파이어아이 케빈 맨디어 사장과의 불순한 인터뷰
사이버 공간에서 공격자는 방어자보다 항상 유리

보다 넓은 범위에서 정보를 공유할 수 있는 프레임워크 필요

[보안뉴스 문가용] 팝송을 듣거나 영화나 미드를 보며 영어를 공부하는 사람이 많은데 해보면 알겠지만 현지 생활을 일정 기간 해보지 않으면 100% 이해하기 힘든 표현이 종종 등장하여 학습자들의 골머리를 썩인다. 그 중 하나가 ‘난 공화당 지지자야(I’ m a Republican)’라는 표현이다. 공화당이 보수층을 대변하는 당이라고는 알려져 있지만, 그 ‘보수’라는 단어조차 한국과 미국에서 실제 사용례가 다르다고 하니 저 간단한 문장 하나가 주는 뉘앙스와 느낌은 언제나 오리무중으로 남는다.

 

이번에 한국을 방문한 파이어아이의 케빈 맨디아(Kevin Mandia) 사장의 키노트를 듣고 대화를 나누는 내내 이 질문이 입 밖으로 자꾸만 튀어나오려고 했다. “Are you a Republican, or a Democrat?” 기자라는 직업을 꾸역꾸역 10년 가까이 해오다보니 케빈 맨디아 사장처럼 정부 혹은 정부기관과 오랜 기간 일을 해온 사람을 만나다 보면 그 한 마디 한 마디 속에서 자꾸만 의도를 찾게 되는 삐딱한 시각을 갖게 되었기 때문이다. 사상검증은 아니고 그저 앵무새처럼 받아쓰기하기 싫은 저항감에서 온 행간 파악의 욕구랄까.

파이어아이라는 정보보안 업계에서 제법 널리 알려지고 영향력 높은 기업의 수장은 2014년의 여러 해킹 사건을 몇 가지로 정리했다. 1) 해커는 시스템이 아니라 사람을 노린다는 것 2) 보안에 투자할 여력이 비교적 적고 그래서 취약할 수밖에 없는 중소기업을 통한 우회공격이 자주 일어났다는 것 3) 공격자와 방어자 사이의 심각한 불균형이 그대로 드러났다는 것이었다.

사람이 취약점이라는 건 이미 널리 알려진 사실이고 우회공격에 대한 부분 역시 마찬가지다. 시스코라는 거대 기업이 최근 중소기업 시장에까지 보안이라는 아이템을 들고 진출하겠다고 나선 것이 맨디아 사장의 2)번 분석이 전혀 새로울 것이 없다는 것의 증거다. 공격자와 방어자의 불균형 역시 ‘열 포졸이 도둑 하나 못 잡는다’는 속담에서부터 중언부언일 수 있었지만 정확히 어떤 부분에서 불균형이 발생하는지 짚어준 건 노트에 필기할 만 했다.

“공격자는 PC 한 대, 모바일 한 대만 노리면 된다. 방어자는 아니다. 네트워크 전체에 달려 있는 모든 시스템을 관리해야 한다. 불공평하다. 그러니까 멀웨어 개발 속도는 빠르고 안티멀웨어 솔루션은 느릴 수밖에 없다. 또 공격은 한 사람만으로도 가능한데. 방어는 아니다. 팀 단위 혹은 심지어 기업 단위로 움직인다.” 결국 불공평이라는 여러 현상의 뿌리에는 ‘한 대만 공격해도 되는’ 공격자와 ‘여러 대를 다 봐야 하는’ 방어자의 입장 차이에서부터 비롯된다는 거다.

“이는 곧 공격자가 갖게 되는 리스크가 방어자의 그것보다 훨씬 적다는 걸로 정리할 수 있다. 잃을 게 없다. 운신이 가볍고 그 폭도 넓다.” 그러면서 중국, 러시아, 북한, 이란이라는 나라를 대화 속에 등장시켰다. “또한 가장 활발한 해커들은 이런 나라들의 후원을 받는 경우가 많다. 즉 해킹을 하고 숨을 곳까지 마련되어 있다는 거다. 그런 점이 이들이 갖게 되는 리스크를 크게 줄여준다.”

북한 이야기가 나오니 자연히 소니 픽처스 이야기가 나올 수밖에 없었다. 게다가 맨디아 사장은 당시 백악관을 도와 소니 픽처스 사태의 수사 및 포렌식을 담당하기도 했었다. 우리는 뉴스로만 보는 사건을 현장에서 생생하게 보고 듣던 사람이었던 것이다.

