컴퓨터를 기반으로 다루어 지는 정보보안은 정보의 수집, 가공, 저장, 검색, 송신 그리고 수신 도중에 발생하는 정보의 변조, 훼손 그리고 유출을 방지 및 복구하기 위한 다양한 방안이다. 예전에 일반적인 보안은 사람의 침입을 통해서 발생하는 다양한 문제를 대응하거나, 내부의 사람이 핵심 기술을 외부로 유출하면서 발생하는 일들이 대부분이었다.

그러나 현재는 인터넷을 기반으로 컴퓨터와 핸드폰 그리고 다양한 디바이스를 통해 세상이 연결되면서 다양한 정보보안 사고가 많아 지고, 이를 통해서 큰 피해가 나타나고 있으며 이를 막기 위한 다양한 솔루션을 도입하여 대응하고 있다.

금융시스템이 대부분이 사람과의 대면에서 인터넷을 기반으로 하는 비대면 금융시스템을 구축하여 운영을 함으로써 정보보안을 잘 대응해야 하는 상황이고, 정보보안 사고로 돈을 잃거나 데이터의 변경과 소실을 통해 큰 손해를 보는 경우가 점차 많아 지고 있다. 기업이나 기관 뿐 아니라 개인이 보유하고 있는 컴퓨터도 인터넷에 연결 되면서 해킹의 도구가 되어가고 있고, 최근에는 핸드폰도 더 이상 안전하지 않은 상황이다. 또한 새로운 세상을 열고 있는 5G에도 다양한 정보보안 문제를 예측하고 대응하기 위해 준비를 하고 있다.

◇ 외부 침입을 막는 정보보안에 대응
정보보안에 대부분의 대응은 외부의 침입을 막는 것이다. 컴퓨터와 서버에 저장된 정보를 해킹하려는 외부의 침입은 1981년 퍼스널 컴퓨터의 등장으로 시작 되었다. 이후 1986년에는 정부 및 기업의 컴퓨터에 대한 침입이 증가하자 미국 의회는 컴퓨터 사기 및 남용에 대한 처벌 법규를 통과시켜 해킹을 범죄로 규정하면서 정보보안에 대응하는 것이 중요하다는 것을 알리게 되었다. 1999년에는 윈도우 98의 발매로 보안과 해킹의 한 해가 되었고, 보안 회사들은 다양한 해킹 방지 프로그램을 만들고 판매하게 되었다. 그 이후 2000년에는 서비스 거부 공격이 감행 되었고, 2001년에는 DNS 공격으로 마이크로소프트가 최대 피해자가 되기도 하였다. (참고:네이버지식백과)

지금도 정보보안의 대부분은 외부의 침입을 막는데 주력하고 있다. 이를 위해서 네트워크 기반으로 침입을 막는 다양한 솔루션과 장비들이 설치되어 운영이 되고 있으며, 원천적으로 외부의 침입을 막기 위해서 외부와 내부의 네트워크를 별도로 구성하여 운영하는 기관과 정부도 생겨나게 되었다. 그러나 외부의 침입은 점점 다양하고 지능화되어서 기존의 방식과 다른 새로운 침입이 계속 되고 있으며, 이를 막기 위한 투자도 점점 늘고 있는 것이 현실이다.

창과 방패처럼 공격과 방어를 지속하면서 정보보안은 거대해 지고 관련 비용도 늘어가고 있다. 최근에는 공격을 적극적을 대응하기 위하여 인공지능 기술을 활용하는 등 새로운 대응 방법도 생기고 있다. 그러나 해킹을 통한 사이버 공격은 계속 될 것이며, 침입된 기관은 피해를 보게 될 것이고, 보안사고 피해를 빠르게 복구하는 것도 중요한 대응이 되어 가고 있다. 보안사고에 대응을 위해서 한 기관이나 기업이 공격을 당할 경우에 다른 기관에서는 피해를 보지 않기 위해서 전 세계적으로 침입 정보를 공유하고 대응하는 경우가 늘어 가고 있고, 이를 위한 보안 패치도 빠르게 만들어 배포되고 있다.

