보안, 정말로 혁신과 발전의 방해물일까?
과도하지도 않으며 부족하지도 않은 보안의 ‘양 조절’ 문제
[보안뉴스 문가용 기자] 메모 애플리케이션의 최강자인 에버노트가 작년, 프라이버시 정책을 바꾼다고 발표했을 때 난리가 났었다. 정책 내용 중 에버노트 사용자들이 작성한 메시지 내용을 에버노트 직원들이 열람할 수 있도록 한다는 게 있었기 때문이다. 에버노트가 이런 무리수를 던진 건 머신러닝과 자동화 기능을 실험해보고 추가하기 위함이었고, 극히 제한된 몇몇에게, 그것도 특별한 상황에서만 해당 권한을 주겠다고 설명을 했지만 사용자들의 반발은 식을 줄 몰랐다.
▲ 보안, 길을 밝히다[사진=iclickart]
물론 모든 사용자들이 다 그런 건 아니었다. 신기술 도입을 위한 에버노트의 노력에 찬성하고 자신의 콘텐츠를 제공하겠다고 하는 사람도 당연히 있었다. 그러나 대다수는 누군가 나의 메모를 나도 모르게 열람할 수 있다는 사실에 거부감을 표현했다. 신기능보다는 프라이버시가 먼저였던 것이다. 그래서 에버노트 측은 프라이버시 정책을 다시 한 번 바꿀 수밖에 없었다. 원하는 사용자만 콘텐츠 열람을 허락하도록 옵트인 기능을 추가한 것이다.
보안의 우선순위는 아직도 낮다
치열한 경쟁 속에서 새로운 시도를 해보려는 디지털 사업 종사자들에게는 항상 이러한 제약 사항들이 존재한다. 기능이 많아지면 많아질수록, 새로운 기술을 도입하면 할수록 공격 가능성이 높아지기 때문이다. 개발자이든, 웹 서비스 사업주든, 사물인터넷 기기 제조사든 모두 마찬가지다. 소비자들에게 더 나은 뭔가를 제공하려고 한 것뿐인데, 프라이버시와 보안 문제가 번번이 발목을 잡는 그림, 이들에겐 익숙한 현상이다. 그렇다고 무시하기엔, 그 결과가 너무나 무섭다.
결국 혁신적인 기술을 앞장세운 업체들은 고공 줄타기를 하는 심정으로 하루하루 버텨간다. 창의력과 보안 사이의 그 아슬아슬한 중간지대에서 한 걸음 한 걸음 흔들거리고 있는 것이다. 끊임없는 혁신을 요구하는 임원진들을 진정시켜야 하는 보안 책임자들에게 있어 이 균형 잡기는 여간 어려운 일이 아니다.
그러나 소프트웨어 보안 전문업체인 캐스트 소프트웨어(CAST Software)의 수석 과학자이자 부회장 빌 커티스(Bill Curtis)는 “혁신과 보안을 굳이 대치되는 개념으로 인식할 필요가 없다”고 주장한다. “혁신과 보안이 대치되는 것처럼 보이는 건, 어떻게 해서든 제품을 빨리 출시하고 싶어 하는 분위기 때문입니다. 경영진은 ‘빨리 출시하지 않아서 보는 손해’와 ‘성급히 출시해서 나중에 수정, 배포는 물론 손해배상을 하게 될지 모르는 상황에서의 손해’를 재빨리 계산하고 나서 전자를 선택하곤 하는데요, 이는 결국 ‘보안 사고가 발생한 후 들어가는 비용’에 대해 이해하지 못한다고 밖에는 설명이 되지 않습니다. 즉, 결정권자들이 보안 사고로 인해 생기는 피해에 대해 정확히 모르고 있기 때문에 표면상 혁신과 보안이 대치되는 것처럼 보인다는 겁니다.”
실제로 2016년 이코노미스트에서 1100여 명의 경영진들을 대상으로 진행한 연구 결과에서 45%가 “사이버 공격과 사이버 보안 강화 노력 때문에 출시 일자가 늦춰지거나 생산 일자가 길어졌다”고 답했다. 이들은 대부분 CEO, CFO, COO였다고 한다. 하지만 같은 임원진이라고 해도 CIO 및 CISO들 중 같은 답을 한 사람은 20%도 되지 않았다. 또 있다. 경영진의 54%는 보안 때문에 관리 업무가 지나치게 많아진다고 답했고, 45%는 보안 때문에 경쟁에서 뒤쳐진다고 말했다.
