소프트웨어 설계·개발 단계부터 정보보안 체계화할 수 있도록 교육 필요
[보안뉴스= 권태경 연세대학교 정보대학원 교수] 인류는 과거 오랜 기간의 원시수렵사회와 농경사회를 거치며 이룬 수차례의 산업혁명을 통해 비교적 단기간에 눈부신 산업사회를 이룩했다. 그 흐름은 점진적이고 연속적인 기술혁신을 일궈내며, 더욱 성숙하고 고도화되어 과거 어느 때보다도 빠르고 편리한 스마트 세상을 만들어가는 정보사회로서의 오늘날을 여전히 끊임없이 변화시켜 가고 있다.
정보사회의 핵심에는 컴퓨터의 비약적인 발전에 바탕을 둔 정보통신기술(ICT)의 혁신이 자리잡고 있으며, 이것은 융합(convergence)이라는 단어를 통해 짐작할 수 있는 사회 각 부문에서의 대규모 구조 변화를 수반하고 있다. 최근 알파고를 통해 인류에게 큰 충격을 가져다 준 인공지능의 발전은 이 흐름 속에서 이루어지고 있는 하나의 세선(細線)에 해당한다.
즉, 이미 여러 가지 혁신적인 일들이 다양한 세선을 통해 나타나고 있으며 이들이 모여 큰 변화의 흐름을 더욱 강렬하게 만들어가는 것이다. 그리고 그 강렬한 흐름 가운데 조명되는 것은 다름 아닌 사물인터넷(IoT) 세상이라 여겨진다.
가트너에 따르면 2016년 인터넷에 연결되는 사물의 수가 2015년 대비 30%나 증가하고 2020년에는 200억 개를 넘어서는 등 우선 규모 측면에서 큰 폭의 성장을 이룰 것이라 기대된다. 또한, 사물의 스마트화를 가능케 하는 임베디드 기술이 더욱 지능화·소형화되어 감에 따라 과거 마크 와이저가 상상했던 ‘보이지 않는 컴퓨팅’이 실현되고 이제 우리 주변에서는 우리가 모르는 사이 사물들이 자율적으로 센싱하고 통신하는 상황이 점점 일상화되어 가고 있다.
무엇이 문제인가?
컴퓨터가 처음 등장했던 1940년대를 되돌아보면 당연하지만 당시에는 컴퓨터의 기능 구현에만 초점이 맞추어져 있었다. 마찬가지로 인터넷이 처음 등장했던 1980년대를 되돌아보면 역시 이종 네트워크를 서로 연결하는 목적에만 초점이 맞춰졌다.
하지만 개인용 컴퓨터(PC)가 폭발적으로 보급되고 이후 인터넷과 통신망 환경이 크게 성장하면서 어느덧 악성코드와 해커의 활동으로 인한 피해에 본격적으로 대비해야만 하는 새로운 국면으로 바뀌게 된 것이다.
처음부터 정보보안을 체계적으로 고려하지 못했던 오늘날의 컴퓨팅 환경은 늘 악성코드와 해커의 공격에 쉽게 노출되는 약점을 드러내면서 고치고 업데이트하는 일이 일상이 돼버렸다. 만약 이대로라면 사물인터넷 환경에서는 ‘보이지않는 공격자’를 늘 주변에 두어야하는 더 어려운 상황을 맞이하게 될 것이다. 이것은 실로 두려운 일이 아닐 수 없다.
ICT 융합 수준이 점점 고도화할수록 사이버 공격으로 인한 피해가 컴퓨터만의 영역을 벗어나 우리의 실생활에 직접적이고 치명적인 타격을 주게 되며, 나아가서는 손쉽게 일반인의 생명을 위협하고 국가간 전쟁의 양상까지 치닫게 할 수 있기 때문이다. 따라서 사물인터넷이 등장하게 된 오늘날 늦지 않게 첫 단추를 잘 꿰어야만 한다. 즉 사물인터넷의 목적에만 초점을 맞추는 것이 아니라 처음부터 정보보안의 체계화와 보편화를 위한 노력을 함께 기울여야만 할 것이다. 그런데 이것은 하루 아침에 이루어지는 일이 아니다.
어떻게 해야 하나? - 미국 사례를 중심으로
미국 샌프란시스코에 위치한 모스코니센터에서는 매년 2월말 RSA 컨퍼런스라 불리우는 사이버보안 행사가 개최된다.
