보안문화 정착을 위한 국가, 기업, 개인의 대응방안

 

                                                                                                            

                                                                                                          전주현(경성대학교 컴공과 외래교수)

                                                                                                             (ISMS/PIMS/PIPL인증심사원/PIA)

                                                                                                                                  (보안인닷컴 대표)

 







2014년도 1월 카드 3사 개인정보유출로 올해 보안이 최대 화두로 떠 올랐다. 금융개인정보가 유출되었기 때문에 언제든지 자신의 통장에서 돈이 빠져 나갈수 있다는 불안감 때문에 국민들이 관심을 가지게 된 것이다. 비단 이는 개인에 국한되는 이야기가 아니다. 사이버 위협은 국가와 국가의 사이버전으로 발전하고 있다.

 

군사전문 매체인 디펜스뉴스가 최근 미정부와 의회, 방위산업체 내 국방 전문가 352명을 대상으로 처음 실시한 ‘미국의 위협인식’ 설문조사에서 미국과 그 국익에 가장 심각한 위협으로는 전체 응답자의 45.1%가 사이버전을 꼽았다. 이어 테러(26.3%), 중국(14.3%), 이란(7.9%), 기후변화(5.8%), 북한(0.7%) 순으로 나타났다. 미국은 위협은 사이버전이 북한보다더 큰 위협으로 인식하고 있다.

 

특히 세계 유일의 분단 국가인 대한민국은 사이버전과 위협에 대응해야 한다. 이에 국가, 기업, 개인의 3가지 측면에서 대응방안을 제시해 보고자 한다.

 

첫째, 국가는 사이버 안보 강화를 위한 최정예 인력양성에 힘써야 한다. 군 사이버 사령부가 2010년1월1일 창설이 되었으나 현재 200여명에 불과하여 아직도 갈길이 멀다. 미국의 사이버전 인력 규모는 8만여 명이며 전문 핵심 인력은 900여 명으로 알려졌다. 올해 사이버방호부대를 창설한 일본의 사이버전 인력 규모는 90여 명이다. 특히 북한은 최근 사이버전 인력을 2배가량 늘여 6000명으로 정찰총국 아래 해커부대를 운영하고 있으며 이 부대에는 전문 해커만 1200여 명이 활동하고 있으며 이 가운데 상당수는 중국 등 제3국에 국외거점을 구축해 비밀리에 사이버전을 수행 중이라는 관측이다.[각주:1]

 

둘째, 기업은 보안문화 정착에 심혈을 기울여야 한다. 작년 3.20 사이버대란을 기억하고 있을 것이다. 금융시스템과 업무용PC, 그리고 일부 방송시스템에 장애를 일으킨 사건이다. 해커조직의 실체가 북한 정찰총국으로 드러나 사실상 충격과 불안을 가져오게 하였다. 어쩌면 사이버전에 한걸음 더 다가온 경험을 한 것이다. 특히 국가기간 시설망이나 금융기관은 그 피해가 상당하기 때문에 기업과 기관내 보안교육이나 인식강화에 더 노력을 기울여야 한다. 특히 경영진이나 의사결정자의 보안을 바라보는 시각을 전환해야 한다. 보안을 투자가 아닌 비용으로 인식하는 한 조직내 보안문화 정착은 요원하기만하다. 피해로 인한 사회적 비용이 더 큰만큼 보안에 대한 투자는 경영자가 살펴봐야할 필수 덕목이 되었다.

 

셋째, 개인은 똑똑한 정보소비자가 되어야 한다. 발제자께서 말씀하셨듯이 1대9대90의 법칙처럼 잘못된 정보를 가지고 반복된 인지와 학습을 통하여 여론을 조작하고 계층간 분열을 심화 시킬 수 있다. 특히 스마트폰의 보급과 SNS 영향으로 빠른 전파력을 가져 올 수 있어 더 위험하다. 사이버상에 난무하는정보가운데 올바른 정보 습득이 중요하다.

