.gif)
생산자에게 책임 부여하는 정책 필요...새로운 정부기관도
정책이 혁신막을까봐 우려된다...정말 경계해야 할 건 관료주의
[보안뉴스 문가용 기자] 미국에서 보안 전문가들과 입법자들이 만났다. 미국 하원의 에너지 및 상업 위원회가 주최한 국회청문회 자리였고, 주제는 IoT 보안이었다. 보안 전문가들이 입법자들에게 원하는 건 1) 보안 조치가 불완전한 제품을 생산한 업자들에 대한 처분, 2) 연방 정부가 후원하고 운영하는 실험실에서의 IoT 사이버 보안 평가 도입, 3) 사이버 보안을 전문으로 하는 연방 정부 기관의 설립이었다.
.jpg)
이 청문회에 참석한 건 보안 전문업체인 레벨 3 커뮤니케이션즈(Level 3 Communications)의 부회장인 데일 드류(Dale Drew), 버타 랩스(Virta Labs)의 CEO인 케빈 푸(Kevin Fu), 하버드대학의 버크만 클레인 센터(Berkman Klein Center) 출신인 브루스 슈나이어(Bruce Schneier)였다.
먼저 케빈 푸는 “지금 IoT 생태계가 보안의 관점에서 하나도 똑바로 되어 있는 것이 없는 처참한 지경이 된 건 생산자들을 규제할 아무런 장치가 없기 때문”이라고 진단했다. 보안의 기본도 갖추지 못한 물건을 시장에 내놓고, 그 사실이 밝혀진다 한들 딱히 손해 볼 게 없는 것. “이는 뒤집어 말하면, 보안 강화를 한다 하더라도 특별히 이득 될 것이 없다는 뜻이기도 합니다.”
“자유 경제 시장 구조로 바꿀 수 없는 문제입니다.” 슈나이어의 충격적인 발언 중 하나였다. “파는 자나 사는 자나 모두 보안에 신경을 쓰지 않고 있기 때문입니다. 시장의 실패 사례라고 봐도 과언이 아닙니다. 시장이 실패한 곳에서 자생력을 기대할 수 없습니다. 필요한 건 강력한 규제입니다.”
하지만 현장에 참여한 그레그 월든(Greg Walden) 의원은 “이전에는 IoT의 사이버 보안 문제에 정책이 너무 강력하게 끼어들면, 보안 자원의 부적절한 분배가 발생할 것이라고 경고하지 않았었나?”라고 되물었다. 또, “산업의 성장을 저해하지 않으면서 안전도 도모할 수 있는 전 국가적인 프레임워크라는 게 존재 가능하긴 한 것인가?”라는 질문을 이어붙이기도 했다.
이에 데일 드류 부회장은 “정책보다는 표준을 먼저 정립해야” 한다고 제안했다. “즉 정부가 원하는 건 이러이러한 결과물이라고 명확하게 보여주고, 그 결과물을 창출하는 건 산업의 몫이라고 정해주라는 것입니다.” 정책은 그러한 결과의 창출 과정까지도 세세하게 결정해주는 것이기 때문에 지키는 자의 입장에서는 버거운 것이 사실이다. 그러므로 과정이 아니라 최종 결과만을 정해주는 ‘표준’의 도입이 지금으로서는 충격도 덜 할 수 있기 때문이다.
여기에 더해 케빈 푸는 사이버 보안 문화 확산을 위해 인센티브제를 도입하자고 주장했다. 이런 활동을 하게 될 때 같이 협력할 국가 기관은 NIST가 대표적이라고 할 수 있지만, 퀄리티 테스트까지 겸할 수 있는 새로운 기관을 설립하는 것도 고려해봄직한 방향이라고 덧붙였다. “고속도로의 안전을 관장하는 전미 고속도로 교통안전 위원회(National Highway Traffic Safety Administration)가 좋은 모델이 될 수 있을 것으로 보입니다.”
지난 10월 안나 에슈(Anna Eshoo) 의원도 사이버 위생 법안을 발표한 적이 있다. 당시 에슈 의원 역시 NIST가 표준을 정립해야 한다며, 의회가 이 일을 진행하면 현실과 크게 동떨어진 정책이 탄생할 것이라고 경고하기도 했었다. 하지만 이 자리에서 에슈 의원은 슈나이어의 “또 다른 기관을 설립하자”는 제안에 대해서 회의적인 반응을 보였다. 여전히 NIST에게서 해결책을 요구하겠다는 입장이기 때문이다.
