사이버보안

새로운 장교양성기관 - 대학 <군사학과>에 바란다.

김 경 신

공학박사/교수/보안 전공

010-8830-5866

(저자소개는 페이지 하단에)

장교가 되는 과정에 있는 학생을 생도 혹은 후보생이라고 부른다. 이 예비 장교들이 훈련을 시작하면서 무조건 달달달 암기해야 하는 것이 있다. <장교의 책무> 라는 것이다. 이것은 흡사 교회에서 세례를 받으려는 사람들이 주기도문과 사도신경을 외우고, 절에 다니는 사람이 <반야심경>을 암송하는 것과 비슷하다. 장교의 책무는 장교로서 필요한 덕목을 나열한 것으로 지식, 기술, 인격, 솔선수범, 권위, 통찰력 등을 가져야 한다는 내용이다.

이러한 덕목이 필요치 않은 사람이 어디 있으랴?

그러나 적게는 소위 계급장을 달고 같은 또래 40여명의 혈기 왕성하고 다양한 성격을 가진 병사들을 지휘하는 것부터, 많게는 수천~수만 명의 생명을 책임지게 될 장교들에게는 그 어느 보다도 더 이러한 덕목들을 가슴깊이 새겨야하기 때문이다.

요즘 기사를 보면 국방개혁이나 각종 군 관련 공청회에서 빠지지 않고 등장하는 메뉴가 있다. 바로 <초급장교의 자질> 이다.

그러나 생각해보면 수시로 등장하던 단골메뉴가 이 초급장교 자질론일 것이다. 필자가 소위로 임관했던 1980년대에도 초급장교의 자질과 관련된 무수히 많은 이야기가 있었던 것으로 기억된다. <연약한 초급장교>, <인내심 없는 초급장교> 등등, 지금과 차이가 별로 없어 보인다.

현재 임관되는 장교양성코스는 3개 사관학교 이외에도 ROTC와 학사, 3사 등이 있고 이것과 별도로 각 군에서 협약에 의해 설치한 <군사학과> 과정이 있다. 육군과 해군은 현재 9개의 대학에 군사학과를 설치하여 장교양성과정을 운용하고 있다.

이러한 <군사학과> 라는 제도는 최근에 생긴 제도로서 기존의 장교양성시스템과는 다르게, 대학 4년 동안 군사학을 전공으로 공부를 하고 임관되는 장교양성 제도이다. 즉, 군사학전공의 장교를 배출하게 되는 것이다.

군사학은, 전술학, 화기학, 참모학으로 구성되며, 장교로서 갖추어야할 지식과 자세 그리고 지휘능력을 함양하는 학문으로 정의할 수 있다.

70년대 이후 각종 양성기관이 배출한 장교 중에 전공이 군사학이었던 사람을 만나본 적이 없다. 이 점이 이제부터 배출되는 <군사학과> 출신 장교에게 국민들이 기대를 거는 이유이기도 하다.

<군사학과>가 설치된 대학에서 장교를 양성할 때 중요시해야 할 것이 있다.

첫 번째로 능력과 자질이다.

이스라엘의 경우, 사관학교와 같은 장교양성기관이 존재하지 않는다. 장교는 병사 중에서 자질과 능력을 기준으로 선발한다. 그렇게 때문에 위계질서나, 항명, 불복종, 리더십부재 등과 같은 장교의 자질이 문제가 될 수 없다. 누구나 동등하게 병사로 근무를 하게 되고, 그중에서 남보다 더 우수한 사람이 장교가 되기 때문이다. 능력과 자질이 남보다 우수한 사람이 장교가 된다면 아무 문제가 없다.

두번째는 대학 4년간의 커리큘럼을 작성할 때, 장교의 임무를 수행할 수 있는 전공지식, 그리고 과학화된 전쟁수행시스템인 C4I체계를 관주하는 지적능력을 갖출 수 있도록 계획해야한다.

세 번째로, 학생들의 부전공을 보장해야 한다. 전공이 <군사학>이므로 사회와의 소통이나 차후의 진로를 위해 본인이 원하는 적절한 부전공을 수학하게 하여 주어진 임기 이후의 생활을 보장해 주어야 한다.

<군사학과> 출신 장교에게 4년동안, 위에 기술한 세가지를 중심으로 강한 체력과 우수한 자질을 가진 장교로 양성한다면 우리의 국방은 지금보다 더 강해질 것으로 본다.

저자소개

김경신 010-8830-5866 update@ck.ac.kr

공학박사 / 청강문화산업대학 교수 / 모바일보안 전공

국방정보체계분야에서 육군 소령으로 근무

다음은 <곰플레이어>나 <아드레날린>같은 동영상 플레이어 차례다

불법다운로드가 모든 사이버 범죄의 근원이다.