보안뉴스 : 소니 픽처스 사태의 범인이 북한이라고 확신할만한 결정적인 증거는 있나?(본지가 북한으로 추정되는 6.25사이버테러 조직과 소니픽처스 해커조직이 사용한 악성코드가 일치한다고 세계 최초로 밝히긴 했지만...소니픽처스 vs. 6.25사이버테러 악성코드 전격 비교분석). 북한이라고 확신하는 건 왜인가?

케빈 맨디아 : (반쯤 농담) 우리나라의 대통령이 그렇게 말했기 때문이다.

보안뉴스 : 진심인가?

케빈 맨디아 : 그렇다. 사실 각 정부의 사이버전 수행능력을 우리는 너무 얕보는 경향이 있다. 정부만큼 정보를 많이 가지고 있으며 다룰 줄 아는 기관은 없다. 소니 픽처스 사태 때만해도 파이어아이가 수사를 맡았을 때 이미 백악관은 우리보다 훨씬 많은 정보를 가지고 있는 상태였다.

보통 누군가 타인의 능력에 대해 평가를 할 때 평가를 하는 자가 평가를 받는 자보다 능력이 떨어지면 그 능력을 온전히 평가할 수가 없다. 평가자가 이해하지 못하는 영역에 이미 그 평가 받는자가 닿아있기 때문이다. 이게 무슨 말인가? 북한 정도의 해킹 능력을 갖춘 조직에 대해 파악하려면 적어도 그에 준하는 수준의 능력을 갖추어야 한다는 것이다. 그리고 백악관은 그런 능력을 갖추고 있다.

또한 어떤 해킹 사건에 대해 백악관이 그렇게 빠른 시일 내에 범인을 직접 지목하는 건 처음 있는 일이다. 그 현장에 있던 사람으로서 그런 모든 정황이 북한의 소행임을 확신할 수밖에 없게 해주었다.

보안뉴스 : 틀릴 가능성은 전혀 없는가?

케빈 맨디아 : 20년 넘게 법 집행기관에서 일해온 개인 경험에서 해줄 수 있는 확실한 말은 딱 하나다. 범인을 지목하는 모든 행위는 추측에 불과하다(Attribution is always an opinion). 즉 북한이 혹은 중국이, 혹은 러시아가 범인으로 지목되었다고 해서 그들이 100% 범인일 수밖에 없다는 건 아니다. 하지만 마찬가지로 100% 잘못된 것일 수도 없다. 말했다시피 정부의 실제 사이버전 능력을 안다면 그들의 말을 믿을 수밖에 없다. 나는 그렇다.

보안뉴스 : 한편 미국이야 말로 해킹능력에 있어서는 둘째가라면 서러운 나라다. 그런데 아까 해커들의 리스크를 줄여주는 나라에 미국은 쏙 빠져 있었다. 미국은 그 나라들에 비해 뭐가 다른가? NSA 사건에 스턱스넷에 이퀘이젼 그룹까지 등장했는데.

케빈 맨디아 : 사실 누군가 미국 정부를 위해서 해킹을 하고 미국 정부의 보호를 받는다면 미국 역시 본질적으로 그들과 다를 게 없는 건 맞다. 하지만 미국에서는 해킹 행위가 불법 취급을 받으며 범죄 기록이 남는다. 또한 얼마 전에 NSA에 대한 감사가 있었다. 감사 팀엔 개인 자유주의 혹은 정부검열에 반대하는 단체에서 나온 변호사들도 있었다. 하지만 결국 NSA가 불법으로 시민을 감시하고 있다는 그 어떤 증거도 발견하지 못했다. 내가 말해줄 수 있는 사실은 이것이다.

불순하게도 지금 내 눈 앞에 서 있는 이 남자, 포춘지 표지에도 나왔을 만큼 대단한 이 사람의 국가에 대한 무한한 신뢰의 정체는 무엇일까가 더 궁금해지기만 했다. 정부랑 사업을 해나갈 것이기 때문에 이런 자세를 취하는 것일까, 아니면 진심인 걸까 헷갈렸다. 공격자는 한 지점만 찌르면 되기 때문에 방어자보다 유리하다고 하는데 공격적인 질문을 쏟아내고도 전혀 유리한 고지를 선점하고 있지 못하는 나는 누군가 또 여긴 어딘가.

불공평에 대한 이야기로 다시 대화는 넘어갔다. 해커들의 유리함을 제하기 위해서 방어자가 해야 할 일은 무엇일까? 자연스럽게 이어지는 질문일 수밖에 없었다. 기자는 얼마 전 [보안도시락] 코너를 통해 공격 지점을 줄이는 방어법에 대해 살짝 언급한 적이 있다. 공격지점이 갈수록 늘어나니 인터넷 활동과 기술 발전의 누림을 줄이는 것도 현명할 수 있다는 게 요지였다. 그런데 맨디아 사장은 정 반대의 이야기를, 마치 오바마 대통령처럼 하기 시작했다.

