개인정보의 비식별화 기술, 아직 충분치 않다는 지적 나와
보안의 비용, 공격자의 비용…가시성은 프로페셔널리즘을 위한 것이기도 해

[보안뉴스 문가용 기자] 지난 한 주 동안 해외 보안 업계에서는 어떤 일들이 있었을까? 7월 4째 주와 8월 첫째 주 동안 보안 업계에서 일어났던 사건들의 본질을 꿰뚫는다고 느껴지는 업계 종사자들의 말을 간략하게 정리해 보았다.


개인의 고유함과 식별성
“그 이유는 한 사람 한 사람이 너무나 고유해서, 식별 가능한 정보가 충분하게 발생하기 때문입니다.”
브루스 슈나이어(Bruce Schneier)

현존하는 익명화 기술로서는 소비자들이 원하고 법이 요구하는 수준의 익명화 처리를 제대로 할 수 없다는 발표가 이번 주 있었다. 개인정보와 관련된 법이 삼엄하게 변해가고, 벌금의 규모도 점점 더 커져가고 있는 때에, ‘익명화 기술’에 대한 의존도가 점점 더 높아지고 있어서 더욱 충격적인 소식이다. 브루스 슈나이어는 사람 한 명 한 명이 워낙에 고유해 충분한 익명화라는 게 어려울 수 있다고 말하기까지 했다. 개인정보의 ‘활용’에 대해 어떤 답을 찾아내야 하는 걸까.

보안의 비용
“제품의 기획에서부터 출시, 그리고 최종 폐기에 이르는 생애주기의 앞부분에 보안을 위치시킬수록 보안의 가격은 낮아진다는 게 정설입니다.”
폼어셈블리(FormAssembly)의 차드 크래글(Chad Cragle)

보안에 대한 투자를 아까워하는 경향이 아직도 곳곳에 있다. 그러니까 보안 투자가 맨 마지막에 이뤄지는 게 보통이다. 원래 사람 마음이라는 게 제일 꺼려지는 것에 가장 적은 돈과 시간을, 그것도 마지막 단계에 이르러서 겨우 쓰게 만든다. 차드 크래글은 여기에 일침을 가한다. 그렇게 마지막에 마지못해 투자를 하는 건 오히려 돈을 더 쓰는 거라고. 마치 사랑하고 아끼는 것처럼 보안에 먼저 돈을 쓰면 가장 덜 쓸 수 있다고 말이다. 기분 따라 돈 쓰면 안 된다는 만고의 진리가 생각난다.

공격의 비용
“피해자가 피해 사실을 잘 드러내지 않는다는 것 이것만으로도 그들의 공격 비용은 크게 절감됩니다.”
시만텍의 보안 대응 책임자, 케빈 할리(Kevin Haley)

보안에도 비용이 들지만, 공격에도 투자가 필요하다. 사이버 공격과 방어는 결국 효율 싸움 혹은 가격 싸움이다. 공격에 드는 비용을 높이면 높일수록 사이버 공격자들은 움츠러든다. 반대로 비용이 낮아지고 소득이 높아진다면, 이들은 각종 감시 체계도 무시한다. 각종 해킹 방지 도구와 백신 솔루션 등은 공격의 비용을 높이는 방법 중 하나다. 그리고 피해자들의 ‘신고’도 공격의 값을 높이는 방법이다. ‘신고’를 통해 공격에 대한 정보가 수집되고, 정보의 분석을 통해 대응력이 생기고, 대응을 통해 공격을 더 어렵게 - 즉, 더 비싸게 - 만들 수 있다. 사이버 보안 사고도 적극 신고하자. 그럼으로써 그들이 쉽게 벌지 못하게 하자.

