2017-11-14-1510634577-7561902-60_00

WPA2, 배신자, 희생양

2017-11-14-1510634577-7561902-60_00

 

‘WPA2(Wi-Fi Protected Access 2)’도 무너졌다. 와이파이 보안 불안이야 늘 뜨거운 화제였지만, 그때마다 WPA2는 유일하게 안전한 방법으로서 권장되었다. 예전 ‘WEP(Wired Equivalent Privacy)’에 비해 WPA2는 이름에서부터 ‘Protected’, 충분히 보호되고 있다는 느낌이 들기도 했다. 보안 전문가들도 WPA2만큼은 안전하다고 말했고, 사용자들은 안심했다.

 

믿었던 WPA2

 

1997년에 도입되었던 WEP 방식은 2001년에 치명적인 보안 취약점이 알려졌고, 이를 대체하기 위해 보안성을 강화한 ‘WPA(Wi-Fi Protected Access)’ 표준이 제정되었다. 하지만 TKIP(Temporal Key Integrity Protocol) 방식의 보안 프로토콜을 사용하는 WPA도 단 60초 내에 해킹 가능하다는 사실이 밝혀졌다.

다행히 그 취약점은 TKIP 암호화 알고리즘이 아니라 AES(Advanced Encryption Standard) 방식을 사용함으로써 회피할 수 있었고, 이에 AES에 기반한 CCMP(Counter Cipher Mode with block chaining message authentication code Protocol)를 기본으로 사용하는 WPA2가 등장했고, 오늘날까지 와이파이 통신 프로토콜 보안 표준으로서 자리매김하고 있다.

그래서 보안 전문가들도 “WPA2를 사용하라!” “WPA2는 안전하다!” 강하게 권장했던 것. 그런데 이제 그 WPA2마저 무너진 것이다. 경위를 살펴보자.

 

‘KRACK’으로 크랙

 

WPA2를 노린 ‘KRACK(Key Reinstallation AttaCK)’은 이름 뜻 그대로 키를 재설정하는 공격이다. WPA2 프로토콜의 키 관리 취약점을 공격한다.

미국 컴퓨터 비상 대응팀(US-CERT: United States Computer Emergency Readiness Team)은 KRACK의 위험성에 대해 “복호화, 패킷 재생, TCP 연결 하이재킹, HTTP 콘텐츠 인잭션 등이 영향을 받는다. 프로토콜 자체의 문제이기 때문에 WPA2 표준의 대부분 또는 모든 부분에 해당한다”고 밝혔다. KRACK 공격자는 와이파이 통신 과정에 개입해 키를 재설정함으로써 지금껏 안전하게 암호화되었다고 믿어 의심치 않던 정보들, 이를테면 신용카드번호, 비밀번호, 이메일, 메시지 등의 민감한 정보를 훔칠 수 있다.

이에 와이파이 사용자들은 혼란에 빠졌다. “WPA2는 믿어도 된다며!” “암호화는 안전하다며!” “AES마저 불안하다는 거냐!” 당연한 반응이다. 그만큼 WPA2에 대한 믿음이 굳건했던 것이다. 그리고 공격에 따른 피해 규모는 감히 상상도 할 수 없을 정도로 심각하다. 생각해 보자. 우리는 와이파이를 통해 얼마나 많은 그리고 위험한 정보를 주고받고 있나. 혼란은 당연하다.

 

혼란과 오해

 

하지만 혼란은 문제에 대한 잘못된 오해를 일으키고 따라서 해법 찾기를 어렵게 만들기도 한다. 당장 “암호화해도 다 뚫리잖아!” 분노를 흔히 볼 수 있다. 결론부터 말하자면, 그렇지 않다. KRACK은 WPA2 보안 프로토콜의 4 웨이 핸드셰이크 과정에 비정상적으로 개입해 무선 액세스 포인트(Wireless Access Point, WAP)가 아닌 사용자 클라이언트에 영향을 미치는 공격이며, 과정의 보안성을 증명하는데 사용되는 수학 즉 암호화를 무용지물로 만드는 공격은 아니다.

