정보 도둑 잡는 ‘K-ICT 시큐리티 발전전략’, 3가지는 꼭 기억하세요!

■ K-ICT 시큐리티 발전전략이란?

최근 붉어진 금융 정보 유출 사고를 기억하시나요? 하루에도 몇 번씩 오는 광고성 메일과 스팸 문자에 익숙해질 만큼 개인정보 유출에 대해 무감각해지신 분들도 많으실 텐데요. 모든 것이 인터넷을 통해 서로 연결되고 기존의 산업과 정보통신기술의 융합이 더욱 빨라지면서, 사이버위협은 단순히 개인 정보를 악용하는 문제를 넘어서 국가· 사회적 혼란을 일으키고 국가 안보를 위협하는 수준으로 진화하고 있습니다.

이렇듯 심각한 정보보호의 문제를 해결하기 위해 현재 각 나라마다 이른바 ‘ICT(Information & Communication Technology) Security’라고 불리는 정보 보호 정책을 강화하고 있는데요. 우리나라에서도 지난 4월에 미래창조과학부가 ‘정보보호가 기본(基本)이 되고 정보 보호 패러다임을 바꾸는 시큐리티 발전전략>을 발표한 바가 있습니다. (미래부 지난 기사 보기: http://blog.daum.net/withmsip/1349). 비가 갠 후 일곱 가지 색깔로 희망을 주는 무지개처럼, 7가지 추진과제는 고도로 발달한 정보화의 어두운 구름 아래서 밝은 ICT 세상을 열어 가는 정책이라는 점에서 눈길을 끄는데요.

이번 기사에서는 7가지 추진과제 중에서도 핵심적인 3가지, ’118 정보보호 지원체계 및 지원센터‘와 ’사이버 복원력을 높이는 사이버트랩과 버그바운티‘ 그리고 ’보안성을 지속하기 위한 서비스‘에 대해서 자세히 다뤄보겠습니다.

■ K-ICT 시큐리티 발전전략 세부방안 3가지 소개

1) 범죄신고는 112, 화재신고는 119, 보안 피해 상담신고는?

-전국 118 정보보호 지원센터

“긴급 신용카드 고객 유출 정보 확인. 지금 바로 확인-> http:xxx.gg”

괜찮아요? 많이 놀라셨죠? 한 번쯤은 겪어봤을 스미싱(스마트폰 문자메시지를 통해 소액 결제를 유도하는 피싱 사기 수법)의 한 예시입니다. 최근에는 정부기관인 대검찰청, 인터넷진흥원까지 사칭을 해서 보이스피싱(전화를 통해 신용카드 번호 등의 개인정보를 알아낸 뒤 이를 범죄에 이용하는 전화금융사기 수법)이나 피싱 문자로 인한 금전적인 피해가 발생하고 있습니다.

우리에게 익숙한 범죄신고 112와 화재신고 119처럼, 해킹·스미싱 등의 보안 피해로부터 우리를 안전하게 보호해주는 전화번호가 있다는 것을 알고 계셨나요? 바로 사이버보안피해 신고번호 118입니다. 화재나 범죄만큼이나 보안 문제는 중요하기 때문에 스스로 개인정보를 지키기 위해 노력해야 하는데요. 만약 각종 해킹 수법으로 인해 개인정보가 침해당했는데 어떻게 해야 할지 모른다면 이제는 전국 118지원센터에 문의하시면 됩니다.

‘전국 118지원센터’는 전국의 영세한 중소기업들이 해킹 등 사이버 침해사고를 당했을 경우 긴급대응, 시스템 복구 및 보호를 위한 지원 사업 중의 하나인데요. 기업이 사이버침해 신고전화 ‘118’로 사이버 침해사고에 대한 점검 및 지원을 요청하면 온라인을 통해 서버와 PC의 웹 취약점을 점검하고, 해당지역 정보보호지원센터로 후속조치를 요청하는 체계로 운영됩니다.

정보보호지원센터(https://www.krcert.or.kr/)는 전국 주요 권역에 지자체, 대학 등과 연계하여 구축된 기관입니다. 온라인 점검과 해당지역 정보보호지원센터의 현장점검을 함께 실시하는데 점검은 지원센터 센터장과 정보보호 컨설팅 전문업체, 화이트해커로 구성된 현장지원반이 수행합니다.

전국 118 정보보호 지원센터를 통해 보안의 중요성에 대한 국민들의 인식이 열리면서 침해사고에 대응하고, 더 나아가 예방을 통한 보안의 손길이 뻗치지 않는 곳인 영세 중소기업까지 보호해주는 길이 열렸다고 할 수 있겠죠?

2) 딱 걸렸어, 너! 사이버트랩으로 잡고, 버그바운티로 보상한다!

