[김홍선의 보안이야기]정보보안, 수비만 하진 않을 것


정보 보안의 산업 특성(3) 지능성(Intelligence)

정보 보안이 다른 IT 분야의 기술과 다른 점을 한 가지만 선택하라면 ‘지능성(Intelligence)’을 들 수 있다. 지능성은 정보보안 기술의 고유의 특성이자, 위협과 공격이 고도화되면 될수록 더욱 연구되고 발전되어야 하는 당위성을 지니고 있다.

소프트웨어는 설계자가 구상한 논리(logic)에 따라 동작된다. ‘터미네이터(Terminator)’나 ‘이글 아이(Eagle Eye)’와 같은 영화 속에서의 컴퓨터가 인간과 대결하는 지능적이고 위협적인 모습으로 묘사되다 보니, 컴퓨터의 동작 원리를 잘 모르는 사람들은 마치 컴퓨터가 못하는 것이 없는 무서운 존재로 인식하는 경향이 있다. 물론 인공 지능(Artificial Intelligence) 기술이 끊임없이 연구되고 있어, 그런 시대를 그려볼 수는 있다. 그러나, 컴퓨터가 인간이 설계에 따라 동작하는 기계라는 기본 정신은 변함이 없다.

컴퓨터의 두뇌라고 할 수 있는 CPU는 주어진 명령(instruction)에 따라 동작한다. 운영체제(OS)는 하드웨어를 구동하고 여타 소프트웨어를 실행할 수 있는 기반이 되도록 골격을 갖추고 있다. 워드 프로세서는 키보드로 입력된 정보를 개발자가 정한 방침에 따라 문서화할 뿐이다. 저작용 도구(authoring tool)가 스스로 무엇인가를 생성해 내는 것처럼 보이지만, 실제로는 예측된 형태의 문서가 나오도록 설계자가 한 단계 더 고민했을 뿐이다.

하드웨어 장비는 어떤가? 네트워크 스위치는 그야말로 스위치일 뿐이다. 인터넷 시대의 핵심 장비인 라우터(router)는 네트워크로 들어오는 패킷(packet)을 라우팅 테이블에 저장된 규칙의 주소로 전송할 뿐이다. 어느 곳에도 지능(intelligence)이 가미된 흔적은 없다.

지능성으로 콘텐츠의 신뢰도 판단

그러나, 정보 보안은 다르다. 해커나 바이러스 제작자는 소프트웨어의 취약점을 노려서 예상하지 못한 결과가 발생하도록 유도한다. 정보 보안 기술은 이러한 의도를 예측해서 방지하는 것을 사명으로 한다. 그렇기 때문에 정보 보안은 정보의 내용을 열어보고, 행위의 이상 여부를 판단해야 한다. 정상적인 규칙대로 동작하지 않는 것은 의심하는 것이 기본이다.

예를 들어, 바이러스 백신의 경우 저장된 파일이나 이메일의 첨부 파일을 열어보고, 그 내용에 악성코드가 들었는지 판단해야 한다. 웹 사이트에 숨겨진 공격 코드를 막기 위해, 웹 콘텐츠가 다운로드되기 전에 분석하는 보안 기술도 고도의 분석과 판단력을 요구한다. 침입 탐지 기술은 네트워크로 오가는 패킷을 열어보고, 그 내용이 공격의 의도가 있는지 파악해야 한다. 때로는 몇 개의 패킷으로 나뉘어 공격이 감행되는 우회공격도 있다. 이럴 경우, 여러 패킷을 조합하고 판단해서 확신이 들어야만 통과시키게 된다. 바로 이런 점이 정보 보안이 다른 소프트웨어나 장비의 동작 원리와는 확연히 다른 지능성이 있음을 보여준다.