혁신과 보안 사이에서 가장 많은 고뇌를 하는 디지털 기업들의 이코노미스트 연구 결과도 재미있다. 여기서 말하는 디지털 기업은 사이버 보안을 전문으로 하는 기업을 제외한 것이다. 이런 디지털 혁신 기업들은 “보안에 돈이나 시간, 인력을 투자하기 전에 먼저 제품 및 서비스에 대한 시장의 반응부터 알아야 한다”고 답했다. 보안이 아예 필요 없다는 건 아니지만, 우선순위에서 상당히 뒷자리에 있음을 알 수 있는 대목이다.
포네몬 인스티튜트(Ponemon Institute)의 의장인 래리 포네몬(Larry Ponemon) 박사는 “보안의 우선순위가 급증하는 건 큰 사고가 터지고, 그게 대대적으로 알려진 직후”라고 꼬집는다. 하지만 그래서는 너무 늦을 수밖에 없다. “출시 일자나 생산 비용에는 그토록 민감하게 반응하면서, 왜 보안 기능을 덧붙이고 사고 수습을 하는 비용은 생각하지 않는지 잘 모르겠습니다. 같은 보안 기능이라도 생산 과정 중에 덧붙이는 것과 제품 개발이 완료된 후 추가하는 것 사이에는 큰 비용 차이가 있고, 그에 대한 연구 자료도 이미 나온 바 있는데 말이죠.”
빠른 출시냐 안전한 출시냐, 그것이 문제로다
연구 자료뿐만 아니라 실제 사례도 많다고 포네몬 박사는 강조한다. “한 의료 기기 생산업체가 있었어요. 최근 자신들이 만든 제품에서 보안 구멍이 발견됐죠. 다행히 의료 사고로 번지거나 환자가 피해를 입는 일은 없었지만, 그 기업은 모든 제품을 수거해 고치고 나서 다시 고객들에게 돌려주었죠. 사고가 나지는 않았지만 그 구멍으로 인해 브랜드 인지도가 크게 손상됐거든요. 게다가 관련 기관에 내야 할 벌금 등도 무서웠고요. 그 때 그 후속조치 비용은 절대 적지 않았습니다. 당연히 그 기업 운영진은 엄청난 후회를 했고요.” 포네몬 박사는 기업의 이름을 언급하지는 않았다.
그러나 의료 산업의 사물인터넷 기기들에서 보안 구멍이 발견되는 건 흔한 일이다. 2016년에는 아니마스 원터치 핑(Animas OneTouch Ping)이라는 인슐린 펌프에서 통신 하이재킹 취약점이 발견되었다. 쉽게 말해 해커가 펌프 기계와 컨트롤러 사이에 끼어들 수 있다는 뜻으로, 민감하게 조절해야 하는 인슐린 양을 누군가 마음대로 조작하는 게 가능해지는 치명적인 문제였다. 환자의 목숨을 좌지우지할 만큼 말이다. 2017년 1월에는 세인트 주드 메디컬(St. Jude Medical)에서 제작한 심장박동기에서 문제가 발견되기도 했다. 공격자가 심장박동을 임의로 조정할 수 있게 해주는 문제였다.
보안에 차마 신경을 못 쓰는 건 웹 서비스 산업도 마찬가지다. 캐스트 소프트웨어의 커티스는 “현존하는 웹 사이트들에는 테스트만 조금 더 꼼꼼히 하면 될 문제들이 산적해 있다”고 진단한다. “솔직히 웹 사이트에서 발견되는 문제들 대부분은 ‘널리 알려진’, ‘오래된’ 취약점들입니다. SQL 인젝션, XSS 등이죠. 흔한 문제들을 목록화 해놓고 하나하나 점검해가며 테스트만 꼼꼼하게 해도 해결될 수 있는 문제죠. 역시 보안을 나중으로 미뤄놓기 때문에 생기는 일일 수밖에 없습니다.” 실제 본지에서 매일 연재하는 ‘버그리포트’ 기사에서 가장 많이 나오는 취약점도 XSS 취약점이다.
