사이버보안

인터넷 불법 다운로드보다 합법적 다운로드가 더 위험하다.

김 경 신

공학박사/청강문화산업대학교 교수/모바일보안 전공

010-8830-5866

(저자소개는 문서 하단에)

올해 초, 프랑스에서 조사하여 발표한 것처럼, 인터넷 사용자의 절반이 저자의 동의 없이 불법 다운로드를 받는 것으로 알려져 있다. 사이버 범죄 측면에서 볼 때, 이러한 불법 다운로드가 심각한 문제를 발생시킨다는 것은 더 이상 재론의 여지가 없다고 본다.

그러나 불법 다운로드보다 더 위험한 것은, 합법적 다운로드라는 것을 알아야 한다. 인터넷에 유포되는 자료중에서 합법적으로 다운로드가 가능한 소프트웨어를 쉐어웨어(Shareware) 또는 프리웨어(Freeware) 라고 부른다.

쉐어웨어는 자유롭게 사용하거나 복사할 수 있지만 일정기간 뒤에는 구매를 해야하는 자료를 말하고, 프리웨어는 제작사가 누구나 무료로 사용하게 하는 것에 동의한 공개 소프트웨어를 말한다.

우리가 가장 빈번하게 사용하는 유틸리티 프로그램들이 거의 모두 여기에 포함된다. 예컨대, 음악을 듣거나, 영화를 보거나, 파일 압축을 하거나 인터넷 문서를 보는 일 등을 말한다.

이러한 프로그램 자체에 위험이 내포되어 있다는 것은 아니다. 이러한 프로그램은 그 기능을 계속 보완하고 에러를 수정해야 하기 때문에 수시로 버전업그레이드가 일어나게 되고 그렇기 때문에 사용자는 수시로 인터넷을 통하여 프로그램 업데이트를 받아야한다. 이 업데이트 과정에서 악의적 역할을 수행하는 악성코드가 침투할 가능성이 높기 때문이다.

사실, 다운로드 받은 프로그램을 가정용이나 개인적인 용도로만 사용한다면 보안상의 위협이 될 수는 없다. 문제는 가정에서 쉐어웨어나 프리웨어를 다운받아 합법적으로 사용할 수 있는 일반 사용자들이 출근을 하면 바로 국방, 교육, 치안, 금융망 등 국가 기간망이나 기업망, 공공망에 접속하는 사용자로 변할 수 있기 때문이다.

올해 7월, 무려 3500만건의 아이디와 비밀번호가 유출된 사이버 보안 사건도 이러한 합법적인 유틸리티 프로그램의 업데이트 다운로드에서 시작되었다는 것을 잊어서는 안된다.

이 문제의 해법은 간단하나 실행이 만만치 않다. 사실 현행법이나 프로그램의 배포에 관한 권리에도 이 문제가 명확하게 명시되어있다. 일반사용자에게 무료로 사용하게끔 허가되어있는 프리웨어나 쉐어웨어도 기업이나 기관에서 사용할 경우 불법으로 간주되기 때문이다.

결론적으로, 개인이 다운로드한 프로그램을 가정이나 개인적 공간을 벗어난 곳에서 사용하면 안 된다는 인식의 변화가 요구된다. 특히 악의적 해커는 이러한 합법적 프로그램의 다운로드 과정을 노리고 있다는 것을 유념하여 개인과 개인을 통한 다운로드는 지양하고 반드시 신뢰할 만한 프로그램 제작사의 업데이트 서버만을 사용해야하며, 기업이나 기관에서도 프리웨어의 사용을 원천적으로 금지해야 한다.

저자소개

김경신 010-8830-5866 update@ck.ac.kr

공학박사 / 청강문화산업대학교 교수 / 모바일보안 전공

국방정보체계분야에서 육군 소령으로 근무

새로운 장교양성기관 - 대학 <군사학과>에 바란다.

