안전장치 늘수록 안전도가 떨어지는 기이한 현상

인간과 기술 양면을 모두 고려한 보안 시스템 필요

[보안뉴스 문가용] 외국 보안전문가들 사이에 이런 유명한 말이 떠돌고 있다. “자동차에 브레이크가 왜 있는가? 멈추기 위해서? 아니야, 빨리 가기 위해서지!” 아무리 야심차게 개발을 시작한 소프트웨어가 외계에서 온 것과 같은 기능과 최적화를 보여준다고 해도 허술한 보안 취약점 하나 때문에 흔적도 없이 사라질 수 있다. 그렇다고 보안망을 엄격하게 강화하고 모의해킹 훈련을 민방위 훈련하듯 하면 개발팀과 보안팀의 사이가 걷잡을 수없이 벌어질 것이다. 보안은 제동만 거는 브레이크인 것일까.

다람쥐가 자동차를 피하는 법에 대해 아는가? 별 거 없다. 왼쪽 오른쪽으로 지그재그를 해서 바퀴를 피한 후 작은 덩치를 활용해 차 밑으로 쏙 들어간다. 다람쥐는 자연이 준 오래된 생존원리를 활용해 첨단기술인 자동차에 대응할 수밖에 없다. 그래서 이 방법이 그리 효과적이진 않다. 그래서 수없이 많은 다람쥐들이 길바닥에서 죽는다. 이게 다 기술적 위험성을 제대로 인지하지 못해서다.

보안전문가인 브루스 쉬나이어(Bruce Schneier)는 “이 부분(기술적 위험성 인지)에 있어서 인간이 다람쥐보다 아주 조금 낫습니다. 새롭고 신기한 건 대단해 보이고 평범하고 익숙한 건 하찮아 보이는 우리의 인지구조를 보면 알 수 있는 일이죠”라고 말한다. 그래서 그 많은 보안사고가 일어나는 것일까? 차에 치여 죽는 다람쥐들처럼?

보통 소프트웨어의 세계에서 신기술은 아주 빠르게 수용되며, 그 과정 중에 ‘보안’에 대한 생각은 눈꼽만큼도 들어가지 않는다. 보안담당자가 보기엔 당연한 확인 절차를 거쳐야 할 것을 대부분 사람들은 굉장히 귀찮아한다. 그 ‘귀차니즘’에 대한 피해 사례를 우린 매일 접하고 있는데도 말이다.

문제는 이게 소프트웨어에서만 발생하는 일이 아니라는 것이다. IT 업체가 전부 소프트웨어 개발을 하는 게 아니지 않은가. 그렇지만 대부분 기업들은 끊임없이 애플리케이션 프레임워크를 만들고 라이브러리를 구축해 업무를 진행한다. 그리고 이 빈번한 과정 중에 보안 점검은 거의 이루어지지 않는다. HTML5라는 거대한 변화가 책상 위에 당도했을 때에도 보안점검을 먼저 해봤다는 이야기는 거의 들어보지 못했다. 보안담당자로서는 참으로 암울한 분위기다.

예전엔 디자인, 설계, 모델링만 제대로 되면 보안은 문제없을 것이라고 여기는 풍토가 있었다. 아니, 요즘에도 이걸 믿는 사람이 많은 것이 현실이다. 하지만 우리의 환경은 쉴 새 없이 변하고 있고, 가장 훌륭한 보안은 이에 맞춰 변할 줄 아는 보안이다. 그런데 이게 그리 간단한 문제가 아니다. 똑같은 정책과 직원 교육을 하는데 어떤 회사에서는 보안문화가 잘 정착하고 어떤 곳에서는 매일 유출사고가 터진다. 이 차이에 대해선 아무도 명쾌한 답을 가지고 있지 못하다.

그렇다면 물을 수밖에 없다. 도대체 무슨 노력을 기울여야 원하는 바를 이룰 수 있는가? 이 질문에 답하기 전에 한 가지 사실을 먼저 짚고 넘어가자. 아까 자동차와 브레이크 이야기가 나와서 하는 말인데 여러 통계자료에 의하면 ABS 시스템을 장착한 자동차는 주행속도가 더 빠르다고 한다. 즉 ABS가 도입되었다고 해서 도로 안전이 향상된 건 아니라는 것이다. 통계에 의하면 다만 우린 ABS 덕분에 더 빨리 원하는 곳에 도착할 수 있게 되었다.

이는 전혀 엉뚱하고 전혀 직관적이지 않은 결과다. 이와 비슷한 실험 결과는 여럿 있다. 오토바이 헬멧을 쓴 사람들의 평균속도가 더 높고, 그래서 심지어 사망자수가 더 높아진다는 자료도 있다. 스카이다이빙 안전장치, 안전한 유아용 장난감, 심지어 콘돔까지, 제작의도와는 다른 결과를 낳는다는 연구결과는 얼마든지 찾을 수 있다. 반대로 안전 장치나 경고 표시를 전부 없앴을 때 오히려 사고/사망 비율이 줄어들었다는 연구결과도 존재한다.

이 시점에서 고개가 갸웃거리는 분들이 많을 것이다. 보안기술이 늘어나기 때문에 보안사고가 더 많이 일어난다는 소리인가? 일단 통계자료만 보면 그렇다고 할 수 있다. 그러나 여기서 ‘보안담당자의 할 일은 보안장치를 전부 없애는 것’이라고 결론을 지어서는 안 된다. 이 아이러니한 통계가 말하고자 하는 것은 보안 시스템을 구축할 때 인간의 미묘한 습성을 반영해야 한다는 것이다.

예를 들어 새로운 방화벽 시스템을 도입했다고 하자. 새로운 방어막 덕분에 해커의 침입을 막을 수 있는 방비책이 하나 생긴 것은 분명하다. 그러나 동시에 직원들의 안전불감증 또한 높였다는 것도 생각해야 한다. 새로 구축한 보안장치가 너무 민감해서 시도 때도 없이 경보를 울리는 것 역시 사람들의 경각심을 높이는 게 아니라 도리어 경보에 둔감해지게 한다.

요는 실제 보안성과 사람들이 느끼는 보안성 사이의 간극을 최대한 줄여야 한다는 것이다. 사람들의 체감이 실제보다 높으면 평소 하지 않을 ‘보안 실수’를 저지를 확률이 올라간다. 반대로 사람들이 체감하는 것보다 실제 보안성이 높으면 기업 전체의 생산성이 떨어질 확률이 높아진다.

일단 개발 따로 보안 따로 진행하는 건 바람직하지 않다는 것에는 대부분의 사람들이 동의하고 있다. 둘은 함께 가야 한다. 자동차에도 액셀레이터와 브레이크가 한 자리에 있다. 그게 운명이라면 티격태격 대지 말고 빨리 함께 달릴 수 있는 방법을 찾아내야 한다. 어떻게? 라고 묻는다면 ‘보안을 투명하게’라고 답하겠다. 보안의 모든 것을 투명하게 공개해야 보안담당자 아닌 사람들이 자신의 체감을 실제와 맞출 수 있을 것 아닌가?

보안을 투명하게 하려면 다음 사항들을 지켜보길 권한다.

- 일단 명확하고 구체적인 보안 모델을 완성하라. 현실을 반영한 게 아니라 보안의 이상적인 방향을 담고 있는 모델이어야 한다.

- 위의 모델을 실제 업무에 적용해보라. 점점 현실을 반영해가면서 모델을 변화시키는 것이 핵심이다. 이때 너무 현실과 타협해서는 안 되며 어느 정도의 엄격한 기준이 있어야 한다.

- 보안의 실제 상황을 꾸준히 노출하라. 수상한 발자국이 남았을 때만 경보를 울리는 게 아니라 평소 네트워크의 상태, 취약점이 될 수 있는 부분 등의 내용들을 실시간으로 업데이트하는 것이 중요하다. 즉 회사 전 직원이 보안 상황에 대해 피부처럼 느낄 수 있도록 만드는 것이다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>