김홍선의 IT와 세상

발단(Trigger) II: 통신 혁명 (2)

1990년대 초에 대기업 연구소에 다니던 친구와 오랜만에 만나서 이런저런 얘기를 한 적이 있다. 요즈음 무엇을 연구하느냐고 물으니, 그 친구가 “앞으로는 모두가 전화기를 하나씩 들고 다니는 세상이 될 거야. 그런 시스템을 만들고 있어”라고 얘기하는데, 기대는 하면서도 확신은 없는 어조로 말했던 기억이 있다. 명색이 전자공학을 전공한 두 사람이 앉아서도 10년 뒤에 휴대폰이 이 정도로 널리 사용되리라 예상을 못했던 것이다.

1948년에 정보이론(Information Theory)을 만든 클라우드 샤논(Claude Shannon)은 '무선통신의 아버지', '정보이론(Information Theory)의 아버지'로 불린다. 트랜지스터를 발명해서 노벨상을 받은 윌리엄 샤클리(William Shockley)와 동시대 인물이지만 샤논은 일반인에게 덜 알려져 있다. 전자공학을 전공하려면 이 두 사람을 모를 수가 없다. 유선 통신과 달리 무선은 자연 환경 속의 온갖 소음(noise)과 간섭 속에서 통신을 해야 하는 어려움이 있게 마련인데, 샤논은 이에 대한 이론적 기반을 만들었다.

William Shockley (www.tamu-commerce.edu)

Claude Shannon (www.landley.net)

또 다른 전환점은 휴대전화 기술이 인터넷 기술을 결합한 것이었다.

현재 인터넷과 휴대폰 기술은 상호보완의 개념으로 발전하고 있다. 처음 음성 통신에만 집중하던 휴대폰이 데이터 속도의 증가로 데이터 통신까지 지원하게 되었다. 반면 인터넷 서비스는 초기 데이터 통신에서 현재는 원래 휴대전화 영역이었던 음성 통신까지 무선으로 지원할 수 있게 발전했다. 결국 그 시작이 무엇이었는지 상관없이 데이터 통신과 음성 통신을 함께 사용하는 시대가 이미 시작되었다. 다시 말해 소비자 입장에서는 통신 기술을 나누는 것이 무의미해졌다.

통신시장의 대변혁을 가지고 온 무선랜

한편 인터넷 접속 관점에서 기술 혁신이 발생했으니 바로 무선랜(Wireless LAN)이다. 무선 AP를 통해 기업 네트워크에 접속하는 기술이 보편화되면서 무선랜의 부품 가격이 급락했고 사용자의 수요가 폭발적으로 증가했다. 워낙 급작스러워서 공급자가 충분한 투자 회수 기간을 가지기 어려울 정도였다. 공공 장소, 스타벅스, 대학 캠퍼스는 무제한 접속이 가능하게 되었다.

특히 글로벌 환경에서 기업들은 잦은 조직 변경과 구조 조정을 해야 한다. 이런 변화에 유연하게 대응하는 데 무선랜은 완벽한 통신기술이었다. 자리를 옮길 때마다 케이블을 끌고 다닐 필요가 없기 때문이다. 인프라가 지원되니 업무 형태에도 변화가 생겼다. 이동성 근무자(Mobile Worker)의 비율이 급증했고, 무선랜이 장착된 노트북은 업계 표준이 되었다. 이에 따라 드디어 2007년에 노트북 판매대수는 데스크탑 PC 판매대수를 앞서기 시작했다.

무선 인터넷은 휴대형 기기(portable device)의 성장에도 크게 기여했다. 통신과 정보 관리, 엔터테인먼트, 그리고 인터넷을 결합한 상품의 도래를 기대하는 분위기가 성숙했다.

여기에 화룡점정(畵龍點睛)을 한 것은 애플(Apple)의 아이폰(iPhone)이었다. 한번의 터치로 인터넷의 콘텐츠를 자신의 휴대형 단말기에 연결하는 개념을 혁신적 디자인으로 선보인 것이다. 아이폰(iPhone)이 과연 스마트 폰 시장에서 진정한 리더가 될 지는 장담하기 어려우나 휴대형 기기의 미래 모습을 선보인 선구자의 위상을 차지한 것은 명확하다. 또한 통신사업자가 주도하는 이동통신 시장에서 역으로 단말기 업체가 매달 통신비의 일부를 받는 위상을 차지한 것도 신선한 충격이었다.

다양한 모바일 기기들

통신 혁명의 결과 오늘날 우리는 수많은 인터넷 옵션을 누리고 있다.

이 옵션의 다양한 조합에 의해 항상 온라인 서비스를 받을 수 있다. 해외 출장을 가든지 퇴근을 하더라도 회사 메일을 볼 수 없다는 핑계는 더 이상 통하지 않는다.