김 경 신

공학박사/청강문화산업대학 교수/모바일보안 전공

(저자소개는 페이지 하단에)

디도스 공격, 농협서버 다운사건 등 사이버범죄가 기승을 부리고 있다. 최근에는 이스트소프트 알집 해킹사건으로 전 국민의 73%(2010. 5월 기준 인구 4,800만명)에 해당하는 3,500만건의 아이디, 비밀번호와 같은 신상정보가 노출되는 대형 보안사고가 일어났다. 이것은 인터넷 사용 인구를 인구의 50%로 가정했을 때, 우리나라 인터넷사용자 전체의 신상정보가 유출되었다고 생각해도 무리가 없는 수치이다.

대형사고 이후 유사범죄가 뒤따르듯이, 다음은 곰플레이어, 미디어플레이어, 알쇼, 그리고 아드레날린 등과 같은 영화를 재생하는 동영상 소프트웨어를 대상으로 한 해킹시도가 예상된다.

한국영화 1,000만시대가 열린지 오래고, 연일 우수한 한국영화가 제작되고 있지만, 우리국민 대다수는 곰플레이어나 아드레날린 등의 프로그램을 이용하여 PC에서 영화를 본 경험을 가지고 있을 것이다.

몇 달 전 프랑스 <르 피가로>지에 프랑스사람 2,687명을 대상으로 한 흥미로운 조사결과가 발표되었었다. 정부기구인 <아도피>의 조사결과 프랑스 인터넷사용자의 49%가 영화와 음악을 불법다운로드 받는 것으로 조사되었고, 이중 3분의 1은 향후에도 이러한 불법행위를 계속하려는 의지를 가지고 있다는 보도였다. 우리나라의 경우, 이런 분야의 자세한 발표 자료는 없지만, 프랑스의 수치보다 낮지는 않을 것으로 생각된다. 이렇게 볼 때 불법적 공격을 하는 해커나 해커그룹의 다음 목표는 인터넷에서 불법으로 다운로드받은 영화를 보게 해주는 곰플레이어나 아드레날린 같은 소프트웨어라고 볼 수 있다.

특히나 동영상 재상 소프트웨어는 알집이나 알툴즈처럼 전 국민이 사용하는 소프트웨어이면서도, 그것보다 더 자주 사용자 업데이트가 필요하다는데 문제가 있다.

영화나 음악 등의 멀티미디어를 재생하려면 코덱이라는 일종의 프로그램을 사용하는데, 이 코덱은 영화나 음악 등의 멀티미디어 파일을 만들거나 재생하는데 필요한 압축 표준형식을 말한다. 이것이 일치하지 않으면 영화와 음악 같은 동영상이 제대로 동작하지 않는다.

그렇기 때문에 이 코덱이라는 프로그램은, 수시로 업데이트가 필요 하다는 메시지가 뜨게 되고, 사용자 대부분이 아무 생각 없이 업데이트 버튼을 누르게 되는 것이다.

이때, 업데이트 프로그램을 가장한 악성코드가 유입될 가능성이 크다. 이것은 특정기관을 목표로 치밀하면서도 지속적으로 타겟공격을 실시하거나, 디도스 또는 범법적 행위를 원격제어하는 좀비PC 코드일 수 도 있고, 이번 SK커뮤니케이션즈의 경우처럼 회원의 신상정보를 노리는 코드일 수 도 있다.

대다수의 보안관련 범죄가 그렇듯이, 이 경우도 대비책은 간단하지만 쉬운 일이 아니다. 우선 해당 프로그램의 제작사에서는 자체 프로그램과 데이터베이스 그리고 전반적인 보안시스템의 모니터링을 자동화 할 수 있는 툴을 개발하여 프로그램서버나 업데이트서버의 기능을 감시하여야 한다. 사회적으로도, 인터넷 불법다운로드는 범죄라는 공동인식을 위한 캠페인이나 지속적인 개인 사이버 윤리의식 교육 등을 통하여 건전한 국가 사이버시스템이 우리 개인에게 안전과 이익이라는 인식을 제고시켜야 한다.

저자소개

공학박사 / 청강문화산업대학 교수 / 모바일보안 전공

국방정보체계분야에서 육군 소령으로 근무(1986-2000)

조선 pdf.pdf

사이버 양병論, 사이버전사 양성의 구체적 비젼

2011. 6. 7

청강문화산업대학 김경신교수(모바일보안 전공)

(저자소개는 마지막 페이지)

지난 5월 6일자 기고(북의 사이버침략 깨뜨릴 ‘사이버 양병론’)에서는 사이버 테러의 위험성과 사이버전력이 단순한 해킹이 아닌 가공할 파괴력을 지닌 무기체계라고 규정하였고, 또한 그 대비책으로 사이버전사를 양성할 방법에 관하여 간단하게 언급하였다.