그렇다고 해서 ‘경쟁에서 뒤처질 수 있다는 위기감’ 역시 가벼운 문제가 아님을 포네몬 박사는 인정한다. “아까 의료기기 생산업체 얘기를 잠깐 했는데, 반대로 보안에 지나치게 신경을 쓰다가 시장 점유율을 경쟁사에 뺏긴 예들도 존재합니다. 제가 아는 한 인쇄업자도 보안 때문에 중요한 결정을 조금 늦췄다가 사업적인 손해를 보기도 했고요.” 이번에도 포네몬 박사는 기업의 이름을 언급하지는 않았다. “지나치게 부족한 보안도 문제이지만, 과도한 보안 역시 문제입니다.”
시장 진출 시기만의 문제가 아니다. 앱이나 게임처럼 사용자가 직접 상호작용을 해야만 하는 서비스의 경우 보안에 지나치게 신경 쓰면 사용자 경험이 불편해질 수 있다. 로그인 상태가 지나치게 빨리 풀린다거나, 인증 과정이 까다롭다거나, 비밀번호 변경이 너무 어렵게 되어 있다거나 하면 사용자들은 해당 서비스를 버리고 대체품을 찾아 나선다. 이런 면에서 보안은 생산 기능과 정확히 대치되는 개념처럼 보이기도 한다.
문제는 오히려 보안의 ‘양 조절’
RSA의 의장인 아밋 요란(Amit Yoran)은 “그래서 혁신과 보안의 균형 잡기는, 사실 보안의 ‘양 조절 문제’이기도 하다”고 정리한다. 그리고 이 ‘양 조절’은 단 하나의 전문가나 결정권자가 선을 명확하게 그어줄 수 있는 성질의 것이 아니기도 하다. “프로젝트가 시작될 때마다 코딩을 해야 하는 개발자, IT 인프라 담당자, 마케팅 담당자, 보안 책임자, 프라이버시 전문가 등이 한 자리에 모여 기획을 함께 해야 합니다. 당연히 지금 당장 이걸 하라면 쉽지 않죠. 전부 따로따로 일해오던 사람들이니까요. 이를 위해서는 사전 작업도 상당히 필요합니다. 서로가 무슨 일을 하며, 어떤 사람인지 알아가야 합니다. 각자 분야에 대한 이해와 존중, 그리고 대화할 수 있는 문화가 필요해요. 서로 회의 말고도 시간을 같이 보내도 봐야 하고, 기업 내 문화가 통째로 바뀔 필요가 있습니다. 조금은 수평적으로요. 말처럼 쉽지 않죠.”
특히 기획을 담당하는 개발자와 마케터들이 보안 요소를 경쟁 상품 및 서비스와의 차별성으로서 바라봐야 한다고 요란은 주장한다. “엔지니어링에 특화된 사람이나 창의적인 생각을 하는 사람들은 보안을 조금 무시하는 경향이 있어요. 자신들의 머릿속에 가득한 그 빛나는 아이디어를 표출해야 하는데 보안이 번번이 장애물 노릇을 하거든요. 그런데 이젠 그 창의력 안에 보안 요소도 들어가야 합니다. 아예 ‘창작’이라는 개념 안에 ‘안전’도 포함이 되어야 해요. 안전한 창의력을 발휘해야 한다는 것이죠. 그게 지금 이 사이버 해킹 시대에 요구되는 창의력입니다.”
요란이 말하는 ‘사이버 해킹 시대’는 ‘사물인터넷 시대’로 바꿔도 된다. 가정 자동화, 커넥티드 자동차, 각종 의료 기기 등이 일상 깊이에 자리 잡고 있는 때 마냥 새롭고 독특하고 쿨하고 멋진 서비스만으로는 고객을 사로잡을 수 없게 되는 때가 곧 오리라 예측되기 때문이다. 소비자들의 보안 의식이 갑자기 높아져서? 아니다. 패치가 불편하기 때문이다. “일단 출시해놓고 패치로 막으면 된다는 생각은 소비자의 외면으로 이어질 겁니다. 주기적으로 혹은 간헐적으로 패치 받고 설치하는 건 굉장히 불편하거든요. 보안을 자신 있게 해놓고 ‘패치 안 해도 되는 상품’이라고 광고하는 것 자체로 소비자들의 관심을 받을 수 있죠.” 아밋 요란의 설명이다.