김 경 신

공학박사/교수/보안 전공

010-8830-5866

(저자소개는 페이지 하단에)

장교가 되는 과정에 있는 학생을 생도 혹은 후보생이라고 부른다. 이 예비 장교들이 훈련을 시작하면서 무조건 달달달 암기해야 하는 것이 있다. <장교의 책무> 라는 것이다. 이것은 흡사 교회에서 세례를 받으려는 사람들이 주기도문과 사도신경을 외우고, 절에 다니는 사람이 <반야심경>을 암송하는 것과 비슷하다. 장교의 책무는 장교로서 필요한 덕목을 나열한 것으로 지식, 기술, 인격, 솔선수범, 권위, 통찰력 등을 가져야 한다는 내용이다.

이러한 덕목이 필요치 않은 사람이 어디 있으랴?

그러나 적게는 소위 계급장을 달고 같은 또래 40여명의 혈기 왕성하고 다양한 성격을 가진 병사들을 지휘하는 것부터, 많게는 수천~수만 명의 생명을 책임지게 될 장교들에게는 그 어느 보다도 더 이러한 덕목들을 가슴깊이 새겨야하기 때문이다.

요즘 기사를 보면 국방개혁이나 각종 군 관련 공청회에서 빠지지 않고 등장하는 메뉴가 있다. 바로 <초급장교의 자질> 이다.

그러나 생각해보면 수시로 등장하던 단골메뉴가 이 초급장교 자질론일 것이다. 필자가 소위로 임관했던 1980년대에도 초급장교의 자질과 관련된 무수히 많은 이야기가 있었던 것으로 기억된다. <연약한 초급장교>, <인내심 없는 초급장교> 등등, 지금과 차이가 별로 없어 보인다.

현재 임관되는 장교양성코스는 3개 사관학교 이외에도 ROTC와 학사, 3사 등이 있고 이것과 별도로 각 군에서 협약에 의해 설치한 <군사학과> 과정이 있다. 육군과 해군은 현재 9개의 대학에 군사학과를 설치하여 장교양성과정을 운용하고 있다.

이러한 <군사학과> 라는 제도는 최근에 생긴 제도로서 기존의 장교양성시스템과는 다르게, 대학 4년 동안 군사학을 전공으로 공부를 하고 임관되는 장교양성 제도이다. 즉, 군사학전공의 장교를 배출하게 되는 것이다.

군사학은, 전술학, 화기학, 참모학으로 구성되며, 장교로서 갖추어야할 지식과 자세 그리고 지휘능력을 함양하는 학문으로 정의할 수 있다.

70년대 이후 각종 양성기관이 배출한 장교 중에 전공이 군사학이었던 사람을 만나본 적이 없다. 이 점이 이제부터 배출되는 <군사학과> 출신 장교에게 국민들이 기대를 거는 이유이기도 하다.

<군사학과>가 설치된 대학에서 장교를 양성할 때 중요시해야 할 것이 있다.

첫 번째로 능력과 자질이다.

이스라엘의 경우, 사관학교와 같은 장교양성기관이 존재하지 않는다. 장교는 병사 중에서 자질과 능력을 기준으로 선발한다. 그렇게 때문에 위계질서나, 항명, 불복종, 리더십부재 등과 같은 장교의 자질이 문제가 될 수 없다. 누구나 동등하게 병사로 근무를 하게 되고, 그중에서 남보다 더 우수한 사람이 장교가 되기 때문이다. 능력과 자질이 남보다 우수한 사람이 장교가 된다면 아무 문제가 없다.

두번째는 대학 4년간의 커리큘럼을 작성할 때, 장교의 임무를 수행할 수 있는 전공지식, 그리고 과학화된 전쟁수행시스템인 C4I체계를 관주하는 지적능력을 갖출 수 있도록 계획해야한다.

세 번째로, 학생들의 부전공을 보장해야 한다. 전공이 <군사학>이므로 사회와의 소통이나 차후의 진로를 위해 본인이 원하는 적절한 부전공을 수학하게 하여 주어진 임기 이후의 생활을 보장해 주어야 한다.

<군사학과> 출신 장교에게 4년동안, 위에 기술한 세가지를 중심으로 강한 체력과 우수한 자질을 가진 장교로 양성한다면 우리의 국방은 지금보다 더 강해질 것으로 본다.

