페북의 관심사는 인증, 모바일 현실, 공감대, 보안 인력
데브옵스 활성화되어 개발자와 더 친해져야 할 필요 있어

[보안뉴스 문가용 기자] 페이스북이 인터넷 환경을 안전하게 만들기 위해 큰 돈을 쓸 예정이다. 페이스북이 운영하는 인터넷 디펜스 프라이즈(Internet Defense Prize)의 2018년 상금을 1백만 달러로 올리기로 이번 블랙햇에서 발표해 청중을 깜짝 놀라게 했다. 작년 상금은 1십만 달러였으며, 2014년부터 페이스북이 인터넷 디펜스 프라이즈에 사용한 총 금액은 25만 달러다.


페이스북이 이처럼 상금을 파격적으로 올린 건 취약점 익스플로잇에 대한 새로운 방어 방법을 개발하고 해커들의 공격 성공률을 낮추려고 보안 전문가들을 북돋기 위함이라고 페이스북의 CSO인 알렉스 스타모스(Alex Stamos)는 기조 연설을 통해 밝혔다. 특히 같은 비밀번호를 여러 서비스에 적용하는 소비자들의 습관이나 인터넷 환경에 친숙하지 못해 공유하면 안 될 정보까지도 공유하는 사람들을 노리는 공격 및 사기에 대한 방어 방법 개발에 주안점을 두겠다고 설명했다.

이 말은 ‘인터넷 환경의 안전’을 위한 페이스북의 철학을 드러낸다. 고차원적인 기술력을 동반한 제로데이 공격자들보다 일상에서 빈번하고 자주 시도되는 낮은 수준의 공격과 평균 사용자들의 흔한 실수를 막는 것이 더 급하다는 것이다. 스타모스는 현장에서 진행된 한 매체와의 인터뷰에서 “보안 인력의 99%는 공격적인 부분에 대한 연구에 관심을 기울이고 있고, 방어적인 부분에서의 연구는 1%만이 투자되는 것 같은 느낌이다”라고 말하기도 했다.

또한 스타모스는 “최근 보안 업계는 인증과 관련된 문제로 들끓고 있다”며 “페이스북 역시 이 부분에 큰 관심을 가지고 있고, 계정의 라이프사이클 관리라는 개념도 연구하고 있으니 이 분야를 연구하면 인터넷 디펜스 프라이즈 수상에 유리하지 않겠느냐”라고 힌트를 주기도 했다.

“한 개인과 온라인 서비스 사이의 관계가 시작되고 진행되고 끝나는 과정 속에서, 보안 문제가 계속해서 발생한다는 걸 인지하고 있는 사람이 아직도 많지 않은 것 같습니다. 아직은 얼마나 많은 사람들이 내 서비스에 들어와 계정을 만들었느냐, 에만 관심이 있죠. 비밀번호를 보관하고 관리해야 하는 고민, 기기를 도난당하거나 잃어버렸을 때의 상황 대처법에 대해서는 서비스 제공업체가 관심을 기울이지 않아요. 대신 공격자들이 이 부분에 큰 관심을 기울이며 연구하고 있죠.”

스타모스는 “인증만이 우리의 관심 분야는 아니”라고 기조연설을 이어갔다. “전 세계적인 범위에서의 모바일 기기 생태계에도 연구와 조사를 진행 중에 있습니다. 이 분야에서의 성과물을 더 기대하고 있기도 하고요. 인기가 높은 모바일 기기에서의 새로운 오류나 버그, 취약점에 대한 연구는 활발하게 진행되고 있는 것으로 파악하고 있는데, 이건 사실 생태계 전체에 미치는 영향력이 그리 크지 않다고 봅니다. 모바일 생태계는 정말로 거대하고, 여기서 나타나는 오류 몇 가지는 큰 성과로 보기 어렵습니다. 좀 더 큰 스케일의 연구가 이뤄졌으면 합니다.”

스타모스는 대부분의 연구가 가격이 높은 하이엔드 모바일 기기에 집중해 있다는 것에도 문제가 있다고 지적했다. “세계의 인구 대부분은 60만원, 70만원 하는 스마트폰을 살 수 없습니다. 모바일 생태계를 구성하고 있는 절대 다수의 사람들은 저렴한 안드로이드 기기들을 사용하죠. 저렴하다는 건 오래된 버전의 OS가 설치되었을 가능성이 높다는 뜻입니다. 중고 기기도 많이 유통되고 있고요.”

