[열린마당]`보안`에 대한 小考

◆임연호 티에스온넷 사장 yhim@tsonnet.co.kr

 물리적 요소가 상호작용하는 현실세계와 마찬가지로 사이버세계도 사람들이 살며, 복잡한 사회적 관계를 형성하면서 그 영역을 넓혀 가고 있다. 온라인 사회에도 계약과 거래, 분쟁과 절도 등 온갖 상업적 또는 사회적 욕구로 가득 차 있으며, 이익을 얻기 위해 상대방의 시스템을 공격한다. 온라인 세계에서 공격은 오프라인 세계 보다 더 흔해지고, 더 널리 퍼질 것이다.

 인터넷은 국경이나 지리적 경계가 없다. 지구 반대편에 위치한 어느 도서관에 있는 컴퓨터가 우리 옆집의 컴퓨터만큼이나 우리 집 컴퓨터를 접속하는 것이 쉽다. 이 때문에 전 세계의 모든 공격자(범죄자)들에 대비해야 한다. 공격자는 자신이 어떤 짓을 저질렀는지도 모른 채 어느 마을의 식당에서 햄버거를 먹고 있는, 나이 어린 스크립트 키드(script kiddie)일 수도 있다.

 최근의 인터넷 대란은 우리에게 많은 것을 시사하고 있다. 무엇보다도 우리가 평소에 생각한 것 보다 훨씬 취약한 기반 위에 온라인 세상을 건설하고 있다는 것이다. 우리는 스스로에게 ‘과연 우리는 안전한가’라고 되묻게 됐다. 온라인 금융 절도로부터 얼마만큼 안전한가. 경쟁국의 산업 스파이로부터 안전한가. 혹은 사이버 환락가의 교활한 사기꾼으로부터 우리의 아이들을 지킬 수 있는가. 우리는 어느새 사이버세계에 인질이 됐으며 셀 수 없이 많은 위험에 직면해 있다.

 우리는 지금까지 이 같은 위협을 보안기술로 해결하기 위해 노력해 왔다. 여기서 또 다른 의문을 갖게 된다. 과연 지금의 정보보안기술은 우리를 안전하게 지켜줄 수 있을까. 이 질문에 보안 전문가들의 대답은 항상 똑같다. ‘이 세상에 완벽한 보안은 존재하지 않는다. 이는 마치 뜨거운 얼음을 요구하는 것과 같다.’

 현재의 보안기술로는 완벽한 방어는 물론 누가 공격했는지 추적하는 것조차 어렵다. 그러나 한 가지 기술적 해결책으로 만병통치약을 만들 수는 없지만 몇가지 핵심적인 보안기술을 결합하여 상대적으로 안전하고, 보다 근원적인 대책을 강구할 수 있다. 여기에는 보안기술과 사람 사이의 상호 작용에 따른 인간적 요소가 포함되기도 하지만, 기술적 해결책이 무엇보다도 중요하다. 몽둥이를 든 경관보다는 자동소총을 든 경비원이 험악한 세상에서 금고를 보다 안전하게 지킬 수 있다고 보기 때문이다.

 문제는 이 같은 보안기술은 하루아침에 이루어지지 않는다는 것이다. 경우에 따라서 신속하게 대응해야 할 보안기술도 있다. 하지만 충분한 검증도 없이 과장된 광고와 함께 출시된 허점투성이의 보안 코드가 일시적으로 보안 책임자의 근심을 덜어 주기도 한다. 순간적으로 화재가 발생한 상황에서 작동하지 않는 소화기를 들고 망연자실해 하는 사례가 정보보안에서는 그리 드문 일이 아니다.

 결함이 공개되지 않은 수많은 통신 프로토콜과 소스 코드가 공개되지 않은 소프트웨어의 대부분을 수입해 사용하는 처지에 놓여 있다. 그러나 최근 다행스럽게도 개방형 리눅스 운용체계의 영향을 받아 윈도를 제외한 거의 모든 운용체계의 소스 코드가 공개되고 있다. 보안을 향상시키는 유일한 대안은 이러한 기회를 활용해 인프라 차원에서 보다 근본적인 방어 기술을 확보하는 것이다. 우리는 하드웨어를 운용하고, 정보의 흐름을 제어하는 운용체계와 통신 프로토콜의 핵심 코드를 정교하게 통제할 수 있을 때에만 우리의 운명을 우리 스스로 결정할 수 있을 것이다. 이것은 결코 하루아침에 이루어질 수 없다. 중요한 것은 인프라 차원의 핵심기술이 필요하며, 이는 오랫동안의 끈질긴 노력이 요구된다.

 도입된 지 불과 일년도 지나지 않은 보안 제품에서 치명적인 결함이 발견될 때 마다 ‘어차피 완벽한 보안은 불가능하다’라고 자조적인 분위기로 보안 책임자들을 혼란스럽게 만들어서는 안 된다. 컴퓨터에서 플러그를 뽑지 않는 한 뜨거운 얼음과 같이 완전무결한 보안은 결코 존재하지 않는다. 그러나 상대적으로 완벽한 보안은 우리가 노력한 만큼 반드시 존재한다.

 


브랜드 뉴스룸