“그럼 앞으로는 WPA2를 쓰면 안 되는 건가?” 이 또한, 그렇지 않다. 클라이언트 보안 업데이트 등에 대한 확인 그리고 액세스 포인트 기기의 클라이언트 기능 해제 등의 조치를 취해야 하지만, 당장 WPA2 사용을 중단해서는 안 된다. 다소 거칠게 말하자면, 대안이 없다,,

문득 떠오르는 옛날 이야기,

 

배신자와 희생양

 

첫째, 배신자.

배신은 믿었던 만큼 아프다. 많이 믿었다면 그만큼 많이 아프다. 그렇기 때문에 양측 상호간에 쌓은 도의적 신뢰 관계를 깨는 행위인 배신은 죄질에 비해 억울하다 싶을 정도로 나쁜 취급을 받는다. 고대로부터 배신자는 짐승 이하로 취급했다. 단테가 쓴 ‘신곡’을 보면 지옥은 거꾸로 세운 원뿔 모양으로 되어 있는데, 배신자는 그중 가장 아래층으로 간다. 지옥 밑바닥에는 동생 아벨를 죽인 카인, 자신을 믿었던 카이사르를 암살한 브루투스, 예수를 배신한 가롯 유다가 지옥에서도 가장 지독한 악마들에게 물어뜯기고 있다. 그런 글을 쓸 정도로 배신이라는 행위가 싫은 거다.

둘째, 희생양.

어떤 총체적인 문제가 있다. 대개 사회적, 그러니까 시스템 문제다. 문제를 어떻게든 고치든지 아니면 문제가 아니게끔 서로 합의해서 무시해야 해결되는데, 시스템적 문제가 대개 그러하듯 해결이 어려운 문제다. 그럴 때, 희생양을 이용한다. 고대 이스라엘에서는 속죄일이 되면 양을 세워 두고 사람들의 죄를 이 양이 모두 대신 짊어지고 떠난다고 선언한 뒤 황무지로 내쫓는 풍습이 있었다. 그 시스템의 죄는 양과 함께 시스템 밖으로 떠났으니 죄가 모두 사라졌다는, 지나치게 편리한 해법 아닌 해법이다.

굳게 믿었던 WPA2가 배신했다. 믿었던 것만큼 아프다. 그러나,
WPA2 프로토콜 문제를 암호화에 뒤집어씌우는 건 잘못된 오해다.

과거 WEP 그리고 WPA가 그러했듯 WPA2 또한 방식을 뜯어고쳐야겠지만,
암호화는 여전히 믿을 만한, 사실상 유일한 보안 방법이란 사실은 변함없다.

n-1-large570

IoT 도어락은 안전 문제 해결부터

n-1-large570

IoT 사물인터넷 기술 적용해 그냥 뭐뭐뭐를 스마트 뭐뭐뭐로 바꾸면 이게 좋고 저게 좋고 싹 다 좋다는 이야기, 흔하다. 상당히 사실이긴 하다만, 뭐든 무조건 좋다는 말은 일단 의심하고 봐야겠지. 하지만 IoT가 누구나 입에 담는 지구적 유행어 된 지 한참인데도 안전 이야기는 보기 드물다.

