“보안극장에 갇힌 한국”…김승주 교수 “망분리·인증제도 전면 재검토해야” 작성일 10-15 45 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">김승주 고려대 교수, 이데일리 서소문라운지 강연<br>“해킹 사고, 기업보다 정부가 더 심각”<br>정부 컴퓨터 시스템 전수 조사 해야<br>“망 분리, ISMS-P 인증...안전하다는 착각”<br>데이터 보호와 활용 동시에 추구해야</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="pCBClrJqwi"> <p contents-hash="390de4fb2a161f230cb34be3a69dfd244d4c7df6862457b9f053d08e28102b4d" dmcf-pid="UhbhSmiBsJ" dmcf-ptype="general"> [이데일리 윤정훈 기자]한국이 ‘해킹 공화국’이라는 오명을 벗기 위해서는 시대착오적인 망분리 정책과 보여주기식 보안 제도를 근본부터 바꿔야 한다는 지적이 제기됐다.</p> <p contents-hash="bb4212a128b0dc019471d9d78172ebc929218c5b60a19ef84161adc7a50344d7" dmcf-pid="ulKlvsnbId" dmcf-ptype="general">보안 전문가 김승주 고려대 정보보호대학원 교수는 15일 오전 서울 중구 더플라자호텔에서 열린 ‘이데일리 서소문라운지’ 강연에서 “최근 해킹 사고는 기업뿐 아니라 정부까지 전방위적으로 뚫리고 있다”며 “국민에게 안전하다는 착각만 심어주는 ‘시큐리티 시어터(Security Theater·보안극장 효과)’에 빠져 있다”고 지적했다.</p> <figure class="figure_frm origin_fig" contents-hash="c6b2b603a8ce6fac6d7b6b4d8550831c69146667cb135953192b15700ea159a2" dmcf-pid="7Y8YHSj4De" dmcf-ptype="figure"> <p class="link_figure"><img alt="김승주 고려대 정보보호대학원 교수" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202510/15/Edaily/20251015143554916eoee.jpg" data-org-width="374" dmcf-mid="07fyYhaVIn" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202510/15/Edaily/20251015143554916eoee.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 김승주 고려대 정보보호대학원 교수 </figcaption> </figure> <div contents-hash="7c61316432073a936500f9d9ff68d09dcc4b1595b3ddb151666fa4c5d45faec0" dmcf-pid="zG6GXvA8rR" dmcf-ptype="general"> <strong>“보안 프로그램, 인증제도는 기본일뿐...안전 보장 못해줘”</strong> </div> <p contents-hash="27b8b5a790d09c7fcaaa6ee45195244ba14f510e410a77c6df978d01966840f0" dmcf-pid="qHPHZTc6rM" dmcf-ptype="general">김 교수는 한국의 보안 체계가 ‘안전하다는 착각’을 심어주는 정책들로 인해 오히려 취약해졌다고 지적하며, 대표적인 문제로 네 가지를 꼽았다.</p> <p contents-hash="4e576c1f9558a8a81284d4c611b73034ea1af5f647d283883290bc9d3cef6d9a" dmcf-pid="BXQX5ykPrx" dmcf-ptype="general">첫째는 시대착오적 망분리 정책이다. 그는 “2006년부터 시행된 획일적 망분리 제도는 인공지능(AI), 클라우드, 원격근무를 불가능하게 만들어 생산성을 떨어뜨린다”고 비판했다. 이어 “코로나19 이후 재택근무 확산으로 외부 연결이 늘어나면서, SKT 해킹 사례처럼 폐쇄망이 외부 공격에 뚫릴 경우 오히려 내부 전파 속도가 더 빨라지는 취약점이 드러났다”고 설명했다.</p> <p contents-hash="9fe83bc8ba8e2a7e6ebeb17e89a9eb21f59c79e5a1f40fab6a169a4ee7cd2e70" dmcf-pid="bZxZ1WEQsQ" dmcf-ptype="general">둘째는 강제 설치 보안 프로그램이다. 김 교수는 “금융 서비스 이용 시 의무적으로 설치해야 하는 보안 프로그램이 해킹 통로로 악용될 수 있다”고 경고했다. 고려대·KAIST·성균관대와 보안기업 티오리가 공동 분석한 결과, 국내 주요 기관에서 사용 중인 7종의 금융 보안 프로그램에서 총 19건의 심각한 취약점이 발견됐다고 밝혔다.</p> <p contents-hash="da0f2f17623cb8ae9d6a6669d19ee5f37c0705499a3aac74e6e9043eedd94935" dmcf-pid="K5M5tYDxIP" dmcf-ptype="general">셋째는 부실한 보안 인증 제도다. 