스마트폰 보안문제 접근법 오류 3가지

보안 이야기 2010.08.17 07:02

최근 언론 매체를 통해 스마트폰의 보안에 대한 이슈가 많이 제기되고 있다. 올해 초부터 스마트폰 보안 관련 세미나는 활발했다. “우리가 언제부터 이렇게 보안을 미리부터 걱정했던가?”하는 생각에 보안 전문가로서 반갑기도 하면서 한편으로는 당혹스럽다. 스마트폰의 사용 현황에 비해 보안 문제가 너무 부각되고 있다는 느낌에서다.

 

스마트폰 보안의 관심 (토마토 TV)

개방형 플랫폼의 스마트폰이 태생적인 보안 문제가 있는 것은 자명하다. 그렇다고 해서 막연히 불안해 하거나 사용을 기피하는 것은 바람직하지 않다. 스마트폰이 우리의 라이프스타일, 업무에 주는 혜택은 지대할뿐더러 제조사나 서비스 사업자가 스마트폰을 경쟁적으로 공급하는 상황에서 사용자에게 스마트폰은 선택이라기 보다 필수에 가깝다. 어찌 보면 선진국에 비해 뒤쳐진 현실에서 스마트폰은 우리 사회에서 더욱 적극적으로 보편화해야 하는 기기다. 그런 점에서 막연한 불안감보다는 실체적 접근이 중요하다.

 

스마트폰 보안 접근법의 문제

 

첫째, 보안 이슈는 세분화해서 디테일한 분석으로 시작해야 한다. 전혀 다른 이슈임에도 스마트폰이라는 단어로 얼버무려 통칭하는 것을 자주 보게 된다. 이를테면 특정 운영체제(OS) 플랫폼에서만 가능한 해킹 수법을 스마트폰의 취약점이라며 일반화한다. 특정 앱(App)에만 해당하는 보안 이슈를 스마트폰 앱이 위험하다라며 수많은 앱을 의심의 눈초리로 보게끔 만든다. 이러한 이슈 확대는 뉴스거리는 될지언정 대다수 사용자를 불안하게만 할 뿐이다.

 

둘째, 위협(Threat)과 위험(Risk)을 명확히 구분해야 한다. 악성코드와 해킹의 위협이 있다고 해서 모두 위험은 아니다. 운영체제나 애플리케이션 해킹이 기술적으로 이뤄질 수 있다 하더라도 보안 솔루션을 갖추고 사용자의 관리와 제도적인 보완 장치가 있으면 위험은 될 수 없다. 무선 인터넷 해킹 같은 문제는 이미 수년 전부터 나왔던 문제인데 이제 와서 무조건 '위험하다'고만 하면 오히려 대책을 세우는 데 장애가 될 뿐이다. 각종 공격 기법에 대해 일희일비 하기 보다는 사이버 안전을 위한 중심 방향과 로드맵을 가지는게 우선이다. 이를 바탕으로 제도와 정책, 기술과 제품의 접목, 사용자의 책임과 관리, 대응 체제를 포함하는 종합적 시각으로 접근해야 한다.

위협(Threat) vs. 위험(Risk)

 

셋째, 보안 위협은 신속하고 투명하게 소통되어야 한다. “이런 해킹 기법을 나는 잘 알고 있다. 당신은 위험하다라는 식의 막연한 문제 제기는 불안감만 부추긴다. 우리가 살다 보면 불확실할 때 가장 불안하지 않은가? 7.7 디도스 대란이 우리를 불안하게 했던 것도 공격자의 의도를 알 수 없어서 였다. 새로운 위협, 공격 기법, 악성 코드의 정보가 확보되는 순간 불안감은 급격하게 줄어든다. 따라서, 정보의 공유와 소통이 보안 전문가의 덕목이다.

 

일반인들이 이해하기 어려운 기술적 용어로 겁을 주면서 적당히 자신을 과시하는 것은 바람직한 자세가 아니다. 이미 국내에도 실력 있는 보안 전문가와 기업이 많이 있어 그런데 흔들리지도 않는다. 보안은 마케팅 도구가 아니다. 현존하는 위협으로부터 어려움에 처한 이들을 구한다는 사명감의 본질에 충실했으면 한다.

 

보안에 관련된 주체들의 역할 분담 절실

 

스마트폰의 경우 관련 주체가 많다. 사용자, 서비스 사업자, 단말기 공급자, 스마트폰 운영체제 공급자,앱스토어 운영자, 앱 개발자, 앱 서비스 운영자, 광고주, 보안 솔루션 업체, 정부기관 등. 이들이 보안 문제의 원인 제공자가 될 수도 있고, 어느 정도 책임의 범위가 있다. 개인화와 개방형 시대가 되면서 정보 권력이 분산돼 혼란스런 느낌이다. 이럴수록 역할 분담을 명확히 해야 한다.

 

오히려 스마트폰의 문제에 국한해서 보지 말고 컨버전스 플랫폼으로서 태블릿 PC, 전자책, 스마트 TV와 같은 기기, 클라우드, 소셜네트워크와 같은 서비스를 총괄적으로 보는 긴 호흡이 필요하다. 컨버전스가 진행되어 업종 간 경계가 무너지면서 보안 경계마저 희미해지고 있으며 새로운 문제들도 속속 발견되고 있다. 스마트폰 보안의 이슈도 우리 기업과 사회에 미치는 영향의 전반적 틀에서 보는 것이  장기적 해법이다.


신고

7.7 DDoS 대란 1주년에 생각해 보는 3가지 이슈

보안 이야기 2010.07.07 13:49

7.7 DDoS 대란이 난 지 어느덧 1년이 되었다. ‘벌써라는 기분이 들 정도로 바삐 지나간 한 해였다. 사실 그 동안 사회 곳곳에서 이에 대비한 준비도 많이 이루어졌다. ‘디도스’, ‘좀비 PC’와 같은 전문 용어들이 일상 뉴스에 등장할 정도로 인식도 바뀌었고, 기업이나 기관의 최고 경영층도 관심을 기울이기 시작했다. 실질적인 투자와 준비 태세를 잘 마련한 곳도 있다. 허나 아직도 겉치레적인 준비에 머무르거나 아직 지체되어 있는 곳도 적지 않다.

 

게다가, 사이버 공격의 진원지인 악성코드나 위협의 강도도 세진 것이 현실이다. 다음 단계로 진화하고 있는 악성코드를 볼 때에 고민의 무게는 더해진다. 사회공학적 기법은 기본이고, 전문가도 속아 넘어갈 정도로 악성코드의 유형은 교묘해지고 배포 방식은 다각화하고 있다.

 

7.7 DDoS로 인해 언론 출연, 국정감사 증인 출석, CNN의 라이브 인터뷰 등, 기업인으로서는 색다른 경험도 많이 했다. 그러한 활동으로 인해 부러움과 시샘(?)의 눈초리를 받기도 했다. 여러 곳에 불려 다니는 것을 보면 충분히 그런 생각을 할 수 있다. 그러나, 수 차례 외침이 허공 속에서 사라지는 것을 보았을 때의 허탈함은 결코 즐거운 경험이 아니었다.



보안 전문 인력에 대한 논의가 빠지면 소용 없어 


과거부터 보안 사고가 피상적인 문제점만 노출된 채 넘어간 경우를 숱하게 보아 왔다
. 특히 보안에 대한 대비책을 세우고, 모의 훈련을 하고, 새로운 법과 정책을 만들어야 한다는 논의가 활발한 가운데, 정작 이러한 프로그램의 가장 중요한 요소가 빠져 있었다. 바로 보안 전문 인력 부족 문제다. 실제로 일을 할 인력이 없다면 백방의 대책이 무슨 소용이 있겠는가?

 

어떤 IT 기업 임원이 보안 업체들은 괜히 겁 주어서 돈 벌려고 하는 것 아니야?”라고 하자, 그 옆에서 어떤 분은 사고가 나야 보안 업체들이 좋잖아?”라고 맞장구 친다. 그런 광경을 보게 되면 15년을 정보보안에 종사한 이로서 자괴감마저 느낀다.

 

지금 이 순간에도 우리 회사 24시간 관제 센터에서는 분, 초 단위로 침해 위협의 가능성이 있는 이벤트가 티켓 형태로 끊임없이 올라온다. 10년 경력의 악성코드 분석가가 더욱 정교화되어 가는 악성코드에 난감해 하는 모습을 보면 안타깝다. 하도 답답해서 글로벌 기업의 CEO나 경영진도 만나 봤다. 어느 누구도 이제 보안 기술은 어느 정도 안정화되었다라고 하는 이들은 없다. 악성코드에 대비하는 기술과 아키텍처를 위해 끊임없이 투자하고 연구하는 이유가 여기에 있다.