스마트 뭐뭐뭐들 중 스마트 홈, 그중에 스마트 도어락을 보자. 스마트 홈 그러면 전등, 냉장고, 카메라, TV 뭐 그런 물건들 이야기가 많은데, 가장 중요한 건 스마트 도어락 아닐까. 문을 잠그는 행위는 단순한 동작이지만 그 의미는 아주 특별하다. 개인과 가정의 사생활과 재산 보호 및 방범 그리고 독립성 확보의 상징적 행위니까. “엄마 미워!” 외치고 방문 쾅! 닫고 잠그는 의사표현의 방법이기도 하고. 그 단순하지만 아주 특별한 장치가,

 

인터넷에 연결되면, 스마트

그냥 도어락을 스마트 도어락으로 바꾸면 가족 귀가 상황 확인, 비정상적 출입 경고, 방범 카메라 기능, 언제 어디서든 잠금 상태 확인, 방에서 대문 열기, 부재중 대문 열기 등의 편리함이 있다고 한다. 그래, 편리하겠다. 그게 뭐든 인터넷에 연결하기 전에 무조건 보안부터 챙겨야 하는 ‘선보안-후연결’ 원칙을 잠깐 잊는다면, 그저 좋기만 한 미래상 같아 왠지 흐뭇하기도 하다. 그러나,

자물쇠에 있어 가장 먼저 따질 제1의 스펙은 안전 아닌가. 스마트든 아니든 세상 모든 자물쇠들은 안전을 자랑하며 파는 물건이다. 편리는 안전의 맞교환 대상 아니다. 그러니 얼마나 새롭고 편리한 기능들이 추가되었는지에 앞서 얼마나 더 안전해졌는지부터 볼 일이다. 폰으로 문 열기 등은 모두 안전 다음의 일이다. 이것저것 다 되더라도 아무나 문 막 따면 쓸데없다. 자물쇠의 일은 안전이니까.

그래, 지금 쓰는 그냥 도어락의 안전 문제부터 보자면,

 

디지털 도어락은 한국이 1등

한국만큼 디지털 도어락 많이 쓰는 나라가 없다. 한국사람이 쓴 외국 체류기를 보면 디지털 도어락이 없어서 불편하다는 불평이 많다. “이 나라 사람들은 왜 편리한 디지털 도어락을 안 쓰는 걸까? 역시 한국은 IT 강국!” 뭐 그런.

열쇠라는 구식 아날로그 물건에 대한 정서적 애착이 강해서, 나무 문이 많아서 디지털 도어락을 설치할 수 없기 때문에, 대부분이 임대주택이라 집 주인이 따로 열쇠를 가지고 있어야 하기 때문 등, 옛날 열쇠를 고집하는 이유를 이리저리 추리하기도 한다. 그런 짐작이 대개 그러하듯 일부 사실이고 일부 사실 아니다. 실제 가장 큰 이유는,

디지털 도어락은 안전하지 않다고 의심하기 때문이다. 열쇠와 자물쇠는 일종의 인증 장치, 열쇠라는 인증 수단으로 자물쇠라는 인증 과정을 통과한다. 인증 수단은 크게 ‘가진 것’과 ‘아는 것’으로 나뉘는데, 열쇠는 ‘가진 것’ 그리고 비밀번호는 ‘아는 것’의 상징적 수단이다.

‘가진 것’과 ‘아는 것’ 둘 중 뭐가 더 안전하다고 딱 잘라 말할 수는 없다. 가진 것은 뺏기면 그만이고 아는 것은 들키면 그만이니까. 하지만 ‘아는 것’의 안전 한계에 이르면 결국 ‘가진 것’으로 교체하는 추세는 있다. 은행에서 비밀번호 대신 사용하는 OTP 발생기가 그러하고, 최근 온라인 서비스 인증 수준을 높이기 위해 도입되고 있는 보안 동글 등의 장치가 그러한 예다. 이는 뺏기기보다 들키기가 쉽기 때문이기도 하고, 사고 발생 시 뭐든 물건이 있어야 책임 추궁이 편하다는 계산도 있고, 그래서다.

