"편리함 전제되지 않는 보안시스템 해커 막기 역부족"
-
- ▲ ⓒ큐브피아.
"'편리한 보안'이 전제되지 않은 '망 분리'는 결국 해커 공격을 피할 수 없다."
보안전문 업체 큐브피아의 권석철 대표(사진)는 지난 12일 "망 분리는 '망 연계'의 다른 말"이라면서 "해커는 망이 연계된 접점을 금방 찾아내 공격을 시작할 수 있다"고 경고했다.
그는 이날 본지와의 인터뷰를 통해 "망 분리는 이론적 이야기일 뿐 '불편함'과 공존할 수밖에 없어 사용자에 의해 허점을 노출하게 된다"고 말했다.
해킹사고를 피하기 위해 기업들이 업무용 내부 네트워크와 인터넷이 연결되는 외부망을 분리시키는 망 분리를 추진하고 있다.
금융정보유출 사고가 잇따르면서 금융당국은 올해까지 은행과 카드, 증권사 등 금융기관을 대상으로 망 분리를 의무화하기로 했다.
하지만 권 대표는 편리함이 우선 시하는 현재 보안환경에선 망 분리가 사실상 불가능하다고 진단했다.
예를 들어 한국전력공사도 업무용과 인터넷망을 분리했다고 말하지만 홈페이지를 들여다보면 전력수급 현황을 실시간으로 알려주는 코너가 있는데, 이 지점이 바로 망이 연계되는 취약 부분이라는 게 권 대표의 설명했다.
권 대표는 "실시간으로 이런 자료를 제공한다는 의미는 망이 연계돼 있다는 것을 뜻한다"면서 "댐이나 물 수위에 대한 자료를 매 시간마다 알리는 한강 홍수통제소 역시 마찬가지 구조"라고 밝혔다.
이어 "은행 또한 망 분리를 운운하지만 고객 입출금 내역을 직원들이 일일이 손으로 작성한 뒤 은행마감 후 다시 디비(DB)에 수기로 옮겨넣는 업무방식을 택하지 않는 이상 외부·내부 데이터 간 이동은 막을 수 없다"고 덧붙였다.
권 대표는 망 분리가 어려운 이유에 대해 "만약 네트워크가 완전히 끊어진, 망 분리를 성공했다고 해도 사람들은 업무 편의를 위해 몰래 망을 연결하게 된다"며 "해커는 오랜 시간을 두고 이때를 기다릴 것"이라고 얘기했다.
그러면서 "사람들은 편리함을 추구하게 되고, 그 반대작용으로 보안수준은 자연스럽게 떨어진다. 해커들은 이 단순한 논리를 잘 알고 있다"고 강조했다.
실제 금융권에선 고객 편의를 이유로 보안시스템을 강화하는 데 부담을 느끼고 있다. 고객 이름과 계좌번호, 비밀번호 등을 모두 암호화하고 이중 삼중의 인증장치를 깔고 싶지만 이렇게 하면 컴퓨터는 느려져 고객 불편으로 이어지기 때문이다.
보안성 강화가 업무효율성을 크게 떨어질 수 있다는 게 금융권 안팎의 대체적 시각이다.
권 대표는 "아직도 사람들은 해킹사고의 심각성을 모른다. 해커가 돼 공격을 해보지 않았기 때문"이라면서 "편리성과 보안성을 함께 높일 수 있는 방안을 모두가 고민해야 한다"고 조언했다.
한편 큐브피아의 권석철 대표는 2011년 9월, 전국적인 '대정전 사태'가 벌어졌을 때 전력과 교통, 원전, 댐 등 주요 인프라시설을 관리하는 '스카다(SCADA)' 망도 해킹당할 수 있다고 우려를 표한 바 있다. 당시 정부가 스카다망과 인터넷 연결을 모두 차단하는 데 그의 충고가 결정적인 작용을 했다.