 

분단된 나라에서 물리적인 충돌보다는 사이버상에 여러 가지 위협을 통하여 또 다른 전쟁이 다가올 가능성이 있다. 대부분 국가정책은 인력 양성에만 그치고 사후관리가 소홀하여 반복된 예산만 낭비되는 경우가 많았다. 최정예 인력을 양성하였다면 사이버전에 지속적이고 안정적으로 임할 수 있도록 처우와 보상체계가 뒤따라 주어야 한다. 앞으로 더 나아질 것이라 예상된다. 기업은 일정비율 보안전문가를 고용해야 한다. 또한, 기업이 보안분야 일자리 창출을 만들어야 한다. 필자는 1인 1기업 보안전문가 양성을 주장한바도 있다. 보안업체가 모두 수도권 중심이고 영세하다보니 악순환이 반복된다. 특히 부산지역만 하더라도 보안관련 업체는 찾아 보기 힘들정도로 열악한 수준이다. 최근 개인정보 유출 피해로 인하여 법으로 규제강화를 하고는 있지만 중소기업이 대부분인 현실에는 법 적용이 쉽지 않다.

 

사이버의 위협으로부터 안전한 국가와 건강한 기업의 보안 문화 정착을 위해서는 국가, 기업, 개인 모두가 노력해야 한다. 사이버 위협으로 이젠 더 이상 반복적인 소 잃고 외양간 고치는 우(愚)를 범해서는 안된다. 감사합니다. 


* 본 포스팅은 [가람뫼미래포럼]에 발제한 내용임을 밝힙니다.



  1. 아시아투데이 2014.07.07 [본문으로]
신고
Posted by 엔시스

필자는 TV는 뉴스와 경제, 시사,다큐만 주로 본다. 그것도 특별한 프로그램이 아니면 TV를 자주 보는 편이 아니다. 주로 인터넷을 통하여 모든 정보를 얻을 수 있기 때문이다. 그런데 최근 국회 '미디어법' 통과를 두고 말이 많다.

정치적인 이야기는 하지 않겠다. 그것은 이 블로그의 내용상 맞지도 않고 그렇게 정치 운운할 역량도 되지 못하니 순수하게 보안적인 관점에서 이번 사태의 촛점을 찾아 보기로 한다.


1.전자투표시스템이란?

전자투표란 전자 투표행위나 투표 집계작업시 전자적 수단이 도입된 투표 방식이라 할 수 있겠다. 따라서 예전에 기표소 안에서 하얀 천막치고 그 안에서 볼펜 막대 같은 것으로 빨간 인주를 찍어서 하는 투표와는 다른 방식인 것이다.

2. 왜 전자투표 시스템을 사용하는가?

무엇보다 신속한 데이터 수집 합산으로 인한 빠른 표결 처리를 확인 할 수 있기 때문이다. 또한 일일이 수작업을 통하여 사람이 가,부 판단을 하는 시스템에서 벗어나 전자적으로 하기 때문에 훨씬 효율적인 것이다.

3. 전자투표 시스템은 언제 도입이 되었는가?

중앙 선관위는 2012년까지 전자투표 도입 방침을 로드맵[각주:1]을 잡은 적이 있으며, 국회에서는 2000년 16대 국회부터 표결 원칙이 기립표결에서 의원 개개인의 투표 결과를 직접 눈으로 확인, 의원의 책임성을 높일 수 있는 전자투표로 바뀌었다.[각주:2]


4. 전자투표 하는 방식

  • 터치스크린 방식 - 스크린에 정해진 부분을 눌러 하는 방식으로 네덜란드등에서 사용중
  • PC기반 기술방식 - 투표를 위해 키보드와 마우스를 이용하여 사용하는 것으로 브라질에서 사용
  • 키오스크 방식 - 투표소가 아닌 편리한 장소,일터,병원등에 설치되어 이용되는 방식

5. 전자투표의 요구 사항  -  제일 핵심적인 부분이 아닐까 생각한다.

    • 안전성 -정당한 유효투표가 정학하게 투표 결과에 집계되어야 한다.
    • 건전성 - 부정투표자에 대하여 투표가 방해되어서도 안되고, 투표 결과에 부정 투표가 집계되어서도 안된다.
    • 기밀성,익명성 - 모든 투표는 비밀투표이고 투표자의 내용을 알 수 없어야 한다. (일반적인 투표)
    • 이중투표불가성-정당한 투표자는 두번 투표 할 수 없어야 한다.
    • 권한성 - 투표권이 없는 사람은 투표에 참여 할 수 없어야 한다.
    • 공정성 - 투표에 영향을 미치는 일이 없어야 한다, 투표과정에서 일부분의 투표 내용이 알려져 투표에 영향을 미쳐서는 안된다.
    • 검증성 - 투표 결과를 조작 할 수 없도록 누구라도 자신의 투표 내용이 투표 결과에 반영이 되었는지 검증 할 수 있어야 한다.[각주:3]


    6. 무엇이 문제였나?


