| 보안의 경계를 뒤흔드는 네 가지 | 2015.06.02 | |||
하이브리드이거나 컨버전스거나 융합이거나
\r\n [시큐리티월드 문가용] 오래전부터 나왔던 말인 ‘컨버전스’가 보안 분야에서 슬슬 현실로 일어나고 있다. 보안, 즉 안전과 관련된 분야인 만큼 그다지 유쾌하지 않은 사건들을 발판 삼아 떠오르고 있는데 이를 크게 네 가지 분야에서 조명한다. 소 잃고 외양간 고치는 게 사람의 한계여서 그런지 여러 사람들의 희생을 먹고 사는 게 점점 노골적이 되어 가는 듯도 하고, 그래서 보안은 매월 ‘필수 덕목’ 이상의 무게감을 두껍게 입어가고 있다. \r\n\r\n 컨버전스란 말이 등장한 게 엊그제의 일도 아니고, 보안에서만 강조되는 것도 아니다. 살아생전 마이클 잭슨은 한국의 융합형 식사인 비빔밥에 찬사를 아끼지 않았고, 자신 역시 농구에 만족하지 못하고 여러 스포츠 종목을 넘나드는 시도를 했던 전무후무한 융합형 인재이며, 한국 회사마다 인사과 혹은 중역 회의실에서는 융합형 인재라는 말을 몇 년 전부터 요구해왔다. \r\n굳이 매체에 등장할 만큼 새롭거나 세련된 개념은 아니다. 하지만 지금 이 시기에 이 용어를 다시 수면 위로 한번쯤 건져 올릴 필요가 있는 것은, 작년 IT계는 애플 워치나 구글 글래스에 대한 기대감으로 펄펄 끓다 못해 그게 대중들에까지 흘러 넘쳐 사물인터넷이란 용어를 적잖이 알리는 계기가 되었고, 그건 이미 스마트폰으로 인해 ‘생활 속 인터넷’을 충분히 경험해온 사람들에게 새로운 흥밋거리가 되었으며, 그런 기대감을 가지고 한 해가 시작하자마자 프랑스에서 전 세계를 들끓게 했던 샤를리 엡도 테러 사건이 터졌는데, 이게 하필 물리 보안과 정보 보안의 양면을 다 가지고 있어서 ‘안전’이란 개념이 아주 자연스럽게 ‘물리’와 ‘정보’ 영역을 다 아우르게 되었기 때문이다. \r\n현재 이런 ‘안전의 융합’은 여러 분야에서 실험되고 있는데 그중에서 눈에 제일 띄는 건 웨어러블, 항공, 가정 자동화, 하이브리드 전쟁으로 정리할 수 있다. 테러가 ‘안전지향 트렌드’에 불을 붙인 마지막 요소라서 그런지 대부분 그와 관련이 있거나 최근 일어난 사건사고와 관련이 있다는 게 눈에 띈다. \r\n1. 웨어러블 \r\n이제 어지간한 사람들 아무나 붙잡고 물어봐도 웨어러블이란 말을 알고 있거나 최소한 들어본 적이 있다고 답하는 때인데, 정작 이 웨어러블에 대한 기대치를 한껏 높인 구글 글래스의 성적은 형편없었다. 삼성과 LG에서도 각각 손목시계인지 전화기인지 구분이 안 가는 제품을 내놨지만 신통치 않은 성적을 올리긴 마찬가지인 듯하다. 애플의 제품만 선전하고 있는 듯한데 기존 다른 애플 제품에 비하면 딱히 대단한 성공이라고 보기도 애매하다. 웨어러블, 소문만 무성한 잔치로 끝나나 싶었다. \r\n그런데 최근 구글 글래스에서 테러로 끝나 융합 안전으로 이어지는 위 설명대로의 흐름에 부합하는 ‘웨어러블’의 부흥이 감지되고 있다. 갑자기 경찰력이 등장하게 된 것이다. 사건 현장에서 빠르게 대처해야 하는 경찰이 급박하게 벌어지고 있는 상황을 잠시 멈춰놓고 뒷주머니에서 스마트폰을 꺼내 잠금을 풀고 카메라 앱을 눌러 촬영을 시작하면서 여유롭게 증거자료를 확보할 수 있을 리가 없는데, 그 증거자료는 수사에 있어 꼭 필요한 것이기 때문에 이들에게 착용 가능한 감시 장비를 배포하자는 움직임이 일어나고 있는 것이다. \r\n왜 갑자기 지금? 혹자는 궁금할 수 있다. 먼저는 세계인들을 충격으로 몰아넣은 각종 테러사건이 경찰력 강화의 동기와 이어진다. 테러 사건 후 경찰력 배치를 강화하는 경우가 여러 나라에서 있었다. 