인증서도 블록체인도 다 뚫린다…'미래 보안기술 개발 위해 산학연 손잡아야'

최근 기업은 물론 정부도 대국민 서비스의 디지털 전환을 서두르고 있는 가운데, '사이버 보안'에 대한 경각심을 높여야 한다는 지적이 나왔다.  전문가들은 사이버 보안 위협이 재산권은 물론 시민의 안전과 생명까지 위협하고 있고 기술 수준도 나날이 높아지고 있어 국가적 사이버 안보 체계 구축에 전면적으로 나서야 한다고 입을 모았다.

김정삼 과학기술정보통신부 정보보호네트워크정책관은 26일 온라인으로 열린 '고려대학교 소프트웨어보안연구소(CSSA) IoT큐브 콘퍼런스'에서 "대규모 사이버전으로 시작된 러시아-우크라이나 전쟁, 지난해 발생한 미국 최대 송유관업체 콜로니얼 파이프라인 해킹 사건은 국방·산업 등 전 분야에 걸쳐 보안위협이 증가하고 강도도 커지고 있음을 보여준다"며 "사이버 위협과 공격에 대응하고 튼튼한 사이버보안 체계를 구축하기 위해 정부와 산·학·연의 결집된 노력이 필요하다"고 강조했다.

10년 후에는 은행 인증서도 뚫린다

이날 전문가들은 현재 안전한 보안조치로 알려진 기술조차도 양자컴퓨터 등 신기술 등장으로 인해 무력화 될 수 있다고 경고했다. '양자내성암호' 전환을 주제로 발표한 조지훈 삼성SDS 센터장은 현재 인증서와 은행 거래 등에서 널리 사용되는 공개키 암호를 양자내성암호로 전면 전환해야 한다고 주장했다.

그는 "현재 사용되는 공개키 암호는 특정한 수학적 문제 기반으로 설계돼 매우 복잡한 구조를 갖고 있다"며 "그러나 이미 1994년에 공개키 암호의 근간이 되는 수학 난제 전체를 무너뜨릴 수 있는 양자 알고리즘이 제시된 바 있다"고 설명했다.

또 조 센터장은 "지금까지는 이 양자 알고리즘을 수행할 수 있는 양자컴퓨팅 수준이 구현되지 못해 공개키 암호 공격이 없었다"면서도 "그러나 10년이 지난 후에는 공개키 암호를 전부 풀 수 있을 만큼 양자컴퓨팅 수준이 올라갈 것이기 때문에 전면적 교체가 필요하다"고 역설했다.

이에 대한 대안으로 그는 양자내성암호를 제시했다. 조 센터장은 "양자내성암호의 특징은 수학적 난제 기반이라는 것"이라며 "기존 컴퓨팅 환경은 물론 양자컴퓨팅, 스마트폰 등 모든 환경을 보호할 수 있는 기술"이라고 설명했다.

현재 삼성SDS는 국내 기업 중 유일하게 글로벌 13개 기업과 미국 표준기술연구소(NIST) 산하 사이버보안센터(NCCoE)가 주관하는 양자내성암호 전환 프로젝트(Migration to PQC)'에 참여 중이다. 이 프로젝트는 양자컴퓨터 공격에 의해 기존 암호 체계가 무력화될 수 있는 디바이스와 애플리케이션을 탐지하고, 이를 양자컴퓨터에 내성이 있는 암호 체계로 전환하는데 도움을 주는 기술과 제품을 준비하는 것으로 알려져있다.

삼성SDS는 이 프로젝트에서 자회사 시큐아이와 함께 개발한 암호 알고리즘 탐지 기술을 시큐아이 방화벽 제품에 적용, 네트워크 상에서 양자컴퓨터 공격에 취약한 기존 암호 체계를 자동으로 탐지하고, 이를 전환하는 연구를 진행한다.

조 센터장은 "이 프로젝트는 내년 12월까지 진행된다"며 "지난 5월 킥오프 미팅을 한 이후 지금은 초기 단계"라고 설명했다.

스마트 컨트랙트 취약점, 라인 '스마티안'으로 해결

그동안 해킹이 불가능하다고 알려진 블록체인 역시 최근 보안 문제로 몸살을 앓고 있어 이를 해결하기 위한 기술력 확보 문제가 업계 화두가 되고 있다.