그는 “현행 ISMS-P 인증은 완벽한 방어 체계를 보장하지 못하고, 단지 최소한의 관리체계를 갖췄음을 보여주는 수준에 그친다”고 지적했다. 실제로 롯데카드 해킹 사례에서는 “7~8년 전 보안 패치를 적용하지 않았음에도 인증서가 발급되는 등 관리 부실이 드러났다”고 말했다.</p> <p contents-hash="93459f72226e40d06146c7882bdf619fdee5ffae88506a12bc0c309cb31f1da9" dmcf-pid="91R1FGwMm6" dmcf-ptype="general">넷째는 화이트해커를 가로막는 현행법이다. 김 교수는 “국내에서는 화이트해커가 취약점을 신고해도 ‘사실적시 명예훼손’으로 고소당할 수 있고, 기업이 보안 패치를 거부해도 정부가 강제할 방법이 없다”며 제도적 개선의 필요성을 강조했다.</p> <p contents-hash="1d91ef139f4dc6c72c71520c9cd6eedab6520f2aed1bc4ba76a62518f8ffe1fd" dmcf-pid="2tet3HrRO8" dmcf-ptype="general"><strong>민간보다 심각한 공공망…정부 전산망 전면 보사해야</strong></p> <p contents-hash="5258f8225fa7cb4c3ed525a90f85c2d87ff258c5540e5912168b65766bc4a969" dmcf-pid="VNZNAn2XI4" dmcf-ptype="general">그는 “한국의 사이버 위협은 기업뿐 아니라 정부까지 뚫리고 있다”며, 정부 전산망의 전면 조사와 근본적 개편이 필요하다고 지적했다.</p> <p contents-hash="b77a9e7669932968e57bd1a8939efded1654dbb4b66d874e2066d452ad8f217e" dmcf-pid="fj5jcLVZwf" dmcf-ptype="general">그는 최근 공개된 해커들의 ‘프랙(PHRACK) 보고서’를 언급하며 “북한 또는 중국 해커로 추정되는 세력이 행정안전부, 통일부, 외교부, 해양수산부 등 주요 정부 부처를 해킹했다”고 밝혔다. 공무원들이 사용하는 국가 행정 플랫폼 ‘온나라 시스템’이 완전히 뚫려 내부 보고서와 회의록 등이 유출된 정황도 드러났다고 설명했다.</p> <p contents-hash="20acfdf164dd359f0490dbca742e076138ffb0c1dbd9cee217209fef33b44abc" dmcf-pid="4A1Akof5wV" dmcf-ptype="general">김 교수는 “과기정통부가 미국의 ‘트러스티드 인터넷 커넥션(TIC) 3.0’을 벤치마킹해 ‘제로 트러스트(Zero Trust)’ 정책을 추진하려 한다”며 “미국처럼 정부 인터넷 연결 서버 전수조사처럼 단계적 개선이 시급하다”고 강조했다.</p> <p contents-hash="e8cbed5a6a5a1251f772d7adfc3f82a77fd4f6f87cd6c969c4c0aa77bc45a9b8" dmcf-pid="8ctcEg41w2" dmcf-ptype="general">특히 한국이 ‘소버린 AI(자주적 인공지능)’ 시대로 가기 위해선 ‘보호와 활용의 균형’이 필요하다고 조언했다.</p> <p contents-hash="817192c35c8bd2319ce0c0ba2b5cd82504d5c775b8969c4548d27ec250c2c383" dmcf-pid="6kFkDa8tD9" dmcf-ptype="general">그는 “중요한 데이터는 강력히 보호하고, 상대적으로 덜 민감한 데이터는 접근성과 활용성을 높이는 선택과 집중 전략이 필요하다”며 “안전한 클라우드 활용과 데이터 보안 기술에 집중해야 한다”고 말했다.</p> <p contents-hash="1ab72208c992190356a984b2032fafd58eb9b73735630efd433c9596bd9509da" dmcf-pid="PE3EwN6FwK" dmcf-ptype="general">김 교수는 끝으로 국가 안보 차원의 ‘사이버 3축 체계’ 구축을 제안했다. “국방의 미사일 3축 체계처럼 사이버 영역에서도 첩보 수집(인텔리전스)·방어·보복 능력이 모두 필요하다”며, “현재 KISA(한국인터넷진흥원) 등 여러 기관이 있지만, 정보 수집 역량은 해외 해커 몇 명보다 못한 수준”이라고 비판했다. 그는 “국가정보원 등 전문 기관에 권한을 부여하되, 법적 남용을 막는 장치도 함께 마련해야 한다”고 덧붙였다.</p> <p contents-hash="aa648a08423d822c03e7117290a40f5dad22fb54c0b2828eac5d897d725036c7" dmcf-pid="QD0DrjP3Db" dmcf-ptype="general">윤정훈 (yunright@edaily.co.kr) </p> </section> </div> <p class="" data-translation="true">Copyright © 이데일리. 무단전재 및 재배포 금지.</p> 관련자료 이전 대기업 다니는 류승룡, 임원 승진 앞두고 시련 찾아왔다 (김 부장 이야기) 10-15 다음 AWS "AI 에이전트, 스스로 사고·판단하는 팀원으로 자리매김" 10-15 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
