<포럼>정부의 ‘정보 保安’ 이대론 안 된다

클릭하시면 더 큰이미지를 보실 수 있습니다

이희조 / 고려대 교수·컴퓨터보안

정부가 주민등록번호 대체 수단으로 권장해온 아이핀이 해킹을 당해 지난 2월 28일부터 3월 2일 사이에 75만 건이 부정 발급됐다. 이 해킹 기법은 2006년 LG전자 채용 사이트의 개인 정보 유출과 2014년 KT 개인 정보 1170만 건 유출에 이용돼 잘 알려진 파라미터 위변조(parameter tampering)이다.

이 공격 기법의 동작 원리는 정상적인 인증을 통해 시스템을 한 번 접근한 후에 해당 정보를 반복 이용하면서 웹 변수 조작 등을 하는 것으로, 소프트웨어 설계 시 완전한 매개(complete mediation) 원칙에 따라 입력 값을 점검했다면 나타나지 않았을 것이다.

유사 사건이 다른 여러 시스템에 반복적으로 일어난다는 것은 해킹 기술 트렌드에 대해 시스템 업데이트 속도가 따라가지 못하고 있음을 보여준다. 이는 2014년 4월 윈도 XP 지원 중단에도 산업 제어 시스템과 같은 주요 시스템에 여전히 사용되고 있고, 오는 7월 중단 예정인 윈도 서버 2003은 배포 후 12년이 지났지만, 정부 기관에서도 업데이트 계획을 못 세우고 있는 현실이 잘 말해 준다.

이러한 현상은 소프트웨어 마인드 부족과 소프트웨어 업데이트 관리 문화가 정착되지 않은 데 기인한 것으로 볼 수 있다. 비근한 예로, 정부에서는 소프트웨어 유지·보수 비용을 도입가의 8% 수준에 배정하고 있으나, 선진국은 30%로 책정해 항상 최신의 소프트웨어로 기능 향상과 보안 수준을 높이려는 것과 대조적이다. 이조차도 일괄 발주 시 하도급 형태로 지불하게 되면 소프트웨어 업체에 실제 돌아가는 비용은 4% 수준으로 최소 인력 유지비에도 못 미친다. 현 정부에서는 2017년까지 15% 확대 계획을 가지고 있으나 이는 턱없이 부족하다.

소프트웨어 공학에는 ‘60/60 법칙’이 있다. 소프트웨어 비용의 60%는 유지·보수 비용이며, 유지·보수 비용의 60%는 기능 개선 비용이라는 것이다. 이때, 단지 17%만이 오류 정정을 위한 비용이며, 이는 시스템 도입 이후에 버그 픽스뿐 아니라 기능 향상과 보안성 강화에 들어가는 비용의 비중이 3.5배 이상 많음을 보여준다. 최근의 해킹 사건들은 업데이트되지 않고 보안 관리에 취약한 시스템의 공격으로부터 시작되고 있다는 점에서 소프트웨어 업데이트의 중요성을 잘 나타내준다. 오래된 버전의 소프트웨어는 그만큼 많은 취약점이 내포돼 있다. 보안 수준은 해당 네트워크에 있는 가장 낮은 수준의 시스템 보안으로 결정되듯이, 모든 시스템에는 최신 운영체제, 응용 프로그램, 보안 설정이 돼야 기대하는 전체 네트워크의 보안 수준을 유지할 수 있다.

소프트웨어는 지속적인 건강관리가 필요한 생명체다. 시스템은 지속적으로 관리하지 않으면 현상 유지가 아니라, 해킹 기술이 발달함에 따라 보안 수준이 퇴보하게 된다. 시스템에도 영양을 공급해 주고 백신을 접종해 건강 관리를 해줘야 한다. 정부는 소프트웨어 업데이트 계획을 시스템 개발 단계에서부터 포함시키고, 최신 해킹 기술에 즉각적인 대응을 하기 위해 유지·관리 비용에 인색해선 안 된다. 지금이라도 당장 마이크로소프트사의 윈도를 포함한 주요 소프트웨어에 대해 모든 부처의 현황을 파악하여 해당 회사와 협상을 통해 업데이트 전략을 세워 비용·효과를 최대화해야 한다.

최신 소프트웨어로 구동되는 시스템의 해킹은 어려워지는 만큼, 대한민국의 사이버 안보는 현재 사용 중인 시스템 업데이트에서부터 시작해야 한다.