정보보안 전문가
김승주
고려대학교 정보보호대학원 교수이자 대학 내 디지털 전략과 보안 정책을 총괄하는 디지털정보처장으로 재직 중이다. 주요 연구 분야는 보안 테스트 및 평가, DevSecOps, 블록체인, 암호 공학 등으로, 한국인터넷진흥원 팀장, 대통령 직속 국방혁신위원회 위원 등 정부·공공·민간을 아우르며 정보보안 관련 요직을 두루 거쳤다. 국내외 학계와 산업계가 공인하는 정보보안의 권위자로서 올바른 보안 문화를 대중에게 알리는 역할도 활발히 이어가고 있다.
2016년, 마크 저커버그가 자신의 SNS에 올린 사진 한 장이 화제가 됐다. 사진에서 사람들이 주목한 건 책상 위에 놓인 그의 맥북, 정확히는 테이핑된 웹캠과 마이크 단자였다. 세계 최대 소셜 네트워크를 만든 IT 천재도 해킹의 위험에서 벗어나지 못하다는 걸 보여준 사진이었다. 그로부터 10년이 지난 지금, 마크 저커버그를 비롯한 우리 모두의 프라이버시와 정보는 안전하게 지켜지고 있을까?
안전하다는 건
우리의 착각
2025년은 유독 해킹 보도가 많은 해였다. 그것도 내 일상과 가장 가까운 곳에서 벌어진 사고들이었다. 고려대학교 정보보호대학원 김승주 교수는 정확히 말하자면, 최근 1년간 사고가 많이 난 게 아니라 보도가 많이 된 것이라고 정정한다. 해커의 최초 침투 시점은 보통 사고 인지 시점에서 길게는 3~4년 전이기 때문이다. 이미 뚫린 걸 모르고 있다가 지난해 무더기로 발견되면서 수면 위로 드러난 것. 전 세계 인터넷 보급률 최상위권에, IT 강국이라 불리는 대한민국에서 왜 사이버 보안 사고는 수년째 끊이지 않는 걸까?
“실제로는 우리나라 보안 기술력이 높지 않거든요. 그동안 우린 안전하다는 착각 속에 살았던 겁니다. 그 시작점은 ‘망 분리’ 제도예요.”
2006년부터 운영한 망 분리 제도는 내부 업무 시스템을 인터넷과 단절시키는 폐쇄망 방식으로, 외부 침입 자체가 불가하니 당시로선 안전한 시스템이었다. 문제는 코로나19로 재택근무를 시행하면서부터다. 회사 밖에서 업무를 보는 사람이 늘어나니 분리했던 망을 다시 연결해야 했고, 나름의 안전 조치를 취했지만 해커들의 침입을 막기엔 역부족이었다.
더 큰 문제는 AI 시대의 도래다. AI는 기본적으로 클라우드와 인터넷 연결을 전제로 하니, 망 분리 시대로 돌아가는 건 불가능하다. 이젠 KCC를 비롯한 기업과 개인 모두 ‘연결’된 상태에서 안전을 유지하는 법을 익혀야 한다.
사내에서 실천하는
‘진짜’ 보안 수칙
김승주 교수는 우리가 그동안 ‘보안 극장 효과(Security Theater)’, 그러니까 보안을 위해 뭔가 열심히 하지만 실제 효과는 없는 일종의 착시 현상에 빠져 있었고, 그 이유로 낙후된 기술력 외에 개인의 낮은 보안 의식도 문제라고 지적한다. 업무 중 흔히 하는 습관에 주의한다면 회사 보안은 물론 자신의 개인 정보도 지킬 수 있다는 말이다.
예를 들어, 비밀번호를 주기적으로 바꾸고 특수 문자를 넣는 것 역시 대표적인 보안 극장 효과 중 하나이다. 불편함을 못 견디는 사람의 속성상 같은 번호나 비슷한 패턴을 고집하거나 포스트잇 등에 써두는 사태가 벌어지기 때문이다. 실제 미국 국립표준기술연구소의 빌 버(Bill Burr) 역시 자신이 개발한 비밀번호 변경 가이드를 두고 쓸데없는 짓이라고 말한 바 있다. 김승주 교수는 비밀번호를 자주 바꾸는 대신 필요할 때마다 일회용 비밀번호를 생성해서 쓰는 게 훨씬 안전하다고 조언한다.
이 외에도 피싱 메일이 걱정된다면, 평소 PC 운영체계를 최신 버전으로 유지하고, 정기적으로 백신 검사를 해야 피해를 최소화할 수 있으며, 클라우드는 랜섬웨어 감염 위험이 있으니 백업은 외장 하드에 해야 하고, 개방된 장소의 무료 와이파이나 공용 충전기는 사용하지 않는 것이 좋다. 특히 금융 거래는 가급적 데이터를 활용해야 안전하다. 이 정도만 지켜도 보안 수준은 꽤 높아진다.
