“보안 경쟁력이 떨어지는 기업은 4차 산업혁명 시대에 낙오자가 될 수밖에 없다. 보안 경쟁력이 곧 제품 경쟁력이라는 인식하에 제품 기획 단계부터 보안 기능을 극대화해야 한다.”

김승주 고려대 정보보호대학원 교수는 현재 대검찰청과 헌법재판소, 중앙선거관리위원회, 카카오, 러시아 보안업체 카스퍼스키랩 등 다양한 국내외 기관의 자문위원을 겸하고 있는 국내 최고의 보안 전문가다. 2006년 네이트온 메신저를 직접 해킹하며 암호화 기술의 한계를 지적해 주목받았다. 이듬해에는 국가 보안 경쟁력 제고에 기여한 공로를 인정받아 국가정보원으로부터 ‘국가사이버안전업무유공자’ 표창을 받기도 했다. 그는 미국 제조업 부활의 기치를 내건 트럼프 행정부가 보안 기준 강화를 통해 새 판을 짤 수 있다며 “국내 기업들이 (보안 관련) 문제가 생길 때마다 땜질식으로 대응하는 관행에서 벗어나지 못한다면 미국 시장을 잃을 수도 있다”고 경고했다. 김승주 교수를 서울 안암동 고려대 정보보호대학원에서 인터뷰했다.


4차 산업혁명 시대에 보안 기술이 절실한 이유는.
“4차 산업혁명 시대의 대표적인 특징 중 하나는 초고속 인터넷과 첨단 센서 기술의 발달로 사이버 공간과 물리적 공간의 경계가 허물어진다는 것이다. 항공기를 예로 들면 엔진을 비롯한 주요 부분에 센서가 장착돼 이륙 순간부터 제조사 PC로 관련 정보가 들어간다. 예전에는 해킹 공격을 받으면 피해 범위는 사이버 공간에 그쳤지만, 이제는 실생활에도 큰 피해가 불가피해졌다.”

자동차와 가전제품 등에 ‘스마트’ 기능이 강화된 것도 관련이 있나.
“미국의 경우 2015년 피아트 크라이슬러가 해킹 가능성을 이유로 지프 체로키 140만 대를 리콜한 것을 계기로 ‘해킹 취약점이 곧 제조물의 결함’이며, 따라서 집단 소송과 대규모 과징금 징수의 대상이 될 수 있다는 공감대가 형성됐다. 이 같은 인식 전환이 미국 제조업 경쟁력을 향상시킬 것이다.”

보안 기준과 제조업 경쟁력은 무슨 관계가 있나.
“제조업 부활의 기치를 내건 트럼프 행정부가 미국에 들어오는 자동차와 스마트 가전제품에 엄격한 보안 기준을 요구할 수 있기 때문이다. 미국은 소방차·구급차와 관용차의 보안 기준 강화를 위한 10년짜리 기준개발 로드맵을 시행 중이다. 관용차 제조사 대부분이 민간 차량도 만들기 때문에 결국 미국 자동차 시장의 보안 기준이 높아질 가능성이 크다. 가전 시장은 어차피 미국 주도 시장이 아니기 때문에 엄격한 보안 기준을 요구해서 미국 업체가 재도약하는 계기로 삼을 수도 있다. 우리 기업이 보안 품질을 높이려는 노력을 게을리 할 경우 미국 시장을 잃을 수도 있다.”

국내 기업들은 보안 강화를 위해 어디부터 점검해야 할까.
“우리 기업들은 제품을 처음부터 완벽하게 만들어 출시하기보다는 일단 내놓고 문제가 생기면 땜질식으로 처리하는 경향이 있다. 그런데 ‘다품종 전략’이 일반적이어서 애플과 테슬라 등 미국의 선도 기업에 비해 생산설비를 뜯어고치기도 쉽지 않다. 제품 기획 단계부터 보안 전문가들이 함께 참여해 안전성에 신경을 쓰면 장기적으로 불필요한 비용 발생을 최소화할 수 있다. 마이크로소프트(MS)가 이 부분에서는 최고 모범 사례다. 무엇보다 기업 오너와 최고경영자의 인식 전환이 시급하다.”


