ADVERTISEMENT
오피니언 채인택의 직격 인터뷰

손영동 고려대 정보보호대학원 초빙교수

중앙일보

입력

업데이트

지면보기

종합 30면

채인택
채인택 기자 중앙일보 국제전문기자
조문규 기자 중앙일보 기자
기사 이미지

손영동 고려대 정보보호대학원 초빙교수는 한국에 제대로 된 사이버 안보·보안법 하나 없는 것은 정부의 사이버 안보·보안 의식 부족 때문이라고 지적한다. 손 교수 주변의 철창 모양 계단 케이스가 해킹으로 내용을 훤히 볼 수 있는 정보네트워크를 떠오르게 한다. [조문규 기자]

지난달 20일 국회 정보위원회 감사에서 청와대는 물론 외교통상부·국방부·통일부 등 외교안보 부처와 일부 국회의원, 의원 보좌관들이 북한의 해킹 공격을 받았으며 청와대를 제외한 일부가 뚫리기도 했다는 충격적인 사실이 드러났다. 북한은 이를 통해 우리의 외교·안보·통일 정책과 관련한 정보를 빼가려고 했던 것으로 보인다. 사이버 세계에서는 지금도 이 같은 사이버 전쟁이 벌어지고 있다. 이에 따라 해킹에 대한 대처는 21세기의 주요 안보 사안이 되고 있다. 이는 개인과 기업에는 사이버 보안이 문제로 떠오르고 있다. 사이버 안보·보안 전문가인 손영동(54) 고려대 정보보호대학원 초빙교수를 만나 실태와 대처 방안을 들어봤다.

대남 사이버 공격 매일 100만 건 … 북한의 비대칭 비수

-대한민국의 지도부가 해킹 공격을 받았다. 사이버 안보 위기라는 지적도 나오는데.

 “북한이 해킹을 통해 대한민국 국정 상황을 훔쳐보고 있는 사실이 아찔하다. 해킹 공격에 나라의 심장부가 무차별적으로 뚫리고 있는 상황이다. 더욱 큰 문제는 국회 등이 뚫렸다는 충격적인 이야기도 며칠만 지나면 흐지부지될 정도로 안이한 우리의 사이버 안보·보안 태도다. 지도자들이 나만 안 당하면 된다는 불합리한 기대심리가 있는 것 같아서 아쉽다.”

 -대한민국의 사이버 안보 태세를 어떻게 평가하나.

 “해외의 사이버전 전문기관에선 공격역량·방어역량과 제도를 포함한 기반역량, 이렇게 세 가지로 나누어서 사이버 안보·보안 태세를 평가한다. 한국은 세계 최고의 정보기술(IT) 인프라를 갖추고 있음에도 이런 해킹에 무차별적으로 뚫리고 있어 종합역량이 세계 10위권 밖으로 밀려나 있다.”

 -사이버전에 대응하는 우리의 대응 시스템은 어떤가. 청와대가 컨트롤타워를 맡기로 하고 사이버 비서관까지 뒀는데, 제대로 대응 시스템이 작동하나.

 “컨트롤타워는 청와대 국가안보실이 주도하고 실무총괄은 국가정보원이 맡고 있다. 올해 들어 박근혜 대통령이 안보특보로 국내 최고의 사이버 안보 전문가를 영입했다. 사이버 안보 비서관실도 신설했다. 강력한 의지를 보이고 있는 것은 사실이다. 하지만 이를 뒷받침할 제도나 시스템·법률·인력 등이 아직 제대로 갖춰져 있지 않다.”

 -어떤 부분의 보완이 필요한가?

 “‘사이버보안법’이라는 포괄적인 법을 제정하는 것이 전 세계적 추세다. 일본도 지난해 11월에 ‘사이버시큐리티법’을 제정했다. 그런데 한국은 실질적으로 사이버 공격을 받고 있으면서도 사이버테러방지법이나 사이버 안보와 관련된 법이 전혀 없는 실정이다.”

 -이번 북한 해킹 사태를 보면 현존하는 북한의 사이버 위협이 우리 안보는 물론 사생활까지 위협할 수 있는 지경이다. 행정부 차원에선 어떤 개선과 새로운 대처가 필요할까.

 “정부 관련 부처에 대책을 세우게 하는 것으로는 한계가 있다. 박근혜 대통령이 디지털 리더십을 발휘해야 한다. 대통령이 직접 나서서 대국민 담화를 발표한다든가 해서 시민의 사이버 안전에 대한 내부 변화를 요구하고 국민의 동참을 직접 호소할 필요가 있다. 그래야 정부 부처가 강력한 후속 조치를 하게 된다. 미국은 이미 사이버 공격을 국가비상사태로 정의하고 있다. 안보 문제로 보고 있는 것이다. 대통령이 앞장서야 하는 이유다. 대통령은 중요성을 강조하고, 국회에서는 관련 법을 제정하며, 행정부에서도 사이버 보안 정책을 제대로 집행해야 한다.”