 


7.7 DDoS 1주년을 맞이해서 키워드가 될만한 3가지를 생각해 보았다.

첫째, 보안 위협은 진행형이다. 이미 사이버 위협은 범죄 행위의 영역으로 들어갔다. 테러, 공격, 협박, 사기, 도둑질 - 모두가 범죄 용어 아닌가? 역사적으로 어느 누구도 범죄 행위의 발생 자체를 막을 수는 없었다. 범죄를 줄이기 위한 법과 제도, 교육은 가능해도 범죄는 인류 역사상 영원히 같이 가야 할 숙제다. 오히려 기술이 발달하고 복잡다단한 사회가 될수록 더욱 지능화되고 조직적 형태를 띄는 것이 범죄의 속성이다. 따라서, ‘이제 디도스는 해결되었다라는 표현은 적절치 않다. 아무도 그런 단언을 할 수는 없다. 기술, 프로세스, 사람의 측면에서 항상 준비하는 자세가 필요하다.

 

둘째, 사이버 공간에서도 일반 사회 생활과 같은 인식이 필요하다. 우리가 살고 있는 사회에는 우범지역도 있고 소매치기도 있다. 법과 제도도 중요하지만 시민 의식이 받쳐주어야 한다. 소매치기로부터 자신의 지갑이나 가방을 지키는 심정으로 사이버 위협으로부터 자신의 PC를 다루면 안 될까? 우범지역을 피하듯이 검증되지 않은 사이트나 콘텐츠를 피하면 안 되는가? 자동차를 가지고 일반 도로에 나오는 마음가짐으로 PC를 통해 인터넷에 들어가면 안 될까? 이미 인터넷은 일반인에게 보편화된 지 오랜 세월이 흘렀고 그 가운데 사이버 위협은 우리 생활 속의 한 요소다. 이를 백분 인정하고 스스로를 지키는 시민 의식이 아쉽다.

 

셋째, 보안 전문가가 인정 받아야 한다. 현재 발생하는 악성코드는 10-20년 전 컴퓨터 바이러스 잡던 시대와는 양적으로나 질적으로 차원이 다르다. 돈을 벌기 위해 혈안이 된 프로 해커들이 악성코드를 만들고 있다. 신형 악성 도구를 유통시키고 청부 공격도 자행한다. 가짜 백신은 웬만한 소프트웨어보다 더 많은 다국어 버전으로 제작되고 있다. 그만큼 암시장이 형성되어 있다는 얘기다. 프로의 상대는 프로일 수 밖에 없다. 그래서 보안에서 스페셜리스트의 역할과 존재가 아주 절실하다. 우수한 보안 전문가를 얼마나 보유하고 있는가가 우리 사회의 사이버 안전도의 척도다.

 


안타깝게도 보안 인력이 되고자 하는 이들은 계속 줄고 있고, 기존 인력들마저 보안 전문가의 길을 떠나고 있다. 아주 심각한 상황이다. 내가 어느 회의에 가든지 한 가지만 얘기하라면 서슴지 않고 보안 전문가의 부족 사태를 꺼낸다. 보안의 중요성을 외치는 수많은 추상적 논의보다 1명의 스페셜리스트가 더 소중하다. DDoS 1년이 지나는 시점에 여전히 아쉬운 부분이다.

IT는 이제 스마트폰, 컨버전스, 클라우드, 소셜네트워크로 지축이 바뀌는 패러다임 변화를 겪고 있다. 그럴수록 인터넷을 중심으로 한 개방형 환경은 사회적 인프라가 될 것이다. 보안은 그 속에서 신뢰와 안전이라는 틀을 지키는 핵심 요소다. 그런 점에서 실력을 갖춘 보안 전문가는 이 사회에 여러 형태로 공헌한다고 확신한다. 가장 큰 투자는 사람에 대한 투자임을 다시 한번 진지하게 호소한다. Ahn


신고

어설픈 기술 논의가 보안에 부적절한 이유

보안 이야기 2010.04.07 13:13

허탈하게 뚫린 보안 체계

한국의 어느 대형 병원에서 있었던 일이다. 진료 업무를 돕기 위한 새로운 진료 시스템 개발을 마치고 소프트웨어 업체는 시연을 준비하고 있었다. 병원에서 환자의 병력은 아주 민감한 사항이라서 프라이버시가 절대적으로 요구된다. 당연히 보안에 대한 요구 사항이 아주 높았다. 이 회사는 이 시스템이 난공불락이라는 점을 입증하기 위해 개발에 심혈을 기울였고, 데모를 위해 만반의 준비를 마쳤다.


의료정보화현장 (출처: MCC 홈페이지)

그러나, 그런 호언장담은 데모를 시작한지 5분만에 깨지고 말았다. 어느 젊은 의사가 디지털 카메라로 화면을 찍어 버렸고, 모니터에 표시된 그 환자의 차트는 바로 그 카메라 이미지로 저장되었기 때문이다. 같이 참관하던 나이 드신 교수님들도 어이없다는 표정이었다. 자신들이 전혀 생각하지 않았던 경로로 정보가 유출되자 그 업체는 당황함이 역력했다.

아마 이 소프트웨어 업체는 디지털 정보를 처리하는 모든 과정을 철저하게 분석해서 보안이 잘 되도록 설계했을 것이다. 단지 간과했던 것은 정보 유출이 여러 경로로 이루어진다는 보안적 시각이다. 입체적이고 종합적인 대책이 안 선다면 아무리 훌륭한 보안 제품과 기술로 에워 싼다 하더라도 소용이 없다.

해커는 바보가 아니다. 왜 구태여 어려운 경로로 침입을 하겠는가? 많은 기업의 침해 사고는 PC와 홈페이지에서 집중적으로 이루어진다. 그 이유는 가장 취약한 관문 (weakest link)을 뚫는다는 평범한 인식에서 비롯된다. 최신 해킹 기술을 동원할 필요없이 몇 개의 악성코드를 만만한 PC에 심기만 하면 된다. 아니면 앞의 예에서 보듯이 더욱 직관적인 방법으로 접근한다. 주위에는 이를 가능하게 해 주는 수많은 장비와 기술이 널려 있다.

우리 주변에 있는 수많은 허점들

보안을 너무 기술적으로 편협하게 들여다 보면 숲을 보지 못하는 모습을 종종 보게 된다. 이를테면 우리가 속해 있는 조직에는 수많은 취약점이 존재한다. 내부 조직에 대한 정보는 아주 좋은 도구로서 취약한 것으로 보이는 부서나 개인의 PC를 공략하는 루트가 된다. 그런데, 이러한 조직도 유출은 실무 부서를 통해 나가기 보다, 무심코 사적인 자리에서 고위급 임원을 통해 나가는 경우가 적지 않다.

오늘날 업무상 필수 도구인 PC는 수많은 감염 경로를 지니고 있다. 보통 사람들은 평소 잘 사용하지 않는 수많은 기능과 인터페이스를 갖추고 있다. 사용자의 편리함을 도모하기 위해서다. 그러나, 그러한 목적의 다양한 디바이스와 애플리케이션은 정보 유출의 근원이 되고, 이를 막기 위해 정보 유출 방지용 보안 제품을 도입하고, 이 보안 제품은 사용하기 불편하게 된다. 이러한 악순환은 단순한 기술적 접근에 의존하기 때문이다
.

다양한 감염경로


또한 IT 시스템을 구축할 때 멋있게 보이기 위해 실용성보다 화려한 포장을 추구한다. 설상가상으로 고객의 요구 사항이 계속 바뀌게 될 경우 프로젝트 시간에 쫓기게 된다. 마감일에 맞추어 겨우 기능은 구현되나 보안 취약점을 그대로 놓아 둔 채 마무리하는 경우가 생긴다. 중요한 데모를 마치면 사후 점검을 해야하겠다는 다짐하지만, 일단 중요한 마일스톤이 지나는 순간 긴장감은 풀어지기 마련이다. 당연히 방치된 취약점은 공격의 타겟이 된다.

아직도 보안 전문가라고 하면 언론이나 영화 속에서 보는 해커들의 모습으로만 생각하는 경향이 있다. 사회와 동떨어져서 컴퓨터만 가지고 파고 드는 이상한 사람으로 묘사된다. 물론 컴퓨터를 좋아하고 파고 드는 집요함은 보안 전문가의 덕목이다. 그러나, 진정한 보안 전문가는 우리의 문화, 업무 환경, 사회적 제도 등에 대해 잘 알고 있어야 한다. 기술적 동향과 비기술적 요소에 대한 입체적 시각이 있어야 종합적 취약점과 위협에 대한 통찰력을 가질 수 있다.

정보 보안이 산업으로 등장한 지 15년. 아직도 보안이라고 하면 기술적 논의가 주를 이룬다. 보안은 이제 응용 단계다. 기술의 차원도, 위협을 바라보는 관점도 달라져야 한다. 보안 대책과 기술에 대한 어설픈 논의는 혼선만 일으키고 막연한 두려움을 불어 넣는다. 실효성이 없다면 사용자만 힘들다. 사용하기 불편한 보안이 가장 위험하다.

 

신고

스마트폰 보안 논의에 대한 기우 몇 가지

보안 이야기 2010.02.17 10:59

스마트폰에 대한 열기가 폭발적이다. 우리 나라에서 너무 늦게 보급되기 시작하다 보니 마치 봇물이 터진 느낌이다. 금년도에 보급되는 스마트폰이 500만대에 이른다고 하니, 작년에 스마트폰이 때이르다며 반대 의견이 있었던 것이 무색할 정도다. 이미 몇 년 전부터 미국의 많은 대학생과 직장인들이 아이폰이나 블랙베리를 들고 다니는 상황에서 너무 글로벌 동향에 대해 무관심했던 것 같다.