이처럼 유비쿼터스 사회는 통신 기술의 발달 속에 우리 곁으로 다가왔다. 중요한 것은 이렇게 기술 혁신과 투자가 이루어지는 와중에도 통신 비용은 지속적으로 떨어지고 있다는 사실이다. ‘인터넷은 무료’라는 명제와 ‘인터넷을 중심으로 모든 활동이 재편되는’ 혁명적 상황이 통신 사업의 수익 모델마저 흔들고 있는 것이다.

다각적 접근이 필요해진 정보보안

그런 와중에 인터넷의 태생적 한계인 ‘보안’의 문제는 더욱 복잡다단해졌다. 통제할 포인트가 다양화되었고 데이터의 성격은 다변화되었다. 통신 환경의 변화로 인해 추가된 보안 개념을 살펴 본다.

아날로그 통신 시대의 다이얼업 모뎀(Dialup Modem)은 PC 사용자가 자신이 필요할 때에 네트워크에 접속해서 할 일을 한 후에 스스로 연결을 끊는 구조였다. 그러나, 상시접속(Always-on)은 PC를 계속 위협에 노출되게 만들었다. 인터넷에 연결되어 있는 상황에서 언제든지 해커가 PC 내부를 헤집고 다닐 수 있게 되었고, 다른 목표를 공격하기 위한 중간 기착지로서도 활용할 수 있게 되었다. 소위 좀비 PC가 되는 것이다.

기업의 내부 시스템은 전문가에 의해 어느 정도 통제된다. 그러나, 통제되지 않는 수많은 PC 사용자가 보안 대책을 세운다는 것은 애당초 기대하기 어렵다. 그만큼 취약점이 많은 PC의 존재는 위협의 형태를 기하급수적으로 증대시켰다. PC가 네트워크에 항상 연결되어 있는 상시 접속의 문제가 야기한 보안 이슈다.

기업의 인트라넷은 인터넷이 들어오는 구간에 방화벽(Firewall)이라는 굳건한 관문이 존재한다. “뛰어난 해커는 어떤 보안 시스템도 뚫을 수 있다”라는 잘못된 인식이 팽배한 적이 있었다. 그러나, 제대로 보안 정책이 설정되어 있는 한 불가능한 일이다. 내부에 공모자가 있든지 사후 관리가 취약해진 허점을 노릴 뿐이다.

그런데 무선랜과 같은 접속 포인트는 중앙 시스템에 비해 상대적으로 소홀하게 관리될 수 있다. 대문은 막았는데 뒷문에 자물쇠가 안 잠겨있거나, 개구멍이 있는 것과 같은 이치다. 재택 근무나 외근자가 신뢰할 수 없는 공간에서 접근하려는 경우도 허점이 발생할 수 있다. 또한 사용자의 개인용 휴대형 기기를 내부 네트워크에 연결하고자 하면 어떤 정책을 설정할 것인가? 보안은 신뢰할 수 있는 구간(Trusted Zone, Secure Area)과 신뢰할 수 없는 영역 (Untrusted Zone)의 구분에서 시작하는데, 이러한 유무선, 개방형, 복합적 통신 환경 속의 다양한 접속 시나리오는 단순한 잣대로 구분하는 것을 불가능하게 만들었다. 따라서, 지역적 관리에 그치지 않고 각 프로세스나 트랜잭션(transaction)별로 세밀한 보안 정책을 필요로 하게 되었다.

여기에 연결되는 모든 PC와 인터넷 기기를 엔드포인트(End Point)라고 한다. 네트워크 플랫폼을 보호하기 위해서는 네트워크에 접속되는 엔드포인트를 의심해야 한다. 만일 회사 직원이 외국에 출장 가서 PC가 바이러스에 감염되었다면 어떻게 되는가? 만일 그 PC가 집에서 사용하는 와중에 백도어가 설치되었다면? 그 PC가 네트워크에 연결되는 순간 (이더넷이든 무선 AP를 통해서든 간에) 사내 네트워크로 바이러스가 퍼지거나 내부 시스템이 해킹 당할 수가 있다는 얘기다. 이런 점에서 엔드포인트 보안은 사용자와 PC와 네트워크 플랫폼을 분리하는 것에서 시작한다. 네트워크에 입장하려면 인증과 권한 확인이 필요하고, 최신 바이러스 백신과 운영 체제의 패치가 안 되었다면 면역 시스템을 통해 치료를 한 후에야 연결시켜야 한다.

브로드밴드와 무선 통신의 혁명, 무궁무진한 인터넷 접속 옵션, PC와 다양한 휴대형 기기는 PC를 네트워크와 유기적인 관계로 영향을 주는 관계로 발전시켰다. 이제 PC는 엔드포인트라는 개념으로 발전해서 모든 휴대형 기기와 모바일 컴퓨터에 적용되고 있다. 이런 환경 변화는 보안을 개별적 영역에서 네트워크, 엔드포인트, 어플리케이션, 시스템의 종합적 차원에서 다루는 통합 보안으로 차원을 높인 계기가 되었다.

