[사이버안보 진단] (7) 사이버위협에 노출된 국방부, 하루빨리 ‘버그바운티’ 도입해야
김한경 안보전문기자 | 기사작성 : 2019-08-22 17:06   (기사수정: 2019-08-22 17:12)
2,160 views
N
▲ 우리나라 국방부가 사이버 위협에 노출돼있음에도 불구하고 적극적인 대응시스템 구축이 부족하다는 지적이 높다. 사진은 지난 2016년 9월 10일 서울 마포구 상암동 한국지역정보개발원 내 사이버침해대응지원센터 상황실에서 북한의 5차 핵실험 이후 사이버 위협에 따른 휴일 비상근무를 하고 있는 모습. [사진제공=연합뉴스]

한국은 세계에서 ICT 인프라가 가장 발달된 나라 중 하나로 꼽힌다. 하지만 보안에 대한 인식은 낮아 사이버공격을 무기화하는 일부 국가나 해커 조직들에게 무방비로 노출된 상태다. 뉴스투데이는 한국의 사이버안보를 강화하기 위해 정부와 군 차원에서 과연 무엇을 어떻게 해야 할지 짚어보는 ‘사이버안보 진단’ 시리즈를 시작한다. <편집자 주>


미 국방부, ‘버그바운티’ 도입해 보안 취약점 찾는 해커에게 포상


[뉴스투데이=김한경 안보전문기자] 2015년 8월 한국 20대 초반의 해커 팀(DEFKOR00T)이 세계 최고의 해킹방어대회인 ‘데프콘(DEFCON)’에서 최초로 우승했다. 1년 뒤인 2016년 8월 카네기멜론대학 연구팀이 만든 인공지능 컴퓨터 ‘메이헴(Mayhem)’은 미국 방위고등연구계획국(DARPA)이 개최한 인공지능 해킹방어대회인 ‘사이버그랜드챌린지(CGC)’에서 우승했다.

메이헴은 곧바로 데프콘에 참가해 인간 해커 팀들과 자웅을 겨뤘고, 비록 하위권에 머물렀지만 가능성을 충분히 인정받았다. 당시 한 보안업계 관계자는 "이번 데프콘을 계기로 인공지능이 해킹방어대회 우승을 차지하는 날이 점차 가까워질 것"이라고 내다봤다. 이와 같이 미국은 해킹에 악용될 수 있는 보안 취약점을 자동으로 찾아주는 로봇을 개발하고 있다.

미국 국방부는 2016년부터 자체 시스템을 대상으로 화이트 해커들이 보안 취약점을 찾아내면 포상금을 지급하는 ‘버그바운티(bug bounty)’ 행사를 'Hack the Pentagon'이란 이름으로 시행하고 있다. 사이버전에서는 상대 시스템의 보안 취약점을 많이 파악할수록 확실한 군사적 우위를 차지할 수 있기 때문이다.

첫 행사에서 전 세계 50개국 해커 1410명이 버그(보안 취약점) 138개를 찾아냈고 7만 5000달러가 포상금으로 지급됐다. 이 행사 이전에 미 국방부는 전문업체에게 3년간 500만 달러의 거액을 주고 겨우 10개의 버그를 찾았다. 버그바운티 행사가 비용대비 효과가 매우 뛰어나자 미국은 공군과 연방 정부 등으로 버그바운티를 확대했다.


KISA,
미 국방부 버그바운티 벤치마킹한 'Hack the KISA' 개최

한국 국방부, 시스템의 보안 취약점 파악하려는 노력 없어

한국도 2018년 11월 한국인터넷진흥원(KISA)이 미국 국방부의 버그바운티 행사를 참고해 'Hack the KISA'를 개최했다. KISA에서 실제 운영하는 5개의 웹 사이트를 대상으로 진행한 버그바운티 행사에서 유효한 보안 취약점 60개를 찾아내 28명에게 2,555만 원의 포상금을 지급했다.

KISA는 국내 기업들의 버그바운티 참조 모델을 만들어 국내에 버그바운티 프로그램을 활성화시키는데 목적이 있다고 행사 개최 이유를 밝혔다. 민간의 이런 움직임에 비해 한국 국방부는 아직도 버그바운티 프로그램을 도입하지 않고 있다. 따라서 자체 시스템에 어떤 보안 취약점이 있는지 알지 못한다.

취약점이 파악돼야 보완이 이루어져 사이버방어가 튼튼해지는데도 이런 노력을 하지 않는 이유는 무엇일까? 일각에서는 “버그바운티 행사를 기획했다가 예상치 못한 취약점이 드러나 책임질 상황이 초래될 것을 우려하기 때문”이란 주장이 제기됐다. 또 “포상금을 많이 줄 수 없어 행사 효과보다 해커에게 취약점 노출 기회만 제공할 수 있다”는 의견도 나온다.