 

Application Economy를 설명한 비즈니스위크

스마트폰은 통신업체와 휴대폰 제조업체에 의해 주도되던 산업 구조를 소프트웨어 플랫폼 기반으로 바꾸고 있다. 스마트폰은 애플리케이션 경제(Application Economy)의 한 축을 담당할 패러다임이다. 전화가 잘되는 것보다, 휴대폰 모양이 예쁜 것보다, 내가 필요한 애플리케이션(application)과 콘텐츠를 얼마나 잘 찾아서 활용할 수 있느냐가 주요 관심사다. 겉모양은 휴대전화처럼 보이지만 이를 보는 관점이 바뀌고 있는 현상을 간과해서는 안 된다. 5-10년 후 모바일 기기가 어떻게 사용되고 있을지 자못 흥미 진진하다.

스마트폰의 여러 가지 문제가 얘기되면서 보안에 대해 벌써부터 많은 말이 오고 간다. 새로운 패러다임이 등장하면서 보안 문제가 먼저 제기되는 것은 반가운 현상이다. 1990년대 중반 인터넷 열기 속에 너도나도 홈페이지 제작에 열을 올리던 당시 나는 인터넷 산업에서 보안이 중추적 문제가 될 것이라고 열심히 얘기하고 다녔다. 하지만 글쎄, 중요한 것 같기는 한데 너무 과장하는 것 아니야?” 라고 무시당했던 상황이 지금도 눈에 선하다. 그런데, 최근에는 스마트폰, 스마트그리드, 클라우드와 같은 새로운 IT 패러다임이 나올 때마다 보안은 반드시 준비할 핵심 요소로 간주되고 있으니 격세지감을 느낀.

 

스마트폰 보안에 대한 논의는 현실 가능성에 바탕을 두어야

 

그러나, 한편으로는 보안 문제가 너무 체계를 갖추지 않은 채 제기되는 모습도 적절하지 않아 보인다. 특히 보안에 일가견이 있는 전문가일수록 차분하면서도 내실을 갖춘 논의에 초점을 맞추어야 한다. 앞으로 스마트폰의 용도와 사용자의 행동 방식은 예측하기 어려울 정도로 전개될 것이다. 그런 상황에서 이것이 스마트폰의 보안 문제다라고 단정지을 수 없을 뿐더러, 괜히 스마트폰에 대한 부정적 인식과 편견만 불러 일으킬 수 있다.

 

물론 PC에서의 위협 형태가 스마트폰에서도 비슷하게 발생할 개연성이 크다. 또한 스마트폰 만의 구조적 취약점도 충분히 예견된다. 그러나, 보안 위협은 현실에 바탕을 두고 판단해야 한다. 기술적으로 해킹이 가능하다고 해서 반드시 위협이 되는 것은 아니다. 사용자가 웬만큼 관리하거나 제도적으로 보완된다면 해킹을 해도 실익이 없게 되고, 그렇다면 그것은 더 이상 위협이 아니다.

 

그런 점에서 해킹이 될 수 있다고 소란스러워 하는 것은 별 도움이 되지 않는다. 오픈 소스의 운영 체제나 급조된 애플리케이션을 해킹하는 것은 그다지 뉴스 거리도 아니다. 보안의 범위와 목적을 정해놓지 않은 상태에서 기술적으로 왈가왈부하는 것이 무슨 도움이 되겠는가? 어떤 환경에서, 어떤 애플리케이션을 어떻게 사용한다는 경우에 대한 위협 시나리오를 설정해 놓고 차분히 보안 대책을 논의하는 자세가 바람직하다.

 

스마트폰의 사상에 충실해야

 

Home button의 의미는?

우려스러운 것은 이미 PC와 인터넷에서 익히 알고 있는 보안 제품과 기술을 그대로 스마트폰에 적용하려는 시도다. 물론 보안의 개념은 크게 다르지 않다. 그러나, 고객의 사용 행태를 고려하지 않은 처사는 스마트폰의 본질적 차이를 무시한 것이다.

이를 테면 스마트폰은 PC보다 상대적으로 적은 컴퓨터 자원으로 동작한다. 반면 모바일 사용자는 PC만큼 인내심을 가지고 기다릴 수 없다. “사용 중 잘 모르겠으면 언제든지 우리의 Home' 버튼을 누르고 스티브 잡스가 홈 버튼의 중요성을 설명한 적이 있다. 이 버튼을 가장 접근하기 좋은 위치에 놓은 것은 모바일 사용자의 조급성과 불안함을 해결해 주기 위한 최소한의 배려다. 일종의 스마트폰의 사상에 충실한 조치라고 할 수 있다.

그런데
, 보안 문제로 사용자가 불편함과 인내심을, 그리고 기술적인 마음가짐을 강제적으로 갖추기를 요구한다면 보편화를 모토로 한 스마트폰 사상의 틀은 깨진다.

 

또한 기술이 적용된 후의 서비스 인프라는 고려하지 않는 경향이 있다. 소프트웨어는 하드웨어와

스마트폰에 최적화된 기술이 되어야

달리 고객에게 상품이 전달된 순간부터 고객과의 교감이 시작된다. 업그레이드, 버그 수정, 확대된 기능, 보안 패치 등. 그런데, 일단 돈만 된다면 출시하는데 급급해서 무늬만 소프트웨어인 상품이 범람하지 않을까 우려된다.

검증되지 않은 소프트웨어가 쏟아져 나올 때 그 피해는 고스란히 사용자에게 간다. 이미 PC에서도 스파이웨어나 애드웨어처럼 동작하는 허위 제품이 무수히 거래되고 있다. 소프트웨어 간의 충돌로 인한 장애, 보안성의 결여로 인한 정보 유출 등 상품화 단계에서 걸러져야할 문제는 한 두개가 아니다. 홍수처럼 몰려오는 애플리케이션이 전문성과 검증성, 신뢰성에 기반하지 않는다면 앱스토어도, 스마트폰도 모래 위에 지은 집과 같다. 스마트폰 산업은 소프트웨어와 콘텐츠의 생태계가 신뢰를 바탕으로 굳게 서야 한다.

 

스마트폰의 핵심은 애플리케이션 산업이고 이를 받쳐주는 것은 소프트웨어 플랫폼이다. 정보 보안은 바로 이 소프트웨어 플랫폼에 녹아 들어야 한다. 이 플랫폼을 어떻게 설계하고 어떻게 공유하느냐에 따라 많은 보안 문제를 구조적으로 줄일 수 있다. 지혜를 모아서 안전하면서도 사용하기 편리한, 그러면서 글로벌 시장의 표준에 부합하는 방향으로 설계해야 한다. 보안은 그러한 프레임워크(framework)의 한 요소가 될 것이다.

 

스마트폰의 킬러 소프트웨어가 게임, 인터넷 금융, 소셜 네트워크 같은 것이 될 것이라고 한다. 아울러 기업 사용자는 업무 용도로 많이 사용하게 될 것이다. 이런 소프트웨어를 아우를 수 있는 골격의 설계가 필요하다. 이런 골격과 플랫폼에 보안의 개념이 자리잡아야 한다.

 

급속도로 성장하는 정보화 물결 속에 수많은 IT 패러다임들이 생성되고 소멸되었다. 시장의 활성화를 위해 어느 정도의 들뜸도 나쁘지는 않다. 그러나, 보안과 같은 규제적 요소가 너무 무성하게 논의되면 초점을 놓칠 수가 있다. 보안 문제는 전문가의 시각으로 내부 구조를 바라보는 신중함과 통찰력을 가졌으면 한다. 정보 보안은 IT를 편하고 안전하게 이용할 수 있도록 도와주는 조연의 역할에 충실해야지 무대 전면에 나서는 주연이 되는 것은 바람직하지 않다.

 

 


신고

CEO의 보안 인식이 조직의 보안수준이다

보안 이야기 2009.10.23 08:23

영화나 소설을 보면 정보나 물건을 탈취하기 위해서 잠입을 하는 장면이 종종 등장한다. 그런데, 당연한 얘기지만 정문을 공략하는 경우는 거의 없고, 감시의 사각 지대인 빌딩 공간의 허점을 활용하거나 내부인을 매수하는 방법을 구사한다.

 

사이버 공간에서도 마찬가지다. 해커는 구태여 철통 같은 네트워크 정면을 뚫지 않는다. 그 조직의 가장 취약한 홈페이지나 PC를 점거하는 우회 침투 공격을 취한다. 최근에는 특정 웹 사이트에 들어가기만 해도 악성코드에 감염될 수 있다. 온갖 화려한 웹과 소프트웨어 기술이 사용되는 대가로 우리 PC는 더 많은 위험에 노출되어 있다고 할 수 있다.

기업내 PC의 위협 환경


입체적으로 취약점을 파고드는 사이버 공격

이제 바이러스로 대표되던 악성코드는 완전히 다른 모습으로 변했다. 과거에 자기 과시를 위해 불특정 다수에게 보내던 바이러스는 낭만적으로 느껴질 정도다. 오늘날 악성코드는 사이버 범죄를 위해 치밀하게 설계되며 특정 목적을 염두에 두고 해커가 직접 제작한다.