게다가 미국 경찰은 일련의 사건들로 최근 엄청난 비난의 대상이 되었는데, 여기에는 마이클 브라운(Michael Brown)이라는 흑인 청년을 경찰이 사살한 사건, 프레디 그레이(Freddie Gray) 척추손상 사망 사건, 지난 해 에릭 가드너(Eric Gardner) 목 졸림 사건 등이 있었다. 이 모든 사건들은 전부 근처에 있던 시민들의 모바일 기기를 통해 녹화되고 온 세상에 퍼졌다. \r\n전문가들은 “경찰관들이 증거를 보다 쉽게 확보할 수 있으면 불필요한 무력을 사용하지 않을 것이다”라며 “위 사건들에서도 착용이 가능한 카메라 장비가 있었다면 몇몇은 죽지 않아도 되었을 것”이라고 주장하고 있다. 이는 단순한 추론이 아니라 실제 통계에 근거한 주장이다. 미국 내에서는 이미 착용 가능한 카메라를 시범적으로 사용하는 경찰들이 일부 있는데 이들을 대상으로 조사한 결과 1) 경찰관들의 불필요한 무력 사용이 줄었고 2) 민원도 줄었다고 한다. 그것도 대단히 많이 말이다. \r\n게다가 최근 미국 사법부는 착용 가능한 카메라 파일럿 파트너십 프로그램을 신설해 2천만 달러를 투자한다고 발표했다. 이중 1,700만 달러는 카메라 장비 구입에, 200만 달러는 기술 지원 및 교육에, 나머지 100만 달러는 평가 및 여러 가지 지원 장비 개발에 쏟을 것이라고 한다. 필요와 통계자료와 자금까지 모두 갖추고 있어 전망이 꽤나 밝다. \r\n하지만 문제가 없지 않다. 당연히 프라이버시 문제다. NLECTC의 기술 서비스 담당인 벤 볼튼(Ben Bolton)은 “증거 수집 면에서는 상당히 획기적인 기술이 될 것이다”라고 동의는 했지만 “그 전에 결정할 사안이 많다”고 못을 박았다. “거리에서 녹화되는 사람들의 동의는 어떻게 받을 것인가? 소리는 어떻게 처리할 것인가(프라이버시 측면에서)? 어느 기간 동안 저장할 것인가? 누가 그 정보를 맡을 것인가?” \r\n2. 항공사와 비행기 \r\n작년은 스마트카 혹은 커넥티드카의 해킹이 큰 이슈였다. 아직까지도 꺼지지 않는 이슈로 전문가들은 조만간 현재 구글이 엄청나게 투자를 하고 있는 무인 운전 기술과 맞물려 커다란 시장이 등장할 것이라고 전망하고 있다. 우버의 과감하거나 때로는 무모해 보이는 세력 확장 노력의 뒤에서는 이런 새로운 미래 자동차 시장을 위한 인프라 구축이 아니냐 라는 예측이 뒤따르기도 한다. 스마트카가 어찌나 허술한지 차라리 구식 자동차를 타는 편이 훨씬 안전하다는 전문가들의 의견이 등장할 정도였다. \r\n스마트카 해킹의 가장 큰 시사점은 ‘부속 기능과 주요 기능이 한 데 뒤섞여 있고 구분 없이 연결되어 있어서 한 군데만 뚫으면 자동차의 물리적인 지배도 가능해진다’였으며 이런 문제점이 첨단 시스템을 탑재한 탈 것들에는 모두 공통으로 적용된다는 걸 깨닫기까지는 그리 오랜 시간이 걸리지 않았다. 그런 가운데 참 비행기 사고가 많은 상반기를 지나게 되었다. 대표적으로는 지난 달 본지에서도 다뤘던 저먼윙즈 사건이 있었다. 부조종사의 자살극으로 결론이 지어진 이 사건을 통해 항공 보안의 ‘정책’이라는 측면에서, 또 사람이라는 측면에서 가장 큰 변화가 있었다. 더불어 조종실의 잠금장치라는 물리보안 분야의 수정도 잇따랐다. \r\n그러다가 지난 달 파키스탄에서 헬기가 기기 결함으로 추락한 사건이 있었다. 하필이면 각국 대사들이 탄 헬기였고, 마침 또 파키스탄은 테러 세력인 탈레반이 활동하는 무대이기도 해서 테러가 의심되었던 것이 사실이었다. 