아파트 단지는 브로드밴드 서비스의 집결지다. 이런 곳에 IT 장비를 대형 스위치만으로 구성하는 것은 위험하다. 왜냐하면 정상적이지 않은 트래픽이 몰려 들어올 경우 스위치는 판단할 기준, 즉 지능이 없어서 어찌할 바를 모르고 다운되기 때문이다. 그런 트래픽이 DDoS 공격인지, 웜에 해당하는지 판단해 주는 지능이 필요하며, 그래서 보안 기술이 접목되어야 한다.

특히 IT가 업무와 생활에 깊이 자리잡음에 따라 컴퓨터와 네트워크를 통해 오가는 정보 콘텐츠의 양이 기하급수적으로 늘어나고 있다. 아울러 콘텐츠 제작자의 스펙트럼은 매우 폭넓고 생전부지인 경우가 대부분이다. 따라서 블로그나 소셜네트워크서비스(SNS)로 접하는 콘텐츠가 100% 정상이라고 장담하는 것은 불가능하다.

또한 오늘날 정보 보안 제품이나 기술이 판단해야 하는 정보의 진원지는 PC, 네트워크, 웹 등 매우 다양하다. 이렇게 무절제할 정도로 정보가 소통되는 가운데 정보 보안의 역할은 더욱 어려워질 수밖에 없다. 정보 보안 제품을 많이 구매했는데도 왜 사고가 발생하느냐고 불만을 가진 경영자들은 이런 IT 패러다임의 변화와 정보 보안의 본질을 정확히 인식하지 못하고 있는 것이다.

반응에서 능동으로 발전하는 보안 기술

그나마 현재 정보 보안 제품에 적용된 주요 기술은 정보의 내용을 열어보고 악성코드의 형식과 비교하는 패턴 인식의 형태다. 바이러스 백신이나 침입탐지시스템은 알려진 취약점을 공략하는 악성코드를 분석해서 이들을 데이터베이스화한 시그너처(Signature)를 통해 정상 여부를 판단한다. 소위 블랙리스트(blacklist)에 기반한 반응적(reactive) 보안 시스템이다. 지능성 척도로 보면 일차적 수준이라고 할 수 있다.

이 방식은 오늘날 대부분의 정보 보안 시스템을 구성하는 기본 골격이다. 혹자는 이런 시스템은 공격자의 수준을 초월할 수 없는, 한 마디로 항상 공격자에 비해 열세인 수비적 방식이기 때문에 장기적으로 없어질 거라고 혹평한다. 앞 부분의 설명은 맞지만 뒷 부분의 해석은 과장되었다. 아무리 지능적인 알고리즘이 만들어진다 해도 모든 위협을 막을 만큼 완벽할 수는 없기 때문이다.

암호 프로토콜과 인증 시스템에 기반한 기술들도 상호간에 약속된 플랫폼을 구성한 수동적 성격이다. 패스워드를 훔치려는 해커의 노력을 막기 위한 키보드 보안, 메모리 해킹 방지 기술들도 반응적 성격을 지닌다. 현재 사용되는 많은 보안 제품에 반영되어 있는 개념, 이를테면 방화벽, VPN, PKI, 침입탐지시스템과 같은 모델은 이미 15년 전부터 상용화의 길을 걸었으며, 학계에서의 연구는 당연히 훨씬 그 이전으로 거슬러 올라간다. 지금까지 정보 보안 산업의 역사는 이런 모델들이 실제 환경에 성공적으로 적용되고 성숙된 과정이다. 최근 10년간 전혀 새로운 개념의 제품이 고안되지 않은 것만 보아도, 정보 보안 산업의 골격을 이루는 모델은 이미 다 나왔다고 해도 과언이 아니다.

그러나, 이러한 수동적 방식만으로는 현재 쏟아져 나오는 위협을 대처하는 데 한계가 있다. 다시 말하자면, 해킹이나 악성코드와 같은 보안 위협이 나날이 발전하기 때문에 이를 막는 보안 기술도 정체되어 있을 수 없는 것이다. 그래서, 비정상적인 징후를 간파하고 입체적으로 발생하는 위협을 종합적으로 판단하기 위해 더욱 향상된 지능성이 연구되고 있다. 이미 일부 제품에는 보완재 성격으로 이런 기술이 반영되고 있다. 향후 정보 보안 기술의 방향은 여기에 초점을 맞추어야 한다.