RSA 컨퍼런스의 워크샵 세션을 보면 최근 정보보안 트렌드의 큰 분류를 읽을 수가 있는데 올해는 해커와 위협(HT), 해커와 지능형위협(HTA), 휴먼요소(HUM), 응용보안과 DevOps(ASD), 보안전략(STR), 기술인프라(TECH), 클라우드 보안과 가상화(CSV), 모바일 보안(MBS), 개인정보보호(PRV), 식별아이디(IDY), 분석과 사고대응(AIR), 데이터보호(PDAC), 암호(CRYP), 정책(PNG), 관제(GRC), 법(LAW) 등으로 분류해 진행됐다.
하지만 이곳에서 더욱 눈여겨봐야할 것은 다국적 대기업들의 활발한 활동과 수없이 많은 글로벌 벤처기업들의 출현이다. 이들은 모두 최첨단 정보보안 기술을 선보이는데, RSA 컨퍼런스의 화두는 어김없이 사물인터넷이었으며 이것은 민간업체들이 그리고 그 생태계가 첫 단추를 잘 꿰고 있음을 보여주는 확실한 단면이었다.
미국 국토안보부(DHS)의 과학기술이사회(S&T) 사이버보안분과(CSD)에서는 2015년 실리콘벨리사무소(SVO)를 설치해 민간부문의 혁신에 대한 새로운 접근을 시도하고 있다. 이것은 스타트업을 포함한 많은 기업들이 정부를 고객으로 삼아 쉽게 사업화할 수 있도록 도우며 민간부문의 창의성과 혁신성을 적극 활용 유도하려는 노력의 일환인 것이다. 참고로 이곳에서도 사물인터넷 보안을 최우선 도전과제로 삼고 있다.
또한, 차세대사이버인프라(NGCI) APEX 프로그램을 통해 금융서비스 보안을 위한 신기술을 식별하며, 대규모 사이버보안 연구 인프라를 구축해 실험 연구를 위한 DETER 테스트베드와 가상인터넷 환경을 사이버보안 연구자들에게 제공하고, IMPACT 프로그램을 통해 사이버보안 연구자료에 대한 정보공유 마켓을 제공하는 노력도 함께 하고 있다.
특히, 백악관에서 최우선순위 과제로 삼고있는 것은 다름아닌 실용화(TTP) 프로젝트인데 이것은 사이버보안 연구결과를 신속하고 광범위하게 보급할 수 있도록 하기 위한 노력으로서 연방정부의 재정지원을 통해 학계 등에서 개발된 민간 기술들을 조기 식별하고 국립연구소, 통신망사업자, 민간산업과 연결되도록 적극 지원하는 것이다. 그 주요 기술 내용에는 아이디관리와 데이터 보호, 네트워크 및 시스템 보안, 인터넷 측정과 공격모델링, 보안 프로토콜, 인간중심 사이버보안, 소프트웨어 보증, 법률 시행 등이 있다.
또한, 대통령정책지시각서 21에 입각한 CIDARS 프로젝트를 통해 신뢰할 수 있는 사이버인프라 구축을 위한 새로운 시도를 발굴하는 작업도 함께 진행하고 있다. 미국 국토안보부의 민간에 대한 이와 같은 노력은 정부가 사물인터넷 시대의 정보보안을 어떻게 체계화하고 보편화할 것인지에 대한 모범적인 모습과 사례일 것이다.
사물인터넷 세상에서는 체계적인 사이버보안 전문인력 양성이 또한 매우 중요하다. 사이버보안 전문인력은 사실 대부분 컴퓨터지식을 요하는 소프트웨어 전문인력에 해당한다. 즉 사이버보안 전문인력은 소프트웨어 전문인력 양성 방법과 마찬가지로 대학중심의 고급인력 양성과정과 학원중심의 실무인력 양성과정이 병행될 때 그 효과가 배가될 수 있다. 무엇보다도 대학을 통한 사이버보안 인력양성 방법에 있어서는 한국이 좀 더 특별한 듯하다. 바로 정보보안 관련학과를 이미 50개가 넘는 대학에서 성공적으로 개설하고 있기 때문이다.
반면, 미국 대학에서는 기존의 컴퓨터 관련학과에 정보보호 관련교수를 여러 명 채용하고 정보보증/보안(IAS) 지식영역이 이미 포함된 미국 컴퓨터장치협회/전기전자공학회(ACM/IEEE)의 컴퓨터과학 표준 커리큘럼(CS2013)을 바탕으로 컴퓨터 전문인력, 소프트웨어 전문인력이 사이버보안의 기초를 함께 다지고, 나아가 사이버보안 전문인력으로서의 역할을 소화해낼 수 있도록 교육하는 방법을 택하고 있다.
