최근 보안관련 연구단체에 의해 윈도 기반으로 동작하는 영화티켓무인발급기, 금융단말기 ATM, 행자부의 주민등록등·초본 무인발급기 등의 오동작과 해킹 가능성 및 개인정보 유출 가능성이 제기되고 이러한 취약점이 실제로 존재함이 입증되어 사회적으로 시급히 해결해야 할 문제점으로 등장하고 있다. 더욱이 이러한 무인단말기가 내부의 주요 전산망과 연계되어 문제를 일으킬 경우에는 상상할 수 없는 국가재난 또는 사이버테러가 발생할 여지가 있어 더욱 주의를 요한다.
이에 대한 대응방안 및 해결책들이 각 분야에서 논의되고 있는 시점에서 한 가지 원론적이면서도 중장기적인 해결책을 제시하고자 한다. 먼저 이번의 보안 취약점을 OS(운영체제) 측면에서 바라보면, 윈도라고 하는 운영체제가 각종의 무인단말기에 사실상의 표준처럼 채택되어 운용되고 있다는 점에서 기인한다고 볼 수 있다. 여기에서 필자는 윈도 취약점을 제기하고자 하는 것이 아니라 보안성 측면에서 면밀한 기술적 검토가 없는 상태에서 윈도 OS를 채택하고 이 OS 기반위에 각종의 무인단말용 응용프로그램들이 개발되어 국민의 여러 실생활에 적용되고 있다는 것이 문제점이라고 할 수 있다.
최근의 IT환경과 실생활 응용측면에서 살펴보면 OS측면에서 보안취약점이 분석되어야 함은 물론 응용프로그램 수준에서도 보안취약점 또한 반드시 분석되어 운용환경 전체에 대한 안전성이 입증되어야 한다는 것이다. 특히, 무인단말기의 경우 특정 기능만을 수행하도록 제작되었으나 그 동작 환경이 범용적으로 사용되는 윈도 OS를 기반으로 하고 있어서 문제 발생시 피해의 범위가 확산될 수 밖에 없는 것이다. 그러므로 OS 자체의 기능 및 권한을 통제할 수 있는 방안과 더불어 그 기반위에서 동작하는 특정 목적의 응용프로그램의 기능 및 권한을 통제할 수 있는 방안이 필요하다.
따라서, 이와 같이 OS수준에서의 보안성을 보장하고 각종의 응용프로그램들의 실행 및 권한을 안전하게 통제함은 물론 각종의 해킹, 웜바이러스 및 악성코드들을 차단 예방조치하고 개인정보유출을 방지함은 물론 연계된 내부 전산망의 안전 신뢰성을 확보할 수 있도록 하는 기술적 보안대책인 'Secure OS 기술'을 표준화된 해결책에 포함시켜야 한다고 판단한다.
필자도 3년전 이러한 무인단말기 보안대책을 수립해야 함을 역설하고 이와 관련된 기업에 Secure OS기술을 접목한 무인단말기를 공동개발하자고 제안한 바가 있었으나 소요 비용상의 고충으로 인해 진행되지 못한 바 있다. 최근에는 이와 유사한 무인단말구축사업에 Secure OS솔루션을 공동제안하였으나 아직 시기가 이르다는 판단하에 포함되지 못한 바 있다.
여러 보안분야중에서 Secure OS분야는 가장 최근에 등장한 솔루션으로 그 동안 각종 정부 공공기관의 IT사업에 차근차근 반영되어 서버시스템에 대한 국가사이버 보안대책으로 자리잡아 오고 있다. 최근에는 정부통합전산센터에도 구축 활용이 시작되고 있고 대기업 및 금융권의 서버시스템 보안대책으로 그 유효성이 증대되고 있는 상황이다.
독자들의 PICK!
이러한 Secure OS 기술은 서버시스템뿐만 아니라 무인단말기 OS 및 운용환경을 위한 표준화된 보안대책으로 통합되기에 시의적절한 솔루션인 것이다. 이미 국가정보원과 한국정보보호진흥원에서도 이의 필요성을 인식하고 Secure OS 제품에 대한 CC인증을 시행해 오고 있는 점을 감안할 때 이러한 보안기술의 응용분야를 넓힐 수 있도록 적극 추진할 필요가 있는 것이다.
그동안 우리나라는 IT를 통하여 기업 및 국가사회 경쟁력을 강화해 왔고 각 분야에서 이 성과를 입증해 보이고 있으며 국제사회에서도 IT강국으로 인식되고 이를 벤치마킹하려는 국가들이 늘어나고 있는 상황이다. 이러한 긍정적 효과 이면에 항상 해킹이나 바이러스 침해, 개인정보 유출, 금융사고, 첨단기업기밀 유출 등과 같은 각종의 역기능 또한 늘어나고 있는 실정은 외면할 수 없는 사실이다.
비용이나 시기는 아무도 예측할 수 없는 것이다. 기획 내지는 초기단계에 보안이 잘 반영되어 진행되면 나중의 큰 사고를 방지할 수 있고 상당한 비용을 절감할 수 있지만 초기의 비용을 감당하지 않으려다 오히려 더 큰 국가사회적인 문제가 발생하여 엄청난 비용을 지불하지 않으면 안 되는 불상사가 발생할 여지가 있다는 점이다.
이제는 보안에 대한 총체적인 시각이 바뀌어져야 한다. IT보안 또는 사이버보안이라고 하는 것은 사고가 발생했을 때 대응조치하면 된다는 후순위적 대상이 아니라 개인의 프라이버시 보호에서부터 시작하여 기업은 물론 국가사회의 경쟁력과 우위를 지키기 위한 다각적이고 전략적인 선순위 투자대상으로 반드시 인식해야 한다. 이를 위하여 정부에서도 보안전문인력 양성과 그 활용처에 대해서도 더욱 관심을 기울여서 필요한 분야에 보안전문가가 배치될 수 있도록 바라며, 보안분야의 예산을 더욱 더 늘려 투자해 주기를 바라고, 보안취약점이나 위험요소를 사전에 발견하고 예방할 수 있도록 하는 유기적인 환경을 조성하고 그 밑거름이 되는 정보보호산업체를 활성화시키는데 더욱 힘써 주기를 바라는 마음 간절하다. IT보안/사이버보안 분야에서도 최근에 화두로 등장하고 있는 소위 샌드위치가 되어서는 안 될 것이기 때문이다.