 

온 나라를 떠들썩하게 했던 7.7 디도스(DDoS) 대란만 해도 해커가 일반인의 PC를 자신들의 무기로 탈취한 행위다. 마치 아무 죄 없는 민항기가 탈취되어 세계무역센터 빌딩을 폭격한 9. 11 테러처럼 7.7 디도스 공격도 해커에 의해 조종된 PC4일 간 사이버 테러를 감행했다.

 

그런데 한 가지 주목할 것은 해커가 IT 인프라를 공격하는 데 필요한 정보를 IT 인프라를 통하지 않고도 얻을 수 있다는 사실이다. 이를테면, 조직의 내부 정보를 통해 보안에 취약할 것 같은 특정 PC와 사용자를 미리 파악하는 것이다. 그렇다면 이런 고급 정보는 어디에서 얻는가? 내부 정보는 대부분 공식적인 통로가 아니라 내부자에 의해 유출된다. 가령 어느 임원이 무심코 친구나 선후배에게 알려준 회사의 조직도가 바로 사이버 공격의 시발점이 될 수 있는 것이다. 정보 보안이 IT 부서만의 문제가 아니라는 점을 시사하는 대목이다.

 

예외가 많은 정책은 실효성이 떨어져

그런가 하면 조직에서 정보보안 정책이 예외 없이 적용되느냐도 중요하다.어느 대기업에 정문을 통해 들어가려면 무척 까다로웠는데 고위급 임원과 같은 차를 타고 들어가니 무사 통과하더라라는 경험담을 들은 적이 있다. 이는 인정상 감히 보안 정책을 들이댈 수 없는 조직 문화 속에서 드러난 단상이다. 아무리 보안 정책을 잘 만들었더라도 예외가 많이 발생하면 그 정책의 실효성은 떨어진다.

말콤 글래드웰의 저서 아웃라이어에는 괌에서 사고가 난 국내 항공사의 이야기가 나온다. 2명의 조종사를 배치하는 것은 서로를 견제해서 바른 결정을 하게 하려는 취지다. 그러나, 인간적으로 냉정하게 이견을 달 수 없는 문화적 환경에서는 그 취지대로 실행되기 어려우며, 괌 사고의 원인 중 하나도 그것이었다고 이 책은 지적한다.


정보 유출은 끊임없는 숙제다
. IT 기술을 통한 정보의 활발한 소통은 조직의 경쟁력을 위해서 당연하다. 그러나, 보안에 관해서는 투명하게 소통이 안 되는 경향이 있다. 추상과 같은 규율과 명령이 과도

하면 문제를 덮고 은폐하게 된다. 따라서, 보안이 중요하다는 인식을 조직의 문화 속에 자리잡게 하는 노력이 중요하다. 각자 노출된 문제점을 솔직하게 논의하고 예외없이 준행할 수 있어야 실용성이 높은 대책이라고 할 수 있다.

그런 점에서 보안의 실행력을 좌우하는 것은 최고 책임자의 리더십이다. 윌리엄 파렛은 위기의 CEO’에서 “CEO와의 대화 속에서 보안이라는 단어가 반복되는 것은 놀라운 일이 아니다. 기업의 총체적인 리스크 관리와 정보 보안은 CEO의 몫이다라고 설명한다 


회사의 자원을 종합적으로 동원하고 관리하는 권한은
CEO에게 있기 때문에
보안은 그 조직의 최고 책임자가 주도해 종합적으로 제시하고 관리해야 한다. 최고 책임자의 보안 인식은 그 조직의 보안 수준에 막대한 영향을 준다.

 

사이버 공격이 입체적으로 전개되는 상황에서 정보 보안은 IT 부서만의 업무도 아니며, IT만의 문제도 아니다. 조직 문화, 임직원의 인식, 조직 외부와의 정보 채널, 업무의 효율성과 관련이 있다. 정보가 조직의 자원과 융합되는 총체적인 관점으로 정보 보안을 바라보는 인식이 절실하다.

(10월 20일 중앙일보 시론)
신고

안철수연구소 CEO가 바라본 DDoS 대란 (2) : DDoS 공격의 성격

보안 이야기 2009.07.16 11:54

“DDoS를 완전히 막을 수는 없는 것인가?” 이런 질문을 많이 받는다. 혹은 “DDoS는 일시적으로 트래픽이 폭주할 뿐인데 왜 그렇게 호들갑인가?” “DDoS는 기술적으로 단순한 원시적 공격일 뿐이다라는 얘기도 들린다. 문제의 본질적 요소에 대해 공감대가 없다 보니 이런 대화가 오고 가는 것 같다.

 

DDoS 성격에 대한 논란

 

잘 알다시피 DDoS공격이라는 것은 악성코드에 감염된 컴퓨터들이 특정 시간대에 특정 웹사이트나 서버로 수많은 접속을 시도하도록 해서, 해당 웹사이트나 서버가 정상적인 서비스를 하지 못하도록 하는 것을 말한다. 그러면, 일반적으로 웹사이트가 트래픽 폭주로 마비되는 것과 차이는 무엇인가?

 

KBS 긴급 좌담회에 나가서 다음과 같은 예로 설명해 보았다. “DDoS의 현상만 보면 추석 연휴의 기차표를 인터넷으로 예매하기 위해 예매 게시 시간에 많은 사람들이 한꺼번에 접속을 해서 예매 사이트가 마비되는 것과 같다. 그런데, 차이라면 사람들이 직접 사이트를 접속하는 것이 아니라 악성코드에 감염된 컴퓨터들이 스스로 또는 원격 조정에 의해 접속한다는 것이다.”

 



우리가 어떤 연예인 홈페이지에 폭주하면, 그냥 즐거운 비명이나 한 때의 해프닝 정도로 생각한다. 그래서 혹 홈페이지가 다운되거나 느려지더라도 사회적 문제로 생각하지 않는다. 그러나, 원격에서 조정되어 악의적 의도를 가지고 이런 행위를 하면 범죄가 된다. 그러니, 트래픽 폭주의 현상만 보면 위의 두 가지 경우가 같은 것으로 보이고 그래서 괜히 난리라는 생각을 가질 수 있다. 그렇지만, 그 원인을 규명해 보면 DDoS 공격은 명백한 사이버 테러 행위다.
 
 

사실 금전 탈취를 위한 DDoS 공격은 이미 오래 전부터 빈번히 발생했다. 너무나도 극성을 부려서 밤 근무를 하는 우리 회사의 관제센터 요원들은 야참을 먹지 못할 정도다. 일반적으로 DDoS 공격은 내부를 해킹하는 행위에 비해 기술적 난이도가 낮다고 간주한다. 구태여 힘들이면서 내부로 침투하기 위해 애를 쓸 필요가 없이, 밖에서 서버를 다운시켜 돈을 달라고 협박하는게 공격 측면에서는 아주 효율적이다. 그래서, DDoS 공격은 원시적 공격이라고 평가절하하는 것이다.

 

그러나, 이번 공격의 형태는 좀 특이하다. 그런 점에서 기존의 특정 사이트를 상대로 한 DDoS 공격과 같은 부류로 보는 것은 적합하지 않다. 그 특징은 다음과 같이 요약된다.


1. 동시 다발적으로 잘 알려진 여러 사이트를 공격했다.

2. 한국 사이트에 대해 24시간 단위로 공격 목표를 바꾸어 갔다.
(외국 사이트 공격은 시간 단위가 여러 행태로 다르다)

3. 공격을 마친 후에는 어떤 조건이 맞아 떨어지게 될 경우, 예를 들어 특정 파일을 다운로드 받고 일정 시간이 되면, 스스로 자폭하는 구조를 가지고 있다.

4. 공격자의 의도가 알려지지 않고 있다


의도를 몰라서 더욱 두렵다

 

영화에서 보면 테러범들이 일부러 자신의 의도를 숨기곤 한다. ‘다이하드 3’에서 주인공 맥클레인(브루스 윌리스 역)형사에게 사감(私感)이 있는 것처럼 퀴즈를 내서 테러범은 경찰을 우롱한다. 그러면서 지하철을 폭파하기도 하고, 엉뚱한 곳에 폭탄을 숨겨 놓은 것처럼 흘려서 경찰을 뉴욕 각처로 분산시킨다. 정작 목표는 방어가 허술해진 월스트리트에서 금괴를 훔치는 것이었다. 이와 같이 테러범의 의도를 모를 때 우왕좌왕하게 된다. 이번 사태가 당혹스러운 이유는 범죄자의 의도를 모른다는 것이다.

