'원전해킹' 국가기반시설 보안 전수조사 가능할까?

한국수력원자력 해킹 등 국가기간시설을 노리는 사이버보안위협이 고조되면서 정부가 국내 정보통신기반시설에 대한 전수조사를 실시하겠다는 방침을 밝혔다.

현재로선 미래창조과학부 정보보호정책과에서 내놓은 아이디어 수준의 방침이다. 제대로 된 전수조사가 이뤄지기 위해서는 전문 인력과 예산을 확보해야 하는 것은 물론 빈틈없는 치밀한 프로세스가 필요할 것으로 전망된다. 단순히 서버에 보안툴을 돌려보거나 체크리스트를 확인하는 수준에 그칠 경우 안 하느니만 못하다는 지적이다.

미래부 정보보호정책과 관계자는 아직은 내부적으로 검토 중인 사항이라 구체적으로 내용이 나온 것은 없다며 산업통상자원부가 관리하는 원전 등 발전소 제어시스템과 미래부 관할인 인터넷 데이터센터 등 약 100여 곳이 대상이 될 것으로 보고 있다고 밝혔다.

지난해에 이어 올해에는 한수원 등 국가기간시설을 직접 노린 것으로 추정되는 해킹이 드러나기 시작하면 전체 정보통신기반시설에 대한 보다 면밀한 점검이 필요한 것은 사실이다.

그러나 이를 두고 일부 보안전문가들 사이에서는 현실성이 떨어진다는 지적도 있다. 익명을 요구한 국내 보안 전문가는 정보통신기반시설 전체에 대한 전수 조사는 마치 전 국민을 대상으로 MRI검사를 실시해 암 발병 여부를 확인하겠다는 것과 같은 발상이라고 지적했다. 현실적인 여건을 고려했을 때 도무지 답이 안 나온다는 것이다.

전수조사는 말 그대로 전국 각지에 퍼져있는 정보통신기반시설과 관련된 모든 서버들을 조사해 이상여부를 점검하는 국가 단위 프로젝트다. 문제는 수 많은 서버들을 보안분석가들이 일일이 점검하고, 이상 여부를 확인하는 일이 사실상 불가능하다는 점이다.

익명의 전문가는 악성코드인지 여부를 파악하고, 해결할 수 있는 전문분석 인력은 국내 보안회사, 한국인터넷진흥원(KISA), 국가정보원 등을 포함해봐야 몇 십명 수준에 그친다고 지적했다. 보안성을 점검하기 위해 정상적인 서버에 대해서도 이상유무를 판단하는 작업은 필요하지만 어떻게 할 수 있는가가 과제라는 얘기다.

고려대 정보보호학원 김휘강 교수는 정보통신기반시설에 대한 전수조사는 할거면 제대로 해야하고, 그렇게 하기 쉬운 일은 아니다며 원칙대로 한다면 (전염병을 막기 위한) 방역과 같은 수준의 작업이 필요하다고 설명했다.

김 교수는 엔씨소프트 보안담당자로 재직하던 시절 실제로 수천대 이상에 달하는 서버에 대한 전수조사를 진행했던 경험이 있다. NHN 등 규모가 큰 민간기업에서도 전수조사를 수행한다.

그에 따르면 전수조사 방법은 먼저 아무런 정보도 설치되지 않고 스위치, 보안장비 등만 설치된 클린 네트워크를 만드는 일이다. 다음으로는 점검 대상이 되는 서버 혹은 데이터센터와 외부 네트워크 연결을 끊고, 점검이 필요한 서버들에 대해 보안전문가들이 면밀히 분석한 뒤 이전 서버에 저장했던 데이터들을 클린 네트워크로 옮기는 작업이 필요하다.

예를 들어 한 반에 50명 인원인 교실에 있던 학생들이 운동장에서 놀다와 옷이 더러운 경우에 가장 좋은 해결 방법은 이들을 모두 씻게 한 뒤 다른 깨끗한 교실에 가도록 하는 것이다.

김 교수는 이같은 방식을 쓰면 최종적으로는 원래 서버를 다른 서버로 옮기는 것과 같은 작업을 하게 되는 것이라고 설명했다.

현실적인 문제는 이러한 작업을 수행하기 위한 전문인력이 턱없이 부족하다는 점이다. 전수조사는 보안툴을 돌리는 정도라면 보안전문가가 아니더라도 결과를 확인할 수 있지만 악성코드 감염 여부를 확인하고, 문제를 해결할 수 있는 전문성이 핵심이다. 국민들을 대상으로 MRI검사를 한다고 해도 결국 암이 발생했는지 여부를 판단하는 것은 의사의 몫이라는 점을 생각하면 된다.

이러한 역할을 할 수 있는 것은 악성코드 분석가들과 함께 침해사고대응전문가, 디지털포렌식 전문가 등과 정보보호컨설팅이 가능한 인력들이다.