세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
[인터뷰] 에스토니아 사이버 보안의 주역 2인
  |  입력 : 2017-11-22 17:11
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
레인 오티스와 얀 프리살루, 방한 중 본지와 인터뷰

[보안뉴스 오다인 기자] 발트해 연안에 위치한 에스토니아 공화국(Republic of Estonia)은 한반도 면적의 5분의 1만한 국토(45,227㎢)에 인구 약 132만 명(세계은행 2016년 통계 기준)이 살고 있는 작은 나라다. 그러나 이 작은 나라의 이름은 4차 산업혁명이나 사이버 보안과 관련한 논의에서 반복해서 언급된다. “에스토니아로부터 배워야 한다”는 목소리는 전 세계에서뿐만 아니라 국내에서도 자주 나오고 있다(보안뉴스 “[주말판] 사이버 보안 국제교범 ‘탈린 매뉴얼’의 고향 에스토니아” 기사 참조).

[이미지=iclickart]


레인 오티스(Rain Ottis·36)와 얀 프리살루(Jaan Priisalu·50)는 에스토니아의 국가적 디지털화 및 사이버 보안에 중대한 기여를 한 공로를 인정받아 에스토니아 정부로부터 ‘화이트 스타 훈장(Order of White Star)’을 수여한 보안 전문가들이다. 두 사람은 국가보안기술연구소(NSR)가 20일부터 오늘(22일)까지 서울 더케이호텔에서 개최하고 있는 사이버공격방어대회 2017(CCE 2017: Cyber Conflict Exercise & Contest)에 연사로 초청돼 방한 중이다. 21일 보안뉴스는 두 전문가를 대회 현장에서 만나 인터뷰했다.

현재 오티스와 프리살루는 에스토니아 탈린 공과대학교(Tallinn University of Technology, Estonia)의 부교수와 연구원으로 각각 소속돼있다. 오티스는 미국 육군사관학교(US Military Academy)를 컴퓨터 과학 전공으로 졸업한 뒤 탈린 공과대학교에서 컴퓨터 과학 전공으로 박사 학위를 받았다. 그는 2008년부터 2012년까지 북대서양 조약 기구 산하 합동사이버방어센터(NATO Cooperative Cyber Defence Centre of Excellence)의 과학자로 일하면서 국가 및 국제 사이버 보안의 전략 분석 및 개념 개발을 수행했다.

▲얀 프리살루 [사진=프리살루 제공]

프리살루는 에스토니아 정보 시스템국(Estonian Information System’s Authority) 국장을 역임했으며, 에스토니아 방위 연맹 사이버 유닛(Tallinn’s Department of the Estonian Defence League’s Cyber Unit)의 공동 설립자, 에스토니아 정보 시스템 감사 협회(Estonian Information System Audit Association) 회원이다. 그는 공직에 몸 담기 전 △가드타임(Guardtime) △Ühispank(현 SEB Pank) △사이버네티카(Cybernetica) 등의 민간 업체에서 일했으며 스웨드뱅크(Swedbank)의 SIRT(Security Incidents Response Team)팀을 이끌기도 했다.

덧붙여, 오티스와 프리살루는 본 인터뷰에 에스토니아의 정부 관계자로 참여한 것이 아니라 에스토니아 탈린 공과대학교 소속 연구자로서 참여한 것임을 밝힌다. 두 사람의 답변은 에스토니아 정부의 공식 입장과 다를 수 있다.

보안뉴스: 에스토니아 신원카드(ID카드)가 등장한 배경은 무엇입니까?
- 프리살루: 1994년에 저는 사이버네티카라는 업체에서 일하고 있었습니다. 당시 제 업무의 대부분은 스마트카드(Smartcard)와 관련된 것이었는데, 업무 과정에서 나온 아이디어들이 추후 에스토니아 신원카드라는 기획으로도 연결됐다고 볼 수 있습니다. 스마트카드를 작업하던 저희 팀은 결국엔 신원카드 같은 게 필요할 것이라고 생각했습니다. 비밀번호가 효과가 없다고 판단했거든요. 비밀번호는 타인이 훔쳐서 재사용할 수 있는 것이지 않습니까? 이런 방식은 개인이 자신의 신원을 증명하는 데 적절하지 않습니다.

저희는 타인에 의해 누군가의 신원이 도용될 수 없도록 하려면 어떤 식으로든 암호화가 필요하다고 판단했습니다. 개인의 신원을 증명해주는 자동화한 암호화 방식(PKI) 말이죠. 그때 정부 관계자 몇 명이 이 같은 방향에서 저희가 작업하던 것을 디지털 서명으로 구축할 수 있겠다 판단해 매입했으며, 이후 신원카드를 전자 형태로 바꿔 발행하게 됐습니다. 1994년 이 같은 생각이 최초로 구상됐고 2002년 에스토니아 정부에 의해 신원카드가 발행되기 시작했으니, 신원카드가 현실화하기까지 약 8~9년 정도가 걸린 셈이죠.

- 오티스: 신원카드는 현재 에스토니아 공공 부문뿐만 아니라 민간 영역에서도 사용되고 있습니다. 세금 신고, 정부기관과의 소통, 각종 거래 등을 포함해 여러 서비스에 신원카드가 사용됩니다. 신원카드가 발행된 지 벌써 15년이 됐는데 별다른 문제없이 잘 운영되고 있고요. 디지털 서명은 개인이 직접 문서에 서명한 것과 동일한 법적 효력을 가집니다. 그래서 일일이 관공서나 은행 같은 곳을 찾아다니며 대기하고, 또 서명해야 하는 시간을 크게 줄일 수 있습니다. 그런 불필요한 시간에 사랑하는 가족들과 집에서 시간을 보낼 수 있도록 해주죠.

