國家情報院(國精院) 等의 合同 保安 點檢 結果 選擧管理委員會(選菅委) 內部網 해킹이 可能하고 事前投票 및 開票 結果도 造作할 수 있는 것으로 드러나면서 國民的 憂慮가 커지고 있다. 國精院은 2年間 北韓 偵察總局 所行으로 推定되는 7次例의 攻擊 事實을 每番 通報했지만, 選菅委는 뾰족한 對策을 세우지 않았다. 選菅委는 “해킹 可能性이 不正選擧 可能性으로 이어지는 건 아니다”라는 多少 窘塞한 解明을 내놓았다.

사이버 保安 問題는 10月 國會 國政監査에서도 도마에 올랐다. 保健福祉委員會에서는 國民健康保險公團의 해킹 試圖(2019年 1781件→2022年 8429件), 國防委員會에서는 君 大賞 해킹 試圖(2022年 9021件→2023年 1~9月 1萬335件), 企劃財政委員會에서는 韓國原産地情報員 對象 해킹 試圖(2019年 1萬8612件→2022年 4萬7647件)가 急增한 데 對한 委員들의 聲討가 이어졌다. 事物인터넷(IoT) 等 情報 基盤 産業이 發展하면서 해킹 憂慮도 커지고 있지만 韓國의 ‘사이버 保安 不感症’은 如前하다는 指摘이 많다.

‘通常的’ 해킹 手法에 뚫린 選菅委

王효근 ㈜스텔스솔루션 代表는 “選菅委 保安 點檢 結果는 慘澹한 水準”이라며 “情報 流通量이 急增한 만큼 이제는 大韓民國 保安 패러다임을 바꿔야 한다”고 指摘한다. 스텔스솔루션은 해커로 하여금 攻擊할 서버 住所를 찾지 못하게 하는 住所變異記述을 世界 最初로 具現한 保安業體다. 이 技術은 5月 産業通商資源部의 新技術(New Excellent Technology·NET) 認證을 받았다. 다음은 王 代表와 나눈 一問一答이다.

7~9月 國精院·選菅委·韓國인터넷振興院(KISA)의 合同 保安 點檢 結果 選菅委 電算網에 침투시킨 假想의 해커가 시스템을 쉽게 뚫었다고 最近 國精院이 發表했다.

“그렇다. 가장 完璧한 保安을 자랑해야 할 選菅委가 國際 해킹 組織이 ‘通常的’으로 쓰는 해킹 手法에 쉽게 뚫렸다니 慘澹하다. 保安性을 考慮하지 않고 프로그램을 開發했거나, 誤謬나 設計 缺陷을 放置해 脆弱한 接續 環境이 만들어진 結果다.”

事前投票 用紙에 날인되는 淸人(廳印: 選菅委 圖章), 死因(私印: 投票 管理館 圖章) 파일도 奪取할 수 있었다. 이러면 開票 結果 造作도 可能한데.

“內外部網 分離가 完璧하지 않았다. 이 境遇 해커는 脆弱 서버로 浸透해 防火壁을 지나 內部 重要網(業務網·選擧網 等)에 侵入한다. 데이터를 造作하려면 데이터베이스 接續 權限이나 計定이 必要한데, 이 程度면 管理者 水準의 計定이 이미 露出됐다고 봐야 한다. 事實上 保安 管理를 안 한 것이다.”



代理 投票도 可能했다는 건….

“온라인投票 시스템 認證 節次가 未洽했기 때문이다. 該當 페이지가 畵面에 標示될 때 開發者 道具를 利用해 露出된 情報를 造作하거나, 虛僞로 通過할 수 있는 情報를 電送해 認證을 迂廻했을 蓋然性이 크다.”

民間 保安司高度 2018年 500件에서 지난해 1142件으로 急增했는데.