아이폰에서 제로데이 취약점을 찾고자 노력하는 것을 폄하하거나 중요하지 않다고 말하는 것이 아니라고 거듭 강조한 스타모스는 “다만 모바일 생태계의 현실과 아이폰 사이에 괴리가 있다는 걸 강조하고 싶었다”고 말했다. “그런데 그런 값싼 기기들에 대한 보안 연구는 거의 한 건도 이뤄지지 않고 있죠. 보안 업계가 정말 모바일 환경을 안전하게 만들고 싶다면, 연구 대상을 바꿔야 하지 않을까요?”

보안 공감대
20년 전 보안 산업은 ‘보안이 중요하다’는 인식을 심어주는 것이 가장 큰 목표이면서 해결 과제였다. 왜 패치를 만들고 배포하고 적용해야 하는지 이해시키는 건 어렵고도 끝나지 않는 싸움 같아 보였다. “그 싸움에서 결국 보안이 이겼습니다. 지금은 보안의 중요성은 상식이자 교약 수준이죠. 그러면 지금부터 해야 할 일은 무엇일까요? 보안 업계가 현재 교착상태에 빠진 것처럼 보이는 가장 큰 원인은 ‘공통의 과제’가 없어졌다는 것입니다.”

스타모스는 “사회경제적으로 소외된 사람들의 보안 문제”가 차기 보안 커뮤니티의 공동 과제여야 할 것이라고 주장했다. “예를 들어 낙후된 지역의 가난한 청소년이 스마트폰을 사용하고 싶다고 했을 때 어떤 기기를 살 수 있을까요? 아마 더 이상 생산되지 않는 오래된 모델의 중고 제품을 사겠죠. 그 기기에는 구식 OS가 탑재되어 있을 가능성이 높고요. 기본적인 보안 교육에 대해서도 잘 모르는 이 청소년은 얼마나 많은 공격에 시달리고 또 전파하게 될까요? 이런 사람들이 많다면 어떨까요?”

그런 사람들의 삶에 들어가 보고, 그들의 모바일 경험을 접해본다고 한다면, 보안 업계는 지금보다 더 다양하고 풍부한 연구 보고서를 시장에 내놓고 있을 것이라고 스타모스는 말했다. 그리고 보다 더 실질적인 도움을 사람들에게 줄 수 있을 것이라고도 주장했다. “우리는 지금보다 훨씬 더 많은 것을 이룰 수 있고, 훨씬 더 존중받을 수 있을 겁니다. 우리끼리는 물론 사용자와의 공감대는 더욱 단단해질 것이고요.”

페이스북은 보안 시장의 인력 문제에 대해서도 뭔가를 꾸미고 있다고 스타모스는 분위기를 전환했다. “코드패스(CodePath)란 곳과 힘을 합해 사이버보안 과정을 온/오프라인에서 개설하고 있습니다. 여기에는 버지니아공과대학, 캘리포니아주립대학, 미시시피주립대학, 메리트컬리지, 호프스트라대학, 뉴욕시립대학이 참여하고 있습니다. 1학년들부터 강의를 들을 수 있게 했으며 페이스북에서도 인턴십을 제공할 예정입니다.”

스타모스는 “보안 인력과 개발자 간의 공감대도 중요하다”고 말을 이어갔다. “다른 사람이 만든 코드에 취약점을 찾아내려고 할 때 뭔가 무시하는 태도로 임하거나, 취약점 하나 나왔다고 개발자를 무식한 사람 취급하는 보안 연구원들이 있습니다. 그러면서 자신이 더 똑똑한 것처럼 느끼는 걸 즐기는 것일 텐데요, 당장의 그 코드는 고칠 수 있겠지만 사실은 그것 외에는 아무런 도움이 되지 않는 행위입니다. 당연히 고쳐야 할 것이죠. 특히나 데브옵스의 활성화로 개발자와 가까이에서 일해야 하는 게 요즘인데요.”

마지막으로 스타모스는 디지털 민주주의 수호 프로젝트(Defending Digital Democracy Project)를 시작한다고 발표했다. 선거 등 민주주의 체제의 다양한 과정들을 온라인화 시키는 데에 있어 안전을 기하는 것에 초점을 맞춘 프로젝트로, 페이스북은 예산과 기술적인 지원을 할 계획이다. 이 프로젝트는 하버드대학의 벨퍼센터(Belfer Center)에서 진행된다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>