▲레인 오티스 [사진=오티스 제공]

근로계약서 같은 사안에서 신원카드는 아주 유용합니다. 향후 분쟁이나 갈등을 크게 줄여주는 동시에 시간을 아껴주거든요. 만약 제가 에스토니아의 어떤 회사에서 2주 정도 짧게 근무하기로 했다고 해보죠. 저는 지금 이 자리에서 디지털 서명을 한 뒤 바로 그 회사에 보낼 수 있습니다. 상대 회사에서도 역시 서명을 하면, 에스토니아 법에서 인정하는 계약이 정식으로 성립됩니다. 즉, 근로계약을 완전히 전자적으로 해결할 수 있다는 말입니다. 지금이 한밤중이든, 제가 어느 곳에 있든 간에 신원카드를 통해 법적 효력이 있는 계약과 거래를 진행할 수 있고, 이런 일이 에스토니아에서는 15년 전에 이미 가능했다는 말이기도 합니다.

보안뉴스: 그렇다면 이 신원카드라는 건 어떻게 작동하는 것입니까? 아이디와 패스워드만 있으면 되는 것입니까, 아니면 USB 같은 물리적인 형태가 있는 것입니까?
- 프리살루: (자신의 신원카드를 지갑에서 꺼내 보여주며) 바로 이렇게 생긴 것입니다. (한국의 주민등록증과 비슷하나 전자 칩이 박혀있다.)

- 오티스: (역시 자신의 신원카드를 보여주며) 이건 사실 오래된 솔루션입니다. 2002년부터 쓰던 것이니까요. 이런 신원카드를 사용하려면 카드 리더기(card reader)가 있어야 합니다. 별도의 하드웨어 하나가 더 필요했다는 말이죠. 최신 노트북에는 카드 리더기가 내장형으로 나오는 것도 있긴 하나 여전히 신원카드의 칩을 읽어 들이려면 별도의 소프트웨어를 설치해야 했죠. 이에 대한 대안으로 모바일 ID도 있습니다. 모바일 ID는 신원카드와 마찬가지로 암호화된 솔루션이지만 디지털 서명을 휴대전화 네트워크를 통해 하는 것입니다. 모바일 ID를 통하면 고객이 별도의 하드웨어나 소프트웨어를 갖고 있지 않아도 디지털 서명을 할 수 있습니다.

- 프리살루: 다만, 소프트웨어는 웹사이트에 있기도 하기 때문에 여전히 웹사이트만으로 디지털 서명을 할 수 있다고 볼 수 있습니다. 그리고 차세대 솔루션으론 ‘스마트 ID(Smart ID)’라는 것도 광범위하게 주목받을 것으로 보입니다. 모바일 ID는 모바일 기기의 SIM 카드에 의존하는데, SIM 카드가 없는 모바일 기기도 나오고 있기 때문입니다.

보안뉴스: 에스토니아에서 전 국가적으로 디지털화를 추진할 때 반감도 있었을 것 같은데요. 이에 당국이 어떻게 대응했는지 궁금합니다.
- 프리살루: 정부나 은행 기관 등에선 국민을 대상으로 2가지 교육 프로그램을 진행했습니다. 첫째는 인터넷을 어떻게 사용하는지에 대한 것이었고, 둘째는 인터넷을 어떻게 안전하게 사용하는지에 대한 것이었습니다.

- 오티스: (프리살루가) 첫 번째로 언급한 교육 프로그램은 주로 1990년대 후반에 진행된 것입니다. 그리고 두 번째로 언급한 교육 프로그램은 현재 진행형인 일이라고 말씀드리고 싶네요. 어느 정도는 말이죠. 대부분의 사람들은 인터넷을 어떻게 쓰는지 알고 있기 때문에 첫 번째 교육 프로그램은 이제 큰 의미가 없습니다. 하지만 인터넷을 어떻게 안전하게 쓰는지 교육하는 건 현재까지도 남아있는 과제죠.

- 프리살루: 요즘은 일반 컴퓨터보다는 모바일 기기에 초점을 맞춰 교육 프로그램을 구성하고 있기도 합니다.

보안뉴스: 이런 교육 프로그램을 구성하고 추진하기 위해 별도의 정부 위원회가 있는 것입니까?
- 오티스: 민관이 협력해서 주도하고 있습니다. 공공기관과 민간 업체들은 디지털화에서 공동의 가치를 봤고, 이를 제대로 실현하려면 국민들을 교육하는 것이 선행돼야 된다고 판단했습니다. 그래서 21세기를 살아가는 국민들이 최대한의 가치를 누릴 수 있도록 말이죠.

보안뉴스: 지금 참관 중이신 사이버공격방어대회 2017에 대해서는 어떻게 생각하십니까?
- 오티스: 저희는 옵저버(Observer) 자격으로 이번 대회를 지켜보고 있는데요. 꽤 인상적이었다고 말씀드리고 싶습니다. (주최 측은) 빠르게 대회를 성장시키고 있고, 매우 복잡한 문제를 고안해냈습니다. 내년 대회는 올해보다 훨씬 더 성장하리라고 확신하고, 이를 위해 저희가 가진 통찰력도 기꺼이 나누고 싶습니다.

이런 대회와 훈련을 갖는 것은 정말 중요한 문제입니다. 단지 한국만이 아니라 사이버 공간에서의 안전을 고려하는 세계의 모든 나라에 중요한 일이죠. 사이버공격방어대회 같은 행사를 통해 사람들을 훈련할 수 있고, 능력과 지식을 갈고 닦을 수 있습니다. 사이버 보안 영역에서 어떤 것에 특히 더 집중할지도 이런 대회를 거치며 알아낼 수 있습니다.
[국제부 오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 5
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)