기업들은 이참에 더 탄탄한 툴을 찾아 나서야

[보안뉴스 문가용] 암호화 프리웨어 제공 업체인 트루크립트(TrueCrypt)가 갑자기 문을 닫았다. 놀란 보안전문가들에게 찾아온 궁금증은 두 가지였다. 1. 도대체 왜 그런 거야? 2. 이젠 암호화를 무엇으로 해야 하는 거야?

지난 5월 28일 트루크립트 웹사이트에 접속한 사용자들은 전혀 예상치 못한 경고 메시지를 발견했다. “트루크립트에는 고쳐지지 않은 보안문제가 있을 수 있어 사용이 안전치 못합니다”라는 내용의 이 경고 페이지에는 약간의 추가 설명 외에는 텅 비어 있었다. 마이크로소프트가 윈도우XP의 서비스를 종료함에 따라 트루크립트의 개발 역시 멈출 수밖에 없게 되었다는 내용의 이 설명은 트루크립트에서 비트로커(BitLocker)로 사용 전환하는 방법에 대한 언급으로 미심쩍게 끝이 났다. 비트로커는 마이크로소프트의 암호화 소프트웨어다.

최근 미국 국가보안국의 도청 스캔들, 미국 정부가 비밀리에 첨단기술 관련 업체들로부터 정보를 요구했다는 보고들과 함구령에 대한 소문, 잦은 개인정보 유출사고로 인해 만연해진 의심의 정서 등과 겹치면서 이번 트루크립트 사건은 부풀려지고 부풀려지며 업계를 돌아다니기 시작했다. 갖가지 음모론이 탄생하고 자라고 살이 쪘다. 음모론처럼 옮기기 즐거운 이야깃거리가 또 어디에 있겠는가?

여러 가지 가능성

마이크로소프트 윈도우XP가 중단됐으니 자기들도 서비스를 중단한다는 설명이 충분한가? 물론 최근 버전의 윈도우에는 비트로커나 EFS가 기본으로 탑재되어 있기 때문에 독자적인 온라인 프리웨어를 사용할 필요가 줄어든 건 사실이다. 하지만 그건 사무실용이나 프로페셔널 버전의 경우지 가정용에는 이런 암호화 소프트웨어가 깔려있지 않다. 게다가 맥이나 리눅스에 대한 설명은 찾아볼 수가 없다.

또, 트루스크립트에서부터 비트로커로 넘어가라는 권고 메시지를 봤을 때 마이크로소프트가 트루크립트를 아예 통째로 사버렸다는 가능성도 제기할 수 있다. 혹은 대기업인 마이크로소프트를 살리려는 정부의 비밀요원이 트루크립트 사무실을 다 엎어놨을까?

또한 트루크립트는 에드워드 스노우든(Edward Snowden : 미국 정부기관에서 일하던 정보보안 전문가로 최근 미국 정부의 과도한 정보 수집 행태를 폭로한 바 있다)이 선호하던 툴로도 유명하다. 실제로 FBI 등 여러 기관에서 트루크립트를 뚫어보려다 실패한 사례들도 많다. 정보 수집을 해야 하는 미국 정부가 너무 단단해 뚫을 수 없는 트루크립트 때문에 고생하다가 조치를 취한 것은 아닐까? 음모론은 꼬리에 꼬리를 문다.

과도한 업무량?

물론 이런 정치적인 음모론 말고, 수위가 조금 ‘약한’ 가능성도 제기되고 있다. 트루크립트는 시작부터 지금까지 ‘프리웨어’ 즉 무료였다. 무료로 개발하고 무료로 호스팅을 했으며 무료로 트러블슈팅부터 업그레이드까지 십년을 넘게 해오다보니 현실적인 어려움에 부딪힐 가능성이 농후하다.

게다가 요즘엔 비슷하지만 사뭇 다른 ‘크라우드 펀딩 소프트웨어’라는 것도 등장하고 있고 대중을 위해 트루크립트와 같은 암호화 소프트웨어를 낱낱이 분석해 평가해보겠다는 블로그인 오픈 크립토 오딧 프로젝트(Open Crypto Audit Project)까지 생기면서 트루크립트 측은 무료로 해왔던 지난 모든 일들을 허무하게 느꼈을 수도 있다. 아니면 공식 설명 그대로 비트로커가 더 좋은 툴이라는 걸 인정했을 수도 있다.

