이기혁 교수

'위험=위협 * 취약점＊자산 중요도'

사이버 보안의 위험공식이다.

이는 주로 정보통신기술(ICT)을 구성하는 기존 인프라 시스템인 C(콘텐츠), P(플랫폼), N(네트워크), T(단말기기)의 보안 취약점과 위협에 대응하는 방법이다.

그동안 우리 정부와 기업은 디지털 플랫폼 사회로 전환됨에 따라 지속적으로 사이버보안 강화에 많은 노력을 기울였다. 특히 ICT 인프라 시스템에 대한 보안 장비 설치 및 관리 프로세스를 강화해 위험 요소를 제거했다.

상황이 바뀌자 해킹 세력들은 공격 포인트를 보안의 가장 약한 고리인 사람에 대한 사회공학적 방법으로 공격방향을 바꾸고 있다.

단적으로, 2022년 12월 25일 태영호 국회의원실을 사칭한 이메일을 국내 외교와 안보전문가 892명에게 보내 민감 정보를 빼내려고 시도한 것이 드러났다.

해킹은 이용자나 관리자의 권한을 탈취하고 권한 탈취를 통해서 가장 취약한 연결고리를 공격해시스템을 장악하고 붕괴시키는 행위다.

필자는 해킹의 4대 원인을외부 해커, 내부·퇴직직원, 협력사 구성원, 외부와 내부 직원의 공모라고 생각한다.

첫째, 외부 해커의 해킹은 시도 건수가 많지만, 기업들이 보안 기술과 장비에 많이 투자해 과거처럼 쉽게 털리지 않는다.

둘째, 내부·퇴직직원이다. 일반적으로 내부 직원들은 보안 사고를 일으키는 경우가 많지 않다. 다만, 한번 일어나면 막대한 피해을 보게 된다. 따라서 구성원의 보안 인식 제고 교육이 필수적이다.

셋째, 협력사 직원에 의한 보안사고이다. 기업들은 정직원과 협력사로 이루어진 근무체계 형태가 일반적이다. 그중 협력사 직원들에 의한보안 사고가늘어나는 추세다. 이는 협력사 직원들이 정직원에 비해 일은 많이 하지만, 차별적인 급여 등 정직원과의 불평등으로 인해 보안 사고가 일어난다.

넷째, 위 세 영역의 보안사고 원인자들이 공"해일으키는 보안사고다. 따라서 아무도 믿을 수 없는 사회가도래했고, 외부 해커들이 사이버 보안에서 가장 취약한 '사람에 대한 공격' 패턴도 다양해지고 있다.앞으로 디지털 안전사회 구현을 위해서 지속적으로 모든 이용자 보안에 변화관리가 내재화 돼야 한다.

이에 다음과 같은 3가지 해결책을 제시하고자 한다.

첫째, 차세대 사이버 보안 모델 개념으로 제로 트러스트(ZTNA, Zero Trust Network Access)를 도입하여 사이버 세계에서 내부든 외부든 누구도 믿지 않는다는 가정 하에 해킹을 방어하는 개념을 도입해야 한다.

둘째, 블록체인 기반의 분산ID(Decentralized Identity : DID)의 도입이다. 분산원장(복제, 공유 또는 동기화된 디지털 데이터에 대한 합의 기술, 데이터가 여러 사이트, 여러 기관 또는 국가에 분산돼 탈중앙화 되어 있으며 블록체인 기술의 핵심)을 이용해 해킹에 취약한 중앙등록기관 없이 시장 자율로 운영되는 확장성 있는 자기주권 신원 증명체계를 말한다.

셋째, 모든 디지털 서비스 이용자의 변화관리와 보안인식 내재화이다. 디지털 플랫폼을 근간으로 모든 산업이 재편되고 있는 상황에서 디지털 의존도가 증가하고 있어 기업의 공급망 보안체계 도입과 같이 보안 변화관리의 내재화는 필수 항목 돼야 한다.

이를 위해서 사이버 보안과 안전 교육의 거버넌스 확립을 위해 초등학교부터 일반인들까지 사이버 보안과관련된 기초적인 교육체계를 마련하고, 관련 자격 검증 체계도입을 통한 이용자 보안내재화와 변화관리를 시행해야 한다.

앞으로 사이버 공격의 전술과 전략은 정교해지고 대규모 피해와 보안위험은 늘어날 것이다. 보안의 가장 약한 고리는 사람이다. 미래 사이버 보안의 핵심 가치는 우리 국민들 모두의 보안 안전 수칙이 내재화돼야 비로소 안전한 사이버 세상이 될 것이다.

이기혁 중앙대융합보안학과 교수(한국디지털인증협회 회장)kevinlee010@cau.ca.kr