[김홍선의 보안이야기]보이지 않는 곳의 전쟁


정보 보안의 산업 특성(2) 무대 뒤편의 존재

“미국 대통령(The American President)”이라는 영화에서 주인공 앤드류 셰퍼드(미국 대통령 역)의 백악관 수석 보좌관으로 AJ 매키너리라는 인물이 나온다. AJ는 대통령의 오랜 친구로서 충언과 싫은 소리를 마다하지 않는다. 어느 날 언쟁이 있고 나서 대통령이 화를 내면서, “너는 왜 앞으로 나서지 않는 거지?”하고 묻자, AJ는 어이가 없다는 듯이 그게 무슨 말이냐고 묻는다. 대통령은 “생각해 보니 너는 한 번도 투표 용지에 이름으로 등장한 적이 없어. 항상 나보다 한 발자국 뒤에 서 있었다”고 말한다. 그러자, AJ는 “그랬다면 당신은 미국 대통령이 아니라 최고의 역사학 교수가 되었을 거야”라고 응수한다. AJ는 보이지 않는 곳에서 충성스럽게 일을 한 사람이다. 이렇게 신뢰할 수 있는 사람이 받쳐주기에 앞에 나선 지도자는 찬란한 빛을 발휘할 수 있다.

우리가 살다 보면 이런 인물들을 많이 발견한다. 정보 보안도 IT 산업에서 ‘보이지 않지만 신뢰할 수밖에 없는’ AJ와 같은 존재다. 정보 보안은 산업에서 가장 빛나는 존재가 아니라 다른 분야를 빛나게 뒷받침하는 존재이다. 정보화 사회로 진화하는 과정에서 IT 제품과 서비스는 변화의 첨병으로서 주목을 받게 되었다. 디지털 TV, 휴대폰, PC와 같은 필수 가전 제품으로부터 워드 프로세서, 웹 브라우저, 데이터베이스, 포털과 같은 소프트웨어와 서비스는 우리와 직접적인 관련을 맺고 있다. 사용자는 다양한 경로를 통해 IT를 접하게 되고 실생활에 접목해 간다.

화려한 주연의 IT 기업, 무대 뒤편의 정보 보안 기업

이러한 변화의 주도권을 쥐기 위해 IT 기업들은 다양한 기능과 화려한 인터페이스로 사용자에게 다가갔다. 사용자는 가능하면 예쁘고 편리한 제품을 선택하게 마련이다. 자연스레 IT 산업은 무대의 스포트라이트를 받아왔다. IT 리더들은 수많은 청중들이 귀 기울이는 가운데 패러다임 변화의 메시지를 전달하는 무대의 주인공이었고, IT 전시회는 화려한 시연으로 장식되는 쇼룸이었다. 비록 건설이나 토목 공사의 결과물만큼 감탄할 수준은 아니지만, IT 프로젝트는 고급 장비와 깔끔한 디자인의 소프트웨어로 꽃을 피웠다.

그러나, 정보 보안은 이렇게 역동적인 모습으로 무대의 전면에 나서기 어려운 속성을 지니고 있다. 일단 보안이라고 하면 떠오르는 이미지가 ‘무겁고 성가시다’이다. 인터넷을 이용하자니 필요하기는 한데 손에 잡히는(tangible) 감이 떨어진다. 투자 대비 효과(ROI)도 정확하게 파악되지 않는다. 기껏해야 영화 속의 장면처럼 무언가 컴퓨터를 두드리며 마치 해킹하는 것 같은 모습을 보여주는 정도다. 한눈에 들어오는 멋진 영상은 적은 반면 귀찮게 하는 이미지로 주로 굳어져있다.

최근 직장인들이 가장 많이 이용한 서비스가 연말 정산 시스템일 것이다. 국세청을 중심으로 데이터와 시스템은 통합적으로 움직인다. 의료비, 신용카드 사용비, 교육비, 개인 연금 등 사용처에서 등록된 데이터는 각 개인이 별도로 준비하지 않아도 한 화면에 모두 통합되어 나타난다. 과거 은행이나 병원들을 뛰어다니며 직접 모든 서류를 준비해야 하던 때를 생각해보면 말 그대로 장족의 발전이다. 전자 정부 서비스의 혜택이다. 그러나, 여기에서도 성가신 것이 보안이다. 공인 인증서를 받아야 하고, 필수적인 보안 소프트웨어도 설치되어야 한다. 그러다가 잘 되지 않으면 사람들은 보안 소프트웨어 탓을 한다. 정보 보안이 개인을 위한 배려임에도 환영받지 못하는 것이 현실이다.