상용소프트웨어를 기반으로 만들어진 소프트웨어는 소스를 볼 수 없고, 보안사고에 대한 문제를 파악하고 대응하는 것을 소프트웨어를 만든 기업이 주도적으로 할 수 밖에 없어서 대응이 늦어지면서 문제가 되고 있으며, 이와 반대로 오픈소스SW로 만들어진 소프트웨어는 소스코드를 볼 수 있어서 정보보안의 사고가 발생 시에 많은 개발자들이 함께 대응하고 만들어진 보안패치가 사용자들에게 제공되어 빠른 대응이 가능한 것이 현실이다.

◇ 내부 자료 유출을 막은 정보보안 대응
정보보안은 외부의 침입으로부터 내부의 정보를 보호하는 것이 기본이지만, 내부의 정보를 사람이나 시스템이 외부로 유출하는 것을 막는 것도 중요하다. 그러나 정보유출은 외부 침입에 대응하는 정보보안에 비해 중요성을 크게 느끼지 못하는 경우가 있다. 내부 정보는 내부자에 의해서 유출되는 경우가 대부분이며, 특정한 목적을 위해서 중요한 자료가 외부로 유출 될 가능성이 많다. 그래서 내부의 정보를 접근하는 권한 관리와 유출을 막기 위한 정보보안도 적극적으로 대응해야 한다.

자신도 모르게 내부의 정보가 외부로 유출되는 사고도 있다. 기업이나 기관에 구축된 정보시스템의 프로그램 코드에 정보를 외부로 유출하는 부분이 포함되어 있을 수 있다. 정보시스템을 외부 기업을 통해 구축 시에 개발된 부분에 정보유출 부분이 있는지에 대해서는 취약점 분석이나 만들어진 프로그램을 코드를 파악해서 대응을 해야 한다. 그러나 정보유출이 프로그램에 포함되었는지에 대한 부분을 파악하지 않고 무시할 경우에는 자신도 모르게 내부의 중요한 정보가 외부로 지속적으로 유출되어 큰 문제가 발생할 수 있다. 상용소프트웨어 구매를 통해서 도입된 경우에는 소스코드가 제공되지 않아서 프로그램의 속에 정보를 외부로 유출하는 부분이 있는지를 파악할 수 없다.

그러나 오픈소스SW를 사용할 경우에는 소스코드가 공개 되어 있기 때문에 내부정보를 유출하는 부분이 포함되었는지를 파악할 수 있고, 혹시라도 문제가 될 경우에는 오픈소스SW 커뮤니티를 통해서 문제를 대응하기 위한 패치를 만들어 빠르게 제공하기 때문에 내부자료 유출에 대응하기 쉽다.

미국의 국방부에서 구매된 데이터베이스 소프트웨어에 개발자가 임으로 내부의 정보를 외부로 유출하는 부분이 포함되어 20여년간 정보가 유출 되었다는 사례가 있을 정도로 내부정보 유출이 중요한 문제가 되었다. 미국과 중국에서는 서로의 나라에서 만들어진 컴퓨터나 서버 그리고 소프트웨어에 대해서는 소스코드를 제공해 달라고 하는 이유가 내부자료의 유출이 있는 부분을 파악해서 대응을 하기 위함이다.

최근에는 외부의 침입으로 내부의 컴퓨터가 변조되어 내부의 정보를 수집하여 외부로 유출하는 경우도 발생하고 있다. 이런 경우에는 외부의 침입과 내부의 유출이 동시에 발생하여 피해를 주는 경우이므로 다양한 방식으로의 정보보안의 대응이 필요하다는 것을 보여주는 좋은 사례인 것이다. 내부자료의 유출을 위한 다양한 솔루션이 있고, 정보에 대한 접근을 통제하는 정책도 대부부의 공공기관 및 기업에서 대응을 하고 있다.

