펜타시큐리티 > 보안칼럼 > ‘ISEC 2016′, 어째 좀 아쉽지만 그럼에도..

‘ISEC 2016′, 어째 좀 아쉽지만 그럼에도..

2016-09-19 보안칼럼
isec 2016

isec 2016 (1)

8월 30~31일 일정으로 ‘국제 사이버 시큐리티 컨퍼런스 ISEC 2016′ 행사가 막을 내렸다. 우리나라 최대의 정보보안 컨퍼런스라 볼거리가 많아서 해마다 꼭 참석하는데 올해도 일정 전체에 걸쳐 예의 주시 집중했다. 큰 행사다 보니 기사도 이미 많이 있다. 이 기사가 볼 만하다. 이 기사도. 제목은 좀 이상하게 박혔다 싶지만 인터뷰도 읽을 만하다. 그러니 여기선 순전히 사사로운 사견만 적자면,

눈에 띄게 줄어든 손님

성황리에 종료..라고 말하긴 어째 좀, 그렇다. 예년에 비해 눈에 띄게 줄어든 객의 수에서부터 섭섭하다. 까닭이 궁금했는데 여기저기서 주워들은 풍문이다 보니 정확한 사실은 아니겠지만 대략 그림은 그려졌다. (사실 아니라면 여기로 메일 보내 주시면 이후 정정하겠습니다.)

우선 공공기관 및 기업 보안담당자 참석 의무가 해제되었다고 한다. 아마도 행사 참석 도장 받아 오면 일정한 시간의 보안교육을 면제해 주는 등의 혜택이 없어졌거나 대체할 다른 교육과정이 제시되어 갈아탄 듯한데, 이 정도 큰 규모로 꽤 잘 짠 교육과정이 따로 있을까. 행사 참석이 형식적 절차로 그쳐 실효성이 없다고 판단해서 폐지한 거라 한들 안타깝게도 대부분의 보안교육은 형식적이고 귀찮은 일 정도로 여기고 마니까 그 또한 이유로서 적당하진 않은 듯싶고. 까닭이야 어쨌든, 아쉬운 일이다. 이틀쯤은 투자할 만한 가치 충분한 교육 기회인데 말이지.

그리고 정보보안 솔루션 회사 외 여타 ICT 회사들이 행사에 참여하지 않았다는 점도 객 수의 1할쯤은 깎았다고 짐작하는데, 이 또한 이해가 안 되는 일이다. 정보보안 솔루션 회사와 아닌 회사는 어떤 기준으로 나누나. 정보보안은 기술이나 제품의 범주가 아니라 문화다. 즉 ICT 산업 전체의 일이라는 뜻이다. 작년까지만 해도 이종 업계 간 소통이 눈에 확연히 보일 만큼 활발했다. 보안과 비보안(이라는 괴상한 분류로 꼭 나눠야 한다면) 각자 다른 입장으로 참석한 사람들이 호기심에 서로의 부스를 기웃거리며 대화를 나누곤 했다. 하지만 올해는 동네 축제 야시장 구경하듯 잠깐 흘낏흘낏 보다가 부스 안에서 대기하던 근무자가 무슨 말이든 걸라 치면 황급히 딴 데로 휙 가버리는 일이 잦았다. 나도 그랬다. 예년과 달리 어째 좀 어색한 분위기라,,

행사 형식은 그러하고 내용은, 좀 다른 맥락의 아쉬움이 있다.

세계적 동향과 한국적 관심의 괴리

행사 전체의 내용을 총평하자면, 강연자들과 참석자들의 관심과 열의를 행사라는 그릇이 제대로 담지 못했다는 느낌이 든다. 이는 주최 측의 진행 미숙 때문이 아니라, 우리나라의 정보보안 인식이 세계적 정보보안 동향으로부터 상당히 동떨어져 있기 때문인 듯싶다. 그러니 강연자가 조금이라도 새롭거나 낯선 개념을 제시하려 들면 어째 거리감이 느껴져 서로 어색해지는 공기를 감지할 수 있었다. 그런데 이는 어쩔 수 없는 일이긴 하다. 어떤 나라든 그 나라의 관심은 여론 주도자, 대개 언론이 “이게 문제다!”라고 지시하는 대상에 집중되게 마련이니, 그런 대상과 거리가 먼 이야기가 나오면 분위기가 싸해진다.