열쇠가 비밀번호보다 안전하다고 단정할 수는 없다. 과거 디지털 도어락이 불안했던 이유, 이를테면 전기 충격을 가하면 문이 저절로 열린다든지 화재 발생 시 작동 불능 상태가 되어 문을 열고 탈출하지 못한다든지 등 문제들은 지금은 대부분 해결되었다. 그럼에도 여전히 디지털 도어락은 불안하다 여긴다. 아주 이상한 걱정은 아니다. 왜냐면,

 

비밀번호를 누가 본다

몰카 비밀번호 유출 사건이 자주 발생한다. 번호 누르는 걸 훔쳐보고 따고 들어온다. 현관 앞 계단에다 스마트폰을 감춘 담배갑을 세워 둔다든지 뻔히 눈에 띄는 짓을 하는 서툰 자들이나 걸려들지, 좀처럼 발견되지 않는 수법도 많다. 아파트 등 공동주택 복도 천장에는 화재탐지기, 스프링클러, 센서 전등, 방범 카메라, LTE 안테나 등이 어지럽게 붙어 있다. 뭐 하나 더 붙여도 알아차리는 사람도 없다. 그런 모양의 몰카는 인터넷 검색하면 쪼르르 뜬다. 특히 화재탐지기나 스프링클러 등 소방설비로 위장한 카메라는 꽤 잘 팔리는 인기템이다. 게다가,

비밀번호 없어도 들어온다. 문 열 때마다 번호 누르기 귀찮다고 문 닫아도 자동으로 잠기지 않게 수동 설정으로 두고 쓰는 사람들이 있다. 그러다 문 잠그는 걸 깜빡 잊고 그냥 외출한다. 열쇠 안 잠그고 그냥 가는 실수보다 번호 안 누르고 그냥 가는 실수가 더 잦은 건 열쇠라는 구체적 물건을 통한 주의 환기 효과 때문이다. 그래서 문고리 돌려 보고 열리는 집만 터는 도둑도 있다.

자동 잠금이더라도 문 닫은 뒤 잠길 때까지 걸리는 시간이 꽤 긴 것도 문제다. 기껏 몇 초 정도지만 후다닥 들이닥치기엔 충분한 시간이니, 이를 악용한 범죄가 흔하다. 대개 혼자 사는 여성을 노린 성범죄다. 그래서 어떤 도어락은 닫는 즉시 잠기는 기능을 자랑하기도 한다. 애초에 왜 그렇게 만들지 않았는지는 모르겠다만.

그래도 여기까진 조심하기만 하면 뭐 어떻게든 될 일이다. 번호 누를 때 몸과 손으로 번호판을 가린다든지, 겉보기 좀 흉하더라도 번호판 가림막을 설치한다든지, 천장이나 벽에 전에 못 보던 수상한 장치가 추가되었는지 늘 관찰한다든지, 문이 잠길 때까지 문고리를 붙잡고 있는다든지 등, 평소 버릇을 고치면 된다. 하지만 버릇만으로는 해결 못할 문제도 있으니,

 

비밀번호는 하나가 아니다

“깜짝 놀랐어요!” 사례들이 있다. 혼자 쉬고 있는데 누가 문을 열고 들어와 깜짝 놀라 달려가 보니 웬 아저씨가 “아, 죄송합니다!” 그러고 나갔다든지, 아이가 장난으로 도어락 번호판을 띡띡띡 눌렀는데 덜컥 문이 열려서 놀랐다든지 등, 이런 일은 왜 생기는 걸까.

디지털 도어락의 비밀번호는 오직 나 그리고 내 가족만 알고 있는 번호라 믿어 의심치 않지만, 비밀번호는 원래 여러 개다. 사용자용 비밀번호 말고 화재 등 비상상황이 발생하거나 세입자와 연락이 되지 않을 때를 대비해 관리자용 비밀번호가 따로 있다. 관리자용 비밀번호는 집주인뿐 아니라 부동산 중개인도 안다. 열쇠는 아무한테나 막 내주진 않아도 비밀번호는 별뜻 없이 그냥 알려 준다. ‘아는 것’은 ‘가진 것’만큼의 경계심 그리고 책임감을 일으키지 못하기 때문이다. 그러니,

