기업 보안의 최고 책임자인 ‘기록보안 엔지니어’를 임명하는 일의 중요성을 제안한다. 제품의 잘못된 안전의식이 의도하지 않은 결과를 가져올 수 있다는 사실을 증명해줬다.

역사적인 운하의 ‘토목 재해’에 대해 사람이 만들어내는 실패를 지켜보면서 기계 엔지니어, 구조 엔지니어, 화학 엔지니어가 형성한 길이 디지털 보안을 실행하는 과정에서 쉽게 적용될 수 있다는 교훈을 배웠다.

1944년 액화천연가스 폭발이 128명의 사람을 사망하게 했고, 클리블랜드 지역을 황폐화시켰다. 엔지니어들이 액화가스탱크를 만들었는데,  근처에 새고 있던 가스가 점화되면서 근처 건축물에 불이 붙게 되었다. 엔지니어들은 탱크 금속 성질에 문제가 있다는 것을 알아차리지 못했고, 민간 인프라구조를 보호할 어떠한 대비책도 없었다.

이 재난으로 몇가지 필요성이 부각됐다. ① 재난을 억제할 수 있는 계획과 방어책의 실행, ② 문제를 탐지할 수 있고 잠재적 희생자에게 경고할 수 있는 모니터 시스템, ③ 실행 전 환경적 여건에 대한 시험 설계 등이다.

또한, 1981년에 캔자스의 하야트 레긴시 호텔이 붕괴되어, 114명의 사망자가 발생하는 사고가 일어났다. ‘기록구조 엔지니어’가 승인한 설계변경이 믿을 수 없을 만큼의 부실 공사를 가져왔고 결국 무너지게 된 것. 감시감독의 부족, 책임 회피, 깨어진 과정, 급하게 진행된 건축과 원설계와의 타협이 이 재난을 가져왔다. 단지 비용의 문제로 사고를 막을 수 없었던 것은 아니다.

이런 말들이 친숙하게 들리는가? 이 재난은 기업 보안의 최고 책임자인 ‘기록보안엔지니어’를 임명하는 일의 중요성을 제안하고있다. 그가 네트워크에 도장을 찍는 일을 내켜하지 않는다면, 그것은 엄청난 문제를 가져올 수 있다. 만약, 그가 계획을 결정하고 빈약한 설계를 집행해서 엄청난 실패가 발생한다면, 그 엔지니어는 기소가 되거나, 해고되어야 한다. 하야트 레긴시 호텔의 두 기록엔지니어는 그들의 면허를 박탈당했다.

1993년에 애틀랜타 매리어트 호텔 주차장에서 거대한 하수통이 두 사람을 꿀꺽 삼켜 사망하는 일이 발생했다. 십여년 전에 지상용으로 설계되고 건설된 하수구가 이후 주자창 40피트 아래에 묻혔다. 주차장 아래 개량된 ‘안전망’은 하수통이 드러나는 경우 호텔 소유주에게 그 하수통을 옮기게끔 했고, 안전할 것으로 여겨졌다.

그러나 오히려, 안전망은 하수통의 존재를 가려버렸고, 그것이 안전망의 용량을 초과하는 지하 100피트 이상 너비로 확대되게 놔두는 결과를 초래하고 말았다. 이 재난은 원래 목적 외로 시스템을 가동하지 않는 것의 중요성을 보여줬다. 또한, 이 사건은 제품의 잘못된 안전의식이 의도치 않은 결과를 가져올 수 있다는 사실을 증명해줬다.

마지막으로, 1931년 중국 양쯔강에 비가 넘쳐 둑이 터지고, 145,000여명의 사람이 사망했다. 그 둑은 수십 년 전에 대부분 자신들의 대지를 지키기 위해 나선 농부들로 구성된 아마추어 건설가들에 의해 지어졌다. 중국 정부의 홍수 피해 방제 노력은 일본의 침략과 계속된 내전으로 방해를 받게 되었다. 이 재난은 아마추어에 의해 설계된 방어의 약점을 보여준 사건이다. 이것은 다른 보안사고가 어떻게 회복 과정을 저하할 수 있는지 보여주었다. 재난은 비극이다. 재난이 줄 수 있는 유일한 좋은 점은 앞으로의 재난에 대한 예방을 배울 기회를 주는 것 뿐. 디지털 보안 엔지니어는 이 기회를 간과해서는 안될 것이다. 

<글: 리차드 베츨리치(Richard Bejtlich)「TaoSecurity」설립자 & 「리얼 디지털 법의학」의 공동저자>

 

[보안뉴스(info@boannews.com)] 

 

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>