.jpg)
필자의 관점에서는 이미 정보보안 관련학과가 설치된 대학에서는 컴퓨터 관련학과와의 협력을 더욱 긴밀히 해 학과별 역할을 체계적으로 분담하고 전반적인 컴퓨터/소프트웨어 전문인력이 사이버보안에 대한 기초를 함께 다질 수 있도록 노력해야 한다고 본다. 오히려 아직 정보보안 관련학과를 설치하지 않은 대학은 미국 대학과 같은 체제를 학습해 컴퓨터 관련학과에서 정보보안 관련교수를 보다 적극적으로 채용하도록 하고 학생들로 하여금 설계와 개발 단계부터 정보보안을 체계화할 수 있도록 교육하는 것이 바람직하다고 본다.
또한, 대학을 중심으로 사이버보안과 관련된 창업과 신기술 개발 및 실용화를 적극 지원하고 유도해야 할 것이다. 우리나라의 좋은 프로그램인 소프트웨어특성화대학과 정보보호특성화대학은 지원방식을 일원화해 지원대학의 외형적인 포장보다는 창의적이고 도전적인 자세를 높이 평가하고 좀더 내실을 구하는 방향으로 지정했으면 하는 바램도 갖게 된다.
우리나라는 그동안 명실공히 정보통신강국으로 자리매김해왔다. 사물인터넷 시대에도 정부, 민간기업, 학계가 박자를 맞추며 협력해 사이버보안강국으로 다시 한번 더 세계를 놀래키기를 바라고 기대한다.
[글_ 권태경 연세대학교 정보대학원 교수(taekyoung@yonsei.ac.kr)
필자 소개 _ 정보보호학회 권태경 상임이사는 연세대학교 컴퓨터과학과를 졸업한 후 세종대학교 컴퓨터공학과 교수로 재직했으며, 현재는 연세대학교 정보대학원 교수로 재직 중이다. 대검찰청 디지털포렌식 자문위원, 정보과학회 이사 및 논문지편집위원, 한국정보보호학회 이사 및 논문지 편집위원으로도 활동 중이다.
[보안뉴스= 권태경 연세대학교 정보대학원 교수] 인류는 과거 오랜 기간의 원시수렵사회와 농경사회를 거치며 이룬 수차례의 산업혁명을 통해 비교적 단기간에 눈부신 산업사회를 이룩했다. 그 흐름은 점진적이고 연속적인 기술혁신을 일궈내며, 더욱 성숙하고 고도화되어 과거 어느 때보다도 빠르고 편리한 스마트 세상을 만들어가는 정보사회로서의 오늘날을 여전히 끊임없이 변화시켜 가고 있다.
정보사회의 핵심에는 컴퓨터의 비약적인 발전에 바탕을 둔 정보통신기술(ICT)의 혁신이 자리잡고 있으며, 이것은 융합(convergence)이라는 단어를 통해 짐작할 수 있는 사회 각 부문에서의 대규모 구조 변화를 수반하고 있다. 최근 알파고를 통해 인류에게 큰 충격을 가져다 준 인공지능의 발전은 이 흐름 속에서 이루어지고 있는 하나의 세선(細線)에 해당한다.
즉, 이미 여러 가지 혁신적인 일들이 다양한 세선을 통해 나타나고 있으며 이들이 모여 큰 변화의 흐름을 더욱 강렬하게 만들어가는 것이다. 그리고 그 강렬한 흐름 가운데 조명되는 것은 다름 아닌 사물인터넷(IoT) 세상이라 여겨진다.
가트너에 따르면 2016년 인터넷에 연결되는 사물의 수가 2015년 대비 30%나 증가하고 2020년에는 200억 개를 넘어서는 등 우선 규모 측면에서 큰 폭의 성장을 이룰 것이라 기대된다. 또한, 사물의 스마트화를 가능케 하는 임베디드 기술이 더욱 지능화·소형화되어 감에 따라 과거 마크 와이저가 상상했던 ‘보이지 않는 컴퓨팅’이 실현되고 이제 우리 주변에서는 우리가 모르는 사이 사물들이 자율적으로 센싱하고 통신하는 상황이 점점 일상화되어 가고 있다.
무엇이 문제인가?