 -북한의 사이버전 전력은 어느 정도인가.

 “북한은 전문 해커만 1500명 정도다. 지원부대까지 합치면 6800명 정도다. 풍부한 인력을 바탕으로 매일 우리를 공격하고 있다. 실제 트래픽으로 따지면 북한에서 하루에 100만 건 정도 공격이 들어오고 있다. 북한의 사이버 역량은 인터넷이나 IT가 발달하지 않았기 때문에 수준이 낮을 것이라 생각하기 쉽지만 절대 그렇지 않다. 인프라가 부재하다 보니 오히려 취약점이 별로 없다. 김정은 국방위원회 제1위원장의 강력한 의지까지 있어 사이버전 기반이나 제도는 오히려 더 앞선다는 평가도 있다.”

 -북한은 국제 제재 때문에 고성능 노트북도 반입이 안 되는 나라인데 어떻게 이런 사이버 전력을 구축할 수 있었을까.

 “국제 규범은 북한에 아무런 의미가 없다. 중요한 건 의지다. 북한은 꾸준히 사이버전에 집착하고 있다. 사이버 공격은 누가 했는지를 파악하기 어렵기 때문에 아주 은밀한 무기로 쓸 수 있기 때문이다. 북한이 좋아하는 게릴라전과 성격이 흡사하다. 사이버 땅굴로 생각할 수도 있다.”

 -북한의 사이버전 인력은 어떻게 양성하나.

 “만 10세 정도 되면 수학 영재를 뽑아 컴퓨터 수재반에서 교육한다. 중학교(우리의 중·고교에 해당)와 대학을 마치면 완벽한 사이버 전사로 성장하게 된다. 실험·실습·실전 대상은 한국이다. 한국은 워낙 인프라가 잘 구축돼 있어 공격할 곳이 얼마든지 있기 때문이다. 북한은 실제로 우리의 인프라를 공격해 사이버 전사의 능력을 평가하고 훈련과 실전까지 하고 있다. 미 중앙정보국(CIA)은 이런 북한의 사이버전 능력을 세계 3위로 평가한다. 세계 최고 수준의 해커에 높은 방어력과 잘 구비된 제도까지 갖추고 있다.”

 -이에 맞서는 우리의 사이버 안보 대응 능력은 어떤가.

 “북한에 하도 많이 두들겨 맞다 보니 최근 들어 우리의 방어력도 많이 향상된 게 사실이다. 미래창조과학부가 정보보호 로드맵을 발표해 시행하고 있으며 경찰청에서도 사이버 안전국을 만들어 사이버 수사를 강화하고 있다. 국방부도 나름대로 새로운 전쟁 개념을 개발하면서 사이버공간을 기반으로 한 사이버전에 대비하고 있다. 특히 개념 개발을 적극적으로 하고 있다.”

 -사이버전에 대응하는 우리의 인력과 인력 양성 시스템은 어떤가.

 “북한에 비하면 턱없이 부족하다. 사이버사령부에 어림잡아 500명 정도가 있다. 경찰까지 합친다 해도 사이버 수사 쪽으로 1200명 정도가 배정돼 있다. 다 합쳐도 2000명이 안 된다. 북한에 비하면 3분의 1도 안 되는 수준이다. 현재 고려대 사이버국방학과 졸업생이 내년에 장교로 임관한다. 전문 인력이 처음으로 배출되는 케이스지만 군 문화가 아날로그를 벗어나지 못하고 있어 우려된다. 군과 병영생활을 디지털화할 필요가 있다. 사이버 분야뿐 아니라 기반여건도 궤를 같이해야 역량이 높아지기 때문이다. 또 사이버 보안 전문가에 대한 민간 수요가 많기 때문에 군에서 이런 인재들을 어떻게 놓치지 않을 것인가에 대한 고민이 필요하다.”

 -국민은 우리의 인프라가 멈추거나 개인 컴퓨터의 정보를 해킹당하지 않을까 걱정하고 있다.

 “충분히 그럴 수 있다. 그리고 보통 사이버 공격이라는 것은 국방 분야를 공격하기보다 국가 인프라를 공격하는 것이 더 쉽다. 국민에게 타격을 주고 사회 혼란을 안겨줄 수 있는 금융·에너지·교통·언론 말이다.”

 -할리우드 영화를 보면 해커들의 공격으로 전기나 수도가 끊기거나 댐이 터지는 등 아주 위험한 상황이 발생한다. 현재 북한의 공격력으로 이렇게 한국에 침투하는 것이 가능한가.

 “물론 가능하다고 본다. 서울메트로나 대형 병원이 북한 해커로 추정되는 해커로부터 수개월째 해킹을 당해왔다. 서울메트로만 피괴돼도 서울지하철이 전부 멈추게 되는 상황이다. 취약점이 워낙 많다 보니까 북한 ‘정보전사(해커)’의 손바닥 안에 놓여 있다고 볼 수 있다.”

