'원전해킹' 내용 찌라시 정리 수준
사이버보안 컨트롤타워 부재 탓
국정원ㆍ국방부ㆍ검경ㆍ미래부 등
일관된 정책 없고 다른 목소리
보안 문제 해결 핵심은 신속성
창의적 보안 인재가 100만명 살려
“원전 해커의 추가 협박은 리퍼트 주한 미국대사 습격사건과 관련 있어 보인다. 세간의 관심을 돌리려는 북한의 소행이다.”
지난달 민간인 최초로 청와대 안보특보로 임명된 임종인(59) 전 고려대 정보보호대학원장은 최근 추가 자료 공개 협박과 함께 금품을 요구한 원전 해커를 북한으로 단정했다. 지난해 12월15일 한국수력원자력이 해킹 당한 뒤 수사당국은 여전히 해커 집단의 실체 조차 제대로 파악하지 못하고 있으나, 여러 정황상 사이버 공격 능력을 날로 강화하는 북한 소행이라는 게 그의 판단이다.
항상 군 장성 출신들이 임명되는 안보특보를 민간 출신의 그가 맡은 것도 이와 무관치 않다. 더 이상 국가의 위협이 총칼에 국한하지 않고 보이지 않는 사이버 전선이 날로 확대되기 때문이다. 임 특보는 “사이버 해커들의 공력 능력이 갈수록 지능화되고 있다”며 “이제는 해킹과 악성코드가 결합돼 더 강력해진 사이버 핵 미사일에 대비해야 한다”라고 경고했다. 취임 1개월을 갓 넘긴 그를 15일 서울 창성동의 정부종합청사 별관 집무실에서 만나 그가 그리는 사이버 보안 강국의 꿈을 들어봤다.
-늘 군 장성 출신이 맡았던 청와대 안보특보를 처음으로 민간인이 맡았다. 그만큼 우려도있다. 이에 대한 부담은 없나.
“부담도 있지만 홀가분한 면도 있다. 민간 출신이어서 정치적으로 자유롭고 소신 있게 일할 수 있다. 정치 상황에 따른 주변의 눈치를 보지 않아도 된다. 2000년부터 15년 동안 맡았던 고대 정보보호대학원장에서 물러난 것도 이런 이유 때문이다. 대학원장을 유지하면서 안보특보를 할 수도 있지만 그렇게 하고 싶지 않았다. 제대로 일을 해보고 싶었다. 특히 박근혜 대통령이 상당한 관심을 갖고 지원을 해줘 더 열심히 해야겠다는 열정이 생긴다.”
-공교롭게 안보특보에 임명되고 한 달 만에 원전 해커 사건이 또다시 터졌다. 국민들이 불안해 하고 있다.
“지난주 다시 등장해 25개 파일 공개와 더불어 돈을 요구한 원전 해커는 지난해 말 한수원을 해킹한 해커들과 동일한 범죄 집단으로 본다. 이번에 추가 공개한 내용은 지난 번 빼내간 문서 가운데 일부 같다. 지금 한수원은 전문가들이 모여서 준 전시상태처럼 철저하게 감시하고 있어서 다시 해킹을 하기 힘들다. 다만 이번에 재등장한 해커들은 지난해 말 사건 때와 다른 부분이 있어 눈 여겨 볼 필요가 있다.”
-어떤 점이 다른가.
“단계별로 강도를 높여 압박했던 지난해 말과 질적으로 다르다. 우선 돈을 요구한 점이 눈에 띈다. 해외 해커집단인 어나니머스 등 전문 해커들은 대놓고 돈을 요구하지 않는다. 진짜 뛰어난 해커들은 상대방도 모르게 돈을 빼내간다. 이번처럼 공개적으로 대놓고 금품을 달라고 하지 않는다. 공개 내용도 조잡하다. 해커들이 박 대통령과 반기문 유엔사무총장 사이에 주고 받은 전화 통화 녹취록이라며 공개한 파일 내용은 그냥 우리 언론에 보도됐던 내용들을 짜깁기 한 수준이다. 이런 점에 비춰보면 괜히 돈이나 요구하고 유명 인사를 거론하면서 관심을 모으려는 의도가 다분하다.”
-이번 해커 집단이 다른 목적을 갖고 있다는 뜻인가. 아직 수사당국에서는 해커의 정체조차 모르는데, 누구의 소행으로 보는가.
“이번 해커집단은 정치적 목적이 있는 것으로 보인다. 특히 리퍼트 주한 미국 대사 피습과 관련 있어 보인다. 언론의 관심사를 다른 곳으로 돌리려는 생각이 깔려 있는 것 같다. 이런 점에 미뤄 볼 때 북한의 소행으로 보인다. 해커 집단이 ‘통화 요록’등 북한식 표현을 사용한 부분과, 지리적으로 북한과 가까운 중국 선양지역 인터넷 주소(IP)를 사용한 점도 북한을 의심하게 만든다. 북한은 그 정도 능력을 갖고 있다.”
-일각에서는 북한의 해킹 능력이 떨어진다는 의견도 있다. 북한의 해킹 능력을 어떻게 보는가.
“이제 실제 공간에서 전쟁하던 시대는 지났다. 사이버 전쟁 시대다. 북한은 이런 상황을 오래 전부터 염두에 두고 국가 차원에서 조직적으로 사이버 군대를 키웠다. 특히 고인이 된 김정일 국방위원장이 20년 전부터 온라인 전쟁에 대비해서 비밀리에 사이버 군대를 양성했는데, 보안업계에선 북한의 사이버전 능력을 세계 5위권으로 보고 있다. 정예 사이버요원도 6,000여명에 이르는 것으로 추정된다.”
