초판발행 2022.01.21

‘4차산업혁명’이나 ‘디지털 전환’ 같은 용어들이 예능 프로그램에 나온다. 참으로 기쁜 일이 아닐 수 없다. 본래 지식이나 정보는 특정 권력층의 전유물이자 권력을 유지하기 위한 수단으로 쓰였다. 이것이 확산하고 보편화되면서 다양한 비판과 의견이 나타나고 권력이 분산되며 사회가 발전하였다. 보안에 관한 문제도 그렇게 확산하길 바란다. 디지털 전환을 추진하는 만큼 보안도 강화해야 한다. 보안이 디지털 전환의 곁가지가 되어서는 안 된다. 디지털이 아주 일반화된 상태를 전제하고 조금 더 미래의 관점에서 보안 문제를 바라봐야 한다. 기술의 발전이 너무 빨라서 제도는 따라잡기 어렵다는 누구나 아는 문제를 들먹이지 말고 안전에 관한 문제는 조금 더 민감하게 다뤄 보자. 선진은 그런 수준의 예민함과 철저함을 통해서만 달성할 수 있다. 그러려면 보안은 내 문제로 인식되어야 한다. 내가 사용하는 기술에 무슨 문제가 있는지 아주 쉽고 빠르게 알 수 있어야 한다. 보안은 보안전문가만의 영역을 벗어날 때에야 비로소 달성될 수 있는 것일지도 모르겠다.
디지털도 사람이 다루는 기술이다. 사람이 설계하고 코딩하는 이상 결함은 존재할 수밖에 없다. 결함을 통해 보안을 침해할 수 있는 요건을 구현해 내면 비로소 보안취약점이 탄생한다. 이로부터 각종 보안위협이 파생하므로 보안취약점은 디지털 시대의 가장 근원적인 위험요소인 셈이다. 보안위협이 발생하려면 누군가 결함을 취약점으로 바꿔 내고 취약점을 통해 보안을 침해하는 기술적 조작을 해야 한다. 문제는 그러한 보안 침해가 악의냐 선의냐 하는 것이다. 즉, 취약점은 보안을 위협하기 위해 쓰이지만 강화하기 위해서도 쓰일 수 있는 역설적인 요소다. 이 때문에 취약점 문제는 악의적 활용을 줄이고 선의의 활용을 장려할 수 있는 형태로 다뤄야 한다.
무엇보다 근본적으로 보안취약점을 악용하려는 시도들이 많다는 점을 고려하여야 한다. 사이버 범죄자들이 그렇고 취약점을 불법하게 수집해 활용하는 정부도 그렇다. 취약점을 불법하게 거래하는 취약점 브로커들도 마찬가지다. 취약점을 은밀하게 활용하려는 의도들은 보안을 침해하는 핵심 요인이다. 이러한 입장과 접근들을 표면 위로 드러내야 한다. 함께 논의하고 문제를 식별해 정리해야 한다. 이로써 취약점을 규제할 수 있는 영역에 두고 불법의 영역은 줄이면서 합법의 영역을 늘려야 한다. 2021년 말 월패드 해킹 논란은 시작에 불과하다. 자율주행자동차나 드론으로 대형사고가 발생할 수 있고 스마트시티가 마비될 수 있다. 전 세계를 뒤흔들고 있는 Log4j 취약점 사태와 유사하거나 더 심각한 문제는 반드시 발생할 수밖에 없다. 이제 회사 내 보안팀만으로는 역부족이다. 제품이나 차량 결함을 제보하듯 취약점도 제보해야 하고 또 제보를 적극적으로 요청해야 한다. 이러한 상황에서 취약점 연구가 과연 도덕적인지, 허용할 수 있는 것인지에 관한 논란은 종결되었다고 봐야 한다. 오히려 취약점 연구를 반대하는 것이 비도덕적이지 않은가? 각국의 정부와 기업들은 이미 취약점 공개정책을 운영하며 화이트해커들의 참여를 환영하고 있다.
미국과 일본, 중국은 국가적 차원에서 취약점을 다룬다. 취약점 데이터베이스를 운영하고 취약점을 안보나 수사목적으로 활용하고 있다. 미국과 영국은 이미 정부가 취약점을 수집하고 활용하기 위한 판단 절차를 두고 있다. 독일도 논의를 진행 중이다. 우리도 취약점을 전략 자산으로 이해해야 한다. 디지털 시대의 전략적 우위를 선점할 수 있게 권한을 부여하고 관리하면 된다. 취약점을 합법적으로 수집하고 활용할 수 있는 법적 근거와 절차 및 감독체계를 마련해야 한다. 취약점 거래시장은 아직 어떤 규제도 받지 않는다. 취약점을 민주주의 국가에만 판매하고 있다는 말을 정말 믿을 수 있는가? 그 국가는 정말 취약점을 민주적 통제 아래에 두고 있는가? 국제적 차원에서도 취약점 논의를 할 수 있지 않을까? 중국은 자국민이 취약점을 발견한 경우 중국 외 다른 국가들에게 공개하지 못하도록 규제하고 나섰다. 국제사회에서의 논의도 분명히 필요하다.
아직 어느 국가도 디지털 전환에 성공하지 못하였다. 모두가 경주하고 있을 뿐이다. 뛰어난 디지털 인프라를 갖춘 우리가 분명히 선도할 수 있는 영역이다. 디지털로 넘어가려면 반드시 취약점 문제를 관리해야 한다. 이미 OECD도 디지털 경제를 활성화하기 위해 보안취약점 문제를 정책으로 다뤄야 한다며 권고하는 상황이다. 사이버보안 취약점의 문제를 드러내야 한다. 공개하면 취약점은 최소한 제거될 수 있는 상태에 놓인다. 그렇지 않으면 영영 남아서 누가 악용하고 있는지조차 알 수 없는 상태에 놓인다. 그런 취약점은 피해가 발생하였음을 인지하고 난 뒤에야 제거할 수 있다. 공개하고 인식하지 않으면 보안은 계속 약해질 수밖에 없다. 취약점은 사이버 환경의 위생을 강화하기 위해 적극적으로 찾아 제거해야 하는 잠재적 오염물이자 국가의 전략 차원에서 활용할 수도 있어야 하는 디지털 시대의 중요한 전략자산이다. 이 연구는 그러한 생각에서 시작해 어떤 문제들을 고려하고 어떻게 해결해 나가야 하는지 짚고자 하였다.
이 책은 저자의 졸저인 고려대학교 박사학위논문 ??보안취약점의 사회적 인식과 법·기술적 대응전략??을 편집하여 저술하였다. 이제 겨우 공부할 수 있는 자격을 부여받은 마당에 큰 영광이 아닐 수 없다. 존경하는 나의 선생님이신 권헌영 교수님께서 도전할 기회와 용기를 주셨다. 부족한 제자의 앞길을 든든히 축복해 주시는 선생님이 계신 덕에 지난한 배움의 길도 즐기며 나아갈 수 있다. 헤아릴 수 없는 은혜를 베풀어 주시는 고려대학교 정보보호대학원의 임종인 교수님께서도 출간을 응원해 주시며 조언과 격려를 아끼지 않으셨다. 같은 대학원의 원장으로 재임하고 계신 이상진 교수님께서는 다양한 시각을 보여주시며 부족한 생각의 저변을 넓혀 주셨다. 한국정보보호학회 회장을 역임하신 충남대학교 컴퓨터융합학부 류재철 교수님께서는 대면이 어려운 상황에서도 귀한 시간과 혜안을 여러 차례 흔쾌히 나눠 주셨다. 나의 모교 광운대학교 법학부의 선지원 교수님께서는 일천한 연구를 세세히 살펴 다듬고 깎아야 할 부분들을 정확히 짚어 주셨다. 혼자의 힘으로는 절대 오늘에 이르지 못하였을 것이다. 학문적으로도 인격적으로도 존경하는 선배이신 고려대학교의 김법연 박사님, 한결같은 신실함으로 큰 귀감이 되는 선배이자 친우인 개인정보보호위원회의 주문호 박사님, 언제나 세심하게 챙겨주시고 지원해 주시는 김미리 선배님께 고개 숙여 감사드린다. 연구실의 동료들은 물심양면으로 큰 의지가 되었다. 고려대학교 정보보호대학원 사이버법정책연구실의 임지훈, 박혜성, 서정은, 현새롬, 이진명, 임유진, 박시우 연구원님께 감사의 마음을 전한다. 특히 모든 것에 있어서 필요조건인 현새롬 연구원님의 조언과 도움을 받는 행운을 누릴 수 있었다. 사랑하는 선생님과 선후배, 동료들의 은혜를 입지 않았다면 어떠한 결실도 얻지 못하였을 것이다. 새내기 박사의 부족한 원고를 살펴 주시고 출판을 허락해 주신 박영사의 안종만 회장님, 안상준 대표님과 이영조 팀장님, 바빠서 늦었다는 핑계를 매번 너른 마음으로 이해해 주신 윤혜경 편집자님께도 깊은 감사의 말씀을 드린다. 역동적인 삶을 살아갈 수 있는 이유는 든든하고 편안한 안식처가 있는 덕이다. 항상 믿음과 사랑으로 응원해 주시는 가족들에게 감사드린다. 모두가 내 열정의 근원이고 더 나아가야 할 이유다.