비밀번호 조심하느라 아주 복잡한 번호를 짜고 또 자주 바꾸는 등 별짓을 다 해도 그 번호 말고 다른 번호로 열린다. 관리자용 비밀번호는 그저 귀찮다는 이유로 다른 번호로 바꾸지 않고 그냥 쓰는 사람들이 있다. 공장 출시 비밀번호 ‘1234’ 또는 ‘0000’을 그냥 그대로 쓴다. 그러니 공동주택의 경우 같은 번호로 모든 집 현관을 다 열 수도 있고, 공장 번호만 누르고 다니며 빈 집 터는 ‘1234 도둑’도 있다. 명색이 도둑인 주제에 어렵고 복잡한 짓 안 한다. 그냥 1234 그리고 별표 누른다. 안 열리면 0000 누른다. 띠리링, 열린다.

그런데, 이는 모두 디지털 도어락의 작동에 대해 안다면 미리 조심할 수 있는 일들이다. 그런데도 다들 참 태평하게 아무 걱정 없이 그냥 대충 쓴다. 그러고 보면 우리나라 사람들은 어떤 변화든 참 쉽게 받아들인다. 그리고 “원래 그런 것”이란 말도 즐겨 쓰고. 아니, 이상하잖아, 쉽게 변하니 어제 다르고 오늘 다른데 언제부터 그랬다고 원래 그런 거라 그래,,

그래서,

 

IoT 도어락은 그냥 도어락의 문제 해결부터

어떤 기술이든 기존 기술의 문제를 해결하고 가장 중요한 기능을 더 좋게 만드는 일부터 해야지 그건 안 하고 엉뚱한 말만 잔뜩 늘어놓으면 못쓴다. 새 TV는 헌 TV보다 화질부터 좋아야지, 화질 나빠진 대신에 리모콘 버튼 누르기 편해졌다느니 인터넷에 연결할 수 있다느니 뭐 그런 소리만 해선 안 되는 거다. 골수 안전주의자인 내게 디지털 도어락이 딱 그런 느낌이다.

위 디지털 도어락의 안전 문제들은 IoT 기술을 통해 해결할 수 있다. 블루투스나 RFID 등을 이용해 지정된 단말기를 가진 자만 접근이 가능하게 하고 필요에 따라 제한을 임의로 해제할 수도 있고, 지인이나 부동산 중개인 등 방문객에게는 일회용 비밀번호를 따로 만들어 주고, 스마트폰을 통해 비밀번호 외 다른 인증 방법을 선택할 수 있게 하는 등, 종합해 말하자면 ‘가진 것’과 ‘아는 것’의 적절한 조합을 통해 보다 안전해질 수 있다. 무엇보다도,

IoT 보안에 있어 가장 중요한 기술은 인증이다. ‘가진 것’, 이 스마트폰은 그 스마트폰이 맞나, 이 사물은 믿을 수 있는 사물인가, 즉 사물끼리 통신하며 서로를 확인하는 사물 인증이다. ‘가진 것’이 가짜라면 어떤 조치든 애초에 쓸데없어지니까.

IoT 스마트 홈은 좋은 거다. 대문 잠궜나? 가스불 껐나? 에어콘 껐나? 괜한 걱정 안 해도 된다는 점만 하더라도, 아니 이거, 정말 좋지 않나. 한 번 쭉 달려가 볼 만한 방향이다. 단, 충분히 안전하다면.

