어설픈 기술 논의가 보안에 부적절한 이유

보안 이야기 2010.04.07 13:13

허탈하게 뚫린 보안 체계

한국의 어느 대형 병원에서 있었던 일이다. 진료 업무를 돕기 위한 새로운 진료 시스템 개발을 마치고 소프트웨어 업체는 시연을 준비하고 있었다. 병원에서 환자의 병력은 아주 민감한 사항이라서 프라이버시가 절대적으로 요구된다. 당연히 보안에 대한 요구 사항이 아주 높았다. 이 회사는 이 시스템이 난공불락이라는 점을 입증하기 위해 개발에 심혈을 기울였고, 데모를 위해 만반의 준비를 마쳤다.


의료정보화현장 (출처: MCC 홈페이지)

그러나, 그런 호언장담은 데모를 시작한지 5분만에 깨지고 말았다. 어느 젊은 의사가 디지털 카메라로 화면을 찍어 버렸고, 모니터에 표시된 그 환자의 차트는 바로 그 카메라 이미지로 저장되었기 때문이다. 같이 참관하던 나이 드신 교수님들도 어이없다는 표정이었다. 자신들이 전혀 생각하지 않았던 경로로 정보가 유출되자 그 업체는 당황함이 역력했다.

아마 이 소프트웨어 업체는 디지털 정보를 처리하는 모든 과정을 철저하게 분석해서 보안이 잘 되도록 설계했을 것이다. 단지 간과했던 것은 정보 유출이 여러 경로로 이루어진다는 보안적 시각이다. 입체적이고 종합적인 대책이 안 선다면 아무리 훌륭한 보안 제품과 기술로 에워 싼다 하더라도 소용이 없다.

해커는 바보가 아니다. 왜 구태여 어려운 경로로 침입을 하겠는가? 많은 기업의 침해 사고는 PC와 홈페이지에서 집중적으로 이루어진다. 그 이유는 가장 취약한 관문 (weakest link)을 뚫는다는 평범한 인식에서 비롯된다. 최신 해킹 기술을 동원할 필요없이 몇 개의 악성코드를 만만한 PC에 심기만 하면 된다. 아니면 앞의 예에서 보듯이 더욱 직관적인 방법으로 접근한다. 주위에는 이를 가능하게 해 주는 수많은 장비와 기술이 널려 있다.

우리 주변에 있는 수많은 허점들

보안을 너무 기술적으로 편협하게 들여다 보면 숲을 보지 못하는 모습을 종종 보게 된다. 이를테면 우리가 속해 있는 조직에는 수많은 취약점이 존재한다. 내부 조직에 대한 정보는 아주 좋은 도구로서 취약한 것으로 보이는 부서나 개인의 PC를 공략하는 루트가 된다. 그런데, 이러한 조직도 유출은 실무 부서를 통해 나가기 보다, 무심코 사적인 자리에서 고위급 임원을 통해 나가는 경우가 적지 않다.

오늘날 업무상 필수 도구인 PC는 수많은 감염 경로를 지니고 있다. 보통 사람들은 평소 잘 사용하지 않는 수많은 기능과 인터페이스를 갖추고 있다. 사용자의 편리함을 도모하기 위해서다. 그러나, 그러한 목적의 다양한 디바이스와 애플리케이션은 정보 유출의 근원이 되고, 이를 막기 위해 정보 유출 방지용 보안 제품을 도입하고, 이 보안 제품은 사용하기 불편하게 된다. 이러한 악순환은 단순한 기술적 접근에 의존하기 때문이다
.

다양한 감염경로


또한 IT 시스템을 구축할 때 멋있게 보이기 위해 실용성보다 화려한 포장을 추구한다. 설상가상으로 고객의 요구 사항이 계속 바뀌게 될 경우 프로젝트 시간에 쫓기게 된다. 마감일에 맞추어 겨우 기능은 구현되나 보안 취약점을 그대로 놓아 둔 채 마무리하는 경우가 생긴다. 중요한 데모를 마치면 사후 점검을 해야하겠다는 다짐하지만, 일단 중요한 마일스톤이 지나는 순간 긴장감은 풀어지기 마련이다. 당연히 방치된 취약점은 공격의 타겟이 된다.

아직도 보안 전문가라고 하면 언론이나 영화 속에서 보는 해커들의 모습으로만 생각하는 경향이 있다. 사회와 동떨어져서 컴퓨터만 가지고 파고 드는 이상한 사람으로 묘사된다. 물론 컴퓨터를 좋아하고 파고 드는 집요함은 보안 전문가의 덕목이다. 그러나, 진정한 보안 전문가는 우리의 문화, 업무 환경, 사회적 제도 등에 대해 잘 알고 있어야 한다. 기술적 동향과 비기술적 요소에 대한 입체적 시각이 있어야 종합적 취약점과 위협에 대한 통찰력을 가질 수 있다.

정보 보안이 산업으로 등장한 지 15년. 아직도 보안이라고 하면 기술적 논의가 주를 이룬다. 보안은 이제 응용 단계다. 기술의 차원도, 위협을 바라보는 관점도 달라져야 한다. 보안 대책과 기술에 대한 어설픈 논의는 혼선만 일으키고 막연한 두려움을 불어 넣는다. 실효성이 없다면 사용자만 힘들다. 사용하기 불편한 보안이 가장 위험하다.

 

신고


티스토리 툴바