저자소개

김경신 010-8830-5866 update@ck.ac.kr

공학박사 / 청강문화산업대학 교수 / 모바일보안 전공

국방정보체계분야에서 육군 소령으로 근무

다음은 <곰플레이어>나 <아드레날린>같은 동영상 플레이어 차례다

불법다운로드가 모든 사이버 범죄의 근원이다.

김 경 신

공학박사/청강문화산업대학 교수/모바일보안 전공

(저자소개는 페이지 하단에)

디도스 공격, 농협서버 다운사건 등 사이버범죄가 기승을 부리고 있다. 최근에는 이스트소프트 알집 해킹사건으로 전 국민의 73%(2010. 5월 기준 인구 4,800만명)에 해당하는 3,500만건의 아이디, 비밀번호와 같은 신상정보가 노출되는 대형 보안사고가 일어났다. 이것은 인터넷 사용 인구를 인구의 50%로 가정했을 때, 우리나라 인터넷사용자 전체의 신상정보가 유출되었다고 생각해도 무리가 없는 수치이다.

대형사고 이후 유사범죄가 뒤따르듯이, 다음은 곰플레이어, 미디어플레이어, 알쇼, 그리고 아드레날린 등과 같은 영화를 재생하는 동영상 소프트웨어를 대상으로 한 해킹시도가 예상된다.

한국영화 1,000만시대가 열린지 오래고, 연일 우수한 한국영화가 제작되고 있지만, 우리국민 대다수는 곰플레이어나 아드레날린 등의 프로그램을 이용하여 PC에서 영화를 본 경험을 가지고 있을 것이다.

몇 달 전 프랑스 <르 피가로>지에 프랑스사람 2,687명을 대상으로 한 흥미로운 조사결과가 발표되었었다. 정부기구인 <아도피>의 조사결과 프랑스 인터넷사용자의 49%가 영화와 음악을 불법다운로드 받는 것으로 조사되었고, 이중 3분의 1은 향후에도 이러한 불법행위를 계속하려는 의지를 가지고 있다는 보도였다. 우리나라의 경우, 이런 분야의 자세한 발표 자료는 없지만, 프랑스의 수치보다 낮지는 않을 것으로 생각된다. 이렇게 볼 때 불법적 공격을 하는 해커나 해커그룹의 다음 목표는 인터넷에서 불법으로 다운로드받은 영화를 보게 해주는 곰플레이어나 아드레날린 같은 소프트웨어라고 볼 수 있다.

특히나 동영상 재상 소프트웨어는 알집이나 알툴즈처럼 전 국민이 사용하는 소프트웨어이면서도, 그것보다 더 자주 사용자 업데이트가 필요하다는데 문제가 있다.

영화나 음악 등의 멀티미디어를 재생하려면 코덱이라는 일종의 프로그램을 사용하는데, 이 코덱은 영화나 음악 등의 멀티미디어 파일을 만들거나 재생하는데 필요한 압축 표준형식을 말한다. 이것이 일치하지 않으면 영화와 음악 같은 동영상이 제대로 동작하지 않는다.

그렇기 때문에 이 코덱이라는 프로그램은, 수시로 업데이트가 필요 하다는 메시지가 뜨게 되고, 사용자 대부분이 아무 생각 없이 업데이트 버튼을 누르게 되는 것이다.

이때, 업데이트 프로그램을 가장한 악성코드가 유입될 가능성이 크다. 이것은 특정기관을 목표로 치밀하면서도 지속적으로 타겟공격을 실시하거나, 디도스 또는 범법적 행위를 원격제어하는 좀비PC 코드일 수 도 있고, 이번 SK커뮤니케이션즈의 경우처럼 회원의 신상정보를 노리는 코드일 수 도 있다.

대다수의 보안관련 범죄가 그렇듯이, 이 경우도 대비책은 간단하지만 쉬운 일이 아니다. 우선 해당 프로그램의 제작사에서는 자체 프로그램과 데이터베이스 그리고 전반적인 보안시스템의 모니터링을 자동화 할 수 있는 툴을 개발하여 프로그램서버나 업데이트서버의 기능을 감시하여야 한다. 사회적으로도, 인터넷 불법다운로드는 범죄라는 공동인식을 위한 캠페인이나 지속적인 개인 사이버 윤리의식 교육 등을 통하여 건전한 국가 사이버시스템이 우리 개인에게 안전과 이익이라는 인식을 제고시켜야 한다.