손영동 교수, “정보 공유, 침해사고 대응과 확산 방지에 결정적 역할”

버그바운티 행사를 통해 수집되는 정보통신망·정보통신기기·소프트웨어의 보안 취약점 관련 정보 외에도 사이버공격에 관한 정보, 악성코드 및 이와 관련된 정보 등 수집해야 할 사이버위협 정보는 다양하다. 이러한 위협정보를 필요한 조직끼리 공유하는 것은 사이버방어에 대단히 중요하다. 손영동 한양대 교수는 “침해사고가 발생했을 때 신속한 정보 공유는 국가 차원의 대응과 피해 확산을 방지하는데 결정적 역할을 한다”고 강조했다.

현재 정보 공유에 가장 심혈을 기울이는 나라는 미국이다. 미국은 자국에 대한 사이버공격 표적이 군사시설은 물론 통신·전력·교통 등 사회기반시설로 보고 이에 대한 보안을 법제화했다. 정부기관의 사이버위협 정보 수집과 공유는 국토안보부(DHS) 산하의 국가사이버보안정보통합센터(NCCIC)가 관문 역할을 하고 있다.

민간 부문의 위협정보는 2015년 2월 대통령 행정명령으로 설립된 정보공유분석기구(ISAO)가 관장한다. 이를 제도적으로 뒷받침할 ‘사이버안보정보공유법(CISA)’이 2015년 12월 시행됐다. 이 법은 정보공유 절차를 명확히 하고 참여기관 간 정보공유 과정에서 발생할 수 있는 일부 부작용에 대해 소송의 원인이 되지 못하는 면책권을 부여하고 있다.


한국, 침해사고 터질 때마다 부문별 보유 위협정보 공유 주장 제기

한국은 대규모 사이버침해사고가 터질 때마다 각 부문별로 보유하고 있던 위협정보를 통합·공유해야 한다는 주장이 제기돼왔다. 특히 사이버공격이 공공부문보다 보안이 허술한 민간부문을 이용하는 경향이 두드러지자, 과학기술정보통신부는 2014년 8월 KISA를 통해 민간부문의 위협정보를 공유하는 사이버위협정보 분석·공유시스템(C-TAS)을 구축했다.

같은 시기에 행정안전부는 중앙부처와 지자체가 참여하는 사이버침해대응센터를 국가정보자원관리원과 한국지역정보개발원 산하에 만들었고, 금융위원회는 2015년 4월 금융보안원 산하에 은행·증권 등 금융기관이 참여하는 통합보안관제센터를 만들었다. 기반시설관리기관은 이미 2002년 3월부터 정보공유분석센터(ISAC)를 구축해 정보를 공유해오고 있다.

국방부는 자체적으로 안보지원사와 사이버작전사, 각 군의 사이버작전센터 및 사이버방호조직 사이에 위협정보를 공유하고 있다. 군이 활용하는 위협정보의 대부분은 국가기관과 민간에서 수집된 정보로서 주로 국정원, 경찰청, KISA 등을 통해 받게 되며, 군 자체적인 활동으로 수집된 위협정보는 일부에 지나지 않는 것으로 알려졌다.


정부기관 간 정보 공유 취약...미국처럼 정보공유법 도입 검토해야

이처럼 국가기관 및 민간부문은 상호 연관된 조직끼리 침해사고 정보를 단편적으로 공유하는 수준에 머물러 있다. 또 부처별, 산업별로 제각기 정보공유시스템을 구축함으로써 효율성이 떨어지고 상호간 정보 공유도 잘 되지 않는다. 게다가 정보 가치에 대한 객관적 판단 기준이 모호하고 정보 제공에 대한 피드백이나 보상이 없어 정보 공유가 활성화되지 못하는 상황이 지속되고 있다.

이런 문제를 인식한 정부는 2015년 12월 전 부문의 위협정보를 통합하기 위해 유관부처가 합동으로 ‘국가 사이버위협 정보공유시스템(NCTI)’을 구축했다. 2016년 6월 전체 중앙행정기관이 연결됐고, 광역지자체와 공공기관을 대상으로 연결을 확대하고 있다. 또 첨단기술 보유기업, 방위산업체, KISA, 금융보안원 등에도 제공하고 있다.

이와 같은 사이버위협 정보 공유의 중심에 국정원이 있다. 한 보안 전문가는 “정말 필요한 정보가 관련 부처 및 기관 간에 공유되려면 상호 신뢰를 바탕으로 원활한 소통이 이뤄져야 한다”면서 “각각의 입장과 여건을 고려한 국정원의 실질적인 역할이 필요하다”고 말했다.

가장 큰 과제는 정부와 민간 기업 사이의 정보 공유다. 기업은 법적 보호 없이는 정보를 공유할 수 없다고 생각한다. 좋은 의미로 정보를 제공했다가 불이익을 당할 수도 있기 때문이다. 하지만 우리는 아직 미국처럼 정보공유법이 도입되지 않았다. 따라서 정보공유 활성화를 위한 법적 근거를 마련하고 정보제공 기관 및 기업들이 혜택을 받을 수 있도록 해야 한다.

메일보내기
보내는분
보내는분 이메일
받는분 이메일
내용
 
주요기업 채용정보