커티스는 “오히려 보안의 균형을 잡다보면 다른 엔지니어링 부분에서도 이상적인 균형을 찾아갈 수 있을 것”이라고 주장한다. “많은 앱들이 보안만이 아니라 기능적인 측면에서 불균형한 모습을 보입니다. 필요한 기능에 비해 과도한 엔지니어링 기술이 투자되었거나 반대로 너무 빈약한 기술력이 동원되기도 하거든요. 개발자들의 문제이기도 하지만 경영진에서 과도한지 빈약한지 판단할 수 없다는 것도 문제입니다. 즉 개발자 능력뿐 아니라 총체적인 시스템의 문제라고 볼 수 있다는 겁니다. 하지만 보안을 개발 과정에 삽입 하려면 이런 문제점들조차 낱낱이 파헤쳐져야 하고, 의사 결정권자들의 적극적이고 심도 높은 이해가 필요하게 됩니다. 보안을 강화함으로써 다른 문제점들도 고쳐질 수 있다는 것이죠.”
결국 보안 문제가 전공자든 비전공자든 가리지 않고 모두의 ‘상식’으로 변해갈 수밖에 없다는 게 그의 생각이다. 특히 사업을 하는 사람에게는 말이다. “엄마들은 어느 샌가 여러 방면의 전문가가 되죠. 소아 질병이나 각종 유아 관련 사건 사고, 교육 문제와 회계 방면에서 놀라운 능력을 키워냅니다. 그렇게 해야 하는 건 단순 엄마와 같은 애사심에서가 아니라, 보안에 대한 정확한 이해를 바탕으로 비용과 이윤의 간단한 산수를 정확히 할 수 있기 때문입니다. 보안 사고로 인해 누적되는 피해가 얼마큼일까 정확히 가늠할 수 있어야 회사 운영을 할 수 있게 됩니다. 그렇지 않으면 운영이 아니라 모험의 길로 접어드는 것이죠.”
보안, 독학하자
최근 몇 년 동안 해외에서는 정보보안의 영향력이 점점 커지고 있는 징조들이 나타나기 시작했다. 눈에 띄는 건 ‘보안을 독학하는 것’에 대한 관심이 늘어나고 있다는 것이다. 레딧(Reddit)이라는 유명 포럼에서는 정보보안의 독학 문제가 심심찮게 언급되고 있으며, 유명 온라인 강좌 서비스인 유데미(Udemy)에서는 보안 독학뿐만 아니라 누구나 쉽게 참여할 수 있는 버그바운티 팁과 같은 주제들로 강좌들이 개설되어 있다. 물론 유료다.
각종 IT 기술 관련 잡지들에서도 ‘방어력 강화를 위한 해킹 독학’이라는 주제가 특집으로 자주 등장한다. 지난 4월 둘째 주에 발간된 이코노미스트지도 컴퓨터 보안 문제가 표지에서부터 다뤄졌고, 4월호 PC Quest란 잡지는 70개의 무료 비즈니스 솔루션을 소개하며 보안 툴들도 비중있게 다루었다. 같은 달에 나온 Web Designer라는 잡지에서도 보안 문제와 콘텐츠 관리 문제가 다뤄졌으며, 보안 툴들이 소개되기도 했다. Popular Mechanics 5월호는 ‘세상 천지가 스마트 기기’라는 특집에서 ‘보안에 대한 지식 없이는 무용지물’이라는 메시지를 전달했고, Computer Weeks 5월호에도 무료 소프트웨어 특집을 통해 보안의 적극적인 ‘학습’을 피력했다. Linux Format 5월호는 아예 해킹 기술을 배워 해커를 막으라는 제목을 달고 나왔다.
정보보안 분야에서 오랜 기간 교육을 담당해온 (ISC)2의 아태지역 총괄 클레이튼 존스(Clayton Jones)는 이번 주 본지와의 통화에서 “전문가 수준에 이르기 위해 독학하는 건 쉽지 않은 일이지만, 현재 IT 업계에서 일어나는 많은 발전들을 안전하게 누리기 위해 보안을 공부해보는 건 권장할 만한 일이고, 도전할 가치가 있는 일”이라고 말했다. “처음부터 전문가가 되려고 공부하지 마시고, 미래를 더 잘 누릴 현명한 소비자가 되기 위해 보안에 대해 알아보세요. 전문가 수준으로 공부하자면 굉장히 어려운 분야가 맞긴 하지만, 실생활에 밀접한 분야이기도 해서 가볍게 관심 갖기가 어렵지는 않아요. 그리고 소비자들의 그런 가벼운 관심 하나하나가 보안에는 커다란 도움이 되기도 하고요.”
