[인터뷰] 신산업·보안 ‘균형’ 이루려면?...FIRST “규제보다 가산점부터

기사 게시일: 2016.06.19 12:32:59
기사 게시 신문: 디지털 데일리
작성자: 최민지 기자
기사 저장 목적: 공부용
출처: http://www.ddaily.co.kr/news/article.html?no=144468





- 국제침해사고대응팀협의회(FIRST) 마가렛 리움 의장·마탄 반 호렌빅 전 의장 인터뷰

“언제나 법안은 기술보다 뒤처져 있습니다. 신성장 산업과 보안 간 균형을 맞추기 위해 정부는 강력한 법을 앞세워 규제하는 것보다, 위협을 막을 수 있는 좋은 방안을 제시하는 기업에 가산점을 주는 방식으로 접근해야 합니다.”

사물인터넷(IoT)·커넥티드카·드론 등 신성장 산업에 대한 기대가 커질수록 보안에 대한 우려도 늘어나고 있다. 일각에서는 보안에 대해 강제할수록 신산업의 성장성을 저해할 수 있다는 지적도 제기되고 있다.

이와 관련 마가렛 리움 국제침해사고대응팀협의회(FIRST) 의장과 전 의장을 역임했던 마탄 반 호렌빅 FIRST 이사회 임원은 <디지털데일리>와의 인터뷰를 통해 정부 규제보다 진흥정책을 통해 양 측의 균형을 스스로 잡을 수 있도록 해야 한다고 강조했다.

◆사용자 포함한 ‘3자 체계’ 제안 = 호렌빅 전 의장은 “정부가 법적 규제를 강하게 적용하면 기업들이 제대로 된 상품을 만들거나 새로운 시장에 도전장을 던지기 어려워진다”며 “기업이 스스로 보안에 대해 고려하고 위험을 줄일 수 있는 방안을 고안하도록 혜택을 줘야 한다”고 말했다.

이어 “강한 규제로 인해 오히려 신산업이 크지 못할 수 있기 때문에, 이 문제는 정책으로 해결할 수 없다”며 “정부와 기업, 모든 이해관계자 간 이해와 동의가 필요한 부분이며 활발한 토론이 우선돼야 한다”고 덧붙였다.

하지만, 기업을 대상으로 한 보안 위협은 언제 어디서나 존재하기 때문에 초기 산업에 대해서는 사용자를 포함시켜 정부·기업과 3자 체계를 구성, 실효성 있는 아이디어를 수렴해 보안을 강화시켜야 한다고 제안했다.

호렌빅 전 의장은 FIRST 내 SIG(Special Interest Group) 내 취약점을 찾아 공유하는 그룹을 예로 들며 이러한 접근방식이 규제보다 더 나은 효과를 불러올 것이라고 예상했다.

호렌빅 전 의장은 “우리는 누군가 취약점을 찾는 그룹을 만들라고 하지 않았으나, 산업 및 소프트웨어·오픈소스 등 다양한 분야의 전문가와 이해관계자들이 모여 논의하고 해결점을 모색하고 있다”며 “물론, 정부가 관련 법안을 제정하면 해결될 문제도 있으나 법안은 언제나 기술보다 뒤처진다”고 제언했다.

또 “이 때문에 규제와 가이드라인 등을 통해 한계점을 만들기 보다는 계속 토론해 열린 결말을 맺어야 한다”며 “만약, 정부에서 SIG 그룹과 같은 체계를 벤치마킹해 산업 부문에 적용하고 싶다면 우리는 언제나 환영이다”고 부연했다.

◆인공지능 보안, 인간의 가치 판단이 중요=이와 함께 이들은 지능형 공격에 대응하기 위한 방안으로 거론되는 인공지능 및 머신러닝 등을 접목한 사이버 보안에 대해 인간의 가치 판단이 여전히 중요하다고 강조했다.

리움 의장은 “이제 해킹은 컴퓨터에만 초점이 맞춰져 있지 않고, 일상생활 모든 분야로 확대되고 있는데 과거와 비교해 모든 면에서 완전히 달라졌다”며 “공격자들은 서버 트래픽들을 모방해서 인공적 패턴을 만들려고 하는데, 이런 것들을 해독해 진위여부를 구분할 수 있는 가치 판단이 더 중요하다”고 제언했다.

과거에는 악성코를 해독하기 위한 하나의 코드를 찾는 것이 목적이었지만, 이제 빠른 속도로 자동화되고 해킹 프로그램이 컴퓨터에서 스스로 이식해 퍼져 나가는 상황이다. 이는 사람이 해결할 수 있는 부분이 어려워지고 복잡해지고 있다는 의미며, 미래의 가장 큰 위협으로 대두된다.

이에 머신러닝이나 인공지능이 사이버 보안에서 큰 역할을 할 수 있다는 기대감이 퍼지고 있다. 그러나 사람의 가치 판단은 계속될 것이라는 설명이다.

호렌빅 전 의장은 “머신러닝은 사람보다 빨리 알고리즘을 분석해 해킹 자동화 코드 해독에 있어 유용한 역할을 할 것”이라며 “그럼에도 여전히 정상과 비정상정 간 특이점을 찾는 것은 사람이며, 머신러닝 등은 어떤 시작은 될 수 있으나 유일한 해법은 아니다”고 말을 보탰다.

한편, 1988년 출범한 FIRST는 76여개국·350여 기업 및 기관 침해사고대응팀을 멤버로 확보하고 있으며 국내에서도 8개 기업이 가입돼 있다. FIRST는 침해사고 대응 사례 및 취약점을 서로 공유하고, 관심사로 모이는 그룹 활동을 지원하며 교육 프로그램을 운영한다. 한국에서는 처음으로 지난 13일부터 17일까지 FIRST 연례회의를 개최했다.