[IT카페]정경호 KISA 부원장 "완벽한 보안은 없다"
"보안에 인식 전환 필요…예방 체계 강화 위해 노력" "완벽한 보안 시스템은 없다. 지속적인 투자·시스템 보완이 이뤄져야 완벽에 가까운 보안 체계를 유지할 수 있다." 정경호 한국인터넷진흥원(KISA) 부원장은 "새로운 공격방식이나 악성코드가 꾸준히 생성되는 현 시대에 완벽한 보안 체계란 사실 말이 되지 않는 것"이라며 이 같이 밝혔다. 정 부원장은 개인정보보호 인터넷 침해사고 등 최근 사회적 이슈로 대두되고 있는데 이 같은 문제가 지속해서 발생하는 것은 문제지만 이에 대한 경험이 결국 국내 보안 산업을 발전시키는 원동력이 될 것이라고 내다봤다. ◆국내 보안에 대한 인식 바껴야 "국내에서 보안사고가 발생하면 보안 담당자가 너무 힘들다. 사실 보안사고란 교통사고처럼 매일 있을 수밖에 없다. 관리가 충분히 이뤄지지 않으면 해킹은 끊임없이 이뤄진다." 정 부원장은 국내 기업들이나 사회에서 보안에 대한 인식이 바뀌어야 한다고 강조했다. 기업 최고경영자(CEO)의 경우 보안 사고가 발생하거나 취약점 발견 시 해당 담당자에게만 책임을 묻는 경우가 많다는 것이다. 사회에서도 일부에서 사소한 보안문제가 마치 전체의 문제처럼 비춰지는 경우가 있는데 작은 사고로 인해 큰 시스템을 흔드는 것은 문제가 있다는 지적이다. 그는 "현재 상황에서 기업이 어떤 보안 전문 담당자와 시스템을 갖춘 것은 어떤 보안 관련 문제 발생 시 이를 해결할 수 있는 프로세스·시스템을 갖췄다는 것으로 인식해야 한다"며 "하지만 국내 기업의 경우 마치 이런 시스템을 갖추면 보안 사고가 발생하지 않을 것으로 보는 것이 문제"라고 설명했다. 실제 국내 기업의 경우 보안 사고 발생 시 보안 담당자에 대한 책임을 묻는 것이 현실이다. 그야말로 사람의 책임으로 보고 '일벌백계' 하는 것이다. 하지만 이 같은 대처로는 문제를 해결할 수 없다. 정 부원장은 이를 '사람들이 건강검진을 받고도 뒤늦게 병에 걸리는 경우'에 비유했다. 건강검진을 받는다고 모든 병을 알아낼 수 없는 것처럼, 운이 나빠 건강검진 이후에 병에 걸릴 수 있는 것처럼 보안 역시 마찬가지라는 것이다. 이 같은 국내 보안에 대한 인식 때문에 화이트해커(보안 전문가)도 설 자리를 잃고 있다. 일부 화이트해커는 국내에서 다양한 기업의 홈페이지, 서버 등을 점검해보고 문제가 있는 경우 이를 해당 기업의 보안 담당자에게 전달하기도 한다. 하지만 국내 기업의 보안 담당자들은 이를 '우리 기업을 해킹하다니 고소하겠다' '네가 뭔데 이래라저래라냐' 등의 반응으로 불쾌해하며 강경한 대응을 보인다. 이는 글로벌 기업의 경우와 대비된다. 해외 기업의 경우 보안 체계에 대해 열린 사고를 갖고 있다. 일부 해외 기업은 자사 홈페이지나 서버 문제에 대해 지적하는 이들에게 포상제를 마련, 지원하고 있다. 국내에서는 KISA에서 2012년 10월부터 소프트웨어 및 웹 솔루션에 대한 인터넷 신고포상제도를 시행하고 있다. 인터넷 해킹 등에 악용될 수 있는 소프트웨어나 웹사이트 취약점을 신고하면 분기별 등급에 따라 최고 500만원의 포상금을 지급한다. 정 부원장은 "국내 기업이나 사회의 인식이 빠르게 변화한다면 좋겠지만 지금으로써는 KISA의 소프트웨어 및 웹 솔루션 신고포상제도 등을 활용하면 좋을 것 같다"며 "결국 집단지성을 통해 문제를 해결해 나가는 것이 보안에 있어서도 최선의 방법이지 않겠나"라고 전했다. ◆"통합보안 시장을 잡아라" "그동안 국내 보안산업은 단품 상품 위주로 이뤄져 왔다. 