[국제부 문가용 기자(globoan@boannews.com)]
과도하지도 않으며 부족하지도 않은 보안의 ‘양 조절’ 문제
[보안뉴스 문가용 기자] 메모 애플리케이션의 최강자인 에버노트가 작년, 프라이버시 정책을 바꾼다고 발표했을 때 난리가 났었다. 정책 내용 중 에버노트 사용자들이 작성한 메시지 내용을 에버노트 직원들이 열람할 수 있도록 한다는 게 있었기 때문이다. 에버노트가 이런 무리수를 던진 건 머신러닝과 자동화 기능을 실험해보고 추가하기 위함이었고, 극히 제한된 몇몇에게, 그것도 특별한 상황에서만 해당 권한을 주겠다고 설명을 했지만 사용자들의 반발은 식을 줄 몰랐다.
▲ 보안, 길을 밝히다[사진=iclickart]
물론 모든 사용자들이 다 그런 건 아니었다. 신기술 도입을 위한 에버노트의 노력에 찬성하고 자신의 콘텐츠를 제공하겠다고 하는 사람도 당연히 있었다. 그러나 대다수는 누군가 나의 메모를 나도 모르게 열람할 수 있다는 사실에 거부감을 표현했다. 신기능보다는 프라이버시가 먼저였던 것이다. 그래서 에버노트 측은 프라이버시 정책을 다시 한 번 바꿀 수밖에 없었다. 원하는 사용자만 콘텐츠 열람을 허락하도록 옵트인 기능을 추가한 것이다.
보안의 우선순위는 아직도 낮다
치열한 경쟁 속에서 새로운 시도를 해보려는 디지털 사업 종사자들에게는 항상 이러한 제약 사항들이 존재한다. 기능이 많아지면 많아질수록, 새로운 기술을 도입하면 할수록 공격 가능성이 높아지기 때문이다. 개발자이든, 웹 서비스 사업주든, 사물인터넷 기기 제조사든 모두 마찬가지다. 소비자들에게 더 나은 뭔가를 제공하려고 한 것뿐인데, 프라이버시와 보안 문제가 번번이 발목을 잡는 그림, 이들에겐 익숙한 현상이다. 그렇다고 무시하기엔, 그 결과가 너무나 무섭다.
결국 혁신적인 기술을 앞장세운 업체들은 고공 줄타기를 하는 심정으로 하루하루 버텨간다. 창의력과 보안 사이의 그 아슬아슬한 중간지대에서 한 걸음 한 걸음 흔들거리고 있는 것이다. 끊임없는 혁신을 요구하는 임원진들을 진정시켜야 하는 보안 책임자들에게 있어 이 균형 잡기는 여간 어려운 일이 아니다.
그러나 소프트웨어 보안 전문업체인 캐스트 소프트웨어(CAST Software)의 수석 과학자이자 부회장 빌 커티스(Bill Curtis)는 “혁신과 보안을 굳이 대치되는 개념으로 인식할 필요가 없다”고 주장한다. “혁신과 보안이 대치되는 것처럼 보이는 건, 어떻게 해서든 제품을 빨리 출시하고 싶어 하는 분위기 때문입니다. 경영진은 ‘빨리 출시하지 않아서 보는 손해’와 ‘성급히 출시해서 나중에 수정, 배포는 물론 손해배상을 하게 될지 모르는 상황에서의 손해’를 재빨리 계산하고 나서 전자를 선택하곤 하는데요, 이는 결국 ‘보안 사고가 발생한 후 들어가는 비용’에 대해 이해하지 못한다고 밖에는 설명이 되지 않습니다. 즉, 결정권자들이 보안 사고로 인해 생기는 피해에 대해 정확히 모르고 있기 때문에 표면상 혁신과 보안이 대치되는 것처럼 보인다는 겁니다.”
실제로 2016년 이코노미스트에서 1100여 명의 경영진들을 대상으로 진행한 연구 결과에서 45%가 “사이버 공격과 사이버 보안 강화 노력 때문에 출시 일자가 늦춰지거나 생산 일자가 길어졌다”고 답했다. 이들은 대부분 CEO, CFO, COO였다고 한다. 하지만 같은 임원진이라고 해도 CIO 및 CISO들 중 같은 답을 한 사람은 20%도 되지 않았다. 또 있다. 경영진의 54%는 보안 때문에 관리 업무가 지나치게 많아진다고 답했고, 45%는 보안 때문에 경쟁에서 뒤쳐진다고 말했다.
