중요 쟁점에 대한 보안 전문가들의 의견

의견1. ‘보유’의 관점에서 생각하는 것이 현명

마르쿠스 라넘(Marcus Ranum)

마르쿠스 라넘(Marcus Ranum)은 테너블 네트워크 시큐리티(Tenable Network Security)의 CSO(케이블 시스템 사업자) 이고, 유명한 보안기술 혁신가이자 교사이고 연사이다. <웹사이트는 www.ranum.com>

수 개 월전 이스라엘 기반 체크 포인트 소프트웨어 기술은 미국 기반 침입 탐지 시스템(IDS) 제공자 소소파이어(Sourcefire)를 사려고 했지만, 두바이 포트 피아스코 (Dubai Ports fiasco)로부터의 여파 때문에 그 거래가 무산되었다. 우선, 미국 정부 기관이 그들의 네트워크를 충분히 안전하게 지킬 수 없다는 것에 대해 너무 예민 할 필요없다. 그러나 체크 포인트가 미국 정부 네트워크에 널리 사용되고 있는 소프트웨어를 제어해야 하는지에 대해 질문이 생긴다.

‘전략적 소프트웨어’라는 것이 있는가? 물론 있다. 그러나 더 나은 질문은 “그 문제에 대해 말이 이미 헛간을 뛰쳐나간 꼴 아니냐?”는 것이다.

만약 당신의 소프트웨어가 당신의 컴퓨터를 제어한다면, 그 소프트웨어를 만든 사람이 당신의 컴퓨터를 제어한다는 뜻이기도 하다. 여기에 전략적 암시가 있는가? 과거 워싱턴 레드몬드시에 있는 한 회사에 의해 사실상 모든 컴퓨터가 통제되는 사실에 대해 절망의 목소리를 냈던 유럽 연합에게 물어보라. 비꼬는 사람은 체크 포인트 소스파이어 거래를 미국 정부가 같은 수법으로 앙갚음하는 데 맛을 들인 것으로 생각할 수 있다.

나는 비꼬는 사람이지만 즐기는 것은 아니다. 만약 우리가 소프트웨어가 전략적 암시를 가질 수 있다는 생각을 받아들인다면, 미국 정부가 단일 첨단 기술 습득을 금지시키기보다 차라리 우리의 ‘전략적 헬륨 보유’ 같은 ‘전략적 소프트웨어 보유’의 관점에서 생각하는 것이 더 현명할 것이다.

체크 포인트가 윈도우 컴퓨터의 TCP/IP 스택과 프로세스를 완전히 제어하는 널리 사용되는 개인 방화벽인 존 알람(Zone Alarm)을 이미 소유할 때, 체크 포인트를 소유하는 스노트(Snort)에 대해 염려하는 것은 분명히 우스운 일이다.

캐나다 회사인 리서치 인 모션(Research In Motion)이 정부 관료가 이것 없이는 살 수 없는 블랙베리 포켓용 컴퓨터의 커뮤니케이션을 모두 소유할 때, 왜 이스라엘이 IDS 컴퓨터를 소유하는 것을 염려했는지 알 수 있다. RIM이 특허 분쟁 때문에 셧다운을 위협했던 몇 달 전의 공황을 기억하라. 미국 정부는 캐나다에 ‘국가기밀이 아닌 정부데이터(SBU)’라는 메시지를 보낼 수 없을까 두려워한 듯 했다. 만약 그 커뮤니케이션이 전략적이고, 중요 정보 기반(Critical Infrastructure)의 일부라면, 잠궈야 할 헛간 문이 많아질 것으로 생각된다.

세계 각 정부들이 첨단 기술을 무기라고 생각하지 않고 전략적 소프트웨어를 채택해 왔다. 끊임없이 ‘정보전(Information-Centric Warfare)’에 대해 말하는 모든 국방성들의 전문가들을 보면, 그들은 소프트웨어를 독립적인 무기 시스템으로 생각하는 것을 완전히 회피하고 있다. 그러나 오늘날 모든 중요한 주요 무기 시스템은 소프트웨어에 의존하고 있다. 이것이 단순히 매우 어려운 문제를 넘어 모두가 이 문제에 대해 생각하지 않으려 할지도 모른다.

이 문제에 대한 부정(Denial)의 수준을 생각하면, 체크 포인트와 소스파이어를 추려내는 것은 어리석은 일이다. 아마 이것은 미래 세대가 해결하도록 우리가 남겨둘 문제 중 하나일 것이다. 참, 이스라엘에 있는 어느 회사 개발팀의 하나가 마이크로소프트 ISA 방화벽의 핵심 구성요소를 만들었다는 사실을 얘기하는 것을 잊고 있었다.