침입 추론, 소프트웨어 무결성, 포렌식, 정보 추출, 트래픽 감지 등 더욱 세밀하고(granular) 지능적인 기술들이 기존 보안 제품과 서비스의 프레임워크에 적용되어야 한다. 그래야 DDoS 공격, 정보 유출, 사이버 전쟁 등에 실질적으로 대비할 수 있다. 여기에는 수학과 알고리즘, 인공 지능, 능동적(proactive) 기술이 받쳐주어야 한다.

지능성 갖춘 보안 기술이 IT 이끌 것

따라서, 지금까지 상용화와 실생활에 적용되는 데 주력해 온 정보 보안 제품과 서비스는 지능성을 추구하는 연구 개발에 더 초점을 맞추어야 한다. 선진국에서는 오랜 기간 연구한 인공 지능 기술을 보안에 접목하기 시작했다. 봇넷(BotNet)은 보안 관련 학과 박사 논문으로 인기가 높은 편이다. 때로는 사회공학적, 심리학적 분석과 접목되기도 한다.

한때 정보 보안 산업이 화두가 될 때 우리 나라 학계에서도 이에 대한 연구가 활발했다. 타 분야에 비해서 연구비도 풍부했고 시대적 화제가 되었기 때문이다. 그런데, 그 당시는 보안 제품이 덜 성숙된 단계여서 연구의 방향이 뚜렷하지 않았다. 그러나, 정작 R&D가 아쉬운 이 시점에 우리 나라의 학계에서는 정보 보안 연구의 열이 많이 식어버렸다. 기초 과학에 대한 배려가 부족하고, 턱없이 부족한 과학 기술 예산이 우리의 발목을 잡을까 우려가 된다.

여기에서 원천 기술의 중요성은 아무리 강조해도 지나치지 않는다. 여러 서비스와 도구는 아웃소싱할 수 있다. 그러나 각 개인과 조직, 나아가 국가의 기반을 보호하기 위해서는 정보 보안의 원천 기술에 대한 끊임없는 노력이 뒷받침되어야 한다. 그런 점에서 원천 기술에 투자해 온 한국의 정보 보안 산업의 형성 과정은 향후 유리하게 작용할 것이다. 대부분 미국 제품을 유통하는 데 머무른 일본의 경우, IT 사회를 구축하는 데 자립성이 떨어질 수밖에 없다.

한편 IT 분야에서 유일하게 지능성을 갖추고 있는 정보 보안 기술은 각종 제품과 서비스에서 많은 공헌을 할 것이다. 이를테면, IPTV, 인터넷폰과 같은 멀티미디어 서비스가 인터넷 상에서 전개될 때, 이런 서비스의 세밀한 정량적 근거를 누가 제시할 것인가? 어떤 사용자가 특정 단말기로 어디로부터 어떤 크기의 콘텐츠를 주고 받았다는 정확한 정량적 근거를 어떤 기술로부터 얻을 것인가? 그런 정보가 있어야 서비스 사용료를 부과할 것이 아닌가?

그렇기에 사용자와 단말기를 인증할 수 있고, 이로부터 교환되는 패킷과 파일의 콘텐츠를 분석할 수 있고, 콘텐츠의 전송 경로를 알 수 있게 하는 보안 기술이 중요하다. 당연히 어떤 형태로든 활용되지 않겠는가? 이러한 지능성 때문에 정보 보안 산업과 기술은 과거의 소극적 대응에서 벗어나 IT를 드라이브하는 적극적 위치로 격상할 것이다. 고도의 R&D에 기반한 원천 기술이 절실한 이유이다.

/김홍선 안철수연구소 대표이사 column_phil_kim@inews24.com






포토뉴스