◇ 정보보안 사고에 적극적인 대응을 위한 오픈소스 활용 전략
오픈소스SW는 소스가 공개되어 있어서 정보를 제대로 보호하기 어렵다고 생각한다. 공개된 소스코드를 활용해서 프로그램을 쉽게 수정할 수 있기 때문에 정보보호를 할 수 없다는 논리이다.

그러면 소스가 공개되어 있지 않은 상용소프트웨어는 어떻게 공격하여 정보보호를 할 수 있는 것일까? 그것은 프로그램 소스가 공개되어 있어 쉬운 부분도 있지만 소스코드화 상관없이 다양한 방법을 통해서 해킹을 할 수 있기 때문이다. 그리고 정보보호 솔루션을 만들기 위해서도 공개된 많은 오픈소스SW를 활용하고 있는 것을 보면, 오픈소스SW가 정보보호를 위해 나쁜 것이 아니라 잘 활용해야 된다는 것을 알 수 있다. 정보보호 솔루션은 공개된 오픈소스SW를 활용해 더 강력한 정보보호 솔루션을 만들어 고객에게 제공하고 지속적으로 개선하여 문제가 없는 솔루션을 만드는 노력을 하고 있는 것이다.

내부 정보의 유출을 막기 위해서는 상용소프트웨어를 도입하는 것 보다 오픈소스SW를 도입해서 소스코드를 확인하는 것이 유리하다. 그렇지 않을 경우에 자신도 모르게 정보가 유출될 수 있다는 것을 알고 도입하는 소프트웨어에 대한 문제 제기 및 대응을 해야 할 것이다. 이런 이유로 최근에 오픈소스SW의 도입 이유 중 하나가 보안에 적극적으로 대응을 위하기 위한 것이 되었다.

◇ 향후 정보보호를 위한 제언
정보보호는 사람이 하는 일을 컴퓨터의 활용과 인터넷을 통해서 처리하면 생긴 큰 이슈 중 하나이고, 지속적으로 풀어야 될 문제이다. 초기에는 컴퓨터와 서버의 정보를 보호하기 위해 노력했고, 이제는 스마트폰이 활용되면서 모바일 환경에서도 정보가 보호되어야 하고, 5G와 IoT 적용이 확대 되면서 인터넷에 접속되는 모든 사물과 소통되는 정보가 보호되어야 한다.

정보보호를 위한 적극적인 방법은 블랙박스로 만들어진 상용소프트웨어가 아닌 소스코드가 공개된 오픈소스SW를 적극 활용해야 되며, 상용소프트웨어의 경우에는 내부정보의 유출을 보증하는 대안을 마련해야 한다. 정보보호는 지속되어야 하고 점점 보호해야 될 범위가 커짐으로 오픈된 환경을 유지하고 함께 대응하는 것이 가장 효과적인 방법이다. 한국의 정보보호는 그 동안 잘 해왔다. 그러나 이제는 한국 국내의 정보를 보호하는 것에서 벗어나 글로벌로 함께 정보를 보호하는 위한 방법을 오픈소스를 기반으로 함께 연구하고 공유하기를 바란다.

송상효 교수 shsong07@hanmail.net
성균관대학교 산학중점교수이자 전자정부표준프레임워크와 PaaS-Ta 커뮤니티를 운영하는 오픈플랫폼개발자커뮤니티(OPDC) 이사장이다. 오픈소스SW 전문가로 정부 및 기업의 자문 활동 중이다. 한국공개소프트웨어 협회 회장으로 4년 동안 재임하는 동안 국내의 오픈소스SW 활성화를 위해 노력하였고, 글로벌 오픈소스 커뮤니티(리눅스파운데이션, 오픈스텍파운데이션, 클라우드파운드리파운데이션 등)과도 지속적인 협력을 통해 국내 기업과 커뮤니티가 협력할 수 있는 기반을 만들고 있다. 또한 국내에서 오픈소스를 기반으로 하는 사업과 자문을 통해서 소프트웨어 산업의 변화와 혁신을 함께 하였으며, 이를 통해 정부와 기업 그리고 개발자들이 성장할 수 있도록 공유하는 기회가 많아지면 좋겠다.