컴퓨터가 처음 등장했던 1940년대를 되돌아보면 당연하지만 당시에는 컴퓨터의 기능 구현에만 초점이 맞추어져 있었다. 마찬가지로 인터넷이 처음 등장했던 1980년대를 되돌아보면 역시 이종 네트워크를 서로 연결하는 목적에만 초점이 맞춰졌다.
하지만 개인용 컴퓨터(PC)가 폭발적으로 보급되고 이후 인터넷과 통신망 환경이 크게 성장하면서 어느덧 악성코드와 해커의 활동으로 인한 피해에 본격적으로 대비해야만 하는 새로운 국면으로 바뀌게 된 것이다.
처음부터 정보보안을 체계적으로 고려하지 못했던 오늘날의 컴퓨팅 환경은 늘 악성코드와 해커의 공격에 쉽게 노출되는 약점을 드러내면서 고치고 업데이트하는 일이 일상이 돼버렸다. 만약 이대로라면 사물인터넷 환경에서는 ‘보이지않는 공격자’를 늘 주변에 두어야하는 더 어려운 상황을 맞이하게 될 것이다. 이것은 실로 두려운 일이 아닐 수 없다.
ICT 융합 수준이 점점 고도화할수록 사이버 공격으로 인한 피해가 컴퓨터만의 영역을 벗어나 우리의 실생활에 직접적이고 치명적인 타격을 주게 되며, 나아가서는 손쉽게 일반인의 생명을 위협하고 국가간 전쟁의 양상까지 치닫게 할 수 있기 때문이다. 따라서 사물인터넷이 등장하게 된 오늘날 늦지 않게 첫 단추를 잘 꿰어야만 한다. 즉 사물인터넷의 목적에만 초점을 맞추는 것이 아니라 처음부터 정보보안의 체계화와 보편화를 위한 노력을 함께 기울여야만 할 것이다. 그런데 이것은 하루 아침에 이루어지는 일이 아니다.
어떻게 해야 하나? - 미국 사례를 중심으로
미국 샌프란시스코에 위치한 모스코니센터에서는 매년 2월말 RSA 컨퍼런스라 불리우는 사이버보안 행사가 개최된다.
RSA 컨퍼런스의 워크샵 세션을 보면 최근 정보보안 트렌드의 큰 분류를 읽을 수가 있는데 올해는 해커와 위협(HT), 해커와 지능형위협(HTA), 휴먼요소(HUM), 응용보안과 DevOps(ASD), 보안전략(STR), 기술인프라(TECH), 클라우드 보안과 가상화(CSV), 모바일 보안(MBS), 개인정보보호(PRV), 식별아이디(IDY), 분석과 사고대응(AIR), 데이터보호(PDAC), 암호(CRYP), 정책(PNG), 관제(GRC), 법(LAW) 등으로 분류해 진행됐다.
하지만 이곳에서 더욱 눈여겨봐야할 것은 다국적 대기업들의 활발한 활동과 수없이 많은 글로벌 벤처기업들의 출현이다. 이들은 모두 최첨단 정보보안 기술을 선보이는데, RSA 컨퍼런스의 화두는 어김없이 사물인터넷이었으며 이것은 민간업체들이 그리고 그 생태계가 첫 단추를 잘 꿰고 있음을 보여주는 확실한 단면이었다.
미국 국토안보부(DHS)의 과학기술이사회(S&T) 사이버보안분과(CSD)에서는 2015년 실리콘벨리사무소(SVO)를 설치해 민간부문의 혁신에 대한 새로운 접근을 시도하고 있다. 이것은 스타트업을 포함한 많은 기업들이 정부를 고객으로 삼아 쉽게 사업화할 수 있도록 도우며 민간부문의 창의성과 혁신성을 적극 활용 유도하려는 노력의 일환인 것이다. 참고로 이곳에서도 사물인터넷 보안을 최우선 도전과제로 삼고 있다.
또한, 차세대사이버인프라(NGCI) APEX 프로그램을 통해 금융서비스 보안을 위한 신기술을 식별하며, 대규모 사이버보안 연구 인프라를 구축해 실험 연구를 위한 DETER 테스트베드와 가상인터넷 환경을 사이버보안 연구자들에게 제공하고, IMPACT 프로그램을 통해 사이버보안 연구자료에 대한 정보공유 마켓을 제공하는 노력도 함께 하고 있다.
