[시큐리티월드 문가용 기자] 미국 국토안보부가 제정한 여행 금지 정책 때문에 많은 기업이 때 아닌 노트북 보호 정책 손보기에 바빠졌다고 한다. 트럼프 정권의 움직임으로 인해 국경 보안이 강화됨에 따라 경비대가 ‘모바일 기기는 따로 짐칸에 실으라’고 요구할 수 있을 것으로 보이기 때문이다. 이제 해외 출장을 갈 때는 중요한 정보가 저장된 기기들을 보이지 않는 곳에 맡기고 비행기 등에 탑승해야 한다.

\r\n\r\n\r\n \r\n \r\n \r\n \r\n \r\n\r\n\r\n

“많은 기업과 사람들이 종이 위에만 존재하고 있는 보안 정책들을 실제로 도입해야 할 때가 됐다.” 보안 전문업체인 사이버세인트 시큐리티(CyberSaint Security)의 조지 렌(George Wrenn) CEO는 “노트북이나 모바일 기기가 도난당했을 때나 분실됐을 때를 대비해 기기 자체에 암호화 기술을 적용하고 데이터 스토리지 접근을 제한하는 방침은 이미 여러 기업이 이론적으로 마련하고 있다. 하지만 실천되지는 않는다. 도난당하거나 잃어버릴 거라고 생각하지 않기 때문”이라며 이같이 진단한다.

\r\n\r\n

조지 렌은 “국경 경비대 측에서 컴퓨터를 켜보라고 요구하거나 따로 짐칸에 실으라고 요구할 것이 분명해지므로 이런 누군가 데이터에 함부로 접근할 가능성은 굉장히 높아졌다”며 “잃어버리고 도난당할 것을 실제로 가정해야만 하는 상황이나 다름없다”면서, “이제는 이미 마련된 정책을 어떻게 실제 현장에 도입시킬 것인지를 고민을 해야 합니다. 그것이 요즘 국경 보안 변화의 핵심”이라고 강조한다.

\r\n\r\n

보안 전문업체 시스템엑스퍼츠(SystemExperts)의 조나단 고셀즈(Jonathan Gossels) CEO는 “난도가 매우 높은 문제는 아니다”라며 설명한다. “결국 디스크 암호화, 어려운 비밀번호, 2중 인증, 비밀 키 관리 문제로 요약할 수 있다. 이미 다 알고 있는 것이고 가지고 있는 기술들 아니냐”는 지적이다. 그렇지만 기업의 중요한 비밀이 가득 담긴 노트북을 손에서 놔버려야 한다는 건 찜찜할 수밖에 없는 일이다.

\r\n\r\n

블랑코테크놀로지그룹(Blancco Technology Group)의 리처드 스테이논(Richard Steinnon) CSO도 이 의견에 동의한다. 그는 “아무리 공항과 비행기의 화물 보안이 철저하다고 해도 기업 입장에선 외근자의 노트북이 짐칸에 따로 실려 있다는 사실이 매우 불편할 것”이라며, “이같은 여행자 정책을 펴는 국가로 누군가를 출장을 보내야 한다면 기업들 대부분이 아무런 기기도 가져가지 못하게 할 수 있다. 기기를 반드시 보유해야 한다면 저장할 데이터를 매우 조심스럽게 고르게 될 것”이라고 전망했다.

\r\n\r\n

심지어 어떤 회사는 정책적으로 외근 가는 사람이 한시도 랩톱을 떨어트려놓지 못하게 하고 있다. 트럼프의 이민 정책과 정면으로 대치되는 것이다. 민간 군사 사업체를 운영하는 에릭 오닐(Eric O’Neill)은 “군사 기밀이나 관련 정보를 다루기 때문에 그 어떤 기기든 해당 정보가 저장된 기기는 몸에서 떨어트리면 안 된다”면서, “앞으로 해외로 외근을 가야 할 경우 어떻게 해야 할지 잘 모르겠다”고 난감해했다.
\r\n
\r\n기업이 직면하게 될 위기의 상황
\r\n더 큰 문제는 국경 경비대의 권한이 높아지면 디스크 암호화 및 잠금장치도 해제시키라고 요구할 수 있다는 것이다. 위에 열거했던 각종 데이터 보호 기술이 이 말 한마디로 무용지물이 되는 것이기 때문이다. “가장 은밀한 정보가 정당한 이유나 권한도 없는 처음 보는 사람에게 합법적으로 노출된다.” 마크 그라프(Mark Graff) 전 나스닥 CISO이자 텔라그라프(Tellagraff)의 CEO는 “이 때문에 누군가는 법정 소송에 휘말릴 수 있고 자기도 모르게, 또 원하지도 않는 상황에서 데이터를 유출할 수밖에 없는 처지에 놓인다”며 “기업들은 어마어마한 벌금을 내야 하는 상황으로 몰릴 것”이라고 예상했다.

