일요주간 - 웹 보안 전문가 박재홍 펜타시큐리티시스템(주) 과장

▲ 펜타시큐리티시스템(주) 박재홍 웹 보안가

최근 들어 부쩍 해킹사건이 기승을 부리고 있다. 즉 우리나라 보안체계가 허술하다는 의미다. 선거관리위원회 홈페이지 ‘디도스(DDoS)’ 공격 사건을 비롯해 현대캐피탈, SK커뮤니케이션즈, 네이트·싸이월드, 넥스 등 해킹사건들이 올해 유난히 많았다.

특히 정치적 수단으로 까지 사이버테러가 이용되며 정치권을 강타하고 있다. 개인정보 유출로 인한 2차 피해의 경우 보이스 피싱 등의 문제가 심각한 실정이다.
<일요주간>은 지난 7일 현재 웹 방화벽 시장과 DB(데이터 베이스) 암호화 시장에서 1위를 달리고 있는 웹 보안업체 ‘펜타시큐리티시스템(주)’ 박재홍 과장을 만났다.

기업 CEO 인식 먼저 바뀌어야

박 과장은 어렸을 때부터 컴퓨터를 가지고 노는 것을 좋아 했다고 한다. 대학에서 관련학과를 공부하고 군대에서까지 보안엔지니어로 9년간 컴퓨터를 만져 일명‘컴퓨터 박사’로 통한다.

“보안의 문제점은 실무자가 아무리 웹 보안 체계가 중요하다 생각해도 회사 CEO, 임원들이 보안에 대한 심각성과 인식이 부족해 문제다. 투자를 적게 하게 되고 보안의 수준이 낮아지게 된다.”

박 과장은 이러한 인식에 대한 문제를 꼬집었다. 최근에 그는 제품을 제안할 때 임원들이 직접 참여하는 것을 권한다고 한다. 사실 보안시스템을 구축 하려면 몇 천에서 몇 억까지 들어 실무자가 계획을 해도 실제
적으로 보안시스템에 대한 예산을 편성하기가 힘들다는 것 이다.

현재 많은 공공기관이나 대기업에서는 보안 시스템을 갖추고 있지만 아직 중소기업이나 일반 기업들은 위험에 노출 된 곳이 많다는 게 그의 설명.

보안도 새로운 것에 대비를 하기 위해 발전이 되며 업데이트가 된다. 하지만 우리나라는 정보 관련 프로그램의 업데이트는 필수이나 보안에 대해서는 옵션으로 생각하고 있는 것이 안타까운 현실이라고 그가 목소리 높여 말한다.

문: 우리나라 보안업체는 얼마나 있나.
답: 보안자체가 종류가 많다. 20~30개 정도 분야에 각각 10 개 정도 회사가 우리나라에 있다. 약 2,500업체정도이다.

문: 우리나라가 다른 나라와 비교했을 때 보안에 대해 취약한 점은.
답: 미국의 경우 HIPPA
(Health Insurance Portability and Accountability Act)라는 건강보험 양도 및 책임에 관한 법안을 실행하고 있다. 이는 본래 개인 및 단체 건강보험의 이전과 연속성을 개선할 목적으로 마련됐으나 건강보험 관리 절차 간소화로 그 범위가 확대 됐다. 관리 절차 간소화 부분에 서는 트랜잭션 및 코드 집합, 식별자, 보안, 개인정보보호, 기간, 벌금 등을 규정하고 있다. 또 개인 식별이 가능한 정보를 불법적으로 노출시킬 경우 에는 최소 5만 달러의 벌금에 징역 1년에서 최고 25만 달러 벌금에 징역 10년을 선고할 수 있도록 형벌 규정을 강화했다 고 한다. 미국, 유럽 등 선진국은 개인정보법도 이미 시행되고 있었다. 우리나라도 9월 30일 개인정보 보호법 시행이 되었지만 보안을 강화하기 위해 법이 강화 돼야 된다. 이런 점이 부족하다.

문: 올해 유난히 사이버테러가 많이 발생한 이유가.
답: 개인적인 생각인데 곪아 있던 것이 한꺼번에 터진 것으로 보인다. 보통 기업들은 해킹을 당했을 때 공개를 꺼린다고 한다. 옛날에는 쉬쉬했던 것이 요즘 개인정보 보호법이 시행(해킹 당했을 경우 5일 이내 공지해야 함)된 이후 의무규정이 있어 이들도 공개해야 한다. 사고가 발생하면 당장은‘보안시스템 보안해야 한다’라고 생각도 하지만 아주 잠깐만 그렇게 생각을 하고 그냥 또 넘기기 일쑤다.

