보안 솔루션 구매 배경에 마케팅, 정치적 목적 지나치다고 지적
사이버 보험 뜨기 시작하면 솔루션 대하는 태도 바뀔 것으로 희망

[보안뉴스 문가용 기자] 오늘날 인터넷 환경에서 발생하는 문제점들은 ‘기술적’인 것들만이 아니다. 이 가상의 공간에는 다양한 조직체들의 구조로부터 오는 문제와, 여러 시장 논리와 마케팅 이론까지도 섞여든다. 정치공학은 말할 것도 없다. 게다가 인터넷이라는 게 태생부터 탄탄한 것이었냐 하면 그렇지도 않다.


구글의 엔지니어인 할바 플레이크(Halvar Flake)는 어제 싱가포르에서 열린 블랙햇 아시아 2017에서 “왜 우리는 방어가 가능한 인터넷을 만들고 있지 못하는가?”라는 주제로 인터넷 보안 문제에 개입되는 다양한 요소들에 대해 다루었다. 플레이크는 “기기들을 보호하는 것이 전부가 아니”라는 걸 강조하며, “인터넷 보안은 결국 리스크 관리 문제”라고 정리했다.

기조 연설의 도입부에서 사업체, 보안 업체, 고객들이 어떤 식으로 상호작용을 해야 하는지부터 설명을 시작한 플레이크의 말에 따르면 “사업체의 CISO는 팀을 꾸려 보안상 필요한 것들을 파악하고 정리해 임원들에게 알려야 하고, 임원들은 이를 바탕으로 보안 업체에 연락을 취해 필요한 솔루션을 구입하는 것이 가장 이상적”이라고 한다.

그러나 이상은 이상이고 현실은 현실이다. “누가 요즘 이렇게 솔루션을 거래합니까? 필요한 것만 정확히 파악하지도 않고, 필요한 것만 정확히 팔지도 않죠. 구매자들은 어디서 많이 들어본 제품을 사고, 소프트웨어 벤더들은 많이 팔고 많이 남기는 데에 혈안이 되어 있죠. 그것이 현실 아닙니까?”

솔루션을 구매하는 사람들은 자신들이 최종 사용자가 될 것임에도 해당 솔루션의 제작에 관여할 수가 없는 구조가 이상하지 않냐고 플레이크는 물었다. “내가 쓸 물건에 대해 아무런 관여도 할 수 없고, 그저 잠자코 주는 대로만 써야 한다면 그 조직 안에 속한 CISO의 권한은 이러한 구조 속에서 없는 거나 마찬가지죠. 권한이 없으니 꿩 대신 닭을 써야만 하고, 그 간극을 메우기 위해 벤더들은 또 다른 제품을 만들고 기업들은 또 다시 다른 제품들을 사들이죠.”

그래서 그런지 현대의 보안 기술은 CISO를 보호하는 것에 초점이 맞춰져 있다고 플레이크는 말한다. “진정한 기능성은 두 번째 고려사항이죠. 왜냐하면 CISO가 사업에 위협이 되는 요소들을 파악하고 있지 못하다고 여겨지는 것부터 막아야 하니까요. CISO가 하고 싶은 일을 할 수 있도록 해주는 솔루션에 관심이 있는 게 아니라, 되도록 많은 사람들이 ‘잘 골랐다’고 느낄만한 솔루션을 구매하는 게 중요해지는 겁니다. 보안 위협의 현실과 동떨어진, 마케팅 논리로 구매가 이뤄지는 거죠.”

어느 순간부터 보안 제품이 그저 토템이 되었다는 것. “실제 도움이 되는지, 얼마나 도움이 되는지는 상관없이, 좋은 결과를 내줄 것처럼 보이기만 하면 됩니다. 솔루션을 그렇게 만든다는 것이 아니라 그걸 구매하는 심리가 그렇다는 겁니다. 설사 문제가 발생되어도 핑계를 댈 수 있는 방패막이로서 솔루션의 존재가치가 실제 현장에서 격하됩니다. 이건 누구 몇 사람의 마인드 문제가 아니라, 구조적인 문제에요.”

이러한 흐름 때문에 사이버 보험 산업이 급성장하고 있는 거라고 그는 설명을 이어갔다. “보험이야 말로 노골적인 방패막이죠. 훨씬 더 단단하고 안정적이기까지 한.” 그러나 보험도 완벽하지는 않다고 그는 강조했다. “아직 새로운 산업이라 발전의 여지가 있습니다. 실제 대부분 사이버 보험 상품으로, 명성이 떨어지거나 고객 신뢰를 잃은 것과 같은 피해를 보상받기는 힘들지요.”

그럼에도 사이버 보안 산업을 요동치게 할 잠재력이 사이버 보험 산업에 존재한다고 플레이크는 설명했다. 사이버 보험 상품을 새로 개발하기 위해서는 보안 제품의 실제적인 성능을 공식에 대입시켜야 하기 때문이다. “제대로 된 보안 제품을 도입했느냐 안 했느냐로 보상금이 결정된다면, 이제 보안 솔루션에 대한 거래가 ‘기능성’에 맞춰지리라 기대할 수 있습니다.”

그러나 부정적인 측면도 고려해야 한다. 먼저, 사이버 리스크라는 것을 측정하는 게 쉽지 않고, 그에 대한 산출 역사가 깊이 있게 쌓인 것도 아니라는 점이 큰 장애로 작용한다. 게다가 기술적 변화가 너무 빨라, 한두 달 전의 보험 보상 산출 방식이 금방 한계를 드러낼 수도 있고, 이는 장기 가입 상품의 불안전성으로 이어지기도 한다. 이러한 문제 때문에 솔루션 구매 문제가 고쳐지기도 전에 사이버 보험 산업이 먼저 쓰러질 가능성도 없지 않다.

결국 “우리는 어떻게 해야 리스크를 제대로 관리할 수 있을까?”라는 질문으로 다시 돌아오게 된다. 플레이크는 “리스크 관리를 생각하기도 전에 이미 보안 관련 지도자들은 ‘어딜 가도 버그가 있고, 우리로서는 그걸 다 고칠 수도 없다’는 생각에 젖어 있다”고 지적하며 이를 “패배주의”라고 강력하게 비판했다. “버그를 하나하나 찾아내라는 게 보안 전문가들에게 요구하는 바가 아닙니다. 공격 표면을 이해하고, 그에 다른 위험들을 관리해달라는 것이죠.”

플레이크는 “IT 인프라를 볼 때 마치 은행 대차대조표 보듯 하라”고 주문한다. “소프트웨어를 인프라에 추가 설치하는 건 대차대조표상 리스크라는 빚을 지는 것과 마찬가지입니다. 소프트웨어에 코드를 추가하는 건 해당 고객의 대차대조표에 리스크를 더하는 것과 마찬가지고요. 가계부 쓰듯이, 예산 운영하듯이 인프라를 꾸려가세요. 소프트웨어나 코드나 전부 공격 표면을 넓히는, 거대한 빚입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>