그러다 보니, 정보 보안 산업은 오해를 받기도 한다. 위기를 조장한다느니, 위협을 과장해서 겁을 준다느니, 백신을 팔기 위해 일부러 바이러스를 퍼뜨린다느니.. IT가 편리함의 대명사인 반면, 정보 보안은 걸리적거리는 이미지로 떠오르게 된다. 정보 보안 제품과 서비스를 정확하게 판단하는 시각을 가져야, 정보 보안과 우리 생활의 정확한 위상이 정립된다.

정보 보안 공격은 가장 효율적 수단

보안은 사고가 났을 때에서야 그 중요성을 깨닫게 된다. 효과성 측면에서 보안의 취약점을 노리는 공격만큼 투자 대비 결과가 나오는 것은 드물다. 브루스 슈나이어는 그의 저서 ‘두려움을 넘어서(Beyond Fear)’에서 911 테러를 일으킨 공격에 대해 다음과 같이 언급하고 있다. 테러리스트는 단 3대의 민간 항공기로 3,000명 이상을 사망하게 만들었고, 40조가 넘는 재산의 피해를 일으켰고, 그 외에 수많은 경제적 충격을 주었다. 뉴욕 도시의 모습을 바꾸었으며, 정치적 지형에도 큰 변화를 일으켰다.

사이버 공격은 911 테러보다 더 작은 노력으로 가능하다. 게다가 반드시 고도의 기술이 필요한 것도 아니다. 온라인 게임을 잘 못 하는 젊은이들이 몇 십 만원의 봇(Bot) 도구에 유혹받는 것은 그만큼 비용 대비 효과가 뛰어나기 때문이다. IT 비용이 급감하면서 공격에 들어가는 투자 비용은 점점 줄어드는 데 반해, 그 효과와 적중성은 점점 더 고도화하는 상황이다.

911 사건 이후 테러에 대비하는 물리적 보안과 정보 보안 시스템에 대한 투자는 역사상 최대의 수준으로 이루어졌다. 2000년도에 CNN, 야후 등이 사이버 공격을 받았을 때에도 보안에 대한 관심도는 과도할 정도로 높았다. 아쉽게도 정보 보안이 무대 전면으로 등장하는 시점은 항상 불행한 사건이 발생한 후라는 것이다.

우리 나라도 예외는 아니었다. 2000년도에 인터넷 사이트가 공격을 받은 후 정보 보안 업체만 100개가 넘게 생겼을 정도다. 당시 정보보호진흥원(KISA)에서 너무나도 많은 인력이 보안 벤처로 빠져나간다고 해서 원장님이 필자에게 기업 경영의 현실을 강의해 달라고 요청할 정도였다. 이러한 과도한 기대감은 산업계에만 있는 것이 아니었다. 어떤 모임에서 정보 보안에 대해 설명할 때 관심이 없어서 도중에 나갔던 분이, 정보 보안이 화두가 되자 “본래 오래 전부터 관심이 많았다”면서 그 중요성을 앞서서 외치는 모습을 보고 어리둥절했던 적이 있다.

그렇지만, 이런 공격이 잦아들자 정보 보안은 본래의 위치인 무대 뒤편으로 돌아갔다. 정보 보안이 미래를 위한 투자라고 외치던 이들은 사라지고, 필수적인 요소이기는 하지만 가능하면 줄이고 싶은 ‘비용’의 개념으로 다시 인식되기 시작했다. 정보화 과정의 성가신 존재가 되어 버린 것이다. 특히 IT를 보여줄 게 많은 ‘전시성’의 개념으로 이해하는 문화에서 정보 보안은 보여줄 게 별로 없다.

정보 보안은 서비스 수행의 절대적 요소 (Mission-Critical)

한편 정보 보안이 서비스에 영향을 주는 파괴력은 대단하다. 예를 들어, 방화벽이 작동하지 않으면 전체 인터넷이 다운되거나 속도 저하의 요인이 된다. 그렇게 되면 기업의 전산 담당자의 휴대폰은 불이 난다. 생산 라인의 PC가 바이러스에 감염되면 생산이 정지된다. POS 장비가 다운되면 슈퍼 마켓에서 계산을 할 수 없다. 약국의 PC가 다운되면 보험 처리가 되지 않아서 약을 판매할 수가 없다.

