[포럼] 평창 올림픽, 사이버 보안 거버넌스 강화하자

염흥열 순천향대 정보보호학과 교수

염흥열 순천향대 정보보호학과 교수

'하나 된 열정'이라는 슬로건으로 치러질 평창 동계올림픽이 4개월 앞으로 다가왔다. 인류 최대 스포츠 축제의 운영과 관리에서 필수 불가결한 요소가 바로 정보통신기술이다. 경기 기록을 비롯한 모든 관련 정보들이 정보통신기술에 의해 실시간으로 정확하게 기록 및 저장되며 필요한 곳에 전달돼야 한다.

평창 동계올림픽에는 세계 최초로 5G 이동통신 기반의 응용 서비스가 시범 적용될 예정인데, 이는 세계 최고 수준의 국내 정보통신기술을 자연스레 전 세계에 선보일 수 있는 무대가 될 것이다. 하지만, 만약에 사이버 공격으로 인해 대회 운영에 차질이 생기거나 정보유출 등의 보안사고가 발생한다면, 막대한 예산과 노력이 투입된 국제 스포츠 대회의 개최 효과가 반감될 것은 자명한 일이다.

내년에 있을 평창 동계올림픽 대회 기간 동안 사이버 위협 현황 상황이 좋아질 것으로 기대하는 것은 아직 무리일 것이다. 올해 들어 북한의 핵실험과 탄도미사일 시험이 계속되는 상황에서, 많은 사이버보안 전문가들은 북한이 언제든 사이버 공격을 감행할 가능성이 크다고 예측하고 있다. 핵티비스트 및 국제 사이버테러 집단을 비롯한 악의적인 해커가 디도스 공격을 통해 국내 기업과 기관을 노리고 있고, 지난 5월 초에 전 세계를 강타한 워너크라이에 이어 다양한 유형의 랜섬웨어 공격이 지속되고 있으며, 2016년 말에는 국내 유명 쇼핑몰에 대한 지능형 지속 위협(APT) 공격을 통해 개인정보가 대규모로 유출된 사고도 발생했다. 또한 정보시스템을 보호하는 보안 시스템이 무력화돼 민감 정보가 유출되는 사례도 빈번히 발생하고 있다. 웹 사이트에 방문만 하더라도 악성코드에 감염되는 드라이브 바이 다운로드 공격이 여전하고, 메일을 통한 사이버 공격도 지속되고 있다. 공격자는 다양한 공격 수단을 이용해 공격 목표가 분명한 사이버 공격을 감행하고 있으며, 아마추어급에서부터 최고 수준의 공격에 이르기까지 공격자의 실력도 다양하다.

근래 개최된 올림픽의 사이버공격 사례를 살펴보면, 2012년 런던 올림픽에서는 디도스 공격 등이, 2016년 리오 하계올림픽에서도 다양한 형태의 사이버 공격 사례가 발생한 것으로 알려지고 있다.

한편, 2020년 하계 올림픽을 준비하고 있는 일본은 사이버 보안을 국가 최우선 국정과제로 인식하고 있다. 2016년에 사이버보안법을 제정하였고, 사이버 보안 전략본부를 내각관방 산하에 신설하는 등 사이버 보안 수준을 높이는 각종 제도적 및 기술적 기반을 체계적으로 마련하고 있다.

올림픽 정보시스템을 위한 보안 요구사항으로는 데이터의 무결성과 가용성을 보장하는 것이 매우 중요하다. 경기 데이터가 실시간으로 전송 및 저장되는 동안 비인가적으로 변경되지 않도록 해야 하며, 랜섬웨어 공격이나 디도스 공격이 발생하더라도 필요한 시점에 적절한 사용자에게 데이터를 안정적으로 제공할 수 있어야 한다.

필자는 평창 동계올림픽 정보보호전문위원회 위원장으로 2015년부터 활동하면서 정보시스템에 대한 보안 시스템 구축과 개인정보보호 체계 구축에 자문활동을 수행하고 있다. 그 과정에서 네트워크 보안 대책이 마련됐고, 대회 운영진이나 선수들의 개인정보보호 관리체계도 구축됐다. 이메일과 다양한 단말에 대한 보안 대책과 더불어 지능형 지속 위협 대책이 마련되었고, 랜섬웨어 공격과 디도스 공격에 대응하기 위한 가용성 확보 체계도 구축되고 있다.

네트워크상에서 사이버 공격을 사전에 탐지해 효과적으로 대응하고 최단 시간 내에 복구하기 위한 보안 관제와 침해 사고 발생 시 조직적이고 체계적인 긴급 대응을 위한 침해사고 대응팀이 구축됐다. 또한, 정부 주요 기관과 민간 유관 업체를 망라한 사이버보안 거버넌스를 바탕으로 침해사고를 미연에 예방하기 위한 사이버 위협 정보공유 체계도 마련되고 있다.

하지만 기존 준비태세와 더불어 평창 동계올림픽을 보안사고 없이 무사히 치르기 위해서 최고 수준의 대응체계 고도화가 매우 중요한데, 추가적으로 몇 가지 고려할 사항이 있다.

최고 수준의 지능형 사이버 공격이 발생할 가능성이 있다는 전제로 사이버 대응 체계를 구축해야 한다. 평창 동계 올림픽 정보시스템에 대한 잠재적 공격자들의 식별이 요구된다. 잠재적 공격자에 대한 사전 모니터링 강화가 필요하며, 이들의 공격 기법에 대한 분석도 필요하다. 알려진 공격 형태에 대한 올림픽 정보시스템의 강건함과 효과성도 점검되어야 하지만, 더 중요한 것은 알려지지 않은 공격이 발생하더라도 조기에 이를 탐지하고 대응할 수 있는 조기 탐지 및 대응, 복구 체계의 고도화가 필요하다.

이미 구축된 사이버 대응 체계도 시시각각 변화하는 최신의 사이버 공격 수준에 걸맞게 고도화되어야 한다. 조직위, 정부부처, 보안관제, 침해대응기관, 그리고 유관 사이버 대응기관 등이 참여하는 실제 대응 훈련 실시도 중요하다. 화이트 해커에 의한 침투 시험도 필요하다. 또한, 조직위 관계자의 사이버보안 인식제고 교육훈련도 매우 중요하다. 물리적 보안과 전자파 공격과 같은 연계 공격 대응체계도 고려돼야 한다.

지능 기반 사이버 대응 체계를 마련하기 위한 범정부 차원 민·관·군 협력 사이버보안 태스크포스의 구축도 요구된다. 정부 각 사이버보안 대응 조직 간의 사이버 사고 정보의 교환은 필수적이다.

사이버 사고 없는 평창 동계올림픽은 조직위 보안 조직만의 힘으로 달성하는 것은 매우 어렵다고 본다. 범정부 차원의 총력 협력을 통한 총괄 대응이 절실히 요구되는 시점이다.