-한수원 해킹 외에도 최근 여기저기서 인터넷 보안 사고가 계속 터지고 있다. 그만큼 정부가 사이버 보안에 취약한 것이 아닌가.
“일반 대중이나 기업들의 보안 의식에도 문제가 있지만 정부의 경우 사이버 보안을 총체적으로 지휘할 사령탑(콘트롤 타워)의 부재가 문제다. 아직도 국가 사이버 보안에 대해 국가정보원은 물론이고 국방부, 검찰ㆍ경찰과 미래창조과학부가 각각 다른 목소리를 내고 있다. 이렇게 되면 일관된 국가 보안 정책이 나올 수 없다. 뿐만 아니라 위기 상황이 닥쳤을 때 제대로 대응할 수도 없다. 효과적 사후 처리는 물론이고 사전 예방을 하기란 더더욱 힘들다. 이런 불균형이 보안에서 가장 중요한 창의적 인력 양성까지 가로막고 있다.”
-결국 국가 보안정책에서도 부처간 이기주의가 문제다. 이를 뜯어고쳐야 하지 않나.
“그렇다. 부처간 이기주의를 뜯어 고치지 않으면 사이버 보안 문제는 해결될 수 없다. 보안 문제 해결의 가장 큰 관건은 신속성이다. 인터넷 침해사고가 발생했을 때 얼마나 빨리 분석하고 백신을 만들어 대처하느냐가 핵심이다. 그러기 위해 여기에 맞는 창의적 인재 발굴이 가장 시급하다. 보안에서는 창의력을 갖춘 한 명의 인재가 100만명을 살릴 수 있다. 그래서 교육부 역할도 중요하다. 보안 분야에서 1만명을 교육시켜 10명의 똑똑한 인재를 찾을 수 있다면 대성공이다. 우리나라는 노벨상 타기 위해 천문학적 비용을 투자하면서도 보안 인재 발굴과 육성에 굉장히 인색하다. 이런 상태라면 조만간 등장할 사이버 핵미사일을 막을 수 없다. 해킹이나 악성코드가 지능화되고 있어 핵 폭탄 위력에 버금가는 사이버 공격도 예상할 수 있다.”
-어떻게 풀어야 하나.
“관련 법부터 손질해야 한다. 제대로 굴러갈 수 있는 사령탑을 만들기 위해서는 마땅한 법적 근거가 있어야 한다. 그렇지 않으면 악순환만 반복된다. 당장 요즘 금융과 정보통신기술(ICT)을 결합한 핀테크가 화제인데 우리나라 법 체계상으로 편리한 핀테크 출현은 불가능하다. 개인정보보호법과 금산분리법 등 핀테크의 걸림돌이 될 만한 것들이 한 두 가지가 아니다. 그래서 이 문제를 해결하기 위해 여기 저기 법률적인 자문을 구하며 부처간 협업이 잘 될 수 있는 정부 방안을 준비하고 있다.”
-보안 인재 양성에 대해서는 다들 공감하지만 보안인력에 대한 처우도 부족하고, 양성책 또한 미비하다는 점이 문제다.
“우리나라 수출의 대부분이 ICT에서 나온다. ICT와 보안은 따로 떼어내서 생각할 수 없는 관계다. ICT에서 보안이 빠지면 모래성을 쌓는 것이나 마찬가지다. 당장 코앞으로 다가온 사물인터넷 시대에선 더욱 그렇다. 갈수록 보안의 중요성은 높아질 수 밖에 없다. 그만큼 보안 인력 양성을 위한 교육 시스템이 필요하다. 또 보안 인력에 대한 처우도 지금보다 훨씬 개선돼야 한다. 요즘 미국 실리콘밸리에서 가장 대우받는 사람들이 바로 보안 인력이란 점을 눈 여겨 봐야 한다.”
-캠퍼스에서 학생들에게 강의를 하던 시절과 달라진 게 있다면.
“장소만 달라졌을 뿐 안보에 대한 개념이 달라진 것은 없다. 기본적으로 보안은 윤리의식에서 시작돼야 한다고 대학에서 가르쳤고 안보특보로서 업무를 추진하면서도 이런 생각과 방침은 동일하다. 달라진 게 있다면 안보특보는 나라 전체를 생각해야 하기 때문에 애국심을 더 강조하게 된다. 보안이 뚫리면 기업이나 국가에 대한 믿음과 신뢰도는 곧바로 땅에 떨어져 회복하기 어렵다는 점을 강조하고 싶다.”
-앞으로 추진하고 싶은 중점 과제가 있다면.
“일단 국내 기업들의 보안 관련 투자 확대를 유도할 생각이다. 하루가 다르게 보안 사고는 펑펑 터지는데 보안 업체들의 매출은 오히려 정체되거나 뒷걸음질치고 있다. 더 큰 피해를 줄이기 위해서라도 기업들이 보안 투자를 늘려야 한다. 기업들이 고객 정보 유출을 막고 사회적 책임을 다하기 위해 반드시 필요한 부분이다. 사이버 보안을 위해 국제 협력도 상당히 중요하다. 사이버 전쟁은 국경 없이 언제 어디서 터질지 모른다. 신속하게 공동 대응하지 않으면 사이버 공격의 피해는 전세계로 확산될 수 밖에 없다. 우리나라도 지금보다 확대된 국제 사이버 공조 체계를 하루 빨리 갖춰야 한다.”
허재경기자 ricky@hk.co.kr
기사 URL이 복사되었습니다.
댓글0