의견2. 소프트웨어야 말로 중요 정보 기관이자 경제적 좌표

브루스 슈나이어(Bruce Schneier)

브루스 슈나이더(Bruce Schneier)는 카운터패인 인터넷 시큐리티(Counterpane Internet Security)의 최고기술경영자(CTO)이며 「두려움을 넘어서: 불확실한 세상에서 보안문제를 현명하게 생각하라」의 저자다. <웹사이트는 www.schneier.com>

‘중요 정보 기반’을 ‘사회와 경제가 제 기능을 하기 위해 필수적인 것들’로 정의한다면, 많은 기업과 개인들에게 있어 소프트웨어는 중요 정보 기반이다. 만약 컴퓨터가 작업을 중단한다면, 그들도 일을 중단하게 된다.

이것이 우리에게 당면해 있는 상황이다. 전투기 747기 또는 표적 크루즈 미사일을 날리는 소프트웨어가 중요하다는 것은 모두가 알지만, 비행기의 중량과 균형 컴퓨터 또는 크루즈 미사일이 어디서 수송될지를 결정하는 데이터베이스와 스프레드시트를 제어하는 운영 시스템에 대해서는 생각이 미비하다. 그리고 수 년 간, 일반적, 재고품, 개인과 비즈니스 등급의 소프트웨어가 점점 더 중요한 애플리케이션을 위해 사용되어 왔다. 오늘날 우리는 윈도우, 시스코 라우터 또는 아파치의 요지를 차지한 허점(flaw)이 경제에 중대한 영향을 미칠 수 있는 상황 속에 있음을 알게 되었다.

소수의 일부 프로그래머가 그들이 만든 코드에 취약성과 백 도어를 고의적으로 첨가하고 있다고 생각하는 것이 매우 합리적이라고 확신한다. 반면, 우리는 이미 흔한 소프트웨어 제품에서 새로운 수십 개의 허점들이 발견되는 세계에 살고 있고, 경제는 활황을 띠고 있다.

그러나 아시아의 이 달의 웜, 러시아 마피아의 새로운 피싱(Phishing) 소프트웨어, 또는 일부 테러리스트들이 뭔가를 붕괴시키고자 한다는 것 등을 얘기하고 있는 것이 아니고, 국가 정보기관에 대해 말하고 있는 것이다. ‘정보전’은 거창한 말이지만, 다음 전쟁은 사이버공간의 요소를 가질 것이고, 이 국가 정보기관들은 만약 그것에 대해 대비가 되어 있지 않다면 업무를 수행하지 못하게 될 것이다.

마르쿠스가 이에 대해 뭔가를 하기에는 너무 늦었다고 말했다면, 그는 100% 옳다. 소프트웨어 산업은 국제적이기 때문이다. 중국, 미국 등 어떤 나라도 국산제품만으로 소프트웨어를 시작할 수 없고, 성공을 기대할 수 없다. 또한 개별적 프로그래머들이 어느 나라에 거주하게 되는지 보다 수백만의 개별적 프로그래머들의 충성이 더 중요한 문제이기 때문에, 실제적으로 문제를 해결하지 못할 것이다. 그러면 어떻게 해야 할까? 여기서 핵심은 진정한 문제가 무엇인지를 아는 것이다. 그것은 현재 상업적 소프트웨어가 고의적으로 삽입된 악성 코드를 탐지하고 삭제하기에 충분할 정도로 신뢰성을 갖기엔 안전하지 못하다는 것이다. 일단 이 점을 이해했다면, 당신은 체크 포인트가 소스파이어를 구입할 수 없게 하는 중요하지 않은 문제에 관한 논쟁을 종식시키고, 진정한 해결책인 심층 방어에 집중하게 될 것이다.

이론적으로, 방화벽과 IDS같은 보안 소프트웨어는 기저의 운영체제와 애플리케이션 소프트웨어가 취약성 투성이기 때문이다. 만약 소프트웨어가 처음부터 제대로 만들어진 것이라면, 방화벽이 필요 없어야 한다. 그렇지 않은가?

당신이 중요 정보기반에 대해 심각하게 생각한다면, 그것이 매우 중요하다는 것을 인식하고, 그것을 보호하기 위해 보안 소프트웨어를 구축하기 시작할 것이다. 우리는 실패해도 안전한(Safe Failure) 원칙의 기반에서 보안을 구축할 것이다. 보안에 장애가 있을 시, 이것이 작동해 해결될 것이라고 생각한다. 장애의 효과를 최소화하기 위해 심층 방어와 영역 분리(Compartmentalization)를 사용할 것이다. 

[보안뉴스(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>