그럼 우리나라의 관심은? 다소 고루하다 싶기도 한 기업정보보안, 그것도 고전적 방법론에 머물러 있다. 물론 그것이 현재 벌어지는 보안사고 양상과는 상당히 일치하니까 아주 틀려먹은 일은 또 아니긴 하다. 하지만,

특정 분야의 전문적 컨퍼런스에 대해 기대하는 바는 지금-여기 현실의 재확인만은 아닐 것이다. 그러니 이런 행사가 주도적으로 변화와 적응을 먼저 이야기하는 것도 매우 중요한 일이다. 이를테면, 전에 관람기를 썼던 ‘CES 2016′ 행사는 원래 가전제품, 행사 이름부터 ‘Consumer Electronics’ 박람회인데도 요즘은 그냥 자동차쑈다. 시대의 변화와 요구에 따라 스스로 정체성까지 모두 바꾸며 적응한 결과다. 선제 그리고 주도권을 뜻하는 ‘이니셔티브’란 말은 괜히 거창해 보이지만 실은 누가 먼저 하느냐의 뜻일 뿐이니. 그렇게 CES는 다소 고루한 역사에도 불구하고 지금도 경쟁자가 누군지 떠올리기도 민망할 정도로 영향력 있는 큰 행사로 늘 흥행에 성공하고 있다. 어쩌면 문화적 기획의 문제, 우리나라가 전반적으로 좀 못하는 일이기도 하다.

아니, 세계적 동향이란 게 도대체 뭔데? 달리 뭐겠어, IoT 보안.

IoT 보안 = IoT 인프라 보안, 그런데 드론?

IoT 보안 관련 내용이 없진 않았다. 하지만 IoT 기기 보안 관련 대표적 사례로서 ‘드론 해킹’이 제시된 건, 글쎄, 적절한지 모르겠다. 지엽적 유행에 민감했던 것 아닌가 싶다. “드론도 좋은데 왜?” 왜냐면, IoT에 대한 흔한 오해 때문이다.

IoT는 인프라 산업이고 인프라 산업이어야 한다. ‘사물인터넷’이라는 이름 때문에, 그리고 IoT 기술의 상징으로서 ‘스마트폰으로 켜는 전등’ 이미지가 강하다 보니 마치 그 기술이 아주 작고 사사로운 물건들에다가 인터넷을 굳이 연결하는 일로 여기는 게 상식처럼 되었는데, 간단히 생각해 보자. 스마트폰으로 전등을 켜는 일에 도대체 뭔 의미가 있겠나. 전등에 인터넷을 연결함으로써 기대하는 온갖 효과들 중에서 가장 말로 표현하고 소통하기 쉽기 때문에 가장 간단해 보이는 소위 ‘홈 오토메이션’이 강조될 뿐, 가전기구의 망 연결로 기대할 수 있는 가장 큰 효과는 ‘스마트 그리드’, 즉 전력망을 지능화 고도화함으로써 고품질 전력 서비스를 제공하고 국가 단위 에너지 사용 효율을 극대화하는 목적과 효과가 훨씬 더 크다. 하지만 그러한 인프라 이야기는 어째 좀 감이 영 머니까 쉽고 빠른 소통을 위해 바로 눈앞에서 볼 수 있는 사소한 이야기를 하는 것일 뿐.

그런 맥락으로 볼 때 IoT 기기 보안 관련해 보다 적절한 대표적 사례는 뭘까? 다름아닌 자동차, 달리 뭐가 있을지 비교대상이 떠오르지 않을 정도다. 왜?

드론 해킹은 대부분 장난 수준이거나 범죄라 하더라도 규모가 크지 않을 것이다. 드론을 범죄에 악용한다 치면 그 드론을 띄운 자가 범인일 경우가 대부분일 것 같지 않나. 지독하게 말해 만약 누가 어떤 사람을 해치려고 머리 위에다 드론을 떨어뜨릴 작정을 한다더라도 목표를 노려 그 주변에서 드론을 띄울 생각을 하지 마침 주변을 날아가던 남의 드론을 해킹해서 범죄에 악용하진 않을 것이다. 나아가 국가안보를 위협하는 전략적 요지를 몰래 촬영하는 등의 범죄의 경우도 마찬가지, 마침 주변을 지나가는 드론을 해킹해서! 아, 이건 글로 쓰기도 민망한 코미디 아닌가. 기사에 종종 등장하듯 드론을 물건 배달에 활용하는 등 보다 사용이 활발해지면 미처 생각하지도 못했던 탈취 범죄가 속속 등장할 수도 있겠지만, 그럼에도 IoT
보안의 대표적 사례로선 어째 좀 약하다 싶다. 하지만 자동차는 다르다. 자동차 해킹은 곧 그 자동차를 탄 사람의 생명에 치명적 위협을 가한다.