저자소개

공학박사 / 청강문화산업대학 교수 / 모바일보안 전공

국방정보체계분야에서 육군 소령으로 근무(1986-2000)

조선 pdf.pdf

사이버 양병論, 사이버전사 양성의 구체적 비젼

2011. 6. 7

청강문화산업대학 김경신교수(모바일보안 전공)

(저자소개는 마지막 페이지)

지난 5월 6일자 기고(북의 사이버침략 깨뜨릴 ‘사이버 양병론’)에서는 사이버 테러의 위험성과 사이버전력이 단순한 해킹이 아닌 가공할 파괴력을 지닌 무기체계라고 규정하였고, 또한 그 대비책으로 사이버전사를 양성할 방법에 관하여 간단하게 언급하였다.

여기서는, 사이버전사를 양성하는 구체적 방법에 관하여 논하고자 한다.

일반인들이 통상 생각하는 것처럼, 컴퓨터보안을 담당하는 사이버전사는 SF나 범죄수사 영화에서 그려지는 것처럼 천재적 두뇌와 신출귀몰의 능력을 가질 필요는 없다. 단지, 컴퓨터와 네트워크관련 지식을 가지고 주어진 절차에 따라 성실하게 일을 수행할 수 있는 깨끗한 양심의 소유자면 된다.

먼저, 사이버전사 양성 마스터플랜을 수립하고, 인증기관에서 사이버전사를 양성하게 하여 군과 국가사이버기관 등에서 병역의무를 수행하도록 하고, 향후 인증된 보안 전문가로 활동하게 해야 한다.

그러나 앞에서 말한 것처럼 우리에게 그렇게 많은 시간이 주어진 것은 아니다. 치밀하고 신속하게 다음과 같은 절차를 가지고 준비해야 한다.

첫째 사이버전사 양성과 그들의 의무적 채용 및 활용에 관한 표준 매뉴얼을 신설하거나 정비하여야한다. 예를 들면 사이버전사 양성기관으로 인증받기 위해서는 어떠한 학과 또는 전공이어야 하고, 교과과정을 어떻게 편성되어야하며, 실습장비 확보율 등은 어떠해야한다는 것을 규정해야 한다.

또한 운용하고 있는 서버급 전산기당 의무적으로 고용해야할 사이버전사의 숫자와 방화벽(Fire Wall)과 같은 필수 보안장비의 확충에 투자할 최소비용 등도 규정해야 한다. 실제로 2010년 기준 국내 은행의 IT보안 예산은 3.4%이고, IT 인력 중 보안 전담 인력도 2.9%라는 조사결과가 있었다. 최소 10%까지는 확대해야한다.

둘째, 사이버전사 양성기관 인증과 양성에 관한 매뉴얼이 완성되면 가장 적절한 양성기관을 선정해야한다. 북한의 해커인력이 최고 약 3만 명이라는 보도가 있다. 이에 따라 1단계로 2015년까지 1만 명의 사이버전사를 배출할 수 있는 기관을 선정하는 것이 적절할 듯하다.

선정된 사이버전사 양성기관에는 폭넓은 재정지원을 통해 양질의 교육이 이루어지게 해야 하고, 이러한 양성기관의 졸업생은 본인이 원할시 전원 사이버사령부나 국가주요 기관의 사이버전사로 병역의무를 다할 수 있도록 관련기관 협조가 선행되어야 한다.

셋째, 행정과 법 그리고 관리감독 체계를 확립해야한다.

법과 규정을 보완하여 완벽한 보안관련 기반을 확보해주고, 지속적인 모니터링을 실시해야한다. 그래서 사이버전사 양성기관은 필요한 법과 지식 그리고 도덕성을 지닌 사이버전사를 양성하게하고, 주요 국가기관에서는 이들을 의무적으로 채용하여 사이버침략에 대비하고 있는가를 철저히 확인감독 해야 한다.

넷째, 이 모든 것을 기획하고 확인 감독하는 총괄기관이 있어야한다.