이날 김도연 라인 연구원은 스마트 컨트랙트 상 취약점을 탐지·분석하는 '스마티안(Smartian)' 기술을 소개했다. 스마트 컨트랙트는 블록체인에서 실행되는 컴퓨터 프로그램으로 탈중앙화 서비스(디앱)을 구성하기 위한 기본 요소지만 개발 과정에서 다양한 버그가 발생할 수 있다. 

김 연구원은 "과거 이더리움 스마트 컨트랙트에서 발생한 공격으로 당시 가치 기준 700억원에 달하는 자산이 탈취당했다"며 "스마트 컨트랙트를 테스팅해 취약점을 자동으로 찾아내는 일은 무엇보다 중요하다"고 강조했다.

이를 위해 라인은 정적분석과 '퍼저(Fuzzer)'를 결합한 스마티안 솔루션을 연구개발 중이다. 먼저 정적 분석은 프로그램을 실제로 실행시키지 않은 상태에서 데이터 흐름을 분석하는 기술이다. 실행 전에 프로그램 내 특정 코드가 취약하다는 점을 찾아내는 것.

반대로 퍼즈는 사용할 프로그램에 임의의 문자열을 입력하며 여러 차례 프로그램을 돌리고, 테스트하는 과정을 말한다. 퍼저는 이같은 과정을 통해 버그를 찾아낼 수 있는 툴이다.

김 연구원은 "이같은 핵심기술을 보유한 스마티안은 스마트 컨트랙트에서 버그가 발생한 위치를 쉽게 파악하는 것은 물론, 다양한 버그를 감지할 수 있는 오픈소스"라며 "정적, 동적 데이터 흐름을 분석해 트랜잭션 순서와 함수의 인수, 발신자를 체계적으로 찾을 수 있어 다른 퍼저보다 더 빠르고 정확하게 버그를 감지할 수 있다"고 힘줘 말했다.

제조업 OT보안, 현장 인력들이 IT 지식 배워야

국내 산업의 근간으로 꼽히는 제조 현장에선 스마트 팩토리 등의 기술 도입이 이뤄지면서 '운영기술(OT)' 보안 문제가 시급한 사안으로 떠올랐다. 박준구 한국수력원자력 대리는 OT보안 솔루션을 도입하고 운영하는데는 다양한 어려움을 현장 인력이 IT지식을 배우는 것으로 해결할 수 있다고 진단했다.

박 대리는 "제조업을 비롯한 현장은 시스템 자체도 아날로그가 많을 뿐더러, IT시스템이 있어도 옛날 프로토콜인 경우가 많다"며 "그럼에도 불구하고 많은 현장에서 계속 같은 시스템을 유지하는 이유는 작동이 되기 때문"이라고 설명했다.

특히 그는 우선순위가 시시각각 바뀐다는 점을 강조했다. 박 대리는 "IT의 경우 기밀성, 무결성, 가용성 순으로 중요도가 있지만 산업 현장은 그렇지 않다"며 "산업 안전시스템처럼 무조건 작동돼야 하는 경우에는 가용성이 제일 중요하듯, 각각의 기능에 따라 우선순위가 시시각각으로 바뀌기 때문에 OT보안 솔루션을 천편일률적으로 적용하기가 어렵다"고 말했다.

또 그는 솔루션을 제공하는 IT기업과 수요자간 입장에 차이가 있는 점도 걸림돌로 작용한다고 지적했다. 박 대리는 "수요자 입장에서는 솔루션을 도입하는 것보다 운영에 대한 부분이 더 중요하다"며 "제품을 사거나 프레임워크를 도입하면 산업장비 수명이 다할 때까지 써야 하는데 잘할 수 있을지에 대한 걱정이 많다"고 부연했다. 

이어 그는 "문제가 발생했을 때도 IT기업은 탐지와 분석이 기본이라면 운영자 입장에서는 대응과 조치가 중요하다"며 "새로운 시스템에서 경고가 계속 울리는데 이것을 어떻게 조치할지 결정하는 부분에 어려움이 있다"고 덧붙였다.

이를 해결하기 위한 방법으로 그는 현장 인력들이 IT시스템을 배워야 한다고 조언했다. 박 대리는 "IT 담당자들이 OT를 배우는 것보다 현장에서 IT시스템을 배우는 것이 낫다고 본다"며 "현장 인력들은 장비에서 발생하는 모터 소리만 듣고도 고장날 거라는 사실을 아는 감각적인 사람들이 있어 여기에 IT기술이 접목되면 시너지가 발생할 것"이라고 설명했다.

김가은 기자 7rsilver@techm.kr