[칼럼] 사이버보안을 이해하고 사이버전을 대비하자

[이기종의 4차 산업혁명의 이해] 이기종 사이버개념연구회 대표
사이버보안 활용 전쟁서 해커 역할 중요…인공지능, 사이버보안 승패 큰 영향

이기종 사이버개념연구회 대표

요즘 전 세계적으로 사이버 공간에서 벌어지는 위협과 공격은 보이지 않는 전쟁과 총성 없는 전쟁 등으로 묘사되며 언론에 자주 오르내린다. 실제 사이버 공격으로 인해 기업과 국가 기관의 정보가 유출되고 시스템이 파괴되는 일도 종종 발생하고 있다. 이에 따라 4차 산업혁명 주제 중에서 인공지능형 사이버보안과 사이버전에 대한 대비의 요구가 커지고 있다.

4차 산업혁명의 특성은 연결성이다. 특히 인터넷 공간이 모든 영역과 연결될 가능성이 높아짐에 따라 사이버공간이 확대되고 있다. 이는 해커의 입장에서 해킹의 대상이 확대되어 일종의 먹거리가 늘어난다는 것을 의미한다.

정보보호(보안)에서 해커의 역할이 중요한 듯이 사이버보안에서도 마찬가지이다. 하지만 정보보호의 해커는 개인, 조직(집단, 국가)이지만 사이버보안에서는 기계(인공지능, 로봇 등)도 해커가 된다. 또한 정보보호는 방어적인 측면에서 해킹이 중요했지만 사이버보안은 공격적인 측면에서 해킹이 중요하다. 즉 기계가 자체적인 공격으로 취약점을 스스로 보완하며 해킹을 당할 경우에는 인간보다 먼저 대응하게 된다.

인공지능형 사이버보안은 기계가 해킹의 전 과정을 통제한다. 해킹의 전 과정을 100이라고 하면, 90%가 준비과정이고, 10%가 실행과정이다. 현재 사람이 모든 과정을 통제하지만 그 과정이 정신적인 노동으로 장시간 이뤄져 특정한 영역에 집중한다. 그러나 앞으로 기계인 해커는 전 과정과 모든 경우의 수를 통제할 수 있을 것이다.

해커로서 기계의 활용도는 2016년 미국에서 열린 컴퓨터 해킹 대회인 사이버그랜드챌린지(Cyber Grand Challenge, CGC)와 세계 해킹 대회인 데프콘(DEFCON)에서 기계(메이헴, MAYHEM)와 인간팀 간의 해킹 대회에서 볼 수 있었다. 특히 기계가 가지는 장점은 인간이 설계한 문제를 뛰어넘어 그 프로그램이 가지는 취약점을 찾아냄으로써 인간의 직관을 뛰어넘을 수 있다는 것을 보여줬다.

보안을 활용한 전쟁 가능성은 2010년도 스턱스넷을 활용한 이란의 핵 시설 공격을 통해 알 수 있었다. 여기서 중요한 것은 해킹 공격의 수단도 중요하지만 이보다 더 중요한 것은 해킹의 영역이 인터넷 공간에서 물리적 공간으로 전이 및 확대됐다는 것과 국가가 특정 목적을 가지고 공격을 가했다는 것이다. 앞으로 4차 산업혁명의 연결성으로 인해 자율자동차, 드론, 의료 시설 등 사회적으로 발전하는 있는 전 영역에서 악영향을 미칠 수 있는 가능성은 높아지고 있다.

영화나 드라마는 해커를 어두운 곳에서 공격을 준비하는 모습으로 묘사한다. 또 자판을 한번 누르면 단숨에 해킹에 성공하는 것으로 묘사하는 등 해커의 활동을 일부분 왜곡하여 전달하고 있다. 해커로 활동하는 사람을 나쁜 사람 또는 공부 못하는 사람으로 인식하는 경우도 많다. 그러나 현재까지 사이버 공간에서 변화는 해커의 활동으로 인하여 변화해왔고 앞으로 더욱 발전할 것이라는 예상도 있다.

고대 다윗과 골리앗의 싸움의 이야기를 보면 다윗은 돌맹이로 골리앗의 취약점인 이마를 공격해 전쟁에서 승리했다. 이러한 취약점 공격이 사이버보안의 정수이다. 보안에서 100%의 완벽함이라는 것은 있을 수 없기에 언제든지 공격을 받을 수 있고 공격을 할 수 있는 것이다. 따라서 앞으로 사이버 공간에서 보안을 활용하여 벌어지는 전쟁은 기존의 정보보호에서 사람 중심의 우위보다 기계 중심의 우위로 변화할 것이다.

결론적으로 사이버보안을 활용한 전쟁이 바로 사이버전이라고 일반화시키는 것보다 사이버전의 한 가지 요인으로 생각하는 것이 좋을 것이다. 이는 전쟁의 역사가 전쟁을 승리할 수 있는 수단인 무기 체계 개발은 지속적으로 이뤄졌다는 것을 말해주고 있다.

따라서 앞으로 과학의 발전은 상상할 수 없을 정도로 그 속도가 가속화가 될 것이고 무기체계도 이에 맞게 개발될 것이므로 다양한 요인의 사이버전이 일어날 수 있다는 폭넓은 사고 속에서 사이버안보를 대비해야 할 것이다. 또한 말로써 이루어지는 사이버보안이 아니라 기반 구축 등 실질적인 사이버보안 대비가 국가적으로 필요한 때이다.