정보 분야에 정부 개입 늘어나면서 개인의 삶에도 영향 있을 것

인터넷의 기본은 익명성, 그러나 정보 열람에는 제한이 없어야

[보안뉴스 문가용] 드디어 블랙햇 2014가 개막됐다. 오프닝 키노트는 10여년 전 마이크로소프트의 유사 독과점 행태를 통렬하게 비난한 것으로 유명세를 얻은 인큐텔(In-Q-Tel)의 CISO, 댄 기어(Dan Geer) 씨가 맡았다. 그때나 지금이나 그의 직설화법은 다양한 반응을 이끌며 사람들을 집중시키는 데에 성공했다. 정보보안 세계에서 일어나는 끊임없는 변화들에 대한 진단과 그가 제안하는 독특한 대처방안을 정리해본다.

정부와 정보

그는 먼저 정보 문제가 정부에게도 심각한 관심거리라는 점을 지적했다. “이제 미국 정부의 상층부에서도 컴퓨터 보안이 심각하게 논의되고 있습니다. 이 말은 ‘사이버 보안’이라는 것을 ‘우리 기업 내’, ‘내 컴퓨터 안’에서만 국한해서 고민할 수 없다는 말인 것입니다. 더 이상 보안은 ‘국지전’이 아닙니다.” 이는 어떤 의미를 가질까?

“개개인의 삶 구석구석에서 사이버 보안의 개념이 들어서게 됩니다. 보안의 개념이 삶과 밀접하게 되는 순간 정부가 수립한 보안 관련 정책의 좋은 결과와 나쁜 결과가 확연히 다르게 나타날 것이며, 이에 대한 답을 찾는 과정 또한 순탄하지 않게 될 것입니다”라고 그는 발표를 통해 정부의 인식 변화와 그를 통한 우리 삶의 변화를 예견했다.

또한 미국 정부가 이렇게 정보보안에 관심을 갖게 되면서 국제적인 감시작전이 조금씩 이루어지고 있는데, 이는 곧 입법부와 집행부의 파워게임에 미묘한 균형파괴를 가져올 것이라고 하기도 했다. “정부가 이런 대규모 작전을 수행할 수 있는 능력이 되면 자금에 대한 의존도가 낮아지게 되고, 자금에 대한 의존도가 낮아지게 되면 입법부보다는 집행부의 힘이 세질 수밖에 없습니다.” 댄 기어 씨는 집행부의 힘이 세지면 국민의 삶에 더 직접적인 영향을 미칠 수 있다는 뜻이 될 수 있다는 걸 암시하는 듯 했다.

인터넷과 사물인터넷

또한 기어 씨는 인터넷의 다면화가 다급히 진행되고 있다며, 이런 현상을 재촉하는 게 바로 사물인터넷이라고 했다. “인터넷 환경이 복잡해지고 있으니 구멍이 늘어나고, 구멍이 늘어나니 취약점이 늘어나며, 취약점이 늘어나니 공격이 늘어나고 있습니다. 이 현상을 사물인터넷이 더 가속시키고 있는 실정입니다.”

그러면서 정부는 보다 실제적이고 현상적인 내용을 정책에 담아야 한다고 촉구했다. “현실을 반영하는 정치를 해야죠. 임베디드 시스템을 자주 패치해야 하고 이렇게 점점 복잡해지는 인터넷 환경을 지켜볼 것만이 아니라 가능한 곳에 구획을 설정해야 합니다.” 이에 대한 보다 자세한 설명을 그는 이어갔다.

“병원들이 개인정보를 다루는 데 있어 보호규칙을 지키지만 전염병으로 판명되는 경우 개인정보보호보다 미국질병관리센터에 보고하는 걸 우선시합니다. 하트블리드와 같은 인터넷 버그는 물론 전염병처럼 번질 수 있는 인터넷 취약점은 즉각 보고하도록 해야 합니다. 이런 시스템을 갖추되 규제화 시켜서 강력하게 시행해야 할 것을 주장합니다.”

여기서 기어 씨는 아주 ‘센’ 발언을 했는데 이는 다음과 같다. “소프트웨어를 판매하는 업자들은 이제부터 소스코드와 개발환경 라이브러리 정보를 모두 공개하든가 아니면 사용자들이 정상적으로 소프트웨어를 사용했을 때 일어난 사고에 대해 모두 책임을 지든가 둘 중 하나를 선택해야 합니다. 이른바 제조물책임법을 말하는 것인데, 이게 적용되지 않는 건 종교와 소프트웨어뿐입니다. 그러나 소프트웨어도 이런 혜택을 오래 누리진 못할 것이라고 봅니다.”

