“몸은 어른인데, 그 몸과 마음을 지킬 능력은 어린애 수준이죠.”
임종인(54·사진) 한국정보보호학회장은 3일 기자와 만나 스마트폰의 보안실태를 이렇게 비유했다. 스마트폰을 들고 다니는 사람은 급증하는데 개인정보 보호를 위한 안전장치는 한참 미흡하다는 지적이다. 그는 “스마트폰을 이용한 모바일뱅킹과 기업 업무가 보편화되면서 지난해 국내외 주요 웹사이트를 마비시킨 ‘7·7 디도스 대란’과 같은 사이버 공격이 시도될 가능성이 있다”고 경고했다. 임 회장은 고려대 정보경영공학전문대학원장으로 국내 최고 보안전문가의 한 사람으로 꼽힌다. 국가정보원과 방송통신위원회·검찰의 정보보호 자문위원 등을 맡고 있다. 지난해 12월 학회장이 됐다.
-스마트폰이 해킹에 얼마나 취약한가.
“금융결제 문제가 심각할 수 있다. 문자메시지(SMS)로 인증번호를 받아 소액결제를 할 때 이 번호를 중간에서 가로채 이용하는 수법이 대표적이다. 현재 스마트폰에 꼭 맞게 설계된 해킹방지 백신은 없다.”
-보안업체들도 백신을 내놓고 있는데.
“일반 PC용 백신을 스마트폰에 맞게 용도변경만 해 놓은 꼴이다. 그러다 보니 스마트폰을 이용한 인터넷 속도가 늦어진다. 스마트폰의 ‘신속성’과 ‘편의성’을 저해한다.”
-최적의 백신프로그램 개발이 늦어지는 연유는.
“스마트폰 제조업체가 기술유출을 우려해 백신을 연구하는 업체나 학자들한테 자세한 기술을 알려주지 않는다. 하드웨어와 소프트웨어가 따로 논다. 정부가 나서 기술유출 방지 시스템을 만들고 업계 협력을 유도해야 한다.”
-우리나라의 스마트폰 해킹 대처 수준은.
“보안전문가 수만 보면 가늠이 된다. 국내 금융권을 통틀어 100명이 되지 않는다. 미국 뱅크오브아메리카(BoA)에서만 150명의 사이버보안 인력이 일한다. 금융해킹으로 인한 피해를 복구해 주는 ‘해킹보험’을 서둘러 도입해야 한다. 미국은 이 보험제도가 발달해 대부분 은행이 가입해 있다. 국내에도 비슷한 보험이 있지만 보상액수가 최고 20억원이 안 되는 걸로 안다. 상징적 수준으로 여겨진다.”
-보안 전문인력 양성 실태는.
“수도권 대학에 보안전문학과가 전무하다. 지난해 7·7 디도스 대란 이후 정치권에서 보안전문가 3000명을 육성하겠다고 발표한 적이 있는데 유야무야됐다. 국방부에 ‘사이버사령부’가 설치됐는데 거기에 필요한 인원이 어디에서 나올지 모르겠다.”
-정치권에서 ‘패킷감청’을 금지하는 법안을 추진 중이다.
“사용 방법을 제한하면 되는데 기술까지 가로막을 필요가 있나. 기술은 가치중립적이다. 패킷감청에 활용되는 DPI(Deep Packet Inspection) 기술은 보안 분야에서도 쓰인다. 악성코드가 침투할 때 주소를 속이고 들어오는데, DPI는 e-메일을 열기 전에 그 안에 악성코드가 들어 있는지 훑어보는 기능이다. 기업에서는 기술유출 방지를 위해 이 기술을 응용한다. 원자력이 원자력발전이라는 긍정적 용도와 원자폭탄이라는 부정적 용도로 활용되는 것과 마찬가지다.”
-악용되는 걸 막으려면.
“수사·정보 기관에서 압수수색 등을 할 때 대상을 모두 특정하지 않는 것이 문제다. 마약이라든지 중요 기술과 관련된 단어들을 특정해 영장을 청구하는 방식으로 정교화할 수 있을 것이다.”
◆패킷 감청=인터넷 회선에서 오가는 전자신호(패킷)를 빼내 컴퓨터 화면을 다른 컴퓨터에 복사해 내는 기술. 메신저 등 다른 사람이 컴퓨터에서 하는 모든 작업을 실시간으로 지켜볼 수 있다.
문병주 기자