이런 크고 작은 사고의 원인은 보안 취약점에서 촉발되는 경우가 많다. 보안 시스템은 정보가 흘러가는 핵심적인 선상(critical path)에 놓여 있기 때문에, 절대적 안정성이 필수적 요소다. 일부 기업이 네트워크 시스템을 한 패킷(packet)도 놓치지 않는 풀메시(Full-Mesh) 방식으로 구성하는 것만 보아도 가용성이 얼마나 중요한지 인지할 수 있다. 특히 정보화가 생활 속으로 스며들면서 보안 사고의 영향력은 급증하고 있다. 아주 커다란 사고만 문제가 아니다. 이런 소소한 문제들은 우리 사회가 돌아가는 엔진을 정지시키는 요인으로 작용한다.

보안 업체로서 가끔 억울한 경우를 당하기도 한다. 초기에 방화벽을 만들어서 보급할 때의 일이다. 어떤 고객사 네트워크에서 이상한 패킷이 오가더니 속도가 느려졌다. 한 가지 의심이 가는 것은 어떤 미국 회사의 라우터 제품이었다. 다른 제품들과는 완벽하게 잘 동작하고 있었다. 그런데, 고객 측에서는 미국의 유명한 제품이 잘못될 리가 없다며 ‘역시 국산 제품은 어쩔 수 없다’는 반응이었다. 미국 회사에서는 본사가 미국에 있다며 퉁명스럽게 우리의 잘못이라고 경멸하는 눈치였다. 3개월 여의 끈질긴 노력 덕에 그 제품에 버그가 있다는 것을 밝히는 데 성공했다.

이런 경우는 다른 소프트웨어의 경우에도 빈번하게 발생한다. 그런데, 차이점은 방화벽 같은 보안 시스템의 경우 IT 서비스 운용에 있어서 민감한 제품이라는 점이다. 이로 인해 네트워크 속도가 떨어진다면, 모두 방화벽 업체에 부담이 된다. 보안 시스템 없이 IT 환경의 구축은 아예 생각할 수도 없다. 결국 문제를 입증하기까지 소위 몸으로 때우는 서비스를 해야 했고, 이 기간에 발생한 노력에 대한 보상은 언감생심이었다. 그야말로 ‘상처뿐인 영광’이라고나 할까?

보이지 않는 곳에서 움직이는 손길이 보안 기술

키보드 보안도 손대기 어려운 분야 중의 하나다. 키로거(Key Logger)는 해커들이 ID와 패스워드를 낚아채기 위해 가장 애용하는 수단이다. 특히 온라인 서비스를 받으려는 사용자들의 PC는 해커의 주요 공격 목표다. 그런데, 키로거를 방지하는 기술은 정연한 모델이나 이론이라기보다 밑바닥부터 해커와 전쟁을 치르는 과정이라고 할 수 있다. 결국 키보드에서 보내는 데이터가 저장되는 레지스터 값을 쟁취하기 위해 전쟁을 벌여야 한다. 키보드 방식만 해도 PS/2, USB, 무선 키보드로 진화한다. 또한 특정 업체의 키보드는 보이지 않는 취약점이 발생하기도 한다. USB 키보드는 다른 USB 디바이스와 충돌도 일어난다.

이처럼 보이지 않는 곳에서 움직이는 세밀한 손길이 보안 기술의 모습이다. 공격 기술은 점점 정교해지지만 실제 환경에서의 끈질긴 전쟁은 결국 밑바닥 싸움이다. 이는 좋은 IT 인프라를 가지고 최대의 인터넷 뱅킹 사용자를 보유하고, 온라인 서비스가 가장 보편화한 우리 나라의 환경에서 정보 보안 업체들이 기술 경쟁력을 확보할 수 있었던 배경이기도 하다. 실제 환경에 적용하고 개선을 거듭하는 과정에서 축적한 기술로 독보적 경쟁력을 가질 수 있었던 것이다.

키보드 보안 기술, 한국을 목적지로 한 중국발 악성코드에 대응하는 백신, 유무선 환경에서 인증서를 통해 안전하게 처리되는 전자거래 시스템, 다양한 트래픽 속에서 안정적으로 운용되는 네트워크 보안 장비, 온라인게임에 대응하는 메모리 해킹 방지 기술 등 우리가 내세울 수 있는 분야가 계속 등장하고 있다. 그것은 바로 이렇게 무대 뒤편에서 보이지 않는 싸움을 경주하고 있는 기술자들의 노력 덕택이다.

/김홍선 안철수연구소 대표이사 column_phil_kim@inews24.com






포토뉴스