 

방송통신위원회에서 기자회견을 마치고 나오는데 어떤 기자가 쫓아 나와서 혹시 안철수연구소의 보안 전문 분석 요원들을 여기에 전념하게 해서, 주의를 다른 곳으로 돌리는 것 아닙니까? 엉뚱한 곳에서 사고를 일으킬 목적으로..”라는 질문을 받았다. 나도 거기까지는 생각하지 못했었다. 그러나, 다행히 우리 ASEC(안랩시큐리티대응센터; 안철수연구소의 악성코드 분석대응 조직) 직원들은 기존 업무를 병행하면서 했고, 그렇기 때문에 더욱 밤샘작업이 많을 수 밖에 없었다. 앞으로 이런 점도 고려해야 한다는 인식을 하게 되어, 그 기자에게 감사한 마음이 들었다. 우리뿐만 아니라 전국적인 보안 전문 인력은 여유 인력까지 충분히 갖추어야 한다는 생각이다.


악성코드의 성격과 공격 주체에 대한 논의  


이번 사태는 명백한 범죄 행위고, 뚜렷한 목적을 가지고 치밀하게 계획되었다. 그런 점에서 인터넷 웜이 서버의 취약점에 의해 급격하게 퍼진 1.25 인터넷 대란과는 전혀 성격이 다르다. 오히려 2000년 초에 CNN, Yahoo 등 글로벌 포털 사업자들을 상대로 했던 해커들의 DDoS 공격과 성격이 비슷하다.

 

누가 이런 범행을 저질렀는지에 대해 가장 많은 질문을 받게 되는데, 민간업체인 안철수연구소로서는 추적할 수사권도, 법적 권한도 없다. 추적할 만한 사이트는 한국에서 원천적으로 차단된 상태였다. 이는 당연히 정부 기관의 고유 업무다.

 

또한 해커의 기술적 능력에 대해 많이 물어 온다. 어떤 이들은 아주 초보적이라고 격하시키기도 하고, 누구는 고도의 기술을 가진 해커라고도 한다. 그런데, 앞서 설명한 이번 공격의 특징만 보아도 단순 해커의 소행으로 보는 것은 적절치 않다.




이번 공격에 사용된 악성코드는 최근 공격에 사용되고 있는 다른 악성코드의 구조와 유사하다. 즉 몇 개의 모듈로 구성되어 있어 각각 본연의 임무를 수행하게 되어 있다. 단지 차이가 있다면, 보통 이러한 공격은 원격에서 명령을 받게 되어 있는데, 이번 경우는 언제 누구에게 공격을 감행한다는 스케줄러(scheduler)타겟 리스트가 있다. 시시각각 원격에서 조정해서 추적당하는 것보다 해당 리스트를 별도로 구성해 다운로드 받게 하여 공격자가 원하는 목적을 이룰 수 있게 한 것이다.


이번
DDoS 대란으로 일반 PC가 사이버 공격의 무기로 사용될 수 있다는 점을 온 국민이 알게 되었다. 마치 미국에서 발생한 9. 11 테러에서 아무 죄없는 민항기를 탈취해서 공격 무기로 사용한 것처럼, 해커가 PC의 소유권자인 사용자의 허가없이 PC를 탈취해서 자신의 공격을 위해 악용한 것이다.

이렇게 전국민의 PC까지 악용되는 현실에서도 우리는 가슴앓이만 한다. 문제는 근본적인 대책의 알맹이가 빠져있기 때문이다.

(다음 회에 계속)  



 
신고

안철수연구소 CEO가 바라 본 DDoS 대란 (1)

보안 이야기 2009.07.15 11:30

마치 쓰나미가 밀려왔던 것처럼 DDoS 대란은 우리를 몰아쳤다. 주말의 대응 체제를 마무리하고 나서 기자 회견과 내부적인 마무리를 하고 나니, 순간 기가 쭉 빠져 나가는 느낌이었다. 집으로 돌아오면서 운전하는데 여러 생각에 혼란스러웠다. 잠을 제대로 자지 못한 탓에 피곤함은 이루 말할 수 없었음에도 잠이 오지 않았다.

 

일본 출장 중에 이 소식을 접하게 되었고, 비행기를 타고 오는 내내 불길한 예감이 들었다. 아니나 다를까 수요일 오후에 귀국해서 회사로 돌아오는 도중 모 일간지 기자와 전화 인터뷰를 하면서 나의 DDoS 여정은 시작되었다.


신속한 정보 공유가 위기에 대응하는 핵심


국민적 관심사이다 보니 회사가 많은 언론에 노출되는 계기가 되었다
. 나는 개인적으로 TV 방송 인터뷰를 아주 싫어한다. 짧은 몇 초의 시간에 적합한 말을 찾아 표현하는 것은 스트레스 받는 일이다. 그러니, TV 인터뷰를 하고 나면 항상 찝찝하다. 게다가 피곤해서 푸석푸석한 얼굴을 TV에 내보이는 것도 유쾌하지는 않다.

 

그럼에도 불구하고 정보를 정확히 알리고 추가 피해를 막는 것이, 더 나아가 보안 인식이 개선되도록 알리는게 보안업체 CEO인 나의 소임이라고 항상 생각해 왔기에 나름대로 최선을 다했다. 이런 위기일수록 침착하고 명확한 커뮤니케이션이 이루어져야 한다는 게 여러 번의 사고로 얻은 교훈이다. 모든 위기 대응의 기본이 신속한 정보 공유가 핵심이라는 것은 역시 진리에 가깝다.

 

이번 DDoS 공격에 대응하느라 연구원들을 비롯한 전직원들이 잠도 못자고 밥도 제대로 먹을 시간이 없었다. 게다가 밀려드는 국내외 언론들의 취재 요청을 소화하기도 힘들었다. 이번 대란 기간 내내 수많은 취재 요청으로 회사가 북새통이었으나 언론의 사명도 이해하기에 가능한 언론 요청에 응대를 했다. 한번은 방송통신위원회에 회의를 하러 갔다가 기자 브리핑 룸에 끌려 내려가기도 했다. 그 곳에서 기자들의 질문에 몇 가지 답했던 장면이 9 TV 뉴스에 톱으로 나왔다는 사실을 듣고 적지 않게 당황했다. 어쨌든 내 생애에 그렇게 짧은 시간에 가장 많은 언론 인터뷰를 한 적은 없었다.

 



연일 역시 안철수연구소라는 칭찬 일색이었다. 물론 안철수연구소의 직원들은 자기 희생을 무릅쓰고 열심히 했다. 어떤 직원이 우리가 마지막 공격을 예측한 것을 보고 우리 스스로의 실력에 뿌듯했다고 하는데, 나도 같은 기분이었다. CNN 인터뷰에서 앵커가 그렇게 빨리 해독한 것에 대해 가장 신기해 했다. 누가 시키지도 않았는데 스스로 일을 찾아 일사불란하게 움직이는 직원들을 보면서, 이들과 같이 일한다는데 무한한 자부심을 느낀다.
 
 

정부의 전문가들에 대한 인색한 평가

 

그러나, 한편으로 마음이 무거웠다. 실제로 정부 기관에 있는 전문가들, 특히 국정원과 한국정보보호진흥원의 직원들도 밤새 우리처럼 열정을 바쳤음에도 정반대의 평가, 오히려 지탄을 받는데 대해 안타까움을 금할 수 없었다. 악성코드가 마지막으로 파일을 파괴한다는 것을 밝힌 것은 우리였지만, 그것이 12시일 수 있다는 단서를 제공한 것은 국가사이버안전센터였다. 그럼에도 불구하고 상대적으로 정부 기관이 비판을 받는 것은 아마 세금을 받는 국가 공무원들에 대한 잣대가 민간기업과는 다름을 인식할 수 있다. 어쨌든 주어진 상황에서 음지에서 최선을 다했던 정부 기관의 보안 담당 전문가들에게도 격려의 박수를 보낸다. 적어도 우리는 그들의 수고를 안다. 이번 사태로 나타난 조직 구성과 프로세스와 같은 구조적 문제점에 집중해야 우리가 진정한 해결책을 얻을 수 있다.

 

사실 일반 사용자의 PC가 해커의 무기로서 사용된다는 것은 어제 오늘의 일이 아니다. 이런 형태의 DDoS 공격과 금전을 목적으로 한 사이버 범죄는 IT 현장에서 비일비재로 발생하곤 한다. 보안전문가에게는 매일 매시간이 전쟁 그 자체다. 몇 년 전부터 현장에서 이를 피부로 느끼기에 현재의 위협과 공격 양상은 너무나도 심각하다고 수차 경고해 왔다. 정보 보안 분야에 종사한지 꽤 오래되었지만, 지금처럼 위험한 불구덩이 가운데 산 적은 없었다.

 


우리는 어떤 사고가 터지면 들썩거리곤 한다. CIH 바이러스 사고가 났을 때, 1.25 대란이 터졌을 때, 개인정보유출 문제가 불거졌을 때 많은 이들의 보안 인식이 바뀔 것으로 기대했다. 2000년 초에 세계를 휩쓴 DDoS 공격은 TV에서 톱뉴스에 정보 보안이 등장하는 계기였고 100개가 넘는 보안 업체가 생길 정도로 거품이 심했다. 그 외에도 크고 작은 사고는 빈번히 발생했다. 그러나, 보안 대책과 투자, 그리고 사용자의 인식은 항상 크게 부족했고 이번에도 보기 좋게 당했다. 이런 사건이 한번 휩쓸고 나면 허탈감에 빠지곤 하는데, 이번도 예외는 아니었다.

