세상의 모든 것들이 하나로 연결될 때까지 ‘연결성’ 작업은 끝나지 않으려나 보다. 서로가 죄다 연결될 때 뭐가 얼마나 더 편해질지는 모르겠는데, 우리가 점점 더 약해져 가고 있다는 건 분명해 보인다. 그런데 아무도 대책을 이야기 하지 않는다.

[보안뉴스 문정후 기자] 전 세계 여기 저기서 긴장 관계가 고조되고 있고, 실질적인 충돌이 빈번하게 발생하기 시작하면서 사이버 공간은 살벌한 전쟁터로 변하고 있다. 세상은 500억 개의 상호 연결된 장비, 즉 커넥티드 기술을 탑재한 장비들로 채워져 있고, 이 장비들이 이미 신호등부터 핵 시설까지 모든 것을 제어하고 있다.


그러니 생활 속 깊은 곳까지 침투한 대규모 사이버 공격이 드문 것이 아니며, 사이버 공격 때문에 연료 공급이 중단되고 병원이 마비되는 일을 종종 볼수 있게 됐다. 하지만 아직 진짜가 온 건 아니다. 누군가 인터넷 자체를 마비시키면 어떻게 될까? 우리의 금융 시장과 공급망, 일상은 무사할 수 있을까? 혹시 그런 일이 올해 일어날 수 있을까?

단일 장애 지점
클라우드 컴퓨팅이라는 기술을 너도 나도 빠르게 도입하면서 우리는 금융부터 해서 공급망, 의료, 공공 서비스 등 일상 생활에 필요한 모든 인프라를 한 줌도 되지 않는 기업들에 맡기게 되었다. 아마존, 구글, 마이크로소프트가 바로 그 한 줌의 기업들이다. 하드웨어 쪽을 살펴도 상황은 크게 다르지 않다. 팔로알토 네트웍스(Palo Alto Networks), 시스코(Cisco), 포티넷(Fortinet)이 보안 장비 시장의 50% 이상을 차지한다.

이 상황은 어떤 의미를 갖게 될까? 누군가 이 한 줌의 기업들 중 하나만 침해하는 데 성공해도 우리가 아는 사이버 공간의 상당 영역이 새까매진다는 뜻이 된다. 사이버 공간에서 사용자들을 안전하게 지켜줘야 할 보안 장치들도 예외는 아니다. 그 동안 수많은 조직들을 침해하는 데 성공했던 공격자들이 요 몇 개의 기업을 한꺼번에 공격해 성공한다면 인터넷 전체가 암흑이 된다. 우리의 안전 장치들은 아무런 효력을 발휘하지 못하고 말이다.

지난 한 해 미국의 발전소들의 네트워크에서는 수상한 행위들이 대단히 많이 발견됐다. 기록이 시작된 이후 가장 높은 수치를 기록했다고 한다. 첫 8개월 동안에만 100번이 넘는 공격(혹은 공격 시도)이 있었다. 데이터센터들은 대량의 전기를 소비하는 시설로, 장비들에서 나오는 열기를 식히기 위해 어마어마한 양의 물을 사용해야만 한다. 구글의 경우 데이터센터를 식히기 위해 2021년 한 해 동안 43억 갤런의 물을 사용했다고 한다.

공격자들이 발전소나 물 공급 시스템만 공략해도 구글, 아마존, 마이크로소프트의 데이터센터는 정상 가동이 불가능하게 된다는 뜻이다. MS나 구글, 아마존을 침해하는 게 어렵다면 - 아마 상당히 어렵긴 할 것이다 - 전력소나 다른 인프라를 공격하면 그만이다. 그런 곳들은 보안이 그리 삼엄하지 않다.

돈의 뒤를 따라
이런 일들이 현실로 일어났을 때 어느 정도의 피해가 발생할까? 2021년을 생각해보자. 스위스의 재보험사인 스위스리(SwissRe)는 홍수, 허리케인, 산불 등과 같은 자연 재해 때문에 한 해 동안 야기된 손해가 전 세계적으로 2700억 달러라고 집계했다. 이걸 기준으로 인터넷이 마비되었을 때를 생각해 보자. 산업과 업체의 비교를 손쉽게 해 주는 서비스인 머천트머신(Merchant Machine)은 전 세계 인터넷이 마비되었을 때 세계 경제가 하루에 입을 피해는 370억 달러라고 집계하고 있다.