물론 드론 관련 인프라도 필요하다. 드론은 ‘무인비행장치’로 분류되어 항공법 적용 대상이다. 12Kg 초과하는 드론은 기본 신고 외 따로 안전성 인증 및 자격 증명도 받아야 하고. 그러니 국토교통부 지방항공청 그리고 경찰, 나아가 휴전국가 특성 상 국방부까지도 아우르는 관리 인프라가 필요하다. 하지만 이는 드론을 적극적으로 사용하기 위한 인프라가 아니라 지도에 빨간 색깔로 표시하면 싹 다 벌겋게 칠해야 하는 비행금지구역과 비행제한구역을 지키기 위한 감시 감독 인프라일 거라, 자유로운 사용을 국가 차원에서 보조하는 성격의 커넥티드 카 인프라와는 성질이 다르다.

IoT 보안 관련해 커넥티드 카 관련 내용이 없진 않았지만, 아쉽다. 행사 전체의 중심이 기존의 전통적 방법론에 기초한 기업정보보안이 아니라 보다 세련된 그 무엇으로 이동해야 하지 않나, 그런 생각이 행사 내내 맴돌았다.

또 생각해 볼 만한, 보다 세계적 동향과 적절히 비벼지는 주제는 뭐가 있을까.

그리고, 머신러닝 보안

이번 행사 일반 어젠다 내용을 종합하면, “저 어마무시한 공격을 우리가 도대체 어떻게 막아낼 것인가?” 정도로 정리할 수 있겠다. 결론부터 말하자면, 막아낼 수 없다. 안타깝지만 사실이다. 제아무리 최선을 다해 막아도 사고는 결국 발생하고야 만다. 이는 단순히 말하자면, 물량 문제다. 어떤 집단이 정보보안에 투자할 수 있는 최대 비용과 역량을 10이라 치면, 최대값 10의 힘으로 막아도 100의 힘으로 쳐들어온다.

해킹 기술이 점점 저렴해짐에 따라 적의 수는 앞으로 훨씬 더 많아질 것이다. 간단한 인터넷 검색만으로도 누구나 해킹을 할 수 있는 시절이다. 특히 기존 통신 기술뿐 아니라 시스템 환경에서부터 사용자 인터페이스에 이르기까지, 모든 ICT 기술이 웹으로 통합되는 본격 웹 시대, 그럼에도 전체 IT 시스템 구성에 있어 웹 어플리케이션은 애초에 보안적으로 아주 불안한 요소다. 웹을 통해 사용자와 소통하기 위한 애초 목적 때문에 아무리 안전하게 구축한다고 하더라도, 다시 말해 ‘시큐어 코딩’을 제아무리 잘한다 하더라도 취약점은 존재할 수밖에 없다. 물론 정말 엄청나게 안전한 어플리케이션을 만들려면 만들 수야 있겠지만 그렇게 되면 사용이 아예 불가능할 정도로 불편해진다. 사용자 편의성을 무시하면 할수록 사용자 수는 급감하니 무조건 안전만 생각할 수도 없는 노릇이니 어느 정도 절충은 필요하다. 그리고 그 절충은 곧 허점이다.

막을 수 없다. 단, 인력으로는 막을 수 없다. 기계력을 동원해야 한다. 365일 24시간 잠도 안 자고 쉬지도 않고 트래픽을 감시하는 인공지능 보안관제의 필요, 절실하다. 그렇게 굴려도 현재 완전한 비대칭 전황 물량 차이를 극복할 수 있을까 의심스러울 지경이니. 하지만, 정보보안에 있어서만큼은 기계는 인간을 완전히 대체할 수는 없다. 흔히들 인공지능, 보다 구체적으로는 머신러닝 보안이라고 하면 여전한 인간적 판단의 필요를 따지는데, 사실이다. 짧게 말해 사고(?)의 방식이 다르니까. 하지만 그런 말은 대개 기계로의 대체를 가정하고 하는 말일 뿐, 인간은 인간대로 열심히 해야 할 일이 있고 기계는 기계대로 열심히 해야 할 일이 따로 있다.

미래는 이미 와 있다. 단지 널리 퍼져 있지 않을 뿐이다. 특히 우리나라에.

Tags: