새로운 기술은 일반인에게 유통되기 전에 항상 기술을 악용하려는 사람에 의해 먼저 활용된다. 여러 이유가 있지만 기술이 가진 대중적 가치가 정치·경제적 목적을 달성하는데 있어 기존보다 효용성이 크기 때문이다. 인터넷을 이용한 공격이 그랬고, 공인인증서를 활용한 전자 금융 기술도 마찬가지며 스마트 시대가 시작되는 지금은 과거와는 상상할 수 없을 정도의 더 큰 문제로 발전했다.
스마트폰·스마트TV 등 새로운 디바이스가 출현하고 클라우드·SNS 등 신규 서비스가 매일같이 나온다. 디바이스와 서비스가 결합해 하나의 디바이스에서 사용되는 정보가 다른 디바이스 또는 다른 서비스에 즉시 전파된다.
새로운 서비스는 편리함을 제공하는 동시에 개인과 조직 정보가 혼재되고 개인보다 조직차원의 가치 정보 유출에 더 위협적이다. 소위 말하는 위험사회 등장이다. 디도스(DDoS), 피싱이란 단어가 이제는 어느 누구에게 설명하기 힘들지 않게 되었고 그 위협은 바로 우리 옆에 있다.
새로운 서비스로 나타날 수 있는 문제를 짚어보면 첫째, 다양한 서비스의 융·복합화에 따라 나타나는 과제다. 신규 서비스가 제공되면서 의도하건, 의도하지 않건 하나의 서비스에서 발현된 취약점이 다른 모든 서비스에 전파될 가능성이 높아진다. 2012년 이미 3~4건이 발생해 지역적인 네트워크에 문제가 된 사례가 있듯이 전파되는 취약성이 네트워크에 부하를 주는 취약점이라면 전체 네트워크 가용성에 문제를 일으켜 모든 서비스가 불가능할 위험성이 높다.
둘째, 많은 디바이스가 이동성이 간편한 스마트폰으로 집중돼 나타나는 문제다. 앱의 폭발적 급증에 따라 검증 되지 않은 앱 유통, 개인 편리함을 위한 단말기 루팅, PC보다 더 다양한 디바이스를 장착해 컨버전스에 따른 복잡성으로 인한 예측 불가능성이 점차 확대해 정보 집중도가 심화된다. 당연히 대량의 정보가 유출될 가능성도 훨씬 커졌다.
셋째, 신규 서비스로 스스로 진화하는 개인정보를 들 수 있다. 개인정보는 다양한 신규 서비스로 기존의 정형화된 구조에서 비정형화된 구조로 형태가 바뀌고 사용자의 피동적 의지에서 적극적이고 자유로운 의지로 전파된다. 정적인 상태에서 동적인 상태로 계속 진화한다. 양적인 변화뿐 아니라 질적인 변화가 이뤄져 앞으로 사용자가 평상적 자각 능력을 벗어날 가능성이 점차 커지게 될 것이다.
넷째, 해킹 양태가 더욱 다양해졌다. 피해자가 해킹 사실을 모르도록 특정 대상을 목표로 6개월 이상 장기적으로 공격하는 `지능형 타깃 지속 공격(APT:Advanced Persistent Threat)`이 동원되는가 하면 하루 이틀의 민감한 유행을 따르는 `검색엔진 공격(SEP:Search Engine Poisoning)`을 동시에 사용하는 등 사용자 행태를 모두 이용하는 방법이 더욱 기승을 부릴 것이다.
식물의 성장은 갖가지 양분이 아무리 충분해도 가장 부족한 부분에 의해 결정된다는 `최소율의 법칙`처럼 어느 한 부분에서 사소한 결점이 전체 결점으로 나타나는 것이 정보보호의 특성이다. 이 때문에 위협에 대응하기 위해서는 정책 수단뿐 아니라 다양한 수단을 동시에 제공해야 한다. 이를 위해 방송통신위원회는 정보보호가 위험 사회로 가는 길목을 지키는 균형추 역할을 할 수 있도록 침해사고에 효과적 대응과 잠재적 위협 예측 및 예방을 위한 다각적인 정책을 추진함과 동시에 편리함뿐 아니라 편안함을 주기 위한 다양한 기술을 개발해야 한다.
노병규 방송통신위원회 정보보호 PM(nonopia@naver.com)