    보안 연구하는 사람으로 가장 중요하게 생각하는 것 중에 하나가 바로 인증(Authentication)이다. 조금 쉽게 말하자면 바로 나, 나임을 판단하는 근거를 마련하는 것이다. 대표적인 것이 아이디/패스워드와, 생체정보 등이 있을 것이다. 그리고 가장 흔히 알고 있는 것 중에서 주로 인터넷뱅킹 할때 사용하는 인증서도 있을 것이다. 그런데 국회 전자투표 시스템에 인증절차가 없었다니..


출처: 각주1


뉴스를 보다가 황당한 느낌이 들었다. 대리투표 의혹이 불거져 나오는 것이다. 그것도 '미디어법'이라는 여야 첨예한 대립을 가지고 1차 논의를 연장하면서까지 중대한 투표를 하는데  본인 인증 절차도 없었다고 한다는 것은 전자시스템 설계 당시부터 잘못 되어 있다는 반증이기도 하다.

필자는 대학원에서 연구를 할때 한때 전자투표 시스템에 대하여 연구한적이 있었다. 그래봐야 SCI논문에 올라온 외국 전자투표 관련 논문 몇개 번역하고, 수업시간에 전자투표에 대한 공부가 고작이지만 위에 요구사항 7가지에 대해서는 어떤 전자투표 논문이나 연구에서도 언급이 되어 있었다. 심지어 국가공인 정보보호전문가 자격증 (SIS) 시험에도 기본적으로 공부해야 하는 것 중에 하나이다.

그런 중요한 것이 국회 전자시스템 투표하는데 적용이 되지 않아 정책적으로 투표 하는데 아무나 다른 곳에 가서 버튼을 누르고 투표를 한다는 것 자체가 모순이다.

7. 어떻게 해야 하나?

민주주의 국가에서 국민의 권리를 행사하는 것 중에 하나가  바로 "투표권" 행사이다. 그런 설계 시스템에 '보안'적 부분이 미흡하다는 것은 아주 치명적인 것이다. 그것은 오히려 디지털을 좋아하다가 다시 아날로그로 돌아가는 시대에 흐름에 역행하는 것인지도 모른다. 오히려 흰 천막안에서 빨간 인주로 볼펜막대로 투표하는 것이 더 나을지도 모른다. 그곳에서 자기가아닌 다름 사람이 들어가 투표를 하지는 않지 않는가?

법을 만드는 국회에서 그 법이, 정책적 논리로 부정하게 정당한 국회의원 개개인의 투표권 행사에 어떠한 외부적 영향력 행사도 있어서는 안되어야 할 것이며,  국회 전자투표 시스템에 대한 설계를 다시 재검토하고 수정하는 것이 불가피 하게 보인다. 5번에 요구사항을 참고하여 잘 설계해 보기를 바란다.


마무리글

보안은 생활에 일부분이다.  필자가 외치는 것 중에 하나가 "보안문화의 생활화"이다. 앞으로 다양한 분야와 다양한 형태에서 사건 사고가 터지면서 "보안" 잘못 되었네. 하면서 수 많은 질타를 하고 받을 것이다. 이 모든 것이 아직까지 우리 생활 습관에 보안에 대한 실천과 마인드가 스며들지 않았기 때문에 그런것이다. 아마도 이번 '미디어법'의  정치적인 이슈로 인하여 "국회 전자투표 시스템" 설치 업체는 또 다른 압박을 받을 것으로 생각이 된다.

개인적인 생각으로는 제안시에 전자투표에 대한 "인증"이 빠질리가 없다. 그것은 보안을 연구하는 사람이라면 제일 먼저 생각하는 것이 바로 '인증'이기 때문이다.  어떠한 사유로 인하여 이러한 전자투표에 '인증' 절차가 빠졌는지 모르겠지만 초기 시스템 설계시 만약 그런 언급이 없었다면 실수를 한 것이다. 그것이 얼마나 크나큰 여파를 가져 오는지 우리는 눈으로 똑똑히 보고 있는 것이다.