“튼튼한 鐵製 大門이 달린 집에 살다 보면 ‘집을 지켜야 한다’는 認識이 낮아지듯, 大型 포털사이트에 加入하면 그들이 情報를 지켜줄 거라는 幻想을 갖는다. 하지만 全혀 그렇지 않다. 使用者는 祕密番號를 자주 바꾸고 안 쓰는 計定은 削除하는 等 스스로 管理하는 것이 重要하고, 社會的으론 規制 패러다임을 바꿔야 한다. 2016年 인터파크 會員 2540萬 名의 個人情報가 流出됐는데, 5年間 民事訴訟 끝에 被害 顧客 人當 10萬 원씩 賠償하라는 判決이 났다. 先進國에서 이런 事故가 나면 數兆 원 賠償 判決이 나와 會社가 亡하곤 한다.”

保安 規制 ‘네거티브’로 바꿔야

왜 그러한 差異가 날까.

“先進國은 企業 自律性은 保障하되, 嚴重하게 責任을 묻는 ‘네거티브 方式’(禁止事項 外 나머지는 許容)의 規制를 한다. 事故가 나면 企業은 先制的으로 消費者 被害를 補償하고, 以後 政府가 나서 懲罰的 損害賠償을 통해 課徵金을 賦課한다. 反面 韓國은 ‘포지티브 方式’(許容事項 外 나머지는 禁止)이다 보니 事故가 나도 業體는 ‘關係機關 가이드라인에 따랐다’고 抗辯하고, 法院은 이를 받아들인다. 國內 金融社들이 公認認證書를 採擇하고 같은 保安 프로그램을 使用하는 것도 이 때문이다. 이런 規制 方式은 保安 脆弱性을 낳는다.”

只今까지 保安은 해커가 攻擊한 데이터를 分析해 防禦 戰略을 짜왔기 때문에 같은 方式의 攻擊에는 效率的이지만 新種·變種 攻擊에는 脆弱했다. ‘스텔스 MTD’(Moving Target Defence: 이동형 標的防禦) 技術은 그렇지 않은 거 같다.

“MTD 技術은 新種이든, 구종이든 해커가 攻擊할 住所를 찾지 못하기 때문이다. 2017年부터 硏究員 18名과 이 戰略을 짜왔다. 쉽게 말해 서울 孔德驛에서 汝矣島로 가려면 麻布大橋를 건너야 하는데 이 다리의 連結點(通路)을 보이지 않게 하는 거다. 서버 IP 住所와 포트 番號를 설정 周忌(最大 1秒) 內에서 無作爲 變更하면 住所를 찾아 뚫을 確率은 42億 分의 1이다. 運 좋게 다리를 건너 집 大門을 뚫고 侵入했다 해도 1秒 만에 안房 門, 化粧室 門 자물쇠가 다시 생겨 持續的으로 해킹하기가 어렵다.”

스텔스솔루션 硏究陣이 具現한 MTD는 2019年 美 國防部가 迅速獲得技術로 指定한 技術로, 世界的인 리서치 企業 美國 가트너는 “3~5年 뒤 保安 分野에서 가장 重要하게 使用될 技術”이라고 豫測했다. 王 代表는 高度化한 이 技術을 2月 스페인에서 열린 ‘MWC(모바일 월드 콩그레스) 2023’과 4月 美國에서 열린 ‘RSA(情報保安) 콘퍼런스 2023’에 出品해 好評받았다. 이어지는 그의 說明이다.

“現在 ‘스텔스 MTD’는 空軍과 테스트를 마쳤고, 陸軍의 指揮部 워게임(戰爭이 일어난 狀況을 假定한 시뮬레이션) 서버에 適用되고 있다. 사우디아라비아 等과도 테스트 中이다. 美 國防部 亦是 現在 MTD 方式으로 保安 技術을 開發하고 있는데, 最近 ‘스텔스 MTD 方式을 함께 高度化하고 싶다’고 提案해왔다. 勿論 이 技術을 高度化해 커머셜하게(상업적으로) 販賣할 수도 있지만, 于先 大韓民國에서 新技術을 適用한 ‘完璧한 保安’을 다지는 것이 目標다. 以後 ‘K-保安’으로 海外市場을 開拓하고 싶다. 그동안 硏究開發(R&D)에 集中해 技術 高度化를 이뤘으니, 이제 그 結果와 비전을 담은 論文을 海外 저널에 싣고자 準備하고 있다.”