백기승 원장 "액티브X, 보안 책임 회피하기 위해 관행적 사용"

by이유미 기자
2017.07.09 12:00:00

[이데일리 이유미 기자] “액티브엑스(Active X)는 민간부분에서는 거의 해결됐는데, 공공과 금융부문에서 사용자 개개인 PC의 보안을 신뢰하지 않다보니까 아직도 액테브엑스가 남아있는 것입니다.”

백기승 한국인터넷진흥원장(KISA)은 지난 7일 서울 광화문 한 식당에서 진행된 오찬에서 최근 이슈가 되고 있는 액티브X에 대해 보안사고가 났을 때 해당 기관에서 책임을 지지 않기 위해 액티브X를 관행적으로 사용하고 있다고 주장했다.

백기승 한국인터넷진흥원장(사진=한국인터넷진흥원)

백 원장은 “농협은행이 과거 보안사고가 지속되다보니까 이후 보안을 업그레이드하고 이상거래탐지시스템(FDS)을 장착해 현재 높은 수준의 보안 환경을 구축했다”면서 “하지만 아직도 다른 은행들은 FDS을 제대로 장착하지 않다보니 액티브X에 의존하고 있다”고 지적했다.

공공분야 웹사이트에서의 액티브X는 오는 2020년까지 모두 없애겠다고 국정기획자문위원회는 밝힌 바 있다.

백 원장은 “공인인증서와 액티브X는 별도 기준으로 만들어 진 것인데 액티브X 때문에 공인인증서가 자꾸 오해를 받고 있다”면서 “공인인증서는 공개키기반구조(PKI) 기술로 해외에서는 인정받고 있다”고 설명했다.

백 원장은 지난 2014년 9월부터 임기 3년으로 한국인터넷진흥원 원장에 취임했다. 백 원장은 홍보전문가로 이전에는 인터넷과 정보보호분야에 몸 담진 않았지만 취임 후 인터넷 및 보안업계 전문가들과 자주 미팅을 하면서 국내 정보보호 전담기관의 수장 역할을 원활하게 수행해오고 있다.



인터넷진흥원은 핀테크, 사물인터넷(IoT), 블록체인 등 그동안 4차산업혁명을 뒷받침하는 산업활성화를 지원하고 인력양성을 위해 사이버보안인재센터 등도 구축했다. 지난 3일 인터넷진흥원 본원을 나주로 이전 완료했다.

이날 오찬에서 백 원장은 최근 지능적이면서도 대량확산되고 있는 사이버 보안 위협에 대응하기 위해 정보공유와 협력이 필요하다고 강조했다.

그는 “국가간 사이버전쟁은 이미 시작됐으며 이제는 사이버공격의 피해가 일부 기관의 기능 마비에 그치는 것이 아니라 개인의 손실까지 초래하면서 민관 구분이 없어졌다”면서 “‘사이버위협 인텔리전스 네트워크’ 등을 통해 우리 원과 민간기업관의 정보 공유는 지속적으로 진행하고 있다. 하지만 보안을 담당하는 실무적 기관들의 정보 공유가 원활하지 않아 협업 연결체계가 모색돼야 한다”고 밝혔다.

그는 침해사고 피해가 확산되는 것을 방지하기 위해 인터넷진흥원에 법적 집행 권한이 필요하다고 언급했다. 인터넷진흥원은 악성코드에 감염이 된 PC를 발견하더라도 이를 차단하거나 정지시킬 수 있는 권한이 없다. 또 보안사고를 당한 기업이 동의를 해야지만 인터넷진흥원 측에서도 기술지원이나 조사를 할 수 있는 실정이다.

그는 “실제로 최근 랜섬웨어에 감염된 한 웹호스팅업체에 대해서도 우리가 실제로 감독할 권한이 없고 일정 규모 이하의 기업은 관리 대상에서 제외되다보니 모니터링을 하기가 어렵다”면서 “이러한 웹호스팅업체나 소규모 기업들이 보안 지원을 받아서 안전한 상태로 사업을 할 수 있게끔 보안에 대한 근본적인 조치가 필요하다”고 지적했다.

백기승 원장은 1957년생으로 연세대 정치외교학과를 졸업하고 대우그룹 기획조정실 이사, 코콤포터노벨리 커뮤니케이션전략연구소장, 박근혜 대통령후보 중앙선거대책위원회 공보상황실장, 대통령비서실 국정홍보비서관을 거쳐 2014년 9월 한국인터넷진흥원 원장에 취임했다.