혁신과 보안 사이에서 가장 많은 고뇌를 하는 디지털 기업들의 이코노미스트 연구 결과도 재미있다. 여기서 말하는 디지털 기업은 사이버 보안을 전문으로 하는 기업을 제외한 것이다. 이런 디지털 혁신 기업들은 “보안에 돈이나 시간, 인력을 투자하기 전에 먼저 제품 및 서비스에 대한 시장의 반응부터 알아야 한다”고 답했다. 보안이 아예 필요 없다는 건 아니지만, 우선순위에서 상당히 뒷자리에 있음을 알 수 있는 대목이다.
포네몬 인스티튜트(Ponemon Institute)의 의장인 래리 포네몬(Larry Ponemon) 박사는 “보안의 우선순위가 급증하는 건 큰 사고가 터지고, 그게 대대적으로 알려진 직후”라고 꼬집는다. 하지만 그래서는 너무 늦을 수밖에 없다. “출시 일자나 생산 비용에는 그토록 민감하게 반응하면서, 왜 보안 기능을 덧붙이고 사고 수습을 하는 비용은 생각하지 않는지 잘 모르겠습니다. 같은 보안 기능이라도 생산 과정 중에 덧붙이는 것과 제품 개발이 완료된 후 추가하는 것 사이에는 큰 비용 차이가 있고, 그에 대한 연구 자료도 이미 나온 바 있는데 말이죠.”
빠른 출시냐 안전한 출시냐, 그것이 문제로다
연구 자료뿐만 아니라 실제 사례도 많다고 포네몬 박사는 강조한다. “한 의료 기기 생산업체가 있었어요. 최근 자신들이 만든 제품에서 보안 구멍이 발견됐죠. 다행히 의료 사고로 번지거나 환자가 피해를 입는 일은 없었지만, 그 기업은 모든 제품을 수거해 고치고 나서 다시 고객들에게 돌려주었죠. 사고가 나지는 않았지만 그 구멍으로 인해 브랜드 인지도가 크게 손상됐거든요. 게다가 관련 기관에 내야 할 벌금 등도 무서웠고요. 그 때 그 후속조치 비용은 절대 적지 않았습니다. 당연히 그 기업 운영진은 엄청난 후회를 했고요.” 포네몬 박사는 기업의 이름을 언급하지는 않았다.
그러나 의료 산업의 사물인터넷 기기들에서 보안 구멍이 발견되는 건 흔한 일이다. 2016년에는 아니마스 원터치 핑(Animas OneTouch Ping)이라는 인슐린 펌프에서 통신 하이재킹 취약점이 발견되었다. 쉽게 말해 해커가 펌프 기계와 컨트롤러 사이에 끼어들 수 있다는 뜻으로, 민감하게 조절해야 하는 인슐린 양을 누군가 마음대로 조작하는 게 가능해지는 치명적인 문제였다. 환자의 목숨을 좌지우지할 만큼 말이다. 2017년 1월에는 세인트 주드 메디컬(St. Jude Medical)에서 제작한 심장박동기에서 문제가 발견되기도 했다. 공격자가 심장박동을 임의로 조정할 수 있게 해주는 문제였다.
보안에 차마 신경을 못 쓰는 건 웹 서비스 산업도 마찬가지다. 캐스트 소프트웨어의 커티스는 “현존하는 웹 사이트들에는 테스트만 조금 더 꼼꼼히 하면 될 문제들이 산적해 있다”고 진단한다. “솔직히 웹 사이트에서 발견되는 문제들 대부분은 ‘널리 알려진’, ‘오래된’ 취약점들입니다. SQL 인젝션, XSS 등이죠. 흔한 문제들을 목록화 해놓고 하나하나 점검해가며 테스트만 꼼꼼하게 해도 해결될 수 있는 문제죠. 역시 보안을 나중으로 미뤄놓기 때문에 생기는 일일 수밖에 없습니다.” 실제 본지에서 매일 연재하는 ‘버그리포트’ 기사에서 가장 많이 나오는 취약점도 XSS 취약점이다.