특히, 백악관에서 최우선순위 과제로 삼고있는 것은 다름아닌 실용화(TTP) 프로젝트인데 이것은 사이버보안 연구결과를 신속하고 광범위하게 보급할 수 있도록 하기 위한 노력으로서 연방정부의 재정지원을 통해 학계 등에서 개발된 민간 기술들을 조기 식별하고 국립연구소, 통신망사업자, 민간산업과 연결되도록 적극 지원하는 것이다. 그 주요 기술 내용에는 아이디관리와 데이터 보호, 네트워크 및 시스템 보안, 인터넷 측정과 공격모델링, 보안 프로토콜, 인간중심 사이버보안, 소프트웨어 보증, 법률 시행 등이 있다.
또한, 대통령정책지시각서 21에 입각한 CIDARS 프로젝트를 통해 신뢰할 수 있는 사이버인프라 구축을 위한 새로운 시도를 발굴하는 작업도 함께 진행하고 있다. 미국 국토안보부의 민간에 대한 이와 같은 노력은 정부가 사물인터넷 시대의 정보보안을 어떻게 체계화하고 보편화할 것인지에 대한 모범적인 모습과 사례일 것이다.
사물인터넷 세상에서는 체계적인 사이버보안 전문인력 양성이 또한 매우 중요하다. 사이버보안 전문인력은 사실 대부분 컴퓨터지식을 요하는 소프트웨어 전문인력에 해당한다. 즉 사이버보안 전문인력은 소프트웨어 전문인력 양성 방법과 마찬가지로 대학중심의 고급인력 양성과정과 학원중심의 실무인력 양성과정이 병행될 때 그 효과가 배가될 수 있다. 무엇보다도 대학을 통한 사이버보안 인력양성 방법에 있어서는 한국이 좀 더 특별한 듯하다. 바로 정보보안 관련학과를 이미 50개가 넘는 대학에서 성공적으로 개설하고 있기 때문이다.
반면, 미국 대학에서는 기존의 컴퓨터 관련학과에 정보보호 관련교수를 여러 명 채용하고 정보보증/보안(IAS) 지식영역이 이미 포함된 미국 컴퓨터장치협회/전기전자공학회(ACM/IEEE)의 컴퓨터과학 표준 커리큘럼(CS2013)을 바탕으로 컴퓨터 전문인력, 소프트웨어 전문인력이 사이버보안의 기초를 함께 다지고, 나아가 사이버보안 전문인력으로서의 역할을 소화해낼 수 있도록 교육하는 방법을 택하고 있다.
필자의 관점에서는 이미 정보보안 관련학과가 설치된 대학에서는 컴퓨터 관련학과와의 협력을 더욱 긴밀히 해 학과별 역할을 체계적으로 분담하고 전반적인 컴퓨터/소프트웨어 전문인력이 사이버보안에 대한 기초를 함께 다질 수 있도록 노력해야 한다고 본다. 오히려 아직 정보보안 관련학과를 설치하지 않은 대학은 미국 대학과 같은 체제를 학습해 컴퓨터 관련학과에서 정보보안 관련교수를 보다 적극적으로 채용하도록 하고 학생들로 하여금 설계와 개발 단계부터 정보보안을 체계화할 수 있도록 교육하는 것이 바람직하다고 본다.
또한, 대학을 중심으로 사이버보안과 관련된 창업과 신기술 개발 및 실용화를 적극 지원하고 유도해야 할 것이다. 우리나라의 좋은 프로그램인 소프트웨어특성화대학과 정보보호특성화대학은 지원방식을 일원화해 지원대학의 외형적인 포장보다는 창의적이고 도전적인 자세를 높이 평가하고 좀더 내실을 구하는 방향으로 지정했으면 하는 바램도 갖게 된다.
우리나라는 그동안 명실공히 정보통신강국으로 자리매김해왔다. 사물인터넷 시대에도 정부, 민간기업, 학계가 박자를 맞추며 협력해 사이버보안강국으로 다시 한번 더 세계를 놀래키기를 바라고 기대한다.
[글_ 권태경 연세대학교 정보대학원 교수(taekyoung@yonsei.ac.kr)
필자 소개 _ 정보보호학회 권태경 상임이사는 연세대학교 컴퓨터과학과를 졸업한 후 세종대학교 컴퓨터공학과 교수로 재직했으며, 현재는 연세대학교 정보대학원 교수로 재직 중이다. 대검찰청 디지털포렌식 자문위원, 정보과학회 이사 및 논문지편집위원, 한국정보보호학회 이사 및 논문지 편집위원으로도 활동 중이다.
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