하지만 이랬든 저랬든 제3자인 우리가 할 수 있는 건 추측뿐이다. 진실은 아무도 알 수 없다. 중요한 건 이제 트루크립트라는 좋은 툴을 한 순간에 잃어버린 우리의 내일과 모레다. 이에 대한 답은 각자가 다를 것이다. 그래야 맞다. 개인 사용자라면 비트로커나 EFS로도 충분히 대체가 가능하다. 사용법도 그리 어렵지 않다. 게다가 마이크로소프트라는 어마어마한 단체가 이런 사용자들의 뒤를 든든히 받쳐주고 있다. 트루크립트가 전혀 아쉽지 않은 상황이다.

사실 사용자들이 프리웨어의 의존도를 조금 낮출 필요가 있는 건 바로 이 이유 때문이다. 프리웨어는 언제 서비스가 종료되어도 이상하지 않은 것이다. 아무런 보상도 없이 오래 동안 소프트웨어를 개발하고 배포할 사람은 아무도 없다. 동기와 열정은 쉬이 휘발되는 연료임을 항상 기억해야 한다. 그런 의미에서 트루크립트의 마지막 권고사항인 ‘비트로커로의 전환’은 굉장히 책임감 있는 발언이라고도 볼 수 있다. 암호화 관련 프리웨어는 트루크립트 말고도 많다. 물론 트루크립트만큼의 명성과 인기를 구가하고 있지는 못하지만.

잘 썼으면 그만큼 지불하는 게 인지상정

개인 사용자야 여러 가지 방법으로 트루크립트를 대체하는 게 가능하다지만 보안 문제가 보다 훨씬 중요하고 복잡하게 얽힌 기업들은 어떻게 해야 할까? 최근 타깃이나 하트블리드 사건이 불거지며 기업들이 얼마나 이런 류의 공격에 취약한지가 드러났다. 이렇게 한 번의 사고가 큰 손실로 이어지는 기업의 경우 ‘무료웨어’와 ‘유료웨어’가 어떤 영향을 미칠지 꼼꼼하게 비교, 검토하는 것이 필수다.

아마 대부분의 경우 유료로 구입한 정식 제품이 프리웨어보다 훨씬 더 많은 기능과 안정성을 갖추고 있을 것이다. 개인에겐 꼭 필요 없는 정책제어 기능, 암호 생성 조건 설정, 폐쇄, 열쇠 관리 등의 옵션들은 프리웨어에서는 찾기 힘든 것들이지만 기업 측에서는 투자해볼 만한 사항들이다. 그렇다고 직원들 모두가 사용해야 할 보안 관련 툴이 복잡하고 어렵다면 생산성이 떨어진다. 또한 최근 스마트기기가 활성화됨에 따라 생각해야 할 것이 더 늘어났다. 그러므로 단순 암호화 툴이 아니라 보다 종합적인 소프트웨어가 기업 입장에선 더 적절한 듯이 보이는 게 사실이다.

기업이나 개인이나 보안 관련 소프트웨어를 고를 때 가장 먼저 고려해야 할 것은 시스템과의 호환성과 서비스의 지속성이다. 호환성에 있어서 OS에서 제공하는 툴이 외부 프로그램보다 더 높을 수밖에 없으며 이는 후에 있을 애드온, 업데이트 등의 작업이 훨씬 원활하게 이루어진다는 의미다.

개인은 이 정도만 고려해서 골라도 충분하겠지만 기업은 여기에서 한 발 더 나아갈 필요가 있다. 특히 모바일 기기들의 왕성한 발전 때문에 이젠 데이터에 원격으로 접속하는 것이 우스운 일이 되어버린 지금은 상황이 더 복잡하다. 위험요소가 산재해 있다는 것과 다름없다. 이런 때일수록 지출이 발생하더라도 프로그램을 사서 회사에 도입하는 편이 훨씬 남는 장사일 수 있다. 비지떡만 먹다가는 쓰러진다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>