사태의 본질을 인식하고 실질적 대책을 실행해야

남의 속도 모르는 이들은 "보안업체는 이런 사고가 펑펑 터져야 좋은 것 아니야?"하고 부러움의 눈길을 보낸다
. 주가도 상종가를 치고, 주문도 크게 늘것 같고, 속된 말로 언론에서도 뜨고  주가 문제는 단기적인 관심에 그칠 뿐이었고, 실제 비약적인 매출 상승을 경험한 적은 별로 없다. 만일 그랬다면 왜 보안업체들이 이렇게도 열악한 상황이며, 뛰어난 인재들이 보안 업계를 떠나겠는가? 또한 3자의 눈에는 언론에 비치는 모습만 보면 부럽게 보일 수도 있다. 솔직히 아무것도 모르던 젊은 사업가 시절 그런 기분에 우쭐하기도 했던 못난 나를 발견하게 되니까.

그러나, 정보 보안에 15년 가까이 몸담아 온, 소위 보안 1세대라고 불리우는 나에게는 이런 들썩거림이 결코 즐겁지가 않다. 여러 번 같은 말을 해도 반영이 안 되고 또다시 사건이 발생하게 되면 착잡한 기분밖에 들지 않는다. 보안의 중요성을 알리기 위해 여러 곳에서 발표를 통해 실상을 알리고, 회의도 셀 수 없을 정도로 참여하고, 직원들과 머리를 싸매고 연구해온 결과가 이렇게 나타나니 참담한 심정이다. 아무 것도 할 수 없었다는 무력감이 나의 지금의 심정을 나타내는 가장 적합한 표현이다.

 


사고가 터지면 문제의 근본적 원인은 외면한 채, 피상적인 면만 보고 시끄럽다가 잠잠해지곤 했다. 이번 사건 과정에서도 여러 사람, 특히 기자와 정부 관계자들을 만나다 보니 문득 떠오르는 장면이 있다. 나는 가만히 앉아서 같은 말을 하고 있는데, 마치 내 앞에 앉은 분들이 계속 파노라마처럼 바뀌어가는 광경이 전개되는 느낌이다. 그들은 보안 담당을 길어야 2-3년 할 뿐이다. 담당자가 바뀌어 새로운 이들이 오면 무엇이 문제인지 다시 쉽게 설명해 주어야 하고, 그들이 알만 하면 다시 떠나곤 했다.
 

정보 보안에서 무엇이 중요하고 왜 사고가 나는지에 대한 나의 견해는 크게 바뀐 적이 없다. 내가 아니라 정보 보안에 오랜 기간 종사한 분들은 대체로 비슷한 말을 할 것이다. 그러나, 그 말은 듣는 이들을 통해 깊숙이 우리 사회와 문화 속으로 스며드는 것이 아니라, 일부는 씨를 뿌리고 대부분은 연기처럼 날아갔다. 결국 문제의 본질을 정확하게 파악해서 중심을 가지고 실행(execution)을 해야 하는데 항상 논의 과정에서 수그러들었다. 

과거의 경험에 비추어 아마 이번에도 크게 다르지도 않을 것이라고 생각한다. 이미 너도나도 소리 높이던 분위기가 한풀 꺽이는 것을 감지할 수 있다. 제발 이제는 악순환의 고리가 끊어졌으면 한다.


(다음에 이어서 하겠습니다)
신고

실리콘밸리의 연구개발이 사라진 이유

보안 이야기 2009.06.25 06:07

발단(Trigger) V-(2): 글로벌화(Globalization)와 정보 보안

 

실리콘 밸리에서 오랫동안 생활하신 분을 만나서 인상적인 말을 들었다. “최근 5년 간 실리콘 밸리는 크게 변했다. 더 이상 여기는 R&D(연구개발)가 중심이 되는 장소가 아니다. 실리콘 밸리에는 최고 경영진과 마케팅, 사업 개발, 그리고 핵심 기술 설계자(Chief Architect)만 있으면 된다. 아무래도 정보의 교류와 투자(funding), 시장 개척이 이곳에서 이루어지니 IT의 중심 역할은 계속 한다. 그러나, 개발과 생산, 서비스의 대부분은 인도나 중국에서 수행된다.

 

그러고 보니 그 분을 만나기 직전에 방문했던 다른 회사도 분위기는 썰렁했는데, 알고 보니 80% 이상의 개발이 인도에서 이루어지고 있었다. 기업이 비용 효율화를 위해 보다 저렴한 지역을 찾는 것은 당연한 일이지만, 이렇게 R&D의 중심마저 옮겨가는 것은 큰 변화다. 그렇다고 실리콘 밸리가 이제 볼 것이 없다고 생각하면 완전한 착각이다여전히 사업의 핵심 요소, 즉 기술의 소유권, 지적 재산권, 사업 주체, 마케팅, 자금 관리는 실리콘밸리에서 권한을 쥐고 있다. 아니, 더 집중적으로 관리한다고 할 수 있다. 

실리콘밸리 전경 (www.etnews.co.kr)

인도 델리의 벤처 거리 (www.etnews.co.kr)


이러한 글로벌 협력의 현장은 세계 곳곳에서 진행되고 있다. 지난 10여 년 간 중국과 인도의 30억 인구가 여러 형태로 세계 경제 활동에 참여해왔다. 미국에 유학을 가서 미국 기업에 정착한 인력들이 모국(母國)과 좋은 네트워크를 형성해서 프로젝트의 글로벌 재배치를 가속화하고 있다. “핵심(core)은 지키고 핵심이 아닌 업무는 아웃소싱(outsourcing)하라”는 명제가 1990년대 말부터 모든 기업에서 글로벌 재배치를 추진하는 명분이었다.
 

우리 나라도 예외가 아니다. 환율이 높아져도 수출 경쟁력이 바로 살아나지 않는 이유는, 실제로 우리의 기술과 생산의 글로벌 배치가 된 것도 원인중의 하나다. 국내 대기업에서 중소기업에서 납품 받아 완제품을 생산하여 해외로 수출하는 단순 사업 모델은 크게 퇴색했다. IT의 발전으로 디자인은 유럽, 기술 개발은 한국, 생산은 중국, 이런 형식의 글로벌 협업이 가능해졌다. 따라서, 70년대 방식의 수출 개념으로 단순한 환율 정책으로 접근하면 낭패하기 쉽다.

 

경쟁력을 갖춘 나라에 자원을 배치하고 사업을 전개하는 글로벌 사업의 옵션이 보편화 된 것이다. 이런 협업(collaboration)의 성공 여부는 회사 내부적으로, 회사와 협력 업체 간, 회사와 고객 간의 커뮤니케이션 채널과 정보 교류 네트워크에 달려 있다. 당연히 인터넷을 기반으로 한 정보 기술의 활용이 정보 교류를 원활하게 한다. 그러나, 정보 보안 문제는 글로벌 사업의 또다른 리스크가 된.

 

글로벌 협업(Global Collaboration)의 취약점 (1) - 신뢰 지수

 

협력 업체를 선정하는 기준은 무엇인가? 금융 분야에서는 투자 대상을 분류할 때 재무 수준과 신용 이력에 따라 신용 등급을 매긴다. 마찬가지로 업무를 같이 수행하는 협력사를 정할 때에도 신뢰 등급의 기준을 정할 수 있다. 보통 재무 건전성, 거래 이력, 전문성의 수준을 그 척도가 삼는다. 하지만, 최근 반드시 고려해야 하는 요소로 부각된 것이 보안 지수다. 왜냐하면, 협력 과정에서 기업의 중요한 정보가 일정 부분 노출될 수밖에 없고, 이런 정보를 스스로 지킬 수 없다면 굉장히 큰 문제에 봉착할 수 있기 때문이다.

 

기업에서 핵심 업무를 아웃소싱하는 경우는 드물다. 그런데, 문제는 핵심 업무와 그렇지 않은 업무의 경계가 모호하다는 점이다. 업무를 대행하는 인원들이 그 기업에 파견되어 일을 한다면, 다시 말해서 단순히 파견에 의한 용역이라면 문제는 비교적 단순하다. 그러나, 그 업무가 기업 밖에서 이루어지거나 다른 국가에서 하게 된다면 일정 수준 이상의 신뢰가 형성되어 있지 않을 경우 위험성은 증폭된다.

하물며 핵심인
R&D(연구개발)
업무를 비용 절감 목적에서 오프쇼어링(
해외 아웃소싱)으로 처리한다면 보안 리스크는 더욱 커진다.
글로벌 사업이 국내 사업보다 어려운 점은, 서로 얼굴을 맛대어 보지 않고 일을 하기 때문에 탄탄한 신뢰가 받쳐주어야 한다는 점이다. 일단 믿음이 깨지게 되면 계속적인 관계를 가져가기가 힘들다. 또한 서로간의 문화적 차이로 인해 오해가 생길 여지도 크다.


또한 국가의 신인도와 정치적 안정성도 중요하다. 글로벌 기업들은 협업을 국가별로 보안 등급을 관리한다. 예를 들어, 협력하려는 기업의 소속 국가와 외교적으로 어느 정도 신뢰 관계가 형성되어 있는지, 정치적으로 불안하지는 않은지, 사회적으로 범죄 행위의 수준은 어떤지 등 국가의 정치적 상황도 등급을 결정하는 요소가 된다. 이 모두가 보안 리스크를 줄이기 위한 대책이다.


