조던? 70년대와 80년대를 아울러 활동한 한 인물 등장

70~80년대는 냉전의 영향과 보안 상업화의 혼재 시대

[보안뉴스 문가용] NBA의 스타, 코비 브라이언트의 역사적인 기록을 기념해서 쓴 1편 기사에서는 1940년대부터 1960년대까지 정보보안 분야에서 뚜렷한 발자국을 남긴 이름을 아주 간략하게 정리해 보았다. 이번 기사에서는 70년대부터 80년대까지 보안 분야에 영향을 미쳤던 이름들을 역시나 간략하게 짚어본다. 사실 조던과 코비에 비유할 수 있는 이름을 찾고자 하는 게 기사의 본 목적이었다고 할 수 있는데, 지난 번 기사에서는 그런 인물을 찾기가 힘들었다. 하지만 이번에는 두 시대를 모두 아우르는 한 인물이 등장한다. 조던을 찾은 것일까.

1970년대의 이름들

1. 더 크리퍼(The Creeper) : 첫 컴퓨터 바이러스다. 물론 인터넷의 시초인 아르파넷을 실험하기 위해 일부러 만든 일종의 소프트웨어로 모뎀을 통해 아르파넷에 침투해서 원격 시스템에 스스로의 복사본을 남기는 기능을 가졌다. 성공했을 경우 “나는 크리퍼다. 잡을 수 있으면 잡아봐(I┖m The Creeper : Catch me if you can)”라는 메시지를 출력했다고 한다. 오늘날까지도 많이 하는 침투 테스트의 시초 정도로 이해하면 되겠다.

2. 제임스 앤더슨(James P. Anderson) : 정보보안의 개척자라고 알려진 인물이다. 이론과 실전 모두에서 혁혁한 공을 세웠는데, 72년에는 참조 모니터(reference monitor)를 발명했고 80년에는 감사 추적에 근거한 침입 감지 시스템(audit trail based intrusion detection)을 개발했다. 하지만 그를 가장 유명하게 해준 건 72년 미국 공군에 보낸 보고서 - 일명 앤더슨 보고서 - 때문이다. 그 보고서 하나로 정보보안의 개념과 연구 및 접근 방법이 재정립되었고, 그의 방법론은 10년도 훨씬 넘는 동안 지속되었다. 또한 여러 가지 정책 마련에도 다양한 각도로 참여했다.

3. 제롬 설처(Jerome Saltzer)와 마이클 슈로더(Michael Schroeder) : MIT의 교수였던 이 두 인물은 75년 ‘컴퓨터 시스템에서의 정보 보호’라는 논문을 함께 저술했다. 이 논문은 아직도 정보보호 관련 후발 논문들에서 많이 인용되고 있으며, 정보보호를 ‘아키텍처’의 수준, 즉 디자인 단계에서부터 고려해야 하는 것으로 재정의했다는 점에서 커다란 반향을 일으켰다. 정보보호의 개념 자체를 한 차원 높게 끌어올린 것이라고 볼 수 있다.

4. 존 브루너(John Brunner) : 영국의 공상 과학 소설가로 75년에는 <쇼크웨이브 라이더>라는 소설을 출간했다. 이 소설은 사실 좋은 평을 얻지는 못했다. 뉴욕 타임즈에서는 미래 사회를 그리려는 시도는 좋았으나 사회 여러 요소의 세부 내용이 모호하게 묘사되어 있어 책 전체가 카드로 지어진 집처럼 무너져 내린다는 혹평을 내렸을 정도다. 그러나 정보보안 계통에 있어서는 이 책은 남다른 의미를 갖는다. 컴퓨터 웜 혹은 네트워크 웜이라는 개념이 이 소설에서 처음 등장하기 때문이다. 오늘날의 웜 바이러스는 그의 상상이 만들어낸 산물일지도 모른다.

1980년대의 이름들

1. 제임스 앤더슨 : 70년대에 나온 그 제임스 앤더슨이다. 이 ‘정보보안의 개척자’는 70년대가 끝난 직후인 1980년에 ‘컴퓨터 보안 위협 모니터링 및 감시’라는 보고서를 발간했는데, 이미 자동화 감시 프로그램이 가지고 있는 한계를 지적하고 그에 대한 보강책을 마련하는 내용을 담고 있었다. 70년대 초반의 활동이 군대 및 국방 조직과 연계되어 있었다면 80년대에는 이미 개인적인 학문의 분야로서 정보보안을 연구하고 있는 것처럼 보이며, 사실 그뿐만 아니라 80년대의 정보보안 자체가 국방과는 연계성이 엷어진 채로 민간사업 및 상업의 테두리 안으로 들어오는 느낌이다.

2. 오렌지 북(Orange Book) : 83년에 발간되었으며 정식 이름은 ‘컴퓨터 보안 평가지침서(Trusted Computer Security Evaluation Criteria, TCSEC)이다. 이 책은 2년 후인 85년에 미 국방성의 보안 표준이 되며 기술과 방법의 측면 모두에서 보안 평가 시스템을 정착시키는 데 아마도 가장 큰 영향을 미친 것으로 보인다. 바로 위에서 보안과 국방의 연계가 엷어진다고 썼는데, 완전히 없어지지는 않았다는 지표이기도 하다. 생각해보면 이때도 여전히 냉전 기간이었다.

3. 네일 코블리츠(Neil Koblitz)와 빅터 밀러(Victor Miller) : 오늘날에도 사용되고 있는 ECC, 타원곡선 암호의 창시자들이다. 타원곡선 암호라고 하면 오늘날까지 알려진 공공키 암호화 시스템 중 가장 강력하다고 알려져 있다. 둘이 함께 연구한 건 아니고 85년 각기 따로 이 시스템을 고안했다. 효율성도 좋고 전력 수요도 적어 아직까지도 계속해서 사용되고 또 발전되고 있다.

4. 도로시 데닝(Dorothy E. Denning) : 미국의 보안 전문가로 86년 사상 첫 실시간 침입 감지 시스템을 개발해 발표했다. 이것 외에는 많은 기록이나 업적이 남은 건 아니다. 다만 이 실시간 침입 감지 시스템의 등장이 준 충격이 워낙 강해서 정보보안의 역사에 꼭 언급되어야 하는 인물이다. 소설가로서 작품을 평생에 딱 한 편 남겼지만 그게 ‘앵무새 죽이기’라는 희대의 걸작인 바람에 손꼽히는 문학가 반열에 올라선 하퍼 리 여사와 비슷하달까.

5. 클리포드 스톨(Clifford Stoll) : 보안 전문가가 아니라 우주항공사다. 하지만 우주항공사로서의 명성보다는 86년 자신이 관리하던 로렌스 버클리 국립 연구소의 컴퓨터 시스템에 침입한 해커, 마커스 헤스(Markus Hess)를 추적하는 데에 큰 공을 세운 것으로 더 유명하다. 훗날 이 사건을 책으로 저술했다(89년~90년). 책 이름은 <Cuckoo┖s Egg : Tracking a Spy Through the Maze of Computer Espionage>이지만 아직 한국에서는 출간된 적이 없다.

기록의 기술이 나아져서인지 40년대부터 60년대까지의 기간보다 70년대와 80년대의 기록이 훨씬 많고 길다. 90년대와 현대는 마찬가지 이유로 훨씬 길어지는데, 이는 다음 시간에 이어가도록 하겠다. 의도치 않게 길어진 기사라 3부로 끝내고 싶은데, 잘 되려나.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>