이렇듯 보안은 잘 지켜지지 않았을때 무서운 것이다. 이제는 보안에 대하여 인식을 좀 했으면 한다. 잘 모른다면 전문가의 조언에 꼭 귀를 기울일 필요가 있다. 

이제는 모든 프로젝트나 업무를 할때 조직에 장이나 고위관계자는 실무자에게 이런 질문을 하는 습관을 가지는게 좋겠다.

조직에 장 : " 이번 업무는 말이야 보안적으로는 문제가 문제가 없나요? "
실무자: " 네..이러이러한 보안적 문제가 대두되고 있는데 어떻게 조치 할까요? "
조직에 장 : " 응..그래요?...요즘 말이야..보안보안 하는데 나도 보안에 관심을 좀 가져야겠어"
                " 보안에 대한 대응책을 마련해서 보고 할 수 있도록 하세요"

이런 대화가 오고가는 날이 하루 빨리 오기를 기대 하여 봅니다. @ 엔시스.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

* 추가포스팅:

포스팅하고 나서 검색하다보니 이런 영상이 있었는데 이것은 진정 아닌거 같습니다. 무슨 국회투표가   동네 반장 선거투표도 아니고..이번엔 딱 걸렸습니다.

http://www.seoprise.com/board/view.php?table=seoprise_12&uid=74967

* 추가포스팅2: 
'미디어법' 이 옳고 그르다를 떠나서 일단 한마디만 하겠습니다. 동영상을 다시 한번 보았는데 너무 황당합니다. 국회의원이면 똑똑한 사람들 모아다 놓았을텐데 초등학교 반장선거 투표도 이렇게 하지는 않을 것 같습니다.  국민이 뽑은 국회의원의 자질이 의심스럽습니다. 꼭 그렇게 해야만 했었는지 하는 의구심이 듭니다.  그리고 당파를 떠나서 그렇게 행동했다는 자체가 국민의 한 사람으로서 화가 납니다. 자신이 한 행동이 당에 도움이 되리라 생각을 했겠지만 결국 당을 해(害)치는 꼴이 되었습니다. 

* 검은 돌을 자꾸 흰돌이라고 합니다. 누구나 눈으로 확인하는데도 말입니다.
국민을 바보로 알지 마시길 바랍니다.  그렇게 국민이 우습게 보입니까? 정치 생명이 4년이라는 것만 기억하시기 바랍니다. 아니 국회의원이 이리저리 다니면서 대리투표하면서 하는 행동을 어찌 그냥 가만히 보고만 있으란 말입니까?

* 신성한 국회에서 법처리하는데 뒤 방청석에서는 두눈 시퍼렇게 뜨고 카메라 셧터 누를 준비만 하고 있는데  그런데도 그냥 무자비로 하면 통할줄 알았습니까?

http://www.seoprise.com/board/view.php?table=seoprise_12&uid=74967

동영상 다시봐도 이건 아닙니다. 꼭 이렇게 해서라도 통과되어야 할 법인지요. 국회의원 품위를 지키는것은 책에나 나오는 것인지요.

정치이야기 안 한다는 포스팅이 결국 정치 이야기로 끝나버리네..쩝..보안 이야기 구독하신 분들에게는 죄송하단 말씀 드립니다., 하도 열받아서리..

* 추가포스팅3

국회 영상회의록 홈페이지 (http://w3.assembly.go.kr/vod/index.jsp ) 참고 하세요..역사의 현장입니다.
정말 대한민국이 부끄럽습니다.


각주
--------------------------------------------------------------------------------

  1. 중앙선거관리위원회, "전자투표 추진계획 및 로드맵". 중앙선거관리위원회 자료실 선거자료, 2005.4 [본문으로]
  2. 네이버 용어사전, http://terms.naver.com/item.nhn?dirId=702&docId=988 [본문으로]
  3. 강신범,정현철 "전자투표 사업현황 및 사례분석" 정보보호학회지 . 2005.10 [본문으로]
신고
Posted by 엔시스