글로벌 사업(Global Business)의 취약점 (2) - 기술 유출

쌍용차 기술 유출 파장 (ecn.co.kr)

특히 M&A나 기업간 제휴, 기술의 이전 같은 기업의 핵심 요소가 다루어질 때 이에 대한 통제는 더욱 어렵다. 조선, 정보통신, 반도체 등 핵심기술의 관리는 국가적으로도 신경을 곤두세우고 있다. 그러나, 자본의 이동으로 글로벌 M&A가 쉬워진 상황에서 국가가 미리미리 통제하는 데는 한계가 있기 마련이다. 자연히 케이스 별로 사후 관리 형태가 되고 있다.

게다가 끊임없이 신기술이 나오고 있고 글로벌하게 여러 회사가 협업을 해야 하는 상황에서, 어디까지를 유출의 범위로 보아야 하느냐에 대해 공감대를 이루는 것도 쉽지 않다. 더 나아가 기술간의 제휴와 교류가 적기에 이루어져야 하는 상황에서 막연하게 보안 가이드라인만을 들이대는 것은 현실성이 떨어진다. 기술 유출의 문제는 기업과 개인의 관계에 근거한 법적 문제이면서, 사안에 따라서는 국가간 외교 문제로 비화할 수도 있다. 앞으로 글로벌 제휴와 M&A에 따른 정보 유출 문제는 더욱 심각해질 것이다. 따라서, 문제 해결의 틀과 국가 내외적으로 조율과 가이드라인이 필요하다.

사업 총괄적 관점에서 보안을 바라 보아야

글로벌 협력과 제휴, 파트너쉽이 활발하게 진행되는 것이 세계적 트렌드다. 이러한 트렌드에 맞추어 기업과 개인, 국가의 역할에 대해서도 변화된 인식이 요구된다. 신뢰 지수와 정보 유출이 정보 보안 관점에서 사업의 중요한 리스크가 되는 이유가 여기에 있다.

신고

CEO인 내가 직원 신혼여행지를 묻는 이유

보안 이야기 2009.06.11 11:49

IT로 인한 글로벌화가 일으킨 산업 구조의 변화

발단(Trigger) V-(1): 글로벌화(Globalization)

 
달라진 여행 풍속도

결혼하려는 직원이 청첩장을 들고 올 때마다 신혼 여행은 어디로 가느냐고 물어보게 된다
. 예상은 하였지만 요즈음 거의 대부분의 선택은 해외이다. 우리 시대에는 제주도가 최고의 신혼여행지였다. 그것도 경주, 부산에서 업그레이드된 신상품이었다. 단지 경제적인 문제가 아니라 돈이 있더라도 해외에 나가는 자체가 쉬운 일이 아니었다. 6~70년대에 유학 시험이라는게 있었다고 얘기하면 요즘 젊은이들은 어리둥절할 정도니까..

제주도

괌(lesvacances.com)

몰디브(daekyotour.com)


90년대 초반부터 괌, 사이판이 신혼 여행지로 부상하더니, 요즈음은 몰디브, 터키, 그리스와 같이 거리도 멀고 개성이 강한 장소로 점점 확대되고 있다. 신혼여행지도 3세대(3rd Generation)로 진화했다. 그 이유가 단순히 경제적 여건이 나아져서 그런 것만은 아닌 것 같다. 인터넷을 통해 여행 상품을 잘 기획하면 효율적으로 갈 수 있는 세상이 되었고, 세계가 하나의 지구촌이 되어가고 있기 때문이다.

즉, 인터넷으로 사전 조사해서 저렴한 가격의 상품(비행기 티켓, 숙박, 가이드)을 선택하는 세상이 되었다.
바야흐로 글로벌 시대를 맞이한 여행 풍경이다. 이제는 여행이 미지의 세계를 가서 발견하는 것이 아니라, 인터넷과 TV를 통해 사진으로 본 풍경을 직접 체험하고 확인하는 형태로 여행의 개념이 달라졌다.


글로벌 시대가 되면서 큰 영향을 받은 산업 중의 하나가 여행 비즈니스다. 어떤 여행사 사장과 얘기를 할 기회가 있었는데, 80년대에는 서울에서 LA로 가는 항공권을 10장 팔면 1장 정도가 남는 장사였다고 한다. 그런데, 여행이 더욱 활성화되면서 오히려 마진은 줄어들어 이제는 1장 팔면 5-10불 정도 겨우 남는 장사라고 한다. 항공사와 고객 사이에서 유통 마진을 챙기는 것은 가치(value)로 인정받지 못한다는 것을 의미한다.

게다가 과거에는 여행 가이드로 많은 이익을 올릴 수 있었는데, 이제는 인터넷을 통해 여행자가 더 정보력이 뛰어나다 보니, 여행사만의 부가가치를 창출할 여지가 없다고 한다. 그나마 남은 장사는 아직 인터넷을 잘 사용하지 못하는 나이든 분 들 상대로 한 여행 패키지 정도라고 한다. IT의 발전을 통한 글로벌화가 가져온 혁명적 변화의 한 단면이다.

글로벌화의 진통은 경제 구조의 개편을 요구

최근 금융 위기로 세계 경제가 힘들다. 는 실물 경제가 어렵게 되고 금융이 서로 얽히게 된 주요 원인이 글로벌화의 진통 때문이라고 해석한다. 중국과 인도를 비롯한 수많은 인구들이 산업 인력으로 참여하게 되면서 자원의 배치가 글로벌화했다. 아웃소싱(Outsourcing)이 국가를 벗어나 오프쇼어링(Offshoring)으로 발전한 것이다.

경제권이 분산되면서 돈의 흐름도 이익을 좇아 글로벌하게 움직인다. 과거의 모델과 틀로서는 불확실한 변수가 너무 많아 금융 전문가들도 혼란스러울 수밖에 없다는 생각이 든다. 금융 상품의 파생 상품이 기하급수적으로 늘어났기 때문에, 문제가 생겼을 경우 그 파급 효과의 규모는 물론, 세계 어디에서 어떤 은행이나 금융사가 피해를 입게 될지 가늠하기가 힘들어졌다. 최근의 금융 위기는 현재의 금융 구조가 얼마나 복잡하게 얽혀있어서 결정적 취약점을 지니고 있는 가를 적나라하게 노출시켰다.

 

글로벌하게 커플링(coupling)된 산업 구조는 우리의 머리를 혼란스럽게 한다. 언제부터 미국의 의회가 자동차 산업을 구제하는지 여부에 따라 우리 증권 시장이 요동치게 되었는가? 아침 뉴스의 헤드라인은 밤새 미국과 유럽의 분위기가 어떠했는가로 장식된다. 밤과 낮을 번갈아가며 뉴욕, 런던, 동경, 서울의 증권 시장은 맞물려 돌아가고 있다. 자금이 실시간으로 글로벌하게 움직이고 있기 때문이다.


인터넷은 부와 권력을 변화시킨 엔진

클라이드 프레스토위츠는
부와 권력의 대이동에서 글로벌 사회의 경제적 함의를 다음과 같이 설명하고 있다. “지구 반대쪽 사람들이 바로 같은 거리에 사는 사람들만큼 가까워졌다. 그러한 사람들의 존재는 두 가지 면에서 주목해야 한다. 첫째, 그 수가 엄청나다는 것, 둘째는 그들 모두가 허기진 상태라는 것이다. 글로벌 경제 시스템이 시대를 따라잡고 존중받으려는 갈망에 수많은 인원들이 허기져 있다”.
 
당연히 그는 인터넷이 그러한 변화를 일으키는 엔진이라고 간주한다.


정보통신과 IT의 발달은 국가 경제를 글로벌 경제로 탈바꿈시켰다. 여기에 화룡점정(畵龍點睛)을 한 것이 인터넷이다. 인터넷은 정보 교환의 비용을 파격적으로 떨어뜨렸을 뿐만 아니라, 국가의 장벽을 무너뜨리고 시간의 제약을 벗어났다. 이제 해외 출장중이라는 핑계로 사람을 피하는 방법은 통하지 않는다. 지구 어느 곳을 가도 휴대폰이 터지고 인터넷 메시지를 받을 수 있으니까..

IT의 혁신적 발전과 글로벌화는 동의어다. 인터넷과 생태적으로 연관된 정보 보안의 문제의 발단이기도 하다.   


신고

디지털 이민자의 급증과 문제점 세가지

보안 이야기 2009.05.19 12:13

발단(Trigger) IV-(5): 정보의 디지털화와 정보 보안

(전회에 이어서)

디지털 이민자
(Digital Immigrant)
계층이 사회적 다수가 되고 디지털 네이티브(Digital Native)가 사회로 진출해 가면서 많은 변화와 활기를 주고 있다. 예를 들어 오픈 마켓의 성장이나 소셜 네트워킹은 이들에 의해 폭발적으로 성장한 분야이다. 그러나, 예상치 못한 많은 변화와 문제점도 발생하고 있다.


