지난 해 대규모 분산서비스거부(DDoS) 공격 사건이 발생한 후 국가정보원을 비롯한 관계 기관은 그 배후를 조사하면서, 향후 있을 수도 있는 추가 공격에 촉각을 곤두 세워왔다. 기관 및 보안사업 관련 기업의 노력으로 다행스럽게 추가적인 대규모 공격이나 피해는 보고되지 않았다. 정부 기관 외에도 한국사이버테러정보전학회나 한국산업기술보호협회 등 전문가 집단과 국가 슈퍼컴퓨터를 관리하고 있는 한국과학기술정보연구원(KISTI) 등 정부출연연은 나름대로의 중요 정보 보안을 위한 조치들을 취하고, 더 깊은 논의를 진행중이다.
그러나 국가 과학기술 연구 및 인프라의 초석이라 할 수 있는 대학의 경우, 국가적인 대혼란에도 불구하고 비교적 평온하다. 현재 많은 대학이 대학내 정보전산원을 통해 주요 행정, 교육 및 연구 정보를 관리하고 있는 주요 서버들을 보호하기 위해 통합위협관리(UTM) 솔루션을 비롯한 다양한 보안 시스템을 가동중이다. 하지만 이는 대학 본부의 주요 서버를 제외하고 대부분을 차지하는 교내 연구용 서버와 연구용 PC에 대해서는 그 안전을 보장해주지 못한다. 특히 내부의 적에 대해서는 거의 무방비라 해도 지나친 평가절하는 아닐 것이다.
실제 사례로 들어가보자. 대개의 교수 연구실에서 데이터는 연구원이나 대학원생에 의해 실험 과정과 실험기기를 통해 자동 생성되거나, 아날로그 데이터를 촬영 또는 스캐닝한 전산화된 파일로 각 연구원의 PC에 저장된다. 이 데이터들은 실험노트와 함께 개인 연구자에 의해 관리되고, 일정한 수준으로 모이게 되면 일련의 변화나 패턴에 따라 연구 정보로서 정리돼 쌓인다.
이 과정에서 데이터의 ‘조작’이나 ‘손실’이 발생할 수 있다. 조작의 대표적 사례는 지난 2005년 서울대 황우석 교수의 줄기 세포 관련 연구 논문 조작 사건을 들 수 있다. 이는 데이터가 생성돼 논문으로 완성되는 과정에서 진행하는 모든 수작업에서 진실의 유지를 오로지 연구자의 윤리적 양심이라는 전 근대적 시스템에만 의존했기 때문이다.
정부와 학계는 이러한 행위를 방지하기 위해 ‘연구윤리 교육’, ‘연구윤리위원회’, 그리고 ‘연구윤리 정보센터’ 등 다양한 정책적 대안을 만들었고, 현재 시행하고 있다.
문제는 기술적으로 생산된 이러한 데이터와 이 데이터를 이용해 만들어지는 정보에 대해 일련의 ‘인증’ 및 ‘보관’, 그리고 ‘추적’이 가능한 전산 시스템을 도입하면 원천적으로 예방이 가능한데도 여전히 연구자의 생각과 의지에 기대고 있다는 점이다. 단적으로 전자실험노트(ELN)의 경우 연구실 단위로 정보를 관리할 수 있고, 공적인 인증에 의해 보증될 수 있는 체계적인 연구 데이타 보안시스템으로 이미 표준화와 상용화가 상당히 진행돼 있지만 대학내 도입은 극히 미미한 수준이다.
국가 기밀이나 값비싼 산업 기밀은 아닐지라도 기초 기술과 정보, 지식을 만들어 가는, R&D의 일선에 있는 이러한 대학 연구실의 R&D 데이터 보안과 보호는 누가 책임져야 할까.
정부가 거창한 국가 기밀이나 기업체의 산업 기밀에만 눈을 고정하지 말고, 대학의 기초 연구 단위에도 조금 더 관심을 기울여 예산을 확보한다면, 대학 교수들은 자신의 연구에 더욱 전념할 수 있을 것이다. 원래 하얀 것을 하얗다고 주장할 필요 없이, 그대로 하얗게 보호될 테니까.
김철민 부산대학교 슈퍼컴퓨팅센터장(부산대 의대 교수) kimcm@pusan.ac.kr