이에 슈나이어는 “바퀴에 달린 컴퓨터, 프로펠러에 달린 컴퓨터, 전화가 되는 컴퓨터, 몸에 이식된 컴퓨터에 전부 다른 규칙을 적용할 수는 없는 노릇”이라며 “컴퓨터라는 것 자체에 대한 중앙 관리 정책 및 기관을 이참에 설립하는 게 미래를 위해 나은 일”이라고 주장했다. 그러면서 자신의 모바일 핸드폰을 치켜든 슈나이어는 “이게 그냥 게임기였을 때는 얼마나 좋았는가?”라며 “이제는 이걸로 체온과 심박수를 재고, 업무 자료를 저장하고, 자동차에 연결시켜 명령을 내리기도 하는데, 이미 세 가지 정부기관에 걸치고 있는 셈”이라고 말했다.
프랭크 팔론(Frank Pallone) 의원은 “전문가들이 제안하는 정책이 혁신을 저해하지는 않을까?”라는 질문을 던졌다. 이에 슈나이어는 “당연히 저해한다”라고 답하며 “나도 개인적으론 참 싫어하는 정책의 한 단면”이라고 설명했다. “하지만 세상이 위험한 걸 어떻게 하겠습니까? 혁신을 조금 늦추더라도 안전을 기하는 게 맞겠지요.”
케빈 푸는 “정책을 걱정한다기 보다 정책의 가면을 쓴 관료주의가 개입할까봐 우려된다”고 밝혔다. “혁신을 막는 건 정책이 아니라 관료주의입니다. ‘해본 적 없는 거니까 위험해’라며 막아서는 게 관료주의인 것이죠. 그런데 사물인터넷이란 것 자체가 이미 해본 적이 없는 겁니다. 관료주의와는 애초에 공존할 수가 없는 겁니다. 정책이란 것에 시선을 뺐기지 않았으면 합니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
정책이 혁신막을까봐 우려된다...정말 경계해야 할 건 관료주의
[보안뉴스 문가용 기자] 미국에서 보안 전문가들과 입법자들이 만났다. 미국 하원의 에너지 및 상업 위원회가 주최한 국회청문회 자리였고, 주제는 IoT 보안이었다. 보안 전문가들이 입법자들에게 원하는 건 1) 보안 조치가 불완전한 제품을 생산한 업자들에 대한 처분, 2) 연방 정부가 후원하고 운영하는 실험실에서의 IoT 사이버 보안 평가 도입, 3) 사이버 보안을 전문으로 하는 연방 정부 기관의 설립이었다.
이 청문회에 참석한 건 보안 전문업체인 레벨 3 커뮤니케이션즈(Level 3 Communications)의 부회장인 데일 드류(Dale Drew), 버타 랩스(Virta Labs)의 CEO인 케빈 푸(Kevin Fu), 하버드대학의 버크만 클레인 센터(Berkman Klein Center) 출신인 브루스 슈나이어(Bruce Schneier)였다.
먼저 케빈 푸는 “지금 IoT 생태계가 보안의 관점에서 하나도 똑바로 되어 있는 것이 없는 처참한 지경이 된 건 생산자들을 규제할 아무런 장치가 없기 때문”이라고 진단했다. 보안의 기본도 갖추지 못한 물건을 시장에 내놓고, 그 사실이 밝혀진다 한들 딱히 손해 볼 게 없는 것. “이는 뒤집어 말하면, 보안 강화를 한다 하더라도 특별히 이득 될 것이 없다는 뜻이기도 합니다.”
“자유 경제 시장 구조로 바꿀 수 없는 문제입니다.” 슈나이어의 충격적인 발언 중 하나였다. “파는 자나 사는 자나 모두 보안에 신경을 쓰지 않고 있기 때문입니다. 시장의 실패 사례라고 봐도 과언이 아닙니다. 시장이 실패한 곳에서 자생력을 기대할 수 없습니다. 필요한 건 강력한 규제입니다.”