발단(Trigger) I: 인터넷 보급, 그것이 시작이다 (3)

PC 통신으로 네트워크에 눈을 뜨다

한편 이렇게 구입한 PC를 어떻게 활용할지 고민하던 사용자들에게 ‘PC 통신’이라는 서비스가 인기를 끌기 시작했다. 하이텔, 천리안으로 대표되는 PC통신은 통신업체가 아닌 삼성도 유니텔을 오픈할 정도로 인기가 놓았다. 해외에서 AOL, Prodigy, CompuServe는 대표적인 PC 통신업체였고, 마이크로소프트도 막대한 투자로 서비스를 준비하고 있었다. (인터넷 열풍으로 마이크로소프트는 전략을 후에 수정했다).

하이텔 텔넷 서비스 화면

개인용 컴퓨터인 PC와 네트워크의 개념을 가진 PC통신으로 형성된 분위기에 불을 붙인 것이 웹(Web)이다. 오픈 플랫폼인 PC의 보급과 웹 브라우저의 결합은 폭발을 일으켰다. 누구나가 손쉽게 구입해서 사용할 수 있는 PC를 이용해 인터넷 상에서의 정보를 URL 주소만으로 찾아갈 수 있게 되었다. 컴퓨터 전문성, 조직이나 국가적 제한성과 같은 정보 접근의 벽이 허물어졌다고 할 수 있다. 더 나아가 인터넷 사용은 공짜다. 

천리안 메직콜 광고 포스터

그러나, 인터넷과 PC가 가져다 준 엄청난 혜택의 뒤에는 근본적인 문제가 내재되어 있었다. PC와 인터넷이 추구하는 오픈성과 개방성은 생태적으로 ‘보안’에 대한 고민이 결여되어 있는 것이다. ‘정보보안’은 개방성과는 대치되는 개념이기에 우리에게 영원한 숙제로 자리잡게 된 것이다.

우선 오픈 플랫폼인 PC를 보자.

PC를 통해 전문가에 의해 관리되던 컴퓨터가 일반인이 사용하는 시대로 바뀌게 되었다. 업무용 환경에서 많이 사용되던 미니컴퓨터나 워크스테이션은 여러 사용자가 공유하는 구조라서 시스템과 사용자의 영역이 철저하게 구분되어 있다. 전문가나 전문가에 준하는 지식과 경험이 없이는 시스템 내부의 접근 자체가 허락이 되지를 않았다. 메인 프레임은 철저히 훈련된 관리자들에게만 권한이 주어졌다. 그러나, PC용 운영체제인 DOS의 경우 개인용이라서 구태여 관리자와 사용자의 역할을 구분할 필요성이 약했다. 결국 시스템이 보호해야 할 영역인 파일 삭제나 복사, 특정 영역의 접근이 상대적으로 용이했고, 이것이 악성코드인 바이러스에 취약하게 된 원인이 되었다.

인터넷의 경우는 더 치명적이다.

본래 인터넷은 어느 정도 한정된 그룹인 과학자들이 정보를 쉽게 네트워크로 교환하기 위해 만들어 졌고, 실제로 그렇게 운영되고 있었다. 그러나, 웹에 의해 대중화된 인터넷은 본래의 의도와는 완전히 다른 용도로 확대되었다. 불특정 다수를 겨냥한 정보 제공, 인터넷을 통한 상거래, 기업간의 비밀 정보 교류 등은 인터넷의 설계자들이 고려하지 않았던 요소였다. 인터넷의 설계자들은 원활한 정보 소통을 위한 프레임워크(framework)를 만든 것이지, 특정 서비스나 컴퓨터에 맞는 체계를 거부하고 있었다.

그런데 이런 정보보안을 각 사용자들이 알아서 챙겨야 한다는 큰 문제가 존재한다. 예를 들어, 기업의 네트워크에 인터넷을 도입하려면 관문에 방화벽(Firewall)이 필요하게 되었고, 기밀 정보가 노출되지 않게 하기 위해 암호 기술이 적용되었다. 인증과 접근 제어, 침입에 대한 방어, 정보의 무결성과 기밀성, 이런 보안의 개념들은 필요에 따라 기업이나 개인들이 갖추어야 할 덕목이 된 것이다.

결론적으로 말하면 오픈 플랫폼인 PC와 개방성을 사상으로 가지고 있는 인터넷. 각자 지켜야 할 것은 직접 챙겨야 하는 책임의 분산. 이러한 특성이 복합적으로 작용한 결과. 정보보안이 특정 분야에 속한 사람들의 국한된 문제에서 우리의 업무와 일상 생활로 퍼져 나오게 된 배경이다. 악성 코드가 범람하게 되었고 인터넷은 신뢰할 수 있는 정보가 소통되기 위한 인프라가 필수적으로 요구되었다. 이 인프라의 근본은 정보보안이다. 그런 점에서 웹과 PC가 대중화된 1995년이야 말로 정보보안이 보편적인 문제로 일반화되기 시작한 역사적인 기점이다. 수요가 발생하니 산업도 본격적인 모습을 갖추기 시작했고, 그런 점에서 1995년을 정보보안 산업의 태동기로 보는게 적합하다고 생각한다.