현재와 같이 각종 사이버보안관련 기관이 분산되어 있는 경우, 신속한 대응과 확인감독이 어렵다. 인력양성에서부터 그 인력의 활용까지 전 과정을 감독할 총괄기관으로는 조선일보 5월5일자 사외칼럼 김석주교수의 의견처럼 청와대 또는 특정 정부부서 소속으로 사이버보안컨트롤 타워를 두는 것이 적절할 것이다.

이상과 같이, 관련 매뉴얼 작성, 사이버전사의 양성과 활용 그리고 보안 총괄기관에 의한 철저한 확인감독으로 구성되어진 사이버전사 양성 시스템을 구축하는 것만이 북한이나 또 다른 적대적 집단의 사이버 침략에 대한 최소한의 준비라고 생각된다.

저자소개

공학박사

청강문화산업대학 교수(모바일보안전공)

육군소령으로 국방 정보체계 분야에서 근무하다가 전역

주요관심분야: 보안, 네트워크, 역사, 군사과학, 그리고 이들의 융합

김경신-조선일보-사설게재 2011-6-14.pdf

김경신-조선일보-사설게재 2011-5-6.pdf

지난 4월 12일 오후 농협 주전산소는 인터넷을 통한 원격제어 방식의 공격을 받아 총 587대의 서버 중 273대가 초토화됐다. 금번 농협 사이버 테러를 보면서 많은 국민들은 ‘정부가 아직도 소를 잃고도 외양간을 고치지 않는 어리석음을 되풀이하고 있지 않나?’ 하는 우려를 금치 못한다. 우리에게 사이버 테러에 대비한 조직이 없는 것도 아니었다. 현재 국방부 정보본부 산하에는 사이버사령부가 있고, 경찰청의 사이버테러대응센터, 국가정보원과 국가사이버안전센터 등이 있다. 특히 국가사이버안전센터에는 우리나라 최고의 정보보안연구소가 참여하는 등 여러 유관기관의 최고 보안인력으로 구성되어 있다. 그럼에도 또 당했다.

최근의 여러 보안사고의 처리 과정에서 본 것처럼, 이번에도 기본적인 보안대비가 미흡했다는 상식적인 지적과 약간의 조직 보완 만으로 사건이 무마돼서는 안된다. 이 사건이 정말로 북한의 소행이든, 또 다른 악의적 집단의 소행이든, 이번 기회에 국가적 사이버테러 재발방지에 관한 심각한 논의가 이뤄져야 한다. 현대전에서 사이버전력의 중요성은 앞으로 몇 배, 몇 십배 더 강조될 것이다. 사이버공격을 주요기관의 시스템을 고장내거나 중요 데이터 삭제 또는 은행 돈을 노리는 단순 해킹으로 국한하면 큰 오산이다.

선진국들이 보유하고 있는 사이버미사일로 불리는 스턱스넷과 EMP(전자폭탄)처럼 사이버 전력은 현재 우리 군이 사용하고 있는 총, 포, 기갑, 유도무기 등 고전적 유형의 무기들을 순식간에 무용지물화 할 수 있는 하이테크 공격용 무기로 분류해야 한다. 그럼 우린 어떤 대비를 해야 할까?

우선 사이버 침략에 대비할 인력양성이 급선무다. 하지만 우리에게 주어진 시간은 많지 않다. 그래서 대학을 활용했으면 한다. 현재 국내 총 300여 대학 중에는 다수의 보안관련 학과가 있다. 필요하면 관련학과를 신설하고 우수한 학과는 적극 지원해 인력을 키워야 한다. 그것도 획기적으로 폭넓게 지원해, 젊은 인재들이 첨단 사이버보안 분야에 모일 수 있게 해야 한다. 더불어 사이버 보안의 개념도 바꿔현행 ‘방호’나 ‘대응’에 국한해선 안된다. ‘예방’ 그리고 필요땐 ‘공격’의 적극적 차원으로 바꿔야 한다. 또 다시 우리 주요기관의 시스템에서 악의에 찬 해커들이 돌아다니게 해선 안된다. ‘IT 강국’ 대한민국은 사이버전력도 최강이어야 한다.