그렇다고 해서 ‘경쟁에서 뒤처질 수 있다는 위기감’ 역시 가벼운 문제가 아님을 포네몬 박사는 인정한다. “아까 의료기기 생산업체 얘기를 잠깐 했는데, 반대로 보안에 지나치게 신경을 쓰다가 시장 점유율을 경쟁사에 뺏긴 예들도 존재합니다. 제가 아는 한 인쇄업자도 보안 때문에 중요한 결정을 조금 늦췄다가 사업적인 손해를 보기도 했고요.” 이번에도 포네몬 박사는 기업의 이름을 언급하지는 않았다. “지나치게 부족한 보안도 문제이지만, 과도한 보안 역시 문제입니다.”
시장 진출 시기만의 문제가 아니다. 앱이나 게임처럼 사용자가 직접 상호작용을 해야만 하는 서비스의 경우 보안에 지나치게 신경 쓰면 사용자 경험이 불편해질 수 있다. 로그인 상태가 지나치게 빨리 풀린다거나, 인증 과정이 까다롭다거나, 비밀번호 변경이 너무 어렵게 되어 있다거나 하면 사용자들은 해당 서비스를 버리고 대체품을 찾아 나선다. 이런 면에서 보안은 생산 기능과 정확히 대치되는 개념처럼 보이기도 한다.
문제는 오히려 보안의 ‘양 조절’
RSA의 의장인 아밋 요란(Amit Yoran)은 “그래서 혁신과 보안의 균형 잡기는, 사실 보안의 ‘양 조절 문제’이기도 하다”고 정리한다. 그리고 이 ‘양 조절’은 단 하나의 전문가나 결정권자가 선을 명확하게 그어줄 수 있는 성질의 것이 아니기도 하다. “프로젝트가 시작될 때마다 코딩을 해야 하는 개발자, IT 인프라 담당자, 마케팅 담당자, 보안 책임자, 프라이버시 전문가 등이 한 자리에 모여 기획을 함께 해야 합니다. 당연히 지금 당장 이걸 하라면 쉽지 않죠. 전부 따로따로 일해오던 사람들이니까요. 이를 위해서는 사전 작업도 상당히 필요합니다. 서로가 무슨 일을 하며, 어떤 사람인지 알아가야 합니다. 각자 분야에 대한 이해와 존중, 그리고 대화할 수 있는 문화가 필요해요. 서로 회의 말고도 시간을 같이 보내도 봐야 하고, 기업 내 문화가 통째로 바뀔 필요가 있습니다. 조금은 수평적으로요. 말처럼 쉽지 않죠.”
특히 기획을 담당하는 개발자와 마케터들이 보안 요소를 경쟁 상품 및 서비스와의 차별성으로서 바라봐야 한다고 요란은 주장한다. “엔지니어링에 특화된 사람이나 창의적인 생각을 하는 사람들은 보안을 조금 무시하는 경향이 있어요. 자신들의 머릿속에 가득한 그 빛나는 아이디어를 표출해야 하는데 보안이 번번이 장애물 노릇을 하거든요. 그런데 이젠 그 창의력 안에 보안 요소도 들어가야 합니다. 아예 ‘창작’이라는 개념 안에 ‘안전’도 포함이 되어야 해요. 안전한 창의력을 발휘해야 한다는 것이죠. 그게 지금 이 사이버 해킹 시대에 요구되는 창의력입니다.”
요란이 말하는 ‘사이버 해킹 시대’는 ‘사물인터넷 시대’로 바꿔도 된다. 가정 자동화, 커넥티드 자동차, 각종 의료 기기 등이 일상 깊이에 자리 잡고 있는 때 마냥 새롭고 독특하고 쿨하고 멋진 서비스만으로는 고객을 사로잡을 수 없게 되는 때가 곧 오리라 예측되기 때문이다. 소비자들의 보안 의식이 갑자기 높아져서? 아니다. 패치가 불편하기 때문이다. “일단 출시해놓고 패치로 막으면 된다는 생각은 소비자의 외면으로 이어질 겁니다. 주기적으로 혹은 간헐적으로 패치 받고 설치하는 건 굉장히 불편하거든요. 보안을 자신 있게 해놓고 ‘패치 안 해도 되는 상품’이라고 광고하는 것 자체로 소비자들의 관심을 받을 수 있죠.” 아밋 요란의 설명이다.
