“침해 전제한 사이버 보안 설계가 필요하다”

[이데일리 최연두 기자] “지금처럼 사고가 터진 뒤에야 대응하는 방식으로는 더 이상 사이버 위협에 효과적으로 대처할 수 없습니다. 기업은 내부 시스템이 이미 침해됐다는 전제를 바탕으로 보안 조치를 설계해야 합니다. 동시에 자율점검 체계를 마련해 수시로 스스로의 보안 상태를 점검하는 노력이 병행돼야 합니다.”

염흥열 순천향대 정보보호학과 교수

염흥열 순천향대 정보보호학과 교수는 최근 이데일리와 전화 인터뷰에서 SK텔레콤의 최근 유심정보 유출 사건을 진단하며 이같이 밝혔다.

먼저 염 교수는 “SK텔레콤 정도의 규모 기업에서 보안 체계가 뚫린 것은 이례적인 일”이라고 짚었다. 이어 “공격자가 인터넷 망부터 폐쇄 망까지 여러 단계를 거쳐 핵심 서버에 침투했다는 점에서 침투 능력이 상당히 정교했을 것으로 추정된다”고 말했다.

특히 “공격자가 홈가입자서버(HSS)에 악성코드를 설치했다는 건 해당 서버의 관리자 권한까지 탈취당한 셈”이라며 “이러한 상황에서 관리자 권한이 어떻게 뺏겼는지 여부는 매우 심각하게 다뤄야 할 부분”이라고 강조했다.

염 교수는 국내 기업들의 보안 거버넌스 구조를 근본적인 문제로 지적했다.

염 교수는 “최고정보보호책임자(CISO)의 역할은 법적으로 명시돼 있으나, 실질적인 투자 결정권이나 책임을 부여받지 못한 경우가 많다”며 “실무 부서장이 CISO를 겸직하는 등 형식적인 임명에 그치는 사례가 적지 않다”고 설명했다. 또 “정보보호에 대한 투자 권한과 책임을 C레벨에서 명확히 해야 보안 리스크를 실질적인 경영 리스크로 다룰 수 있다”고 강조했다.

이와 함께 ‘제로 트러스트’ 보안 전략의 필요성을 재차 강조했다. 제로 트러스트는 ‘아무도 믿지 말고 항상 검증하라’는 원칙을 기반으로 한 개념으로, 미국 정부와 주요 IT 기업들이 사이버 보안 강화 수단으로 채택하면서 널리 알려지게 됐다. 암호화, 접근 통제, 침해 탐지 등의 기술을 기반으로 ‘신뢰하지 말고 매번 검증하는’ 체계가 필요하다는 것이다.

정보보호 인증 제도(ISMS)와 관련해선 한계와 필요성을 동시에 언급했다.

염 교수는 “HSS 서버는 ISMS-P 인증 범위에 포함되지 않아 사각지대로 남았지만, 그렇다고 ISMS 자체가 무용하다고 볼 순 없다”며 “ISMS는 기업이 스스로 위협을 식별하고 대응 체계를 운영·점검·개선하는 구조를 갖추는 데 목적이 있으며 이 틀조차 없다면 기업은 사실상 아무런 보안 조치도 하지 않게 된다”고 말했다.

이어 “인증만 받고 실제 체계를 개선하지 않으면 실효성은 떨어질 수 있지만, 그렇다고 무용론으로 치부해서는 안 된다”며 “중요한 것은 인증 이후 위협에 따라 유연하게 대응하고, 보호 조치를 계속 갱신하는 자율적 운영”이라고 덧붙였다.

끝으로 그는 “사고가 터지면 규제를 강화하고, 시간이 지나면 완화하는 식의 반복은 이제 한계에 다다랐다”면서 “국가적 통신 인프라에서 발생한 사고는 국민의 신뢰와 안전에 직결되는 만큼, 기업 내부의 거버넌스 체계와 정부의 감시 체계가 함께 작동해야 한다”고 밝혔다.

사고 대응 과정에서 드러난 SK텔레콤의 보안 한계도 지적했다. 염 교수는 “이번 사고에서 고객 인증 키 값이 암호화되지 않았다는 점은 매우 심각한 문제”라며 “해당 정보가 암호화돼 있었다면, 지금처럼 유심을 전면 교체하거나 긴급 대응에 나설 필요 없이 훨씬 안정적으로 대응할 수 있었을 것”이라고 말했다.