미국 걸프스트림사가 제작한 항공기에 장착된 카메라 센서. <사진 : 블룸버그>

국내 대기업들도 실력 있는 해커를 고용하는 등 보안 강화를 위해 노력하고 있다.
“국내 대기업 관계자를 만나면 ‘실력 있는 해커들을 고용했는데도 제품의 보안 관련 품질이 향상되지 않는다’고 걱정한다. 당연하다. 해커가 ‘테스팅’ 전문가는 될 수 있지만 보안은 그보다 광범위한 개념이다. 테스팅 전문가만 잔뜩 뽑는다고 보안 품질이 좋아질 리 없다.”

정보보호 최고책임자(CISO)의 위상 강화 등 직제 개편 노력도 필요하지 않을까.
“국내 기업에서는 개발 총괄 임원 아래 CISO가 있는 경우가 많다. 사실 둘은 최소한 동급이거나 CISO가 위에 있는 것이 맞다. 개발에 지장을 준다고 해서 보안이 무시되면 큰일 아닌가. 금융권만 봐도 우리나라와 서구 선진국에서 CISO의 위상에 큰 차이가 있다. 영국계인 SC제일은행의 경우 CISO는 부행장급이다. 보안 위협을 회사 전체의 리스크매니지먼트 차원에서 관리하기 때문이다.”

보안 경쟁력 강화를 위해 정부 차원의 노력도 필요할까.
“해야 할 것들을 지정하는 ‘포지티브’ 규제에서 하지 말아야 할 것들을 제외하고 나머지는 자유를 주는 ‘네거티브 규제’로 보안 관련 규제 방향을 바꿔야 한다. 문재인 정부 들어서 그런 흐름으로 가고 있기는 하다. 포지티브 규제는 보안 전문 기업의 국제 경쟁력도 약화시켰다. 기업들이 지정된 것만 따르다 보니 천편일률적인 비즈니스 모델에서 탈피하기 어려워졌기 때문이다.”

하드웨어 중심에서 소프트웨어 중심으로 정책을 바꿔야 하나.
“정책만으로 가능한 건 아니다. 서구 선진국 소프트웨어 경쟁력의 중요한 원천은 ‘잉여문화’다. 5~6시에 ‘칼퇴근’하고 나면 시간이 많이 남기 때문에 이것저것 하다 보면 새로운 아이디어도 생기고 그중에서 ‘대박 아이템’도 나온다. 우리나라에서는 그게 어렵다. 시간이 남아도 당장 ‘돈 되는’ 일이 아니면 ‘쓸데없는 짓’으로 여기는 경우가 많다.”

보안 강화를 위해 일상에서 할 수 있는 것들이 있을까.
“제일 중요한 건 업데이트다. 모든 종류의 업데이트는 공지가 뜨면 즉각적으로 해야 한다. 관련 공지를 해커가 보는 순간 취약점이 노출되기 때문이다. 업데이트만 제대로 해도 언론에 보도된 해킹 공격의 90%는 막을 수 있다. 회사에서 보안 프로그램을 한 가지만 쓰는 건 좋지 않다. 서너 가지를 쓰면 해킹 공격을 받아도 그중 하나는 잡아낼 가능성이 있다. 비밀번호를 자주 바꾸는 것도 좋지만 잊어버릴 우려가 있어서 은행에서 고액 거래 등에 쓰이는 일회용 비밀번호 생성기(OTP)를 사용하는 것도 좋은 방법이다. 무엇보다 ‘보안은 공짜’라는 생각을 버려야 한다. 무료 백신은 한계가 있을 수밖에 없다.”


▒ 김승주
성균관대 정보통신공학부 교수, 교육부 유해정보차단 자문위원, 대검찰청 디지털 수사 자문위원

이용성 차장

  • 목록
  • 인쇄
  • 스크랩
ⓒ 조선경제아이 & economychosun.com