지진으로 도시 자체가 3m나 이동하는 바람에 기반이 다 무너져 내린 네팔에서도 헬기 추락사건이 있었고, 젊은 군인이 8명이나 목숨을 잃었다. \r\n가뜩이나 비행기 쪽에 관심이 쏠려 가는데 한 보안 전문가가 기내의 엔터테인먼트 시스템을 통해 실제 운항 중인 비행기를 살짝 조종하는 데 성공한 사건이 발생했다. 스마트카가 오래전부터 지적받아왔던 ‘지나친 연결성’이 떠오르는 대목이었다. 이 보안전문가가 저먼윙즈 부기장처럼 자살이라도 마음먹었다면 어떻게 되었을까. 물론 이 보안전문가는 비행기에서 내리자마자 FBI로 연행되었고 그 후 유나이티드 항공사에서는 탑승 거부를 받고 있다고 한다. \r\n항공보안은 정책, 사람, 하드웨어 기술, 소프트웨어 기술을 총망라하는, 보안에서도 아주 복잡하고 복합적인 분야다. 저먼윙즈 사건을 통해 정책과 사람의 측면이 부각됐다면 앞서 언급한 헬기 사건들을 통해 하드웨어 기술 문제가 집중 받았다. 그리고 이제는 정보보안, 즉 소프트웨어 문제까지도 확인되었다. \r\n이렇게까지 차례차례 숨 가쁘게 문제가 제기되고 있으니(그것도 여러 사람의 피를 통해) 개선이 있을 것이라 보고, 실제 CA의 부사장인 비크 만코티아(Vic Mankotia)처럼 정보보안 계통에서 20년 넘게 종사해온 인물이 ‘요즘 항공 쪽이 뜨겁다’고 진단할 만큼 전문가들의 노력이 불붙는 곳이지만 이 항공 보안 문제는 또 다른 치명적인 주요 인프라 보안이라는 큰 범주 안에서 형태만 바꿔 계속 불거질 것으로 전망된다. 스마트카가 항공 보안으로 연결되었듯, 이 항공 보안의 다음 둔갑 형태는 무엇일까? 산업 공장? 교통 시스템? 스마트 빌딩? \r\n\r\n \r\n 3. 스마트 빌딩 \r\n가정 자동화, 혹은 더 넓게 봐서 스마트 빌딩 산업도 쑥쑥 자라고 있다. 다만 이 분야가 성장할 수 있는 ‘대의명분’은 에너지 소비의 효율성이다. 지난 3월, SECON 2015에서 만난 한 유럽 보안업체의 관계자는 익명을 요구하며 “예를 들어, 사무실 안에 몇 사람이 있는지 알 수 있다면, 그에 맞춰 가장 효율적인 난방 및 냉방 시스템을 가동할 수 있게 되기 때문에 많은 기업들에서 비용 절감을 위해서 이런 스마트 빌딩 시스템 도입을 원한다”고 말한 바 있다(그가 왜 익명을 요구했는지는 조금 뒤에 언급할 예정이다). \r\n그것보다 조금 더 과거인 2006년, 몬트리얼 대학의 재컬린 비셔(Jacqueline Vischer) 박사라는 인물은 일하는 장소에서 사람이 느끼는 편안함을 3단계로 나눴는데, 이는 순서대로 물리적인 편안함, 기능적인 편안함, 심리적인 편안함이다. 물리적인 편안함이란 안전도, 청결도, 온도 등을 말하고 기능적인 편안함이란 일을 하는 데에 있어 효율적인 동선, 조명 상태, 가구 적합도 등을 말하며 심리적인 편안함이란 프라이버시, 통제권한, 자기 영역 등의 설계 및 관리 등을 말한다고 한다. \r\n스마트 빌딩은 이 세 가지를 모두 충족시키긴 하지만 그 중에서도 특히 두 번째 요소인 기능적인 편안함에 집중하고 있다. 적어도 지금까지는 말이다. 그렇기 때문에, 보안과 편리의 관계가 늘 그래왔듯, 보안과 관련된 일들이 맨얼굴을 드러내고는 한다. 여기서도 역시 항공 보안 혹은 스마트카 보안 문제에서의 ‘지나친 연결성’이 큰 문제가 되고 있다. 온도 조절 시스템을 통해 주차장문 폐쇄 제어를 마음대로 할 수 있는가 하면, 네트워크 카메라로 사람들을 관찰할 수도 있게 되는 해킹 과정은 지금도 계속해서 전문가들에 의해 공개되고 있다. 이는 얼마든지 물리적인 공격으로 이어질 수 있기 때문에 어떻게 보면 항공 보안 이상의 위험성을 내포하고 있다. 