\r\n\r\n

정보보안 솔루션 업체 코모도(Comodo) 필립 할람베이커(Phillip Hallam-Baker) 수석 과학자이자 부회장은 “랩톱 반입 금지와 경비대의 데이터 열람권 두 가지 때문에 데이터 기밀성과 무결성이 전혀 보장받지 못하게 됐다”며 “딱히 대책도 마련되지 않는 상황이 더 답답하다”고 말했다. “사실 랩톱 반입 금지는 특정 국가에만 적용되는 것이기 때문에 그다지 큰 영향이 있지는 않다.

\r\n\r\n

하지만 경비대에서 기기를 들여다볼 수 있도록 해주는 것은 장기적으로 엄청난 악수다. 모든 데이터 보호 기술을 일거에 버리는 것이나 다름없고 그동안 쌓아왔던 데이터 기밀성이나 프라이버시에 대한 논의들까지도 한 번에 갈아치우는 매우 폭력적인 방법이다. 미국 정부가 하니까 다른 나라 정부도 따라 할 가능성도 높다. 특히 러시아가 미국 시민들에 대한 검사를 얼마나 철저히 할지는 눈에 훤하다.”
\r\n
\r\n엔드포인트 보안에 미칠 영향
\r\n보안 전문가들 대부분은 이 정책의 변화 덕분에 “많은 기업이 모바일과 엔드포인트 보안에 진짜로 철저하게 변해야 할 것”이라고 말한다.

\r\n\r\n

보안 업체인 던바시큐리티솔루션즈(Dunbar Security Solutions)의 크리스토퍼 엔시(Christopher Ensey) COO는 “데이터를 가지고 여행을 다닌다는 문화 자체에 큰 변화가 있어야 할 것”이라고 봤다. “현실적으로 어떤 건 검사해도 되고 어떤 건 압수해도 되는지 또, 어떤 데이터는 보지도 않고 통과시켜야 하는지 구분해줄 수가 없다. 법으로 정할 수도 없고, 그걸 경비대 모두에게 완벽히 이해시킬 수도 없다.

\r\n\r\n

데이터 저장은 다른 곳에다 해놓고, 그 저장소에 연결할 수 있는 기기만 가지고 다니는 게 최고”라며 “안전한 통신 채널과 강력한 인증 마련은 필수일 것이다. 지역에 따라 연결 문제 때문에 데이터 원격 접속이 불가능할 수도 있지만 이편이 정보가 유출되는 것보단 나을 것”이라고 설명했다.

\r\n\r\n

보안 업체인 비욘드트러스트(BeyondTrust) 모리 하버(Morey Haber) 부회장은 의견이 조금 다르다. 그는 “저장을 다른 곳에다 하면 인터넷 없이 아무 일도 할 수 없다는 것이고 이는 출장 간 의미가 없을 것”이라며 “아무리 안전이 중요하다고 해도 일을 할 수 없을 정도로 불편하다면 사람들이 선택하지 않는다”고 말했다. 그는 “차라리 기기의 VPN 키와 비밀번호를 즉각적으로 바꿔줄 방법을 적용시키는 게 더 나을 것”이라고 덧붙였다.

\r\n\r\n

하지만 리차드 스테이논은 “이미 기업들은 적국으로 분류되는 국가에 직원을 파견 보낼 때 아무 것도 저장되어 있지 않은 깨끗한 기기만 들려 보낸다”며 “메모리를 오버라이트하고 새 이미지를 기기에 로드시키는 건 이미 많은 기업들이 하고 있는 행위”라며, “일반적으로 ‘위험하다’고 생각되는 국가와 사업을 벌이는 다국적 기업들이 어떤 식으로 직원을 출장보내는지 알아보고 모두가 그렇게 해야 할 때가 됐다”고 강조했다.