-사이버 복원력 제고를 위한 투자확대

사이버 공격이 세계 곳곳에서 동시에 발생하고 있기 때문에 공격을 100% 차단하기는 현실적으로 불가능합니다. 따라서 점점 치밀해지는 사이버공격에 맞서 싸우기 위해서는 취약점을 찾아 신속하게 대응하고 복구를 해야 하는데요. 이를 위해 탄생한 것이 바로 ‘사이버트랩’과 ‘버그바운티’ 사업입니다.

사이버 트랩 설치 사업은?

사이버 트랩 설치 사업이란 온라인상에 트랩(함정)을 설치해서 이용자의 신고 없이 해커를 유인하여 해커가 악용하는 스미싱, 문자내용 등을 미리 파악하는 것입니다. 지금까지는 미래부(한국인터넷진흥원)에서 사이버사기 피해를 줄이기 위해 이용자의 신고에 의존하는 사후대응 중심의 활동을 해왔지만, 이제는 사이버 트랩을 통해 이용자에게 사이버 사기 문자 메시지나 이메일이 도착하지 않도록 위험을 최소화할 수 있습니다.

※ 스미싱은 ‘14년부터 대응 중(출처 : 한국인터넷진흥원, KISA)

버그바운티 사업은?

가정에서 흔히 사용하는 공유기의 취약점을 이용해 금융정보를 빼가거나 회사에서 업무용 PC에 설치된 소프트웨어의 취약점을 통해 고객정보를 유출하고 심지어는 시스템을 파괴하기까지 한 사례가 있었습니다. 이처럼 점차 그 피해 범위가 확대되고 있어 이에 대한 발 빠른 대처가 필요한 상황인데요.

버그바운티란 이런 피해를 방지하기 위한 ‘소프트웨어(SW) 신규 취약점 신고 포상제’로서 소프트웨어를 이용하다 새로운 취약점을 찾아 신고한 사람에게 포상금을 지급하는 제도입니다.

미래부(한국인터넷진흥원)에서는 그동안 ‘Active-X’, ‘한글’과 같은 소프트웨어 취약점에 대한 버그바운티를 운영해왔지만, 무선 공유기 등 IoT(Internet of Things, 사물인터넷) 영역으로 신고범위를 확대합니다. 신고된 취약점에 대한 파급력 등을 평가하여 최소 30만원부터 최대 500만원까지 포상금을 지급한다고 하니 눈여겨 볼 만하죠?

버그바운티를 통해서 사용자는 본인도 모르는 사이에 자신의 금융정보 등을 뺏기는 사고를 막을 수 있고, 소프트웨어 개발자는 자사의 제품·서비스의 보안이 강화되어 품질을 향상시킬 수 있으며 보안전문가는 상금 등의 다양한 보상을 누릴 수 있습니다. 한마디로 누이좋고 매부좋고 나까지 좋은! 일타삼피인 제도라고 할 수 있겠네요!

3) 정보보호 서비스, 이렇게 가벼워도 될까?

-보안성 지속 서비스 사업 및 시장구조 개선

정보보호 제품은 자체 특성상 보안성을 지속적으로 유지하기 위한 사후 서비스가 꼭 있어야합니다. 즉, 업데이트를 꾸준히 해주지 않으면 끊임없는 사이버 위협에 무용지물이 되어버리고 맙니다. 그렇지만 현재 우리나라의 경우에는 정보보호 제품에 대한 유지관리 및 서비스 수수료가 미국, 일본 등 선진국(30~50%)에 비해 현저히 낮아서(8~10%) 제품의 기술을 향상시키거나 서비스를 제공하기에는 투자되는 돈이 부족한 상황입니다.

그 배경에는 국내 시장에서 정보보호에 대한 필요성을 체감하지 못한다는 원인이 있는데요. 이로 인해 국내 정보보호 시장은 정보보호업체의 수익이 악화되고 돈이 안 되니 우수인력이 정보 보호 산업에서 일하길 기피하고, 당연히 제품경쟁력은 저하되고, 사이버위협 대응능력은 더욱 약화되는 악순환(惡循環)이 생겨났습니다. 이런 상황을 개선하기 위해 정부가 나서서 정보보호서비스의 대가를 지원하게 된 것입니다.

이를 통해 정보보호 서비스의 필요성에 대한 인식이 높아지고 그에 마땅한 대가를 지불하는 문화가 정착되며 정보보호 시장의 악순환이 개선되는 효과를 기대하고 있습니다.

지금까지 K-ICT 시큐리티 전략 중 3가지를 뽑아 소개해드렸는데요. 어떠셨나요? 멀게만 느껴졌던 정보보호와 ICT가 조금은 가까워지셨나요? 대한민국의 미래가 ICT에 달렸고 ICT의 성공과 경쟁력은 정보보호에 달렸기 때문에, 정보보호에 대한 정부의 적극적인 투자와 육성이 중요한 시점이라고 생각합니다. 더불어 국민 모두의 참여와 함께 우리나라가 이번 시큐리티 발전전략>을 통하여 정보 보안 강국으로 거듭날 수 있기를 기대합니다.

글

그림