실제 한 매장에서는 CCTV를 먼저 해킹해 직원들의 행동을 관찰한 후 캐시 머신을 해킹한 사건도 있었다. \r\n스마트 빌딩의 또 다른 문제는 보안의 기능을 추가로 덧대는 식의 기존 스마트 기기 및 솔루션 개발 개념이 전면으로 바뀌어서 아예 통째로 건축의 과정 속에 편입해 들어가야 한다는 것에 있다. 무슨 말이냐면, 예전처럼 건물을 짓고, 그 다음에 편리한 기능들을 만들어 집어넣고 나서 보안을 위해 암호 기능을 추가하는 식으로는 절대 ‘안전’할 수 없다는 것이다. 처음부터 보안과 안전을 생각해서 ‘스마트’하게 건축을 시작해야 하는 것인데, 이러려면 보안, 건축, 사물인터넷에 대한 복합적인 지식이 필요하다. \r\n스마트 빌딩 리서치 기관인 메무리(Memoori)는 ‘건축물 설계 → 설계를 통한 공간 정의 → 기타 건축 기술 추가 → 사람들 입주 → 공간에 맞추어 사람들 적응’의 기존 과정이 싹 뒤집혀야 한다며 ‘건축물 기능 및 목적의 정의 → 필요한 공간 결정 → 필요한 자동화 기술 및 인원 결정 → 수집한 정보를 효율적으로 배치(설계) → 사람들 입주’의 과정을 제안한 바 있다. 여기서 안전 및 보안 문제는 건축물의 목적을 정의하는 과정에서부터 등장해 논의되어야 한다. \r\n다만 여기서도 프라이버시 문제가 제기된다. 아까 SECON 2015에서 만났다던 익명의 관계자가 나지막하게 말했던 내용은 놀랍지는 않았지만 섬뜩하기는 했다. “에너지 효율성 때문에 스마트 빌딩 기술이 발전하고 있는 건 맞습니다만, 과연 기업과 기관들이 정말로 전기세 아끼려고 사무실 안에 사람이 몇 명 있는지 파악하고 싶어 할까요? CCTV만 달지 않았지, 이는 감시와도 밀접하게 연결되어 있는 개념입니다. 그걸 가리려고 환경과 에너지 효율 문제를 앞세우는 것이죠.” \r\n\r\n \r\n 4. 하이브리드 전쟁 \r\n그러나 아무리 비행기를 안전하게 몰아서 안전하기 짝이 없는 집으로 들어가 안전한 웨어러블로 문화생활을 영위해 봐야 전쟁이 일어나면 모든 안전 방책이 무용지물로 변한다. 공들여 설계한 건물도 미사일 한 방이면 끝이고, 해커가 절대 조정할 수 없는 비행기라도 누군가의 손가락 움직임 하나에 격추될 수 있다. 그래서 안전, 보안, 이런 문제들은 종국에는 나라와 나라, 국제관계와 역사의 역학에 종속될 수밖에 없다. \r\n이스라엘의 네트워크는 팔레스타인의 해방을 지지하는 이들에게는 항상 맛있는 먹잇감이며 미국 기업들은 중국에 속수무책으로 당하고 있고 이란 핵 시설은 미국과 이스라엘의 목표가 된다. 북한과 남한 사이의 총성은 좁은 남한을 오고가고 있기도 하지만 그보다 더 많은 일들이 사이버 상에서 벌이지고 있고, 미국은 여러 세력에게 당하는 것 같기도 하다가 또 한 편으로는 모두를 내려다보고 있는 느낌을 줄 때도 있다. \r\n최근 NATO와 유럽연합은 우크라이나 사태를 두고 ‘하이브리드 전쟁’에 대한 대비를 단단히 할 것이라고 발표했다. 해킹이면 해킹, 군사력이면 군사력, 세계 최강 수준의 파워를 겸비한 러시아를 두고 한 말로 이전까지는 현대 소나타 정도에서나 나왔던 ‘하이브리드’라는 말이 전쟁을 지칭하는 맥락 속에서 처음 등장했다. 기껏해야 ‘사이버전’ 정도가 새로운 용어였는데, 이제는 그것마저도 옛말이 되어버린 것이다. 그리고 국제정세에 종속된 보안의 특성을 봤을 때 NATO와 유럽연합의 이런 표현은 곧 보안시장의 앞날을 그대로 전망하는 말이기도 하다. 세상 모든 것에 하이브리드라는 이름을 가져다 붙이더니, 이젠 전쟁마저 그렇게 되었다. [월간 시큐리티월드 통권 221호 (sw@infothe.com)] \r\n<저작권자 : (www.securityworldmag.co.kr) 무단전재-재배포금지> \r\n |
||||
 |