“그래서 전 세계적인 위협 정보 공유 커뮤니티 및 네트워크를 구성해야 한다. 그래야 그 어떤 위협이든 지금보다 빠르게 감지하고 대처할 수 있게 된다. 공격자와 방어자 사이에 있는 지금의 불균형이 결국 움직임의 속도 차이로 나타난다면, 그 차이를 줄이면 된다. 그러려면 공조가 필요하다. 미국이 아무리 정보전 능력이 좋다고 해도 이스라엘 보다 중동 정보전 상황을 잘 알 수는 없다. 마찬가지로 남한이 미국보다 북한에 대해서는 훨씬 많이 알고 있다. 중국은 예외라 누구나 잘 알겠지만...” 오바마 대통령이 요즘 자꾸만 통과시키려고 애쓰는 첩보 공유 법안과 똑같은 내용이다.

공화당 지지자인지 민주당 지지자인지 진지하고 순수하게 궁금해지기 시작했다. 애국자의 모습에서 공화당의 흔적이, 민주당 출신인 오바마를 지지하는 모습에서 민주당의 흔적이 동시에 비추기 때문이었다.

묻고 싶은 건 계속해서 늘어났다. 이를 테면 ‘요즘 우리 보안뉴스에서는 [글로벌 뉴스 클리핑]이란 걸 연재하고 있는데, 거기에 이스라엘과 미국의 관계 변화라던가 힐러리 클린턴 후보자의 이메일 사건이라던가 젭 부시의 이메일 사건이라던가 오바마 대통령이 벌이고 싶어 하는 해커와의 전쟁에 대한 소식이 알차고 풍부하게 들어간다. 그 사안들에 대한 의견이 듣고 싶다. 그리고 당신이 공화당인지 민주당인지도’와 같은 때 아닌 깨알자랑.

그러나 현실은...

보안뉴스 : 소니 픽처스 때 북한 직접 겪어보니 어떻던가? 대단하던가?

케빈 맨디아 : 그 한 사건만 가지고 북한의 진정한 능력을 다 보았다고 말하기 힘들다. 대답하기 어려운 질문이다.

보안뉴스 : 그러면 미국이 보복 해킹했다는 의혹은 사실인가?

케빈 맨디아 : 난 잘 모르는 사안이다.

보안뉴스 : (말 참 잘 아낀다) 그러면 요즘 한창 논란 중에 있는 보복 해킹이란 개념에 대해서는 어떤 의견인가?

케빈 맨디아 : 위험한 생각이다. 예를 들어 A란 민간기업이 중국에 해킹을 당했다고 치자. 그런데 그 민간기업이 다시 중국을 해킹한다? 중국이 가만히 있을까? 그 기업뿐 아니라 민간부문 전체에 무차별 공격을 가할 가능성이 높다. 피해가 늘어나기만 할 것이다.

또 우회공격이 자주 일어나는 만큼 해킹을 하려면 우리 역시 캐나다나 일본, 한국의 전혀 엉뚱하고 무고한 조직의 네트워크를 해킹해야 한다. 즉, 보복 해킹 역시 우회해킹을 해야 할 텐데 이는 엄연한 불법이다.

그리고 보복 해킹을 한다고 해서 얻을 것이 무엇인가? 해커가 보복 당하면 반성하고 해킹을 멈출까? 난 보복 해킹의 목적 자체에도 심한 회의감을 가지고 있다.

보안뉴스 : 혹시나 해서 하는 말인데 난 미국을 비난하고자 하는 게 아니다. 그냥 좀더 관찰자의 입장을 취하고 싶었을 뿐이다. I love U.S.A. 정확한 정리, 감사하다.

 

해커가 자꾸만 이기는 것처럼 보이는 건 결국 사건이 벌어지는 게 먼저냐 예방하는 게 먼저냐의 속도에서 차이가 나는 것 때문이고, 그렇다면 이는 보다 많은 인원을 방어에 참여시켜 정보의 유통을 가속화시킴으로서 해결할 수 있다는 케빈 맨디아 사장의 주장은 문제의 근원을 짚었다는 점에서는 의미가 있다. 그러나 공조라는 게 과연 방어의 속도를 높일 수 있을지는 두고 봐야 할 것이다. 사공이 많으면 배가 산으로 가는 법인데, 21세기의 새로운 기술은 사공 많은 배를 똑바로 운전할 수 있을까? 우리는 이를 기대해야 할까, 염려해야 할까?

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>