• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[톡톡 토크] (정부의) 보안강화 ≠ (개인의) 보안강화 2015.08.14

보안강화라는 공통된 주제 아래에서도 서로가 대립

결국 누군가는 져야 상대의 보안강화가 되는 상황


[보안뉴스 주소형] ‘보안’은 카멜레온이다. 보안에 대한 주체가 누구냐에 따라 모습을 바꾸어 버리기 때문이다. 무턱대고 일관성 없는 모습에 대해 색안경을 끼고 본다는 것은 아니다. 오히려 기자는 그런 다양성에 대해 환영하는 가치관을 가지고 있다. 저마다의 입장과 시각이 다르다보니 보안을 강화하기 위한 방법도 다를 수밖에 없으니 말이다.

 

그런데 다른 수준이 아니라 아예 180도 갈리고 있다는 게 문제다. 정부의 보안강화가 개인의 보안을 악화시키는 수준에 이르러, 개인의 보안이 약해져야 정부는 원하는 보안을 강화할 수 있게 됐다. 반대로 개인의 보안을 강화하면 정부는 보안을 강화하지 못하는 상황이 펼쳐지고 있다. 결국 누군가는 져야 하는 싸움이 시작된 것이다.


 ▲ 같은 것을 바라봐도 머릿속에 남는 것은 제각각


상황이 이렇다보니 ‘보안강화’라는 공통된 주제 아래에서도 서로가 대립하는 상황이 전개되고 있다. 사실 이는 정부와 개인 뿐 아니라, 보안업계와 개인과의 관계도 마찬가지다. 그 외에도 무수히 많은 관계에도 적용된다. 특정 국가에 국한된 이야기도 아니고 전 세계가 모두 비슷한 선상을 이어가고 있는 모습이다. 


보안의 사전적인 뜻을 찾아보면 위험이 생기거나 사고가 날 염려가 없는 상태를 유지하는 것이라는 뜻이다. 충분히 설득력 있는 풀이라는 생각이다. 즉 보안의 본질은 같고 모두다 해킹 및 정보유출 위협의 강도가 턱밑까지 차오른 모습도 같다. 하지만 그 안에서 발생되는 제각각의 보안강화 방법을 들어보자.


1. “이메일, 친구 목록, 소셜 미디어 포스팅, 검색 기록, 지문의 공통점이 무엇인가? 프라이버시다. 우리 각자가 가진 고유의 것이라는 말이다. 그러나 미국 사법부는 그렇게 생각하지 않는다. 이들에게 국민들의 이메일, 친구 목록, 포스팅, 기록, 지문은 전부 공공재다. 그런데 이런 생각을 부추기는 건? 우리 자신이다. 우리가 자발적으로 그런 정보들을 노출시켜서 공공재로 만들어 보호와 안전이라는 걸 핑계로 정부가 국민을 감시하도록 허락하고 있다.

- 인터넷 프라이버시 및 시민 자유 운동가인 제니퍼 그래닉(Jennifer Granick)


2. “IT 네트워크 팀이 가장 신경 쓰고 있는 부분은 네트워크를 가능하게 유지하는 것이다. 그런데 네트워크 가능 유지에만 집중하다보면 보안을 저해시키고 접속 제한을 결합시키는 경우가 발생된다. 이와 반면 보안팀은 어떠한 아키텍처의 변화에도 일단 저항하고 본다. 새로운 리스크 발생 유발을 지양하기 위해서다.”

- 알고섹(Algosec)의 님미 레이첸버그(Nimmy Reichenberg) 글로벌 전략 책임자


3. “NSA 플레이셋(Playset)이라는 이름의 프로젝트는 정부가 사용하는 툴들과 같은 수준의 툴을 만들어내는 것이 목표다. 사람들이 이전에는 상상하지 못했던 위협이 존재한다는 사실을 직접 눈으로 보여주고 실제 일어나고 있는 일들이 무엇인지, 화면 건너편에서 어떤 눈이 도사리고 있는지 보여주고 싶다.

- 무선 부문 전문가인 마이클 오스만(Michael Ossmann)


4. “이제 기업이 데이터 자체를 보호해야 할 필요가 생겼다. 관리자 혹은 인사부에서는 iOS 기기에 앱을 까는 것조차도 관리해야 할지도 모른다. 기업이 업무용으로 준 기기는 당연하고, 개인이 직접 구매해 사무용, 업무용으로 사용할 때도 마찬가지다. 데이터와 앱 설치 현황 모두를 기업이 나서서 관리해야 할 것이다. 개개인은 이제 너무나 취약하기 때문이다.

- 파이어아이(FireEye)


5. “이미 드러난 많은 취약점들을 보면 제조사가 아닌 사용자도 충분히 모니터링하고 탐지해 조치를 취할 수 있는 것들이 많다. 당하는 것도 우리고 피해를 보는 것도 우리라면, 목마른 사람이 우물을 파듯 우리가 좀 더 적극적으로 달려들 필요가 있어 보인다. 넋 놓고 앉아 손가락질만 한다고 상황이 더 좋아지지 않는다.”

- 캠브리지대학 리스크연구센터의 에이리안 레버렛(Eireann Leverett) 보안전문가


6. “보안점검을 하는 게 늘 인정받거나 칭찬받는 일이 아니기 때문에 다양한 전문가들이 필요하다. 엔지니어, 오퍼레이터, 기술 보안 전문가, 관리자, 네트워크 전문가 등이 있다. 이런 사람들의 다양한 시각이 합쳐질 때 분석하고자 하는 환경에 대한 보다 자세한 이해가 가능해진다. 공격이 어떤 각도로, 어떤 층위에서 들어올지도 모르니 말이다.

- 아이오액티브(IOActive)의 콜린 카사디(Colin Cassady) 컨설턴트


7. “솔직히 정부라는 조직 자체가 상당히 폐쇄적이다. 이 때까지의 보안에 대한 새로운 규제나 정책 결정을 내리는 것만 봐도 참 융통성도 없고 현실 적응력이 낮다는 생각이다. 아직 정부가 실질적이고 현실적인 이야기를 들을 준비가 되지 않았고 현재는 그럴 수밖에 없는 환경이라고 생각한다.

- 블랙햇·데프콘 창립자 제프 모스(Jeff Moss)

[국제부 주소형 기자(sochu@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>