2022년 1월
윤상필

윤상필
2016 광운대학교 법과대학 법학사(IT법)
2018 고려대학교 정보보호대학원 공학석사(정보보호학)
2021 고려대학교 정보보호대학원 공학박사(정보보호학)
2021~ 고려대학교 정보보호대학원 연구교수

prologue. 들어가며: 기술 통제와 신뢰, 그리고 디지털 3
신뢰할 수 있는 기술 3
디지털 기술과 보안취약점 7

제1장 보안취약점과 디지털 위험 15
제1절  보안취약점 규제시대의 도래 15
제2절  보안취약점의 이해 22
제3절  보안취약점의 속성 35
제4절  보안취약점 대응의 연혁 38
제5절  보안취약점 활용의 변천 43
제6절  보안취약점의 위험구조 73

제2장 보안취약점 대응의 검토과제 95
제1절  화이트해커의 취약점 연구 95
제2절  보안취약점 공개 109
제3절  사업자의 의무와 책임 127
제4절  블랙해커의 취약점 악용 139
제5절  보안취약점 거래시장의 규제 142
제6절  정부의 수사 및 안보 목적 활용 148
제7절  보안취약점 대응의 개선과제 163

제3장 보안취약점 대응전략 구상 177
제1절  원 칙 177
제2절  자주적 보안과 생태계 신뢰 보장 194
제3절  보안취약점 공개정책의 도입과 실효성 확보 204
제4절  보안취약점 정보의 관리와 공유 224
제5절  보안취약점의 합법적 활용 요건 233
제6절  보안취약점 대응역량 강화 및 기반 마련 247
제7절  보안취약점 거래시장의 양성화 255
제8절  보안취약점 대응의 국제협력 260

제4장 결 론 267

미 주 275
찾아보기 348