇보다 중요한 데도 침해 예방반은 없다"면서 "보안 정책이 사용자에게는 편의성, 일관성, 기업에는 신뢰와 시장에 대한 기회, 연구자에게는 인정과 보상, 국가에는 실효성 있는 방어를 제공해야 한다. 공격자한테는 한국은 해킹하기 힘들거나, 수익이 낮다는 인식을 심어줄 수 있어야 한다"고 강조했다. 그는 이어 과기정통부에서 발간한 SKT 해킹 사태와 관련한 침해사고 보고서를 토대로 8가지 부족하거나 미비했던 부분을 지목했다. 구체적으로 ▲계정 관리 부실 ▲사고 대응 미흡 ▲중요 정보 암호화 미흡 ▲보안 점검 형식화 ▲공급망 보안 소홀 ▲보안 거버넌스 부족 ▲자산 관리 미비 ▲사고 투명성 부족 등이다. 우선 김 교수는 자산 관리가 미비됐던 점이 가장 큰 문제라고 지적했다. 그는 "SKT는 서버 및 시스템 운영·폐기 여부가 불명확했고 패치 종료(EOL) 장비도 방치돼 패치가 불가능한 취약점이 지속됐다"면서 "EOL장비 격리·교체 로드맵 수립, 적정 시점 패치, 소프트웨어 업그레이드 등 전사 자산 관리 체계를 구축해야 한다"고 설명했다. SKT는 계정정보가 평문으로 저장됐고 비밀번호 등을 장기간 미변경한 경우 만료시키는 정책도 부재했던 것으로 나타났다. 퇴사자나 외주 인력의 계정도 제때 삭제되지 않았고, 공용 관리자 계정이 사용되면서 책임 추적도 불가능한 상황에 놓였다. 이에 김 교수는 IAM(Identity&AccessManagement)도입, MFA(다중 인증) 전사 확대 등을 통해 계정 관리를 강화해야 한다고 밝혔다. 이 외에도 SKT는 CISO(최고정보보호책임자)의 역할도 한계가 있었던 점, 협력사 SW를 보안 검증 없이 도입한 점, IMSI(가입자 식별 번호) 등 핵심 가입자 정보가 암호화 없이 저장된 점, 침해 징후에도 신고나 대응하지 않은 점 등 보안 문제가 많았다고 지적했다. 특히 이번 사고를 기회로 SKT는 보안 수준을 끌어올려야 한다고 주문했다. 그는 "국가 보안 정책의 심각한 변화가 필요하다"면서 "보안 투자만 강요할 것이 아니라 구체적인 방향도 제시하고, 해킹 억제력을 높이는 방향으로 정책을 유도해야 한다"고 제언했다. 또 SKT 해킹 사태와 관련해서는 "복구 및 보안 개선에 시간이 많이 걸릴 수 있는 만큼 절대 한 번에 바로잡는 식이 아니라 중요도를 정해 차근 차근 개선해 나가야 한다"며 "꾸준한 보안 투자와 교육, 인식 개선 등이 필요하다"고 말했다.