좋아, 앞으로 잘하면 되잖아, 라고 생각할 수 있다. 맞는 말이다. 하지만 테크놀로지 분야의 경제 흐름을 살펴보면 그런 희망적인 말이 부질없다고 느껴진다. 기업들이나 사용자, 심지어 사이버 범죄자들 모두 돈을 벌어야 한다는 강력한 동기를 공유하고 있어, 보안에 돈 투자하는 걸 매우 아까워하기 때문이다. 무료로 만들어 무료로 배포하는 보안 패치를 기꺼이 내는 기업은 이제야 많아지고 있으며, 사용자들은 공짜로 주는데도 패치를 잘 하지 않는다. 정말 위험하다고 느끼면 차라리 사이버 보험에 가입한다.

그런데 보험사들은 어떤가? 사이버 범죄 피해를 이리 저리 다른 식으로 해석하면서 고객사에 보장금을 제대로 지급하지 않는다. 사이버 보험의 역사는 길지 않은데, 보험사가 약속을 어겼다고 고객사가 고소한 건이 이미 여러 개다. 심지어 최근 일부 대형 보험사들을 중심으로 랜섬웨어 공격에 대한 피해는 보장할 수 없다는 움직임이 일고 있기도 하다. 오죽하면 보안 업계의 경쟁 대상은 보험 업계라는 말이 나왔다가 요 몇 년 쏙 들어갔을까. 이런 식으로 돈의 흐름을 쫓아가도 우리의 사이버 공간이 안전과 거리가 멀어지고 있다는 결론만 나온다.

어떻게 대비해야 하나?
그럼 우리가 할 일은 무엇인가? 가장 먼저는 사회 기반 시설들이 공공 인터넷에 장기간 분리되더라도 안전하게 가동될 수 있는지 살펴야 한다. 그리고 그렇게 되도록 안전 장치와 대비책들을 마련해야 한다. 클라우드로 옮겨가는 사기업들이 앞으로도 꽤나 나올 텐데, 먼저는 인터넷이 마비된 상태에서 데이터에 접속하고 필요한 업무를 볼 수 있는지 점검하고, 인터넷 없이도 사업이 운영되어야만 한다면 역시 대비책을 마련해 두는 게 좋다. 클라우드 업체가 실수한 게 아니라 인터넷 자체가 마비된 거라면 그 누구도 손해본 것을 메워주지 않을 것이니 말이다.

인터넷 마비는 사기업들만의 문제는 아니다. 의료 서비스가 원활히 이뤄지지 않으면 일반 시민들도 모두 위험에 처하게 된다. 소셜미디어를 제대로 관리하지 않으면 선거철을 노린 여론 조작 작전이 수행됨을 우리는 이미 수차례 경험해 왔다. 심지어 제대로 된 금융 인프라도 아닌 블록체인 기업 몇 개가 최근 무너졌을 때, 금융 시장 내 일반 투자자들이 얼마나 막심한 심해를 보게 되는지도 우리는 알고 있다. 그러니 공공의 차원에서도 인터넷 마비 사태에 대비해 해야 할 일들이 있다는 건 자명한 사실이다.

상황이 어찌됐든 우리는 점점 더 연결된 사회로 나아가고 있다. 그리고 인정하든 안 하든 더 취약한 모습으로 변모하고 있기도 하다. 이제 단일 지점의 공격 한 번으로 사회 전체가 무너져 내릴 수 있는 상태인데도 우린 별 다른 대응책을 마련하지 않고 있다. 고민만 많지 이뤄지는 건 아무 것도 없는데 시간만 속절없이 흐른다.

글 : 재키 맥과이어(Jackie McGuire), 수석 시장 전략 책임자, Cribl
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>