우리나라의 3000톤급 잠수함 도산 안창호함을 건조하는 대우조선해양이 북한 해커 집단으로 의심되는 조직의 공격을 받아서 국가정보원이 조사에 착수했다는 소식이 있었다. 대우조선해양에 대한 세 번째 해킹 사례다. 2016년 1~3급 핵심 군사 기밀 60여건을 포함해 4만여건의 내부자료가 유출된 사례가 있었고, 올해 초에도 해킹 피해가 발생한 바 있다. 정부는 대우조선해양의 내부전산망이 해킹됐고, 잠수함 핵심 기술이 유출됐을 공산이 높다고 보고 있다.
정부기관인 방위사업청과 국정원은 합동조사를 통해 피해 범위와 해킹의 실체를 파악하기 위해 노력하고 있으며, 보안 기술 강화 방안을 내놓을 예정이다. 조사를 통해 나올 대응 방안에 대해 생각해 보면 망분리 적용, 보안 모니터링 강화, 최신 패치 적용, 관리적 보안 통제 수단 강화 등 지금까지 항상 나왔던 대응 방안이 여지없이 포함될 것이다. 소 잃고 외양간 고치기라는 지적을 면할 수 없겠지만 외양간도 잘만 고치면 이후에는 소를 잃을 일이 없을 것이다. 그럼 우리는 매년 직면하는 해킹사고 이후 외양간을 잘 고쳤을까.
2013년 국내 금융기관 및 방송사를 마비시킨 3.20 해킹 사건 이후 10여년간 정부와 금융기관에 망분리를 의무화했다. 빈대 잡는데 초가삼간 태운다는 비판을 받으면서도 시행된 망분리는 매년 많은 비용 투자와 조직원의 업무 불편 및 생산성 저하를 초래하고 있다. 더욱이 망간 자료 전송, 제한적 스트리밍 허용 등 망분리를 우회하는 통로들이 생기면서 여전히 해킹 위험성에 노출되고 있다.
2018년 싱가포르 보건복지부는 국민 30%의 개인정보와 약 16만명의 약 처방 정보를 해킹으로 도난당했다. 사건 이후 싱가포르 정부는 모든 정부기관에 대해 망분리를 의무화했다. 그러나 우리나라와 마찬가지로 높은 비용과 업무 효율성의 심각한 저하가 발생해 새로운 기술을 검토했고, 2020년 인터넷격리(Isolation)라는 기술을 도입함으로써 모든 정부기관이 인터넷을 통해 업무 효율성을 회복하고 동시에 더 높은 수준의 보안을 확보했다.
2019년 미국 국방부(DoD)는 세계에 퍼져 있는 약 350만명의 군 및 군무원 정보를 해킹으로부터 보호하기 위해 CBII(Cloud Based Internet Isolation)라는 인터넷격리 프로젝트를 설계했고, 이를 해킹 방어와 네트워크 보안의 가장 중심이 되는 프로젝트로 추진했다.
현대 조직에서 내부 사용자들은 업무의 90% 이상을 웹브라우저와 이메일을 이용하고 있으므로 해커의 공격 역시 웹브라우저와 이메일에 집중되고 있다. 이러한 분석을 기반으로 추진된 CBII 프로젝트는 2019년부터 시작해 세계 350만명의 사용자가 인터넷과 이메일을 사용할 때 망분리 없이 해킹을 사전에 차단할 수 있는 RBI(Remote Browser Isolation) 기술을 통해 보안 위협을 100% 격리하고 있다. 이 프로젝트를 통해 사용자의 인터넷 경험과 업무 생산성은 유지하고, 동시에 망분리를 통한 업무 불편이나 과도한 투자 없이도 높은 수준의 해킹 방어 체계를 확보해 나가고 있다.
점점 긴장감이 고조되는 국제정세 흐름 속에 정부와 군 및 방위산업체를 향한 사이버 위협은 더욱 고도화되며, 그 피해로 인한 파급력도 커질 것이다. 반면에 고도로 디지털화하는 환경에서 언제까지 내부용 및 외부용 PC를 별도로 운용하는 구시대 기술인 망분리에 보안을 의존할 수는 없다.
정부와 군 및 방위산업체는 이제라도 국제적으로 검증된 최신 기술로 디지털시대에 효율적으로 대응하면서도 고도의 해킹 위협으로부터 보호할 수 있는 보안 방안을 적극적으로 검토해야 한다.
김성래 멘로시큐리티 코리아 지사장 jason.kim@menlosecurity.com