OLYMPUS DIGITAL CAMERA

싼 게 비지떡, IP 카메라

 

2017-09-22-1506067100-1938966-57_00.jpg

 

“IP 카메라”가 또 털렸다. 그쪽 컴컴한 세계와 전혀 관계 없어 보이는 흔한 대학생과 직장인 몇이서 지난 6개월 동안 일반가정 및 의류매장에 설치된 카메라 1,400여 대의 영상을 녹화하고 배포하다가 적발된 것. 비밀번호 따고 들어간 흔한 ‘디폴트 패스워드’ 사건이다. 그럼에도 이리 뜨거운 화제가 된 건, 털린 곳이 집이기 때문. 노랫말처럼,

 

“집에 있는데도 집에 가고 싶을 거야”

그래, 집이란 그런 곳이다. 집에 있는데도 집에 가고 싶은 곳, 사생활의 집대성이자 마지막 보루. 그런 무조건 은밀해야 할 곳이 털렸으니 이번 사건의 여파가 이리 큰 건 당연한 일이다. 그러니 이 논란엔 지나침이 없다. 엄청 요란하게 호들갑 떨어 온통 어수선하더라도 꼭 바로잡아야만 할 일이다. 집이란 곳은 그래야만 하는 곳이니까.

하지만 혼란 와중에 “이때다!” 달려드는 장사치들이 있다. 그리고 엉뚱한 말로 겁주며 뭘 자꾸 사라고 한다. 대표적인 게 ‘보안칩’ 장사. 이번 사건 경위와 1도 관계 없다. 왜들 이러나, 이 시장은 왜 이리 혼탁한가, 뭘 어떻게 해야 깔끔해질까, 어지럽다. 우선,

 

용어부터 정리해야

일부 보도에서 “가정용 CCTV”란 말을 쓰던데, 잘못이다. CC란 Closed-Circuit, 즉 일반 TV의 개방회로와 달리 특정 대상에게만 한정 제공되는 ‘폐쇄회로’란 뜻이다. 반면 IP란 Internet Protocol, 즉 인터넷으로 연결되었다는 뜻이니 CCTV와는 완전히 다르다. 그걸 자꾸 CCTV라고 부르니 그렇잖아도 헷갈리는데 더 헷갈리게 만드는 꼴. 근데 IP란 말도 어째 좀 어렵다 싶으니 대충 ‘인터넷 카메라’ 정도로 부르면 어떨까.

그리고 CCTV란 말의 뜻도 세월 변화 따라 퇴색해버려 요즘은 뜻하는 바가 보다 명확한 ‘감시카메라’ 또는 ‘방범카메라’라 부르는 추세다. 게다가 CCTV 그러면 중국중앙방송(China Central TV)으로 통하니 이래저래 그 말은 안 쓰는 게 낫겠다.

그리고 이번에 터진 사건은 “해킹”이라 할 만한 짓도 아니다. 그냥 아무데나 들어가 공장 비번 1111 아니면 1234 아무거나 막 눌러 본 거라, 그런 짓까지 해킹이라 한다면, 해커들 섭섭하지,, 이렇듯 용어의 정의와 개념을 혼동하면 이후 대화는 아예 의미가 없어지니 조심할 일이다. 그렇잖아도 안전 의식이 문제라면서 의식의 틀인 용어부터 어지러우니 더욱 노답.

아무튼, 그래서, 구글서 ‘ip c’까지만 쳐도 자동완성 ‘ip camera korea’ 뜬다,,

 

까다로우신 고객님들

당연한 질문이 떠오른다. “공장 비번을 일정 수준의 안전도 확보한 패스워드로 변경하지 않으면 카메라가 아예 작동 안 되게 만드는 등의 조치를 미리 취했어야지!?” 그렇다. “보안은 신경도 안 쓰고 팔고 나면 그만이라는 거냐!” 그만 아니다. 그러나,

공장 입장도 참 난처한 게 제작 공정 추가는 즉 돈인데, 소비자님들께서 ‘가성비’를 그리들 따지시니 싸게 무조건 싸게 단가를 맞춰야 하는데, 뭐든 그냥 싸질 수는 없는 법이니 공정을 뺀다. 무조건 싸게 만들기 위해 이것저것 닥치는 대로 빼되 특히 겉으로 드러나지 않는 보안 관련 공정부터 뺀다. 사고 터지지 않는 한 누가 보안 따위 신경 쓰겠어. 그리고,