 -북한이 지난 8월 고위급 회담이 이루어지는 긴박한 상황에서도 해킹을 했다는 말이 있는데.

 “지뢰도발 사건으로 우리가 회담할 때도 계속 공격이 들어왔다. 최근 이산가족의 화해무드에서도 사이버공간에서는 계속 공격하고 전쟁이 벌어지고 있다. 지금 이 순간도 마찬가지다.”

 -미국 소니픽처스사가 해킹을 당한 뒤 북한 전체 인트라망이 몇 차례에 걸쳐서 다운된 적이 있다. 이를 미국이 사이버전으로 대응한 것이라는 주장이 있는데 어떻게 보나.

 “버락 오바마 미국 대통령은 2009년 취임하면서 사이버 공격이나 해킹을 국가 안보의 제 1위협으로 규정했다. 사이버 공격을 굉장한 위협 수준으로 생각하고 있다. 북한이 소니픽처스를 해킹했다고 연방수사국(FBI)이 발표하자마자 오바마 대통령이 비례적 대응을 천명했다. 그리고 그 다음날 바로 북한 인터넷이 10시간 이상 먹통이 됐다. 미국은 공격자를 식별할 수 있는 능력을 보유하고 있기에 이 같은 대응이 가능했다.”

 -중국도 해킹을 통해 군사 자료를 확보하고 신무기 개발에 이용한다는 서방 언론의 보도가 있었다. 중국의 사이버 전력은 어느 정도인가.

 “미국은 중국이 자국의 기밀정보를 빼내 첨단 군사 무기화를 25년가량 앞당겼다고 주장한다. 중국은 중국대로 미국이 내부의 기밀정보를 빼갔다고 주장한다. 시진핑(習近平) 중국 국가주석은 오바마와의 정상회담에서 산업스파이를 근절하자는 의견에 동의했지만 합의일 뿐이다. 실질적으로 해킹이 계속 벌어지는 것은 멈추기 어렵다. 중국은 20년 전부터 소프트웨어·하드웨어·네트워크를 국산화하기 시작했다. 중국은 PC의 운영체제(OS)까지 국산화했다. 리눅스 기반의 ‘기린’이라는 운영체제를 자체적으로 만들어서 쓴다. 모든 IT 장비나 소프트웨어가 국산이다. 그만큼 중국의 사이버 전력은 굉장히 뛰어나다. 기반기술을 갖추고 있기 때문이다. 글로벌 정보통신기업의 90%가 미국 기업인데 지금은 상황이 바뀌고 있다. 중국 기업의 약진이 대단하다. 대표적으로 네트워크의 화웨이, 소프트웨어의 샤오미·알리바바·바이두·텐센트 등 5대 기업이 미국 글로벌 기업들을 능가하는 수준까지 올라와 있다.”

 -얼마 전 미국 정보기관들은 일부 중국계 브랜드의 컴퓨터를 쓰지 말라는 내부 지시를 했다. 그 안에 어떤 소프트웨어가 숨겨져 있어서 미국의 기밀을 중국이 볼 수 있게 한다는 이야기가 있다.

 “많은 사건이 있었다. 영국과 러시아에선 전기다리미나 커피포트에서 도청장치가 발견돼 발칵 뒤집혔다. 3년 전부터 세계 각국이 동맹관계인 국가의 전기·전자 제품만 쓰는 것으로 분위기가 바뀌고 있다. 미국에서는 아예 이런 것을 법제화시켜버렸다. 사이버공간에선 냉전이 벌어지고 있는 것이다.”

 -사이버 보안을 위해 개인이 할 수 있는 일은 무엇인가.

 “개인 아이디와 비밀번호를 수시로 바꿔야 한다. 이것만 잘해도 해킹의 90%를 막을 수 있다. 이를 공용으로 사용하는 것은 해킹에 무방비로 노출된 것이나 다름없다. 백신도 수시로 업데이트해야 한다. 무선 인터넷으로 채팅을 하거나 e메일·파일을 보내는 것도 위험하다. 이는 전 세계에 해당 자료를 공개하는 것이나 마찬가지라고 보면 된다.”

글=채인택 논설위원
사진=조문규 기자

손영동 교수는 …

사이버 안보·보안 문제 전문가다. 숭실대 대학원에서 IT 정책을 전공한 공학 박사다. 1986년부터 7년간 한국경제신문 정보통신전문기자로 일했다. 그 뒤 KT 하이텔 인터넷서비스 총괄임원을 지냈으며 2008년부터 2011년까지 국가보안기술연구소 소장을 맡았다. 현재 고려대 정보보호대학원 초빙교수로 재직하며 사이버안보연구소 소장을 맡고 있다.