하지만 현장에 참여한 그레그 월든(Greg Walden) 의원은 “이전에는 IoT의 사이버 보안 문제에 정책이 너무 강력하게 끼어들면, 보안 자원의 부적절한 분배가 발생할 것이라고 경고하지 않았었나?”라고 되물었다. 또, “산업의 성장을 저해하지 않으면서 안전도 도모할 수 있는 전 국가적인 프레임워크라는 게 존재 가능하긴 한 것인가?”라는 질문을 이어붙이기도 했다.
이에 데일 드류 부회장은 “정책보다는 표준을 먼저 정립해야” 한다고 제안했다. “즉 정부가 원하는 건 이러이러한 결과물이라고 명확하게 보여주고, 그 결과물을 창출하는 건 산업의 몫이라고 정해주라는 것입니다.” 정책은 그러한 결과의 창출 과정까지도 세세하게 결정해주는 것이기 때문에 지키는 자의 입장에서는 버거운 것이 사실이다. 그러므로 과정이 아니라 최종 결과만을 정해주는 ‘표준’의 도입이 지금으로서는 충격도 덜 할 수 있기 때문이다.
여기에 더해 케빈 푸는 사이버 보안 문화 확산을 위해 인센티브제를 도입하자고 주장했다. 이런 활동을 하게 될 때 같이 협력할 국가 기관은 NIST가 대표적이라고 할 수 있지만, 퀄리티 테스트까지 겸할 수 있는 새로운 기관을 설립하는 것도 고려해봄직한 방향이라고 덧붙였다. “고속도로의 안전을 관장하는 전미 고속도로 교통안전 위원회(National Highway Traffic Safety Administration)가 좋은 모델이 될 수 있을 것으로 보입니다.”
지난 10월 안나 에슈(Anna Eshoo) 의원도 사이버 위생 법안을 발표한 적이 있다. 당시 에슈 의원 역시 NIST가 표준을 정립해야 한다며, 의회가 이 일을 진행하면 현실과 크게 동떨어진 정책이 탄생할 것이라고 경고하기도 했었다. 하지만 이 자리에서 에슈 의원은 슈나이어의 “또 다른 기관을 설립하자”는 제안에 대해서 회의적인 반응을 보였다. 여전히 NIST에게서 해결책을 요구하겠다는 입장이기 때문이다.
이에 슈나이어는 “바퀴에 달린 컴퓨터, 프로펠러에 달린 컴퓨터, 전화가 되는 컴퓨터, 몸에 이식된 컴퓨터에 전부 다른 규칙을 적용할 수는 없는 노릇”이라며 “컴퓨터라는 것 자체에 대한 중앙 관리 정책 및 기관을 이참에 설립하는 게 미래를 위해 나은 일”이라고 주장했다. 그러면서 자신의 모바일 핸드폰을 치켜든 슈나이어는 “이게 그냥 게임기였을 때는 얼마나 좋았는가?”라며 “이제는 이걸로 체온과 심박수를 재고, 업무 자료를 저장하고, 자동차에 연결시켜 명령을 내리기도 하는데, 이미 세 가지 정부기관에 걸치고 있는 셈”이라고 말했다.
프랭크 팔론(Frank Pallone) 의원은 “전문가들이 제안하는 정책이 혁신을 저해하지는 않을까?”라는 질문을 던졌다. 이에 슈나이어는 “당연히 저해한다”라고 답하며 “나도 개인적으론 참 싫어하는 정책의 한 단면”이라고 설명했다. “하지만 세상이 위험한 걸 어떻게 하겠습니까? 혁신을 조금 늦추더라도 안전을 기하는 게 맞겠지요.”
케빈 푸는 “정책을 걱정한다기 보다 정책의 가면을 쓴 관료주의가 개입할까봐 우려된다”고 밝혔다. “혁신을 막는 건 정책이 아니라 관료주의입니다. ‘해본 적 없는 거니까 위험해’라며 막아서는 게 관료주의인 것이죠. 그런데 사물인터넷이란 것 자체가 이미 해본 적이 없는 겁니다. 관료주의와는 애초에 공존할 수가 없는 겁니다. 정책이란 것에 시선을 뺐기지 않았으면 합니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