커티스는 “오히려 보안의 균형을 잡다보면 다른 엔지니어링 부분에서도 이상적인 균형을 찾아갈 수 있을 것”이라고 주장한다. “많은 앱들이 보안만이 아니라 기능적인 측면에서 불균형한 모습을 보입니다. 필요한 기능에 비해 과도한 엔지니어링 기술이 투자되었거나 반대로 너무 빈약한 기술력이 동원되기도 하거든요. 개발자들의 문제이기도 하지만 경영진에서 과도한지 빈약한지 판단할 수 없다는 것도 문제입니다. 즉 개발자 능력뿐 아니라 총체적인 시스템의 문제라고 볼 수 있다는 겁니다. 하지만 보안을 개발 과정에 삽입 하려면 이런 문제점들조차 낱낱이 파헤쳐져야 하고, 의사 결정권자들의 적극적이고 심도 높은 이해가 필요하게 됩니다. 보안을 강화함으로써 다른 문제점들도 고쳐질 수 있다는 것이죠.”
결국 보안 문제가 전공자든 비전공자든 가리지 않고 모두의 ‘상식’으로 변해갈 수밖에 없다는 게 그의 생각이다. 특히 사업을 하는 사람에게는 말이다. “엄마들은 어느 샌가 여러 방면의 전문가가 되죠. 소아 질병이나 각종 유아 관련 사건 사고, 교육 문제와 회계 방면에서 놀라운 능력을 키워냅니다. 그렇게 해야 하는 건 단순 엄마와 같은 애사심에서가 아니라, 보안에 대한 정확한 이해를 바탕으로 비용과 이윤의 간단한 산수를 정확히 할 수 있기 때문입니다. 보안 사고로 인해 누적되는 피해가 얼마큼일까 정확히 가늠할 수 있어야 회사 운영을 할 수 있게 됩니다. 그렇지 않으면 운영이 아니라 모험의 길로 접어드는 것이죠.”
보안, 독학하자
최근 몇 년 동안 해외에서는 정보보안의 영향력이 점점 커지고 있는 징조들이 나타나기 시작했다. 눈에 띄는 건 ‘보안을 독학하는 것’에 대한 관심이 늘어나고 있다는 것이다. 레딧(Reddit)이라는 유명 포럼에서는 정보보안의 독학 문제가 심심찮게 언급되고 있으며, 유명 온라인 강좌 서비스인 유데미(Udemy)에서는 보안 독학뿐만 아니라 누구나 쉽게 참여할 수 있는 버그바운티 팁과 같은 주제들로 강좌들이 개설되어 있다. 물론 유료다.
각종 IT 기술 관련 잡지들에서도 ‘방어력 강화를 위한 해킹 독학’이라는 주제가 특집으로 자주 등장한다. 지난 4월 둘째 주에 발간된 이코노미스트지도 컴퓨터 보안 문제가 표지에서부터 다뤄졌고, 4월호 PC Quest란 잡지는 70개의 무료 비즈니스 솔루션을 소개하며 보안 툴들도 비중있게 다루었다. 같은 달에 나온 Web Designer라는 잡지에서도 보안 문제와 콘텐츠 관리 문제가 다뤄졌으며, 보안 툴들이 소개되기도 했다. Popular Mechanics 5월호는 ‘세상 천지가 스마트 기기’라는 특집에서 ‘보안에 대한 지식 없이는 무용지물’이라는 메시지를 전달했고, Computer Weeks 5월호에도 무료 소프트웨어 특집을 통해 보안의 적극적인 ‘학습’을 피력했다. Linux Format 5월호는 아예 해킹 기술을 배워 해커를 막으라는 제목을 달고 나왔다.
정보보안 분야에서 오랜 기간 교육을 담당해온 (ISC)2의 아태지역 총괄 클레이튼 존스(Clayton Jones)는 이번 주 본지와의 통화에서 “전문가 수준에 이르기 위해 독학하는 건 쉽지 않은 일이지만, 현재 IT 업계에서 일어나는 많은 발전들을 안전하게 누리기 위해 보안을 공부해보는 건 권장할 만한 일이고, 도전할 가치가 있는 일”이라고 말했다. “처음부터 전문가가 되려고 공부하지 마시고, 미래를 더 잘 누릴 현명한 소비자가 되기 위해 보안에 대해 알아보세요. 전문가 수준으로 공부하자면 굉장히 어려운 분야가 맞긴 하지만, 실생활에 밀접한 분야이기도 해서 가볍게 관심 갖기가 어렵지는 않아요. 그리고 소비자들의 그런 가벼운 관심 하나하나가 보안에는 커다란 도움이 되기도 하고요.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