하지만 사물인터넷(IoT) 시대에 접어들면서 통합보안에 대한 시장으로 눈을 돌릴 필요가 있다." 정 부원장은 한국의 보안 시장 규모를 1로 볼 때 일본은 10, 미국은 100이라며, 국내 보안 시장도 글로벌로 눈을 돌려야 할 때가 왔다고 역설했다. 특히 IoT 시장 확대에 따른 다양한 형태의 스마트 디바이스가 등장하며 보안 시장도 이 같은 형태에 맞춰가야 한다는 것이다. 그동안 국내 보안 시장은 '소 잃고 외양간 고치기'식의 행태가 빈번하다는 지적이 있어 왔다. 어떤 사고가 발생해야 뒤늦게 해당 공격에 대한 실태를 파악하고, 취약점을 보완하려는 노력이 이뤄지고 있다는 것이다. 하지만 IoT 시대에는 대처가 더 늦어질 수 밖에 없다. PC를 기반으로 한 과거에는 원격제어나 손쉽게 프로그램 다운로드 하는 형태로 보완이 가능했지만 이제는 다양한 가전, 웨어러블 기기 등 맞춤형 보안에 대한 준비가 부족한 상황이다. 이에 대해 정 부원장은 "최근 PC보다 스마트기기에 대한 이용이 늘고 있는데 국내 보안 시장은 여전히 제각각 디바이스 형태에 따른 대응만 이뤄지고 있는 상황"이라며 "이젠 여러 보안 기업들이 협력을 통해 토탈 보안 서비스를 제공하는 방향으로 접근해야 한다"고 주장했다. 디바이스에 대한 관리 주체가 없으면 IoT 시대에 지속적인 보안 문제가 야기될 수 있다는 것이다. ◆KISA 부원장 취임 후 4개월 정 부원장이 지난 7월 KISA 부원장에 취임한 후 약 4개월여가 지났다. 그동안 원장 직제로만 운영되던 KISA는 개인정보 보호와 인터넷 침해사고 발생 시 원활한 대응을 위해 기관장을 보좌하고, 정보보호 전담 부원장제를 도입했다. 그렇다면 정 부원장의 4개월여 간의 소회는 어떨까. 그는 "개인정보와 침해대응, 양쪽의 시너지를 낼 수 있는 방안을 많이 생각하고 있다"며 "개인정보 유출이나 인터넷 침해 사고 발생 시 예방과 대응, 분석이라는 부분을 체계적이고 유기적으로 가져가려고 노력하고 있다"고 말했다. 이어 "이젠 인터넷 보안에 대해 전통적인 방식으로 대비하기엔 어려운 시대가 왔다"며 "각종 사고를 분석해서 이를 토대로 사전적 예측을 통해 올해와 내년 집중적으로 점검해야 할 부분을 파악하는 한편, 사이버 공격 발생 시 가장 신속하게 대응해야 하는 부분에 초점을 두고 있다"고 덧붙였다. 이 같은 예방 대책은 미래창조과학부와의 협력을 통해 ▲그동안의 사이버공격 대응 경험 ▲최근 악성코드 발전 방향 ▲해커 동향 ▲올해 집중 점검해야 할 부분 등을 하나씩 점검하는 체계로 마련하고 있다. 정 부원장은 내년 목표에 대해서는 "보안 관련 큰 사고가 없도록 하는 것"이라며 "예방체계를 강화하고 있는 만큼 이 같은 대응체계가 빛을 봤으면 좋겠다"고 강조했다. 그동안 홀수년도에 대형 보안 사고가 발생한 만큼 2015년에 이 같은 대형 보안 사고를 근절하는 것이 목표라는 것이다. 아울러 "'창조경제' 성장엔진으로 인터넷이 중요시 되고 있는 만큼 KISA가 창조경제를 뿌리내리게 하는데 큰 역할을 하고 싶다"는 바람도 드러냈다. 한편 초대 부원장에 취임된 정 부원장은 한양대를 졸업하고 서울대 대학원에서 석사과정, 미국 버지니아폴리테크닉 주립대학에서 산업공학 박사학위를 취득했다. 이후 한국전자통신연구원을 거쳐 KISA(구 한국정보보호진흥원)에 입사해 정책연구실장, 정보보호본부장, 인터넷침해대응본부장 등 정보보호 분야의 다양한 업무를 경험했다. 2009년부터 2년간은 방송통신위원회 정보보호PM으로 활동하기도 했다.
