안전한 IT환경을 위한 전세계의 노력이 그 어느 때보다 높다. 96년부터 우리 정부는 한국정보보호센터를 설립해 정보보호에 앞장서고 있으며 지난해에는 대국민 캠페인을 전개하는 등 정보보호 문화 확산에 주력하고 있다. 하지만 이런 노력에도 중국발 해킹을 비롯해 피싱, 웜바이러스 등 사이버 위협 공격 수위는 날로 높아가고 있다. 또 우리는 아직도 스팸메일 발송 대국의 오명을 안고 있으며, 수천만 명의 ID가 도용되는 사태가 발생하고, 국내 웹 서버가 해킹 경유지로 악용되는 사례가 줄어들지 않고 있다.
11일 우리나라 민간 정보보호 중심기관인 한국정보보호진흥원 이홍섭 원장과 미국 마이크로소프트 스콧 차니 보안담당 부사장이 국경을 넘어 날로 급증하는 사이버 위협의 현황과 대처 방안에 대해 긴급 대담을 가졌다.
◇이홍섭=유비쿼터스 사회 개막과 더불어 해킹위험도 증가하고 있다. 유비쿼터스를 구성하는 시스템 네트워크 서비스는 정보보호와 프라이버시가 결합돼야 완전한 유비쿼터스 환경을 만들 수 있다. 이러한 환경에서 가장 강조돼야 할 것은 무엇이라고 생각하는가
◇스콧 차니=분산 환경에서 제대로 작동할 수 있는 ID 관리 시스템이 중요하다. 유비쿼터스 환경에서는 모든 접속에 있어 인증된 프로세스가 있어야 한다. ID에 대한 도난과 도용의 가능성이 크기 때문이다.
◇이홍섭=지난해 최대 사이버 위협은 피싱 등 사회공학적 방법을 이용한 금전적 이익을 노리는 형태였다. 최근 최대 사이버 위협의 형태는 PC나 정보 해킹, 스팸 등의 형태로 나타나지만 근본 원인은 봇(BOT) 이다. 올해 가장 힘써야 할 부분은 전세계 PC 서버의 봇 감염률을 낮추는 것이다. 올해는 어떤 사이버 위협이 사용자들을 괴롭힐 것으로 예상하나
◇스콧 차니=이 원장의 의견에 동의한다. 봇넷이 가장 큰 문제인 것이 사실이다. 또 한가지 문제는 ID 도용과 도난이다. 이에 대해 ID 관리를 위한 새로운 기술들이 나오고 있다. 예를 들어 사용자 이름과 비밀번호 시스템에서 벗어나 두 가지 인증 요소를 사용하는 기술이 나타났다. WS스타 웹 표준을 기반으로 한 기술이다. ID와 비밀번호를 없애고 이를 대체하는 새로운 시스템이다. MS는 인포카드란 솔루션을 내놓고 있으며 공개소프트웨어 진영에서도 이런 솔루션이 나오고 있다.
◇이홍섭=한국 내에서의 스팸의 문제는 매우 심각하며 미국과 한국은 세계 상위의 스팸 발송국이다. 스팸은 2가지로 나눈다. 외국으로 보내지는 것과 외국에서 한국으로 들어오는 것이다. 샌더 폴리시 프레임워크(Sender Polish Framework)를 통해 발신자를 인증해 보내는 것을 통제한다. RBM이라 해서 받는 쪽에서 통제하는 방법이 있다. 기술적인 방법도 중요하지만 법제도를 강화해 스팸을 보내면 엄청난 처벌을 받게 해야 한다. 최근 미국과 한국의 스팸메일 발송 건수가 줄어가고 있으나 중국발 스팸의 효과적인 차단이 가장 큰 숙제다. 스팸은 국경을 넘어 전세계에 사이버 위협을 전파는 매개체로 활용되고 있다. 이러한 스팸에 대항하기 위해서는 국제 간 협력이 매우 중요한데 이에 대한 의견은.
◇스콧 차니=국제적으로 스팸 문제를 다루고자하는 연대가 있으며 ISP 단체들의 협력도 강화되고 있다. 샌더 아이디 프레임 워크(Sender ID Frame Work)라는 단체 노력이 있다. 이는 사전에 등록한 인터넷 주소에서만 e메일을 받아 볼 수 있도록 하는 것이다. 다행이 한국에서도 이것을 이용 스팸이 줄어들고 있다. 이런 협력을 지속적으로 하는 것이 중요하다.
◇이홍섭= 한국에서는 주민등록번호의 오남용이 문제다. 주민번호가 본인 확인이 아니라 실명확인의 수단이 되고 있다. 이에 때문에 아동들에게 나쁘게 사용되고 있다. 주민번호를 대체하고 보완하는 수단이 있어야 한다. 나라마다 환경이 틀리며 방법이 다르다. 어린이들을 인터넷의 환경에서 보호해야 한다는 의식 교육이 중요하다. 한국의 인터넷 환경은 세계적이다. 대부분의 사람들이 온라인을 생활화하고 있고 이에는 아이들도 포함된다. 스팸, 온라인 범죄 등에 노출되는 아이들을 위해 각국 정부와 관련 기업은 어떠한 노력을 해야 한다고 생각하는가.