컴퓨터, 인터넷, MP3와 같은 디지털 환경을 태어나면서부터 생활처럼 사용하는 세대(generation)디지털 네이티브(Digital Native), 혹은 디지털로 태어난 세대(Born Digital)라고 부른다. 이와 대비해서 후천적으로 디지털 기술에 적응해 간 세대를 디지털 이민자(Digital Immigrant)라고 부른다. 또한 디지털 문화를 이해하지 못하는 세대를 아날로그(Analog) 세대라고 분류한다.



개인정보보호(privacy), 불법 복제, 유해 정보 등과 같은 문제들이 이미 부각되어 있는 상황이지만, 디지털 네이티브의 속성이 사회의 보편적 현상이 되면서 더욱 복잡한 문제들이 야기될 것이다. 디지털 시대의 개인으로서 올바른 가치관을 정립하고 사회적 공감대를 이루어가는 덕목에 대해 심각하게 고민해야 할 시점이다. 몇 가지 현저한 이슈들을 짚어 본다.

 

냅스터에서 아이튠스로 진화한 디지털 콘텐츠의 유통

 

첫째, 디지털 콘텐츠의 유통 문제다. 디지털 음악에 쉽게 접근하기를 원했던 한 대학생의 흥미가 냅스터(Napster)라는 P2P를 만들어 내었다. N냅스터는 순식간에 MP3 파일 유통을 기하급수적으로 증가시켰고, 음악 CD 판매는 급강하했다. 급기야 음반 제작업체들은 법적 제재에 나서기 시작했다.

사실상 음악을 업로드
(upload)한 주체들은 일반 사용자들이었다. 그러나, 그들은 또한 음반을 구매하는 고객이기도 했다. 따라서, 그들을 모두 적으로 만들기에 부담을 느낀 제작업체들은 이러한 인프라를 제공한 냅스터로 소송 대상을 압축했다
. 예상되었듯이 연방 법원의 최종 판결에서 냅스터는 완전 패소였고, 그 결과 냅스터는 파산했다.

 

그 이후에도 음반 업체들은 불법 유통을 하는 인프라를 제공한 업체와 심지어는 업로드한 사용자들을 상대로 법적 제재를 가했다. 그러나, 변호사들만 돈을 벌었지 새로운 시대에 맞는 사회적 공감대를 이루어 내지 못했다. 예상치도 않게 해결의 실마리는 하드웨어 제조업체인 애플(Apple)이 제시했다.

아이튠스
(iTunes) 서비스와 결합한 아이포드(iPod)는 실질적인 MP3 플레이어의 표준이 되었고, 곡당 $0.99를 받는 아이튠스는 최대의 음악 유통업체가 되었다. 디지털 시대에 맞는 새로운 질서와 사업 모델을 만들어 낸 것이다.

 

둘째, 사이버 공간의 문화 정착이다. 여배우가 자살한 주요 원인 중 하나가 인터넷 공간에서의 비방과 근거 없는 소문 때문이라고 한다. 가뜩이나 스트레스를 받는 공인의 위치인 사람들에게는 괴로운 일이 아닐 수 없다.

수원대 언론정보학과 김유정 교수는 저서
디지털 촌수, 변화하는 인간관계에서 비언어적 요소가 배제되고 참여자의 정체가 불명확한 사이버 공간의 특성을 이렇게 설명하고 있다. ‘신분이 노출되지 않기 때문에 심리적으로 편안한 상태에서 사안에 대해 자신의 의견을 거리낌 없이 표현할 수 있는 반면, 익명성을 가면으로 잘못 인식하여 무책임한 비방과 험담을 하여 긍정적인 관계를 훼손하는 경우가 있다.’

 

특히 우리 나라는 인터넷을 지식 노동의 생산성을 높이기 위한 목적보다 엔터테인먼트와 비업무 목적으로 사용하는 편향성이 있다. 물론 사이버 커뮤니티를 통해 특정 목적을 중심으로 빠른 시일 내에 공감대를 형성해 가는 효과가 여러 번 입증된 바 있다. 그러나, 끼리끼리 모여서 남의 얘기나 하는 험담 문화가 인터넷 공간에서 지나치게 활성화된 듯하다.
 

물론 인터넷 공간은 다양해야 한다. 지적 담론도 있어야 하고 재미를 추구하는 창의적 문화도 필요하다. 그러나, 무절제한 언어와 반지성적 행태로 인해 퇴행하지 않도록 바람직한 문화를 같이 만들어 가야 한다.

 

개인정보보호와 문화적 변화

 

셋째, 개인정보보호 유출의 문제다. 디지털 정보가 무분별하게 저장되고 재활용되면서 개인정보가 유출되는 일이 증가하고 있다. 따라서 우리에게 맞고 적합한 개인정보보호의 가이드라인을 만들어 지켜갈 필요가 있다. 우리의 개인정보는 이미 어느 정도 노출이 되어 있다고 가정해야 한다. 실제로 특정 정보를 자신이 신뢰할 수 있는 기관이나 기업에 제공하는 것에 거부감이 없는 경우도 흔하다.

 

브루스 슈나이어(www.schneier.com)

문제는 어떤 사람의 정보가 저장되어 활용되는 범위에 대해서 그 사람이 관여할 권한이 없다는 점이다. 보안 전문가인 브루스 슈나이어(Bruce Schneier) 문제는 비밀(secrecy)이 아니라 제어(control)이다. 정부 기관이나 사기업이 각 개인에 관한 디지털 조서(Digital Dossier)를 구축한 후에 각 개인은 모르는 상태에서 자신들 마음대로 정보를 판단하고 분류하는 행태에 문제의 심각함이 있다고 설명한다.

 

프라이버시를 활용한 페이스북의 역전 전략

때로는 약간의 프라이버시 제공은 장점으로 부각될 수도 있다
. 소셜 네트워크 분야에서
페이스북(FaceBook)이 마이스페이스(MySpace)보다 늦게 출발했으면서도 더 인기를 끌 수 있었던 원인 중의 하나가 여기에 있다. 페이스북은 인터넷에서 아무나 자신에게 접근해 오는 것은 거부감이 들 수 있기에, 회원들에게 자신이 속한 그룹을 한정하도록 했다.

예를 들어
, 대학생이라면 자신의 대학 도메인 내에 속한 사람만이 자신에게 접근할 수 있게 한 것이다. 이 자그마한 정책이 대학가에서 페이스북이 선풍적인 인기를 끌게 한 비결이었다.
런 규칙은 1차로 검증된 그룹에게만 자신을 공개하겠다는 지극히 작은 발상이었다. 지금은 대부분의 소셜 네트워크 서비스의 정책이 대동소이하지만, 소셜네트워크서비스가 개화하던 초창기에 작은 프라이버시 개념을 도입함으로써 큰 효과를 거둔 예라고 할 수 있다.

 

특히 디지털 네이티브는 어떤 목적을 위해서라면, (그것이 온라인 콘텐츠를 받는 것이든 사이버 친구와 메시지를 교환하기 위한 것이든), 자신의 개인 정보를 주는 데 별 주의를 하지 않는다. 또한 자신이 얼마나 많은 사이트에 등록했는지 잘 모르는 경우가 허다하다. 목적을 달성하기 위해서는 그 과정에 자신이나 심지어는 자신의 가족들의 정보도 쉽게 등록한다.

이렇게 등록된 정보들은 제공한 사람의 의지와 관련 없이 사용될 수가 있다
. 더욱이 정보가 일단 등록되면 잘 소멸되지 않는 속성도 이미 설명한 바 있다. 따라서, 개인 정보에 대한 문제는 우리 사회에 가장 적합한 형태가 무엇인지 규정하는 데에서 시작해야 한다.

 
사이버 공간의 신뢰를 저버리는 불법적 행위

한편, 위에 언급한 세 가지 이슈 외에도 사이버 공간에서 보내는 시간이 증가함에 따라 여러 가지 문제가 발생하곤 한다. 예를 들어, 온라인 게임 산업의 규모가 빠른 속도로 성장하면서 여기에서 거래되는 가상 무기들이 온라인과 오프라인에서도 활발하게 거래되고 있다.

이를 해킹하는 집단은 거의 기업화했으며, 공격 기술도 메모리 해킹과 같은 고도의 기법을 사용한다. 사이버 공간에서의 정체(Identification)와 자원이 오프라인과는 별도로 사용되면서 강력한 금융 대체 수단이 되고 있는 것이다. 정보 보안의 범위를 좀더 폭넓게 보면, 사이버 공간의 신뢰를 훼손하는 문제들이 모두 해당된다.

 

끊임없이 기술이 발전하고, 그러한 기술들이 혁신적으로 사업화되면서, 디지털 세대와 아날로그 세대의 격차는 더욱 벌어지고 있다. 법 체계, 개인 심리, 유통 구조, 교육 등 다각적인 면에서 이 변화에 대해 중심을 가지고 대처해 나가야 한다. 기존의 틀을 바꾸어 새로운 것을 받아들이고 이루어가는 자기 혁신(innovation)의 마인드가 디지털 세대를 살아가는 지혜다.

 

신고


티스토리 툴바