보안의 태도가 곧 경영에 대한 전문성
“가장 중요한 애플리케이션과 서비스들이 무엇인지 목록으로 만들고, 매일 사업을 진행하면서 필요한 행위들에 어떤 것이 있으며, 그러할 때 어떤 데이터를 누구에게 열어두어야 하는 건지 정의하고 방화벽에 적용한다는 건, 비단 보안을 꼼꼼히 하는 것만이 아니라 자신이 벌이고 있는 사업에 대해 더 깊은 이해를 추구하는 것이기도 합니다.”
넷슈리온(Netsurion)의 부회장, 레니 만실라(Lenny Mansilla)

보안 비용 부분과 비슷한 얘기다. 보안의 첫 단계는 ‘가시성’이다. 보이고 알아야, 지키고 보호할 수 있기 때문이다. 클라우드로 네트워크 인프라가 변해가기 시작하면서 가시성 문제는 더욱 문제가 되고 있는데, 이 과정에서 많은 경영진들이 IT 전문가들에게 ‘믿고 맡겨버리는’ 일이 일어난다. 보안 담당자들도 마찬가지다. 레니 만실라는 가시성 추구는 보안을 위해서만이 아니라 기술이 이렇게 빠르게 변해가는 시대에 견고히 붙들어야 하는 프로페셔널리즘의 근간으로서 내부 사정을 알기 힘쓰라고 말한다.

클라우드
“어쩌면 진짜 클라우드 경쟁은 지금부터인지도 모르겠습니다.”
가트너의 분석가이자 부회장, 에드 앤더슨(Ed Anderson)

클라우드 산업이 점점 더 정리되어 가는 분위기다. 아마존이 압도적인 1위, 그 뒤를 이어 마이크로소프트, 구글이 뒤를 따르는 모양새로 말이다. 그런데 AT&T를 필두로 여러 사용자 기업들이 ‘멀티클라우드’ 전략을 취하기 시작했다. 즉, 클라우드로 옮겨야 할 자산과 인프라를 나눠서 일부는 아마존에, 일부는 MS에, 일부는 구글에 청탁하고 있다는 것이다. 리스크를 분산시키기 위해서인데, 오히려 이 때문에 새로운 경쟁이 가시화되고 있다. 한 기업이 서너 가지 클라우드 서비스를 사용하면서, 직접 비교가 되기 때문이다. 클라우드 시장의 경쟁 구도는 새로운 국면에 접어들려고 한다.

썩을 수 있는 권리
“모든 것이 영원히 기록됩니다. 우리 스스로가 기억하고 싶어서일까요? 우리 스스로가 잊어버리기 싫어서일까요? 아닙니다. 우리는 더 이상 잊어버리는 것이 허용 안 되는 시스템 안에 살고 있기 때문입니다.”
에드워드 스노든

9월 중에 회고록을 낼 에드워드 스노든이 개인 트위터를 통해 “우리가 살고 있는 시스템은 잊어버리는 것이 허용 안 되는 곳”이라고 주장했다. 정말로 디지털 환경 속에서 모든 기록들은 영구히 남는다. 역사의 조각들을 겨우 혹은 우연히 발굴해 어렵게 해독해내고, 아직도 찾지 못한 퍼즐들을 유추해가며 옛 삶을 상상해가던 우리의 탐구 행위는, 키워드 잘 선정해 썩지 않는 기록을 검색해 조합하는 것으로 대체되었다. 썩어서 새로운 생명을 탄생시키는 순환은 망각되고, 비닐 포장 뜯지 못해 바스락거리는 세상 속에서 큰 소리 낼까 조심조심 다니는 것으로 변했다.

CISA
“프리마 시스템즈(Prima Systems)에서 만든 접근 제어 시스템에서 여러 개의 취약점이 발견됐다.” “작은 비행기는 해커들의 공격에 취약하고, 따라서 해킹 공격에 의한 물리적 피해를 입을 가능성이 크다.” “가상 사설망(VPN) 애플리케이션에서 다수의 취약점들이 발견됐다.” “5G 통신망, 생각보다 위험할 수 있다.”
미국 국토안보부 산하 CISA

미국 영화나 소설 속에서 국가적 대재앙 사태가 발생할 때에야 겨우 움직이기 시작하는 것으로 묘사되는 국토안보부의 사이버 보안 담당 부서인 CISA가 이번 주 꽤나 바쁘게 움직였다. 위험하다는 경고를 1주일 만에 네 개나 발표한 것이다. 사이버 보안을 국가적 사태로 인지하는 미국 정부의 변화가 눈에 띈다. 북한부터 시작해 일본, 러시아, 중국 등 주위에 ‘미친놈들’밖에 없는 한국의 사이버 공간 상태가 어떨지 문득 궁금해진다. 이번 주 사이버 보안 관련 국가 차원의 발표가 몇 건이나 있었더라…
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>