여기서는, 사이버전사를 양성하는 구체적 방법에 관하여 논하고자 한다.

일반인들이 통상 생각하는 것처럼, 컴퓨터보안을 담당하는 사이버전사는 SF나 범죄수사 영화에서 그려지는 것처럼 천재적 두뇌와 신출귀몰의 능력을 가질 필요는 없다. 단지, 컴퓨터와 네트워크관련 지식을 가지고 주어진 절차에 따라 성실하게 일을 수행할 수 있는 깨끗한 양심의 소유자면 된다.

먼저, 사이버전사 양성 마스터플랜을 수립하고, 인증기관에서 사이버전사를 양성하게 하여 군과 국가사이버기관 등에서 병역의무를 수행하도록 하고, 향후 인증된 보안 전문가로 활동하게 해야 한다.

그러나 앞에서 말한 것처럼 우리에게 그렇게 많은 시간이 주어진 것은 아니다. 치밀하고 신속하게 다음과 같은 절차를 가지고 준비해야 한다.

첫째 사이버전사 양성과 그들의 의무적 채용 및 활용에 관한 표준 매뉴얼을 신설하거나 정비하여야한다. 예를 들면 사이버전사 양성기관으로 인증받기 위해서는 어떠한 학과 또는 전공이어야 하고, 교과과정을 어떻게 편성되어야하며, 실습장비 확보율 등은 어떠해야한다는 것을 규정해야 한다.

또한 운용하고 있는 서버급 전산기당 의무적으로 고용해야할 사이버전사의 숫자와 방화벽(Fire Wall)과 같은 필수 보안장비의 확충에 투자할 최소비용 등도 규정해야 한다. 실제로 2010년 기준 국내 은행의 IT보안 예산은 3.4%이고, IT 인력 중 보안 전담 인력도 2.9%라는 조사결과가 있었다. 최소 10%까지는 확대해야한다.

둘째, 사이버전사 양성기관 인증과 양성에 관한 매뉴얼이 완성되면 가장 적절한 양성기관을 선정해야한다. 북한의 해커인력이 최고 약 3만 명이라는 보도가 있다. 이에 따라 1단계로 2015년까지 1만 명의 사이버전사를 배출할 수 있는 기관을 선정하는 것이 적절할 듯하다.

선정된 사이버전사 양성기관에는 폭넓은 재정지원을 통해 양질의 교육이 이루어지게 해야 하고, 이러한 양성기관의 졸업생은 본인이 원할시 전원 사이버사령부나 국가주요 기관의 사이버전사로 병역의무를 다할 수 있도록 관련기관 협조가 선행되어야 한다.

셋째, 행정과 법 그리고 관리감독 체계를 확립해야한다.

법과 규정을 보완하여 완벽한 보안관련 기반을 확보해주고, 지속적인 모니터링을 실시해야한다. 그래서 사이버전사 양성기관은 필요한 법과 지식 그리고 도덕성을 지닌 사이버전사를 양성하게하고, 주요 국가기관에서는 이들을 의무적으로 채용하여 사이버침략에 대비하고 있는가를 철저히 확인감독 해야 한다.

넷째, 이 모든 것을 기획하고 확인 감독하는 총괄기관이 있어야한다.

현재와 같이 각종 사이버보안관련 기관이 분산되어 있는 경우, 신속한 대응과 확인감독이 어렵다. 인력양성에서부터 그 인력의 활용까지 전 과정을 감독할 총괄기관으로는 조선일보 5월5일자 사외칼럼 김석주교수의 의견처럼 청와대 또는 특정 정부부서 소속으로 사이버보안컨트롤 타워를 두는 것이 적절할 것이다.

이상과 같이, 관련 매뉴얼 작성, 사이버전사의 양성과 활용 그리고 보안 총괄기관에 의한 철저한 확인감독으로 구성되어진 사이버전사 양성 시스템을 구축하는 것만이 북한이나 또 다른 적대적 집단의 사이버 침략에 대한 최소한의 준비라고 생각된다.

저자소개

공학박사

청강문화산업대학 교수(모바일보안전공)

육군소령으로 국방 정보체계 분야에서 근무하다가 전역

주요관심분야: 보안, 네트워크, 역사, 군사과학, 그리고 이들의 융합

김경신-조선일보-사설게재 2011-6-14.pdf