갈수록 교묘해지는
보안 사고들
여기에 AI와 랜섬웨어도 최근 사내 보안 사고의 주요 원인으로 급부상하고 있다. AI 공존 시대라 할 만큼 직장인 대부분이 업무에 생성형 AI를 활용하면서 중요 정보가 노출될 위험 역시 커졌기 때문이다. 그렇다면 사내 데이터는 어느 선까지 공유해야 할까?
“기준이 있어야 하는데, 그 기준은 회사에서 매뉴얼로 만들어야 합니다. 매뉴얼 없이 AI를 쓰는 건 위험해요. 그러니까 로데이터를 공유하는 것 자체가 문제가 아니라, 로데이터에 들어있는 정보의 공유 기준이 중요한 거죠.”
종이 문서에 찍히는 ‘대외비’처럼 데이터 역시 중요도에 따라 등급을 분류하고, 그에 맞춰 공유 기준을 세워야 한다. 이는 꼭 업무뿐 아니라 생성형 AI를 개인적으로 활용할 때도 선제 되어야 한다. 원하는 결과를 도출하기 위해 어느 선까지 공개할지 정보의 제한을 스스로 정해야 한다.
데이터를 암호화해 볼모로 잡은 후 돈을 요구하는 랜섬웨어도 주의해야 한다. PC와 스마트폰에 침투한 랜섬웨어는 클라우드까지 타고 올라가는데, 김승주 교수는 랜섬웨어 감염으로 사내 모든 업무가 마비될 수 있다고 경고한다. 해커들의 실력은 갈수록 정교해져 AI로 임직원을 사칭하는 딥페이크 영상을 만들어 실제 회사에 금전적 손해를 끼친 사례도 있다.
보안은 나부터,
우리를 지키는 작은 실천
김승주 교수가 사내 보안을 강조할 때 꼭 언급하는 영화가 있다. 개인 정보를 무차별적으로 수집하는 미국 정부의 실상을 폭로한 에드워드 스노든의 실화를 다룬 영화 <스노든>이다. 영화에는 가족의 SNS를 해킹당해 기업 스파이로 전락한 인물이 등장한다. 해킹이 단순한 정보 유출을 넘어 사람을 압박하고 회유하는 도구가 될 수 있으며, 그로 인한 피해는 고스란히 우리 모두의 몫이라는 걸 영화는 보여준다.
해커들에게 인터넷 의존도가 높은 우리나라는 눈 감고도 골을 넣을 수 있는 매력적인 골대나 마찬가지다. 국가정보원의 발표에 따르면, 우리나라 주요 공공기관에 들어오는 해킹 시도 건수가 하루 평균 160만 건에 달한다. 이런 현실 속에서 우린 사내 보안을 위해 어떤 노력을 해야 할까?
“외국 공익 포스터 문구 중에 비밀번호는 속옷과 같다는 말이 있어요. 우린 속옷을 아무 데나 두지 않고, 타인과 공유하지도 않잖아요. 사실 우린 비밀번호를 어떻게 관리해야 하는지 알아요. 번거로워서 실천하지 않을 뿐이죠.”
김승주 교수는 보안 자체가 100% 편할 수 없으며, 약간의 고통과 수고로움이 수반되어야 한다고 말한다. 일회용 비밀 번호가 불편하다고, PC 버전 업데이트가 귀찮다고, 백신 검사가 오래 걸린다고 미룬 오늘의 방심이 내일의 보안을 무너뜨리는 계기가 될 수 있다. 대단한 기술 결함보다 내부 구성원 한 명의 작은 빈틈에서 시작될 수 있는 보안 사고. 마크 저커버그도 노트북 카메라에 테이프를 붙인다는 걸 기억할 것. ‘나 하나쯤이야’가 아닌, ‘나부터’ 시작하는 작은 습관과 철저한 보안 의식이 회사와 나를 지키는 강력한 방패다.
KCC구성원 Q&A
Q. 가장 중요해질 보안 요소는 기술일까요, 아니면 사람의 보안 의식과 교육일까요?
김승주 교수’s Tactics
- 일회용 비밀번호를 활용할 것
- PC 운영체계는 늘 최신 버전을 유지할 것
- 최소 한 달에 한 번, 백신 정밀 검사를 할 것
- 중요 데이터는 클라우드 대신 외장 하드에 백업할 것
- 생성형 AI를 쓰기 전, 정보 공유 기준을 세울 것
- 보안 수칙을 눈에 띄는 곳에 두어 경각심을 유지할 것
이전 글
이전 글이 없습니다.
다음 글
다음 글이 없습니다.