◇스콧 차니=올바른 지적이다. 기술 기업의 입장에서 부모에게 더 많은 능력을 제공해 자녀를 보호할 수 있어야 합니다. MS는 제품 내에 부모 컨트롤 기능을 넣었다. 앞으로 출시될 윈도 비스타 내에 부모 컨트롤 기능이 지원되고 있다. 또 각국 정부는 법 집행 차원에서 추가적인 노력을 해야 한다.
◇이홍섭=한국의 정보화 환경은 유선에서 와이브로 등 무선과 모바일로 급격하게 변화하고 있다. 아직 한국에는 나타나지 않았지만 모바일 바이러스가 나타나는 등 모바일 환경의 위협요소도 증가하고 있다. 이에 대한 대비책은 뭐라 생각하는가.
◇스콧 차니=MS의 모바일 플랫폼인 윈도 모바일도 SDL(Secure Development Lifecycle)을 통해 개발되고 있다. 이를 통해 모바일 코드의 취약성을 줄이는데 노력하고 있다. 또 MS 시큐리티 대응 센터를 통해 모바일 위협에 대응하고 있다. 모바일 환경에는 독특한 과제가 있다. 유선은 보안 패치가 인터넷을 통해 자동 업데이트가 되지만 무선은 자동 패치가 불가능하다. 무선 환경은 OS개발사와 통신사업자, 사용자 등 3개 개체가 협력해야 한다. 모바일 환경에서 협력이 더욱 중요한 이유다.
또 모바일 환경은 수많은 기기가 존재한다는 것도 유선환경과 다른 점이다. 또 모바일 단말기에서 데이터를 암호화하는 것은 보안을 위해 필수적인 일이다. 하지만, 모바일 단말기가 엄청난 전력을 소모하는 암복호화 과정을 감당하기가 힘들다. 이 때문에 저전력을 소모하는 초경량 암호화 알고리듬이 필요하다.
◇이홍섭=KISA와 MS는 양해각서(MOU)를 맺고 취약점 분석센터를 설립했다. 2004년 7월에 센터를 설립하고 벌써 2년이 됐다. 3000만 이상의 사용자의 보호 지원 측면에서 MS와 협력하고 있다. 한국에서 발생가능성이 있는 사전 보안 취약성을 검증하고 MS와 심도있는 의견을 나누고 있다. MS와 협력으로 지난 2월 윈도에 KISA의 루트 인증서가 탑재됐다. 이는 한국에서 인증서 사용수준을 높일 수 있는 계기가 될 것이다. 루트 인증서가 들어감으로 해서 보안 이메일 및 공인인증서에 대한 활용과 이용자 확대를 도모할 수 있게 됐다. 또 사용자 이용 수준을 제고하기 위한 측면에서 MS와 협조를 통해 새로 나오는 PC에는 정보보호 아이콘이 기본으로 탑재되게 됐다. 이 센터에 대해 어떤 기대를 갖고 있는
◇스콧 차니=KISA와의 협력은 인터넷상의 사건 정보를 공유하는 것이다. KISA를 통해 MS제품이 신규 위협에 대응하는데 많이 도움이 됐다. 또 한국 시장의 특수성에 제대로 대응하게 됐다.
◇이홍섭=한국의 IT 환경은 세계적으로 가장 진보되어 있다. 어떻게 보면 한국에서 현재 일어나고 있는 상황이 수년 후에 다른 나라에서 생길 수 있다. 한국의 인터넷 환경과 관련된 관심사를 분석하고 해결책을 탐구하기 위한 한국 정부 및 관련 기관과의 좀 더 장기적인 협력이나 투자를 생각하고 있는가.
◇스콧 차니=구체적인 투자 계획은 없으나 KISA와 지속적이고 긴밀한 협조 관계를 유지해나갈 것이다. MS는 아시아 지역에 많은 연구센터를 두고 있으며 각종 교육 기관과도 긴밀히 협조하고 있다.
◇이홍섭=KISA는 윈도 98을 사용하고 있는 민간 부분의 50여만 취약 계층을 위한 별도 대책을 준비 중이다. 이 사용자에게 취약성에 대한 대책을 알려주는 계획을 세우고 있다. KISA는 MS의 결정에 따른 후속 조치를 만들고 정통부와 협의해 발표할 예정이다.얼마 전 논란이 되었던 윈도 98 관련에 대해 한국 정부 기관과 협력 방안 및 대응책은 뭔가.
◇스콧차니=윈도 98 패치 중단은 MS에게 어려운 결정이었다. 윈도 98은 이미 90년대 만들어져 보안에 대한 고려가 잘 이뤄지지 않았다. 보안 패치를 중단하는 것은 더는 윈도 사용자들이 보안의 위협에 노출되지 않게 하는 것을 의미한다. 윈도 98이 만들어질 당시에는 다들 보안 프로그래밍에 관심이 없었다. MS는 더 이상 보안이 제공되지 않는 플랫폼에 사용자를 남겨둬서는 안 된다. 이에 따라 한국 정부와 이에 대한 대책을 마련하는데 노력하고 있다.
정리=김인순기자@전자신문, insoon@