‘디도스(DDoS)란?

지난 10.26 보궐선거 때 선거관리위원회 홈페이지가 다운현상을 보이며 홈페이지로 들어갈 수 없어 시민들이 많은 불편함을 겪었다. 선관위 사이버테러는 한나라당 최구식 의원 운전비서로 알려진 강모씨 등의 소행으로 밝혀졌다.

문: 디도스(DDoS)에 대해 자세히 설명해주신다면.
답: 여러 pc가 동시에 접속을 했을 때 웹서버가 정상적인 서비스를 못하게 된다. 선관위 같은 경우 디도스(DDoS)공격이다. 선관위에서 처리할 수 있는 용량이 예를들어 1GB(기가바이트)인데 2GB(기가바이트)가
접속을 해 서비스를 못하게 된 것이다. 디도스(DDoS)공격은 두 가지이다. 웹서버 용량에 대한 것과 웹서버를 처리 할 수 있는 명령어이다. 후자는 처리 할 수 있는 명령어를 다른 명령어로 바꿔 처리 할 수 없게 만
드는 것이다. 한마디로 말해 컴퓨터를 바보로 만드는 것이다. 웹방화벽 진입방지시스템(IPASS) 을 통해 정상적인 요청과 비정상적인 요청을 알 수 있다. 이 보안 시스템을 통해 웹 을 정상적으로 가동 시킨다.

용량은 비워있는데 가비지 명령을 내려 웹서버만 동작을 못하게 하는 것이다.
보안이 창과 방패의 싸움이다. 보안시스템도 계속 발전은 해야 한다. 방화벽을 해 놓아도 이것을 우회할 수 있는 공격을 할 수 있는 시스템을 만든다. 공격하면 그것을 또 막을 수 있는 보안시스템을 만들고 있다.

문: 사이버테러의 사고유형은 어떤 것들이 있는가.
답: 현재 APT(Advanced Persistent Threat)가 가장 많이 일어나며 주목받고 있는 해킹이다. 옛날에는 바이러스를 감염시킨다. 아이디 패스워드를 빼온다. 단순했다. 하지만 APT 는 치밀하게 계획을 세워 어떤 목적 달성을 위해 공격하는 행위다. 조직화된 해커의 집단이 금전 및 특정 목적을 가지고 중요 정보(기관, 개인, 협회), 정치적, 금전적 등 목적으로 공격해 해커집단이 필요에 의해 또는 의뢰를 받아 중요 정보 파악에서부터 정보 탈취, 중요 서비스 방해까지 치밀하고 계획적으로 이뤄지는 해킹 공격이다. 즉 특정 공격을 위한 악성 프로그램을 개발해 그 해킹을 위한 목적으로 개발할 정도로 특수 공격이라 할 수 있다. 예를 들어 SK컴즈, 현대캐피탈, 농협, 네이트 사건이 APT다.

문 : 디 도 스 (DDoS)공 격 과 APT(Advanced Persistent Threat)는 성격이 많이 다른가.
답: 디도스(DDoS)는 서비스를 안 되게 하기 위한 공격이고 APT은 금전적, 정치적 이득을 챙기기 위한 것, 특정정보를 빼오기 위한 것이다. 박 과장은 우리나라의 웹 보안 상태를 개선하기 위해서 사이버테러에 대해 강력히 대처 할 수 있는 법제정을 해야 하며 CEO들의 생각이 바뀌어야 앞 으로 이런 문제가 발생하지 않
을 것을 강조했다.

미국 같은 경우 정부에서 보안시스템을 해 놓지 않으면 회사를 운영을 할 수 없게 된다. 기업 내에서 보안에 대한 경각심을 키우고 내 컴퓨터의 안전과 피해자를 만드는 일이 없도록 예방을 하는 길이 최선이다.

펜타시큐리티시스템(주)는?
1997년 7월 설립한 1세대 보안 전문회사며 PKI(암호화 기술), DB보안, 웹보안사업부가 있으며 그 중 DB보안과 웹보안 사업은 국내에서 독보적인 1위를 차지하고 있는 회사 이다.

[저작권자ⓒ 일요주간. 무단전재-재배포 금지]