20일 열린 제11회 국방정보보호 컨퍼런스에서 KAIST 김용대 교수는 ‘Sececurity 101: Think like an Adversary’라는 주제로 발표를 했다. 주된 내용은 “공격자와 같은 생각을 하지 못하면 디펜스하기 어렵다”는 내용이다. 또 한국 기업들의 버그 바운티에 대한 적극적인 수용이 필요하다는 것.  
 
김 교수는 “현재 우리를 위협하는 공격자는 누구일까. 예전 해커라면 동구권의 불만 많은 20대 실직자 정도로 생각했지만 요즘 공격자들은 국가다. 미국과 이스라엘이 합작해 스턱스넷을 만들어 이란 원전을 공격한 것처럼 그리고 중국이 조직적으로 사이버 스파이 활동을 하고 있은 것처럼 예전의 공격자와 지금은 완전히 다르다. 힘과 조직 그리고 돈을 가지고 움직이고 있으며 모든 공격이 계획적으로 이루어지고 있다”고 설명했다.
 
중국은 사이버 스파이 활동을 통해 6대 정유회사를 해킹해 미래 유전 정보를 뽑아가고 있다는 것이다. 이는 예전의 푼돈벌이 해킹과는 다른 차원이다. 즉 공격자의 공격대상이 예전과는 다르기 때문에 그에 맞는 대비를 해야 한다는 것.
 
물론 그는 “돈을 노리고 해킹을 하는 경우도 많다. 검거된 해커가 감옥에서 신용카드 사기범과 만나 출소후 신용카드 정보를 빼내 돈을 갈취하는 일도 있고 HaaS, 즉 서비스로서 해킹을 통해 여전히 돈을 버는 악성 해커들도 있다. 100불만 주면 1기가급 디도스 공격을 해주는 것은 쉽게 찾아 볼 수 있다”고 말했다.
 
이런 상황에 공격자를 알기 위한 혹은 공격자처럼 생각하기 위한 학계의 노력도 계속 되고 있다. 김 교수는 “미국의 정보보호 관련 논문 중 30~40%가 공격과 관련된 논문이다. 미국의 전자상거래 시스템을 만든 메이저 회사에 대해 미국 연구자들이 끊임없이 보안문제를 발표했지만 이를 받아들이지 않다가 결국 망한 사례도 있다”며 “보안문제를 적극적으로 받아들이고 개선해 나가려는 노력이 필요하다”고 강조했다.
 
특히 “구글은 시큐리티 버그 바운티(Security Bug Bounty) 제도를 도입해 취약점을 찾아주면 돈을 준다. OS의 메인 취약점을 찾아주면 8만불, 우리돈으로 거의 9천만원에 가까운 돈을 지불하고 취약점을 산다. 페이스북도 마찬가지로 취약점을 찾아주면 돈을 주고 이 과정을 통해 서비스 안정화를 도모하고 있다. 처음에는 취약점이 많아 돈이 많이 나가지만 점차 취약점이 줄어들어 나중에는 지출이 줄어들게 돼 있다. MS도 이 제도를 도입하기로 결정했다. 결국 미국 기업들은 서비스 안정화를 위해 아낌없이 돈을 지불하고 결국 그 투자가 비즈니스에 도움이 된다는 것을 알고 있다”고 말했다.
 
한편 한국에 대해서도 그는 “한국도 요즘 KISA에서 취약점을 찾아주면 돈을 준다. 하지만 너무 작다. 좀더 투자가 필요하다. 여전히 기업들은 취약점을 찾아주면 싫어한다. 이는 KISA나 정부기관보다는 한국 대기업들이 앞장서서 제도 도입을 해야 한다”며 “특히 군 내부에서도 버그 바운티를 실시해 취약점을 찾아주는 장병에게 휴가를 준다든지 좋은 방향으로 사용한다면 군 시스템 안정화에 큰 도움이 되지 않을까 생각한다. 취약점을 방치하면 대형 사고를 당해 더 큰 비용이 지출된다는 것을 알아야 한다”고 강조했다.
 
그는 또 한국의 보안 수준에 대해서도 지적했다. “미국의 경우 은행에서 IT보안 예산이 전체 IT예산의 20% 정도다. 지난 농협 사태 때 농협은 2% 수준이었고 지금은 5% 정도로 올라간 것으로 알고 있다. 하지만 여전히 한국의 보안예산은 부족하다”고 지적하고 “예산이 없는데 어떻게 제대로 된 보안인력을 채용할 수 있겠는가. 미국이나 다른 나라의 해킹 공격보다 우리는 너무 쉬운 공격에 당하고 있다. 이 부분에 대한 개선이 없는 한 정보보호 발전을 기대하기는 힘들다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com