[기고] 사이버 테러, '공격 기반 방어' 필요하다
최근 국가를 대상으로 한 사이버 테러 위협이 커지면서 민·관·군 구분 없이 비상 상황이 지속되고 있다. 군은 정보작전 방호태세인 ‘인포콘’을 한 단계 격상했고, 국가정보원은 사이버 위기 경보를 ‘관심’에서 ‘주의’로 높였다. 금융위원회도 금융전산위기 경보를 ‘주의’로 격상했다.

급기야 지난 8일 국정원의 발표로 북한이 정부 주요 인사 수십명의 스마트폰을 해킹해 음성통화, 문자메시지 등을 탈취했다는 사실이 알려졌다. 유명 금융보안 소프트웨어 업체가 해킹당했고, 국방부도 해킹으로 문건이 유출된 사실이 밝혀졌다. 하지만 별로 놀랍지는 않았다. 다른 대상들도 시간 문제일 뿐 마찬가지일 것이기 때문이다. 이쯤 되면 사이버상의 경보는 전시상태를 기준으로 보는 것이 더 정확할 것이다.

하지만 이렇게 비상 상황을 발표하고 단순히 시간과 인력을 늘려가며 대비한다고 사이버 테러를 막아낼 수 있을까? 불가능하다. 그럼 반으로 줄일 수 있을까? 상당히 회의적이다. 이는 모두가 알고 있는 업계의 공공연한 비밀이기도 하다.

이제껏 합법적으로 수행한 모든 해킹 프로젝트는 100% 성공했고, 심지어 최근에는 한국인터넷진흥원에서 자사 연구원에게 최우수상을 주기도 했다. 국내 다양한 소프트웨어의 해킹 문제점을 찾았다는 이유에서다. 이와 같은 위협 요소를 발견하는 데 해커 특유의 관점이 중요하게 작용했다는 사실은 시사하는 바가 크다.

사이버 테러를 예방하기 위해서도 해커의 관점과 침투 시나리오를 끊임없이 역이용할 필요가 있다. 실제 해커를 활용하면 사이버 테러와 관련해 어떤 부분이 악용될지 점검하고 막아내는 실용적 보안을 할 수 있다. 어디서 공격이 들어올지 몰라 닥치는 대로 장벽을 만들고 무작정 감시하는 것은 비실용적이고 가능하지도 않다. 아군 해커의 사전 공격으로 취약점을 찾아 방어하는 ‘공격 기반 방어’가 이런 문제를 어느 정도 해결해줄 것이다.

‘운명의 개선.’ 필자가 스마트폰 메신저의 상태 메시지로 몇 년째 유지하고 있는 말이다. 평범한 일상을 지속했을 때 존재하는 미래의 내 모습을 우선 가정했다. 이 일상에서 더 노력하고 더 새로운 시도를 할수록 그런 정해진 운명이 조금씩 개선될 것이라는 생각에 적어 뒀다. 한국도 ‘공격 기반 방어’를 비롯해 민·관·군의 노력으로 사이버 테러라는 정해진 운명이 개선되기를 염원한다.

박찬암 < 스틸리언 대표(화이트해커) >