적절한 보안 조치 적용해 물건을 만들었다 쳐도 까다로운 소비자님들께서는 이번엔 또 “아니, 이게 왜 안 돼? 그냥 꽂기만 하면 대충 돌아가게 만들지, 왜 이리 고객을 귀찮게 하고 그래!?” 따지신다. “왜 이리 비싸? 저기 저 물건은 싼데!” 화도 내신다. 그러니, 결국 부메랑처럼 되돌아오는 업보다,,

 

보안은 일이고, 일은 돈이 든다

인터넷 카메라, 아니 인터넷에 연결되는 모든 물건에 적용해야 하는 보안 조치는 정말 많다. ‘이딴 초간단한 물건에?’ 싶겠지만, 제아무리 간단해 보이더라도 인터넷에 연결되기만 하면 무조건 꼭 필요한 조치다. 왜냐면,

생활형 IoT 기기들은 표면적으로 하드웨어일 뿐 일종의 앱으로 봐야 하고 앱은 웹으로 연결되니, 보안은 당연한 일이다. 그리고 웹이 앱보다 위험하니 필요한 보안은 겉보기 짐작보다 훨씬 더 많다. 그리고 IoT는 IoT만의 보안이 따로 필요하다. 그리고 무엇보다도 가장 시급한 건 IoT 기술의 이해 아닌가 싶다. (링크 붙이다 보니 어째 잡지 PPL 느낌,,)

당장 필요한 보안 조치들을 떠오르는 대로 쭉 나열해 봐도, 시큐어코딩 취약점제거 물리보안 정기적보안업데이트 정보위변조확인 무결성검증 기기인증 사용자인증 웹어플리케이션보안 전구간데이터암호화 등, 아주 많다. 이게 모두 다 공정이요, 따라서 돈이다. 그럼, 비싸진다. 그런데 비싸면, 안 산다,, 이번에 털린 물건들도 모두 다 중국산 저가품이다.

요즘은 그게 뭐든 제품 관련 문제들의 원인은 모두 다 ‘가성비’란 말로 수렴되지 않나 싶다. 가성비, 가격 대비 성능 비율. 소비자들은 가격 대비 성능을 따진다. 이는 당연한 일이다. 뭐든 싸게 사면 좋지, 까닭 없이 괜히 비싼 걸 누가 사겠어. 그러나,

 

보안도 성능이다

그것도 꼭 필요한 성능이다. ‘안전’이 그러하듯. 당연히 가성비 필수요소로서 따져야.

탈탈 털려 보면 안다. 뭣이 더 중헌지.

OLYMPUS DIGITAL CAMERA

나라 지키게 백신 좀 파세요

 

OLYMPUS DIGITAL CAMERA

 

국방부 백신 사업이 또 유찰됐다. 이유는 무응찰, 아무도 참여하지 않아서,,

보안회사에게 국방부 일은 여간해선 참기 힘든 유혹이다. “나라를 지킨다!” 자랑할 수 있으니까. 보안회사 홍보에 그보다 더 멋진 타이틀이 달리 또 있을까. 그래서 국방부뿐 아니라 정부기관 납품 실적은 어느 보안회사 회사소개서든 전면에 붙여 자랑한다. 그러나,

앞뒤 맥락 알 만한 사람들은 하나같이 반복되는 유찰은 당연한 결과라고 말한다. 말하자면 ‘독이 든 성배’라는 공통된 인식이다. 그러니 결국 수의계약으로 끝나리라 예상되는데, 그럴 경우 보안 효과의 품질 저하가 걱정스럽다. 예사 기업도 아닌 정부기관, 그것도 무려 국방부 아닌가.