투명하고 깨끗한 인터넷?

이런 그의 발언은 좌중을 크게 술렁이게 했다. 기어 씨는 인터넷이 가지는 익명성 자체를 부정하는 것일까? 일단 그는 최근 유럽에서 발표한 ‘잊혀질 권리’에 찬성한다고 밝혔다. “그러나 아직 충분히 정립된 건 아닙니다. 더 발전해야 합니다. 특히 통합된, 복제 불가능한 디지털 아이덴티티의 사용에 대한 부분에 대해서는 할 말이 없습니다. 사용자가 원한다면 자기 자신을 진실과 다르게 혹은 약간 바꿔서 표현할 수 있어야 합니다. 보안을 해결한답시고 모두가 자기 자신을 있는 그대로 드러낼 수밖에 없는 인터넷 환경이라면 그게 무슨 소용입니까?”

그렇다고 매일같이 일어나는 보안사고 역시 간과할 수 없다. 그는 다시 한 번 색다른 해결책을 제안했다. “보안전문가들이 그동안 밝힌 바에 의하면 제로데이 취약점들이 암시장에서 거래되고 있습니다. 그것도 아주 대규모로 말이죠. 정부가 여기에 개입해야 합니다. 총과 칼로 제압하라는 게 아니라 10배되는 가격을 지불하고서라도 그 취약점 정보들을 사재기해야 한다는 것입니다.”

그렇게 한 후 정보는 사들인 취약점을 전부 대중에게 공개해야 한다는 게 그의 주장이었다. “대중들이 다 알고 있는 정보라면 해커들의 사용처가 크게 줄어들겠죠. 그게 중요한 포인트입니다.”

정보는 앞으로 완전히 공개될 것

그의 이야기를 다시 정리해보면 다음과 같다.

1. 정부가 정보 보안과 관련한 일에 깊게 개입하기 시작했으며, 그러므로 이제 우리는 삶의 여기저기에서 정보 보안이라는 개념과 맞닥트릴 것이고, 2. 이는 사물인터넷으로 심화되는 인터넷의 다면화 현상과 그로 인한 사이버 범죄의 증가와 맞물려 더 우리 삶에 깊숙이 침투할 것이다. 3. 그러므로 소프트웨어 제작사들은 제조물책임법에 입각하여 모든 책임을 지던가 아니면 코드부터 라이브러리까지 소프트웨어에 대한 모든 내용을 공개할 수 있어야 한다. 4. 하지만 이런 기조가 프라이버시의 침해를 불러와서는 안 된다. 인터넷은 기본적으로 익명성이 보장되는 공간이어야 한다. 5. 안전과 프라이버시, 둘을 다 잡으려면 정부가 취약점 암시장을 양지로 불러내는 것이 좋은 방법으로 보인다.

왜 회사만 유독 자신들의 정보를 공개해야 하는가? 그는 다음과 같은 예를 들었다. “사람이 길거리에 차를 버리면 그 차는 압수됩니다. 은행 계좌를 오래 방치하면 은행이 통제권을 갖게 됩니다. 그런데 윈도우 XP가 버려지면 어떻게 되나요? 아무도 업데이트 할 수 없게 됩니다. 소프트웨어도 현실 세계의 물건들처럼 오픈소스로 만들어서 다른 이들이 이런 특수한 경우에 통제권을 가질 수 있도록 해야 합니다.”

그러면서 “오늘 키노트를 작성하기 위해 모은 정보들이 전부 산업 내 전문가들 사이에서 비밀처럼 도는 그런 종류의 것이 아닙니다. 대부분 대중에게 공개되어 있는 것들을 수집해서 정리한 것뿐입니다. 폐쇄된 정보와 공개된 정보를 질이란 측면에서 구분 짓는다는 게 점점 무의미해지고 있습니다. 미래에는 보안을 넘어 정보 제한, 접근 제한이라는 개념 자체가 흐려지게 될 것입니다”라며 보안의 새 미래를 살짝 엿볼 수 있게 해주었다.

그가 예견한 미래가 과연 사기업들의 자사 정보 공개라는 어마어마한 강수(혹은 도박수)와 현실 속에서 맞물릴 수 있을지 지켜봐야 할 것이다.

한편, 올해 블랙햇은 8000여명의 관객들 및 147개 기업이 참석한 가운데 성대하게 막을 올렸으며 124개 본 강연과 트레이닝 세션, 스폰서 세션 등으로 진행될 예정이다. 올해의 주요 이슈는 최신 취약점에 대한 정보, 사물인터넷, 가정 자동화 등이다.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>