정책 및 규제를 마냥 기다리고 있을 수는 없어

[보안뉴스 주소형] 보안업계가 점점 ‘속도’에 대한 중요성을 강조하고 있는 모습이다. 사실 지금 보안업계는 말 그대로 시시각각으로 변하고 있기에 당연히 그래야 하긴 하다. 새로운 멀웨어가 4초에 한 개꼴로 등장하고, 새로운 취약점 및 해킹기술 소식은 다 전하지 못할 정도로 쏟아지고 있는 것이 현실이기 때문이다.

“데이터 침해 및 유출 사건은 매일매일 아니 매시간 매초 발생되고 있는데 해당 정책 및 규제는 수개월 혹은 수년 걸리고 있다.” 미국의 보안회사인 보메트릭(Vormetric)사의 앤디 킥라이터(Andy Kicklighter) 이사가 약 20년 만에 방한해 한 말이다. 물론 무작정 규제가 강화되기만을 기다리기보다 기술을 연구하여 규제나 정책의 도움 없이 고객들의 니즈를 충족시키는 신제품을 출시했다는 뿌듯함에 나온 말 중에 하나겠지만 맞는 말이다. 적어도 요즘 추세가 그런 분위기다.

사실 말이 쉽지 정책이나 규제를 결정짓는 데 걸리는 시간을 단축시킨다는 것은 거의 불가능에 가깝다. 법치주의와 민주주의라는 거대한 시스템이 항상 가진 단점 중 하나가 바로 법 제정의 속도였던 건 되도록 많은 동의를 이끌어, 되도록 많은 사람들이 합의과정에 참여토록 해 그것이 모든 사람들에게 영향을 줄 때에 생길 수 있는 변수들을 최소화시킬 필요가 있었기 때문이다. 즉 안전제일주의가 밑바탕에 깔려 있기 때문이라는 것이다.

그런데 아이러니하게도 그 안전주의 때문에 기술의 속도와 법의 속도의 차이에서 오는, 처음엔 작았던 구멍이 이젠 여러 자산과 인명이 쑥쑥 빠져 소실되는 거대한 크레바스가 되고 있다. 비로소 안전이라는 개념이 등장하기에 이르른다. 어찌보면 예견된 일이기도 했다.

그래서 이제 마냥 정책이나 규제만을 기다릴 수 없기에 나타날 수 있는 변화들이 조금씩 감지되고 있다. 최근 윈도우가 이 같은 ‘빠름’이라는 대세에 동참했다. 십 수년간 고수해오던 패치전략인 ‘패치 튜즈데이(Patch Tuesday)’를 진화시키기로 한 것이다. 이제 패치를 공표하기까지 굳이 매달 화요일을 기다리지 않고 바로 발표함으로써 사용자가 취약점에 노출되는 불필요한 일자를 줄일 수 있게 된다고 한다. 물론 윈도우가 신속이라는 한 가지 이유로 대대적인 변화를 결정한 것은 아니지만 결정 요소 가운데 큰 몫을 차지한 것은 맞다.

구글도 마찬가지다. 구글은 다른 소프트웨어에서 발견된 보안취약점을 공개하는 데 90일이라는 기한을 주고 그 안에 패치를 완료할 것으로 통보한다. 해당 기한이 지나면 패치를 내놓지 않아도 취약점을 공개하겠다는 무언의 협박이기도 하다. 이로 인해서는 물론 논란도 상당하고, 최근에는 해당 기한이 상황에 따라 유연하게 조정되고 있기는 하지만 사실 D-Day 전략이 보다 빠른 결과 도출을 견인할 수 있다. 때문에 이런 측면에서 구글도 빠르게 변하는 보안업계 지형에 영향을 미친 것으로 보인다.

여기에 보메트릭이 클라우드 환경에서 민감 데이터 보호가 사용자들의 최대 관심사(미국 내에서는 83%, 세계적으로는 72%)로 집계되었음에도 불구하고 해당 규제가 강화될 조짐이 보이지 않아 신제품을 만들어내는 것도 빠르게 변하는 보안업계의 시작을 반영한 것이라고 볼 수 있다.

빠른 기술과 느린 법의 괴리로 만들어진 협곡들을 다른 기술로 피해가야 할까, 아니면 기술의 걸음을 조금 늦춰 법을 기다려야 할까. 발전이 생명 연장의 기반이 되어버린 현대의 체제 내에서 후자는 이미 없는 옵션이다. 그렇다면 기술의 발전방향을 선회하는 것이 우리가 가진 유일한 선택지라는 거다. 그 맥락을 보메트릭을 비롯한 보안업체들이 짚어내고 있다.

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>