필자는 예전에는 정보보호 정책이 많은 부분 군부의 도움을 얻고 있다고 생각했다. 하지만 그것은 완전히 잘못된 생각이었다.

만약, 이런 면에서 여전히 군대를 선망의 대상으로 보는 사람들이 있다면 이들이 실패한 경험담을 들어볼 필요가 있다. 군부에서는 적대적 코드의 잠재적인 영향을 파악하게 되면서, 가장 신뢰성 높은 운영 체제에 대해 20년 동안 헛된 연구를 수행했다. 반면, 이 동안에 상업 시장에서는 안티바이러스 소프트웨어가 전문가도 아닌 비전문가에 의해 개발되었으며 여전히 널리 사용되고 있다.

군부에서는 만약 누군가가 파일을 읽을 수 있다면, 이 사람이 다른 누군가에게 권한 없는 액세스를 제공할 수 있다는 사실을 깨달으면서 멀티 레벨 보안이라고 알려진 매우 유연하고 보편화된 개념을 고안해냈다. 하지만 B1 시스템을 사용하고자 하는 시도는 비실용적이라는 이유로 폐기되었다.

한편, 상업시장에서는 뒤늦게 뛰어들었음에도 불구하고 기업 디지털 권한관리 체계를 개발냈다. 또한, 군부에서는 이 부담스러운 멀티 레벨 보안기술을 IP 패킷에 통합시키려고 했지만 실패하였으며, 반면에 상업분야에서는 방화벽을 개발했다.

정보보호 시장은 안전한 기술을 개발하기 위해 국방부의 도움이 필요 없으며, 오히려 군부의 도움을 받을 때마다 부적절한 결과를 낳고 있다. 상업용 멀티 유저 시스템은 이미 인증 메커니즘 및 파일 수준의 접근제어 기능을 가지고 있었으므로, 오렌지북(Orange Book : 미국 국방부 표준규격 문서인 컴퓨터 보안평가 지침서)이 제공하는 유닉스 및 윈도에 대한 보안 기능 소개도 별로 도움이 되지 않았다. 

국방부에서는 실제로 발생한 일이 무엇인지에 대해서는 어떤 유용한 정보도 제공하지 못했다. 반면에, 상업용 보안정보 및 준수 모니터링 툴은 정반대의 철학으로 구축되었다.

때때로 군부는 상업용 보안환경에 위협적이기까지 하다. 정부의 암호화 제어정책 인터넷에서 실용적으로 널리 사용되는 접근제어 메커니즘의 상업적 사용까지 크게 제한시켰다. 이제 남은 질문은 이런 제한이 5년간 지속될 것이냐 아니면 10년간 지속될 것이냐 하는 것이다.

해킹된 사이트에서 신용카드 정보를 도난당한 사람들에게 참으로 위로가 되는 얘기가 아닐 수 없다. 적어도 우리는 연방 정부보다는 실용적이라는 사실에 위안을 받을 수 있지만 안타깝게도 우리는 아직도 군대의 수렁에 빠져 있다.

현실과는 동떨어진 몽상의 세계가 그 배경인 이 암호의 복잡성 및 에이징 안내서는 사용자들에게 정기적으로 암호를 변경하도록 요구할 때의 문제점은 고려하지 않았다. 암호 멀웨어를 사용하면 거의 소용이 없는 이 그린북의 비생산적인 생각들이 그 근원을 알지 못하는 신참들의 생각을 지배하고 있는 것이다.

물론, 군대에게 메시지 신뢰 능력이 중요한 것처럼, 기업체에게는 기밀성이 중요한 것이 사실이다. 하지만, 이 두 가지 영역은 전혀 상반된 우선 순위를 가지고 있다. 예를 들어, 신용카드 번호를 보안하는 군대적인 접근 방식 대신에 거래의 확실성을 보장하는 비즈니스적 접근 방식을 개발하였다면, 현재와 같은 ID 도용문제는 이슈화되지 않았을 것이다.

이제는 우리 업계 관련자들이 전쟁놀이를 중단하고 근본적인 비즈니스 세계에 뛰어들 때인 것이다.

<글: 제이 헤이저(Jay G. Heiser) 가트너 리서치 부사장>

[보안뉴스(info@boannews.com)] 

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>