어쩌다 이리 된 걸까. 어째서 다들 무응찰이 당연한 결과라는 걸까. 에둘러 말하자면, 기대가 큰 만큼 실망도 큰 상황이다. 그리고 그 기대는 애초에 잘못된 오해, ‘보안=백신’이라는 잘못된 등식 때문에 부풀려진 오해다.

보안 = 백신 ?

당연히, 백신은 보안의 전부가 아니다. IT 보안은 IT 시스템의 3개 계층 구조에 따라 크게 1)네트워크 보안, 2)시스템 보안, 3)어플리케이션 보안으로 나눌 수 있는데, 백신은 그중 2)시스템 보안의 일부 영역을 맡아 지킬 뿐이다.

공격 수법의 고도화뿐 아니라 공격 물량부터 폭증해 감당하기 벅찬 요즘, 백신이 맡은 영역의 방범 성공률은 대략 40% 정도로 보는 게 현실적 판단이다. 어쩌면 당연한 게 최신 백신의 가장 열정적 사용자는 해커들이니까. 백신도 안 돌려 보고 덤빌까,, 그런데도 전체 보안 책임 100%를 감당해야 하는 것처럼 말하니 이거, 백신 입장에서도, 난 누군가 또 여긴 어딘가, 너무나 부담스러운 노릇이다. 그러다 보니,

“보안은 백신 회사가 다 알아서 해 줘야지?”

백신 공급 외 이것저것 다른 요구들도 많아진다. 사용 단말기 라이센스 관리 및 커스터마이징, 소프트웨어 업데이트, 사고 발생 시 원인 분석 외 정기적 보안 교육까지 맡아야 하고, 기술 지원을 위해 10명의 상주 인력을 배치해야 하는데 나랏일이 대개 그러하듯 해당 인력의 학력 등 스펙이 구체적으로 정해져 있기 때문에 그만큼의 고급 인력을 회사 밖에 둔다는 건 사람값이 가장 무서운 회사에겐 엄청난 부담이다.

백신에 대한 기대가 큰 만큼 실망도 크게 하니까 부담이 엄청난데 그렇다고 큰 기대만큼 돈을 크게 주지는 않는다. 무려 2배로 높였다 하지만 그래도 회사가 져야 하는 부담에 비해선, 싸다. 너무 싸다. 뭐든 희한한 물건들 아무거나 척척 사는 거 보면 돈 참 잘 쓰던데 이런 일은 왜 이리 짜게 구는 건지 모르겠다. 아마도 눈에 보이는 물건이어야 값을 매길 수 있나 보다. 소프트웨어는 고달프다.

보안 = 안전한 시스템 설계 !

백신이 보안의 전부가 아니고 일개 도구일 뿐이라면, 그럼 보안의 전부는 무엇일까. 단 하나가 전부인 뭔가가 따로 있을 거라는 믿음이 곧 위험이다. 여러 가지 도구들을 적재적소에 “잘” 배치하는 일, 즉 보안이란 ‘안전한 시스템 설계’다. 어떤 도구 하나를 맹신하면 전체 설계가 틀어진다. 작년 가을의 군 내부망 해킹 사고를 보더라도 그 원인은 ‘백신’ 그리고 ‘망분리’ 등 어떤 도구의 효과를 지나치게 믿었기 때문 아닌가 싶다.

국방부 전산 시스템에는 다른 정부기관이 그러하듯 내부망과 외부망을 나눠 쓰는 소위 망분리가 적용되어 있다. 안과 밖에 아예 다른 망을 씀으로써 위험을 애초에 차단하자는 의도였을 것이다. 그런데 그 망과 망 중간에다가 백신을 관리하는 중계 서버를 둔 것, 게다가 그 중계 서버만도 800대나 필요한 복잡한 구조였다. 이럴 거면 망분리를 왜 했나, 상식적으로도 이해할 수 없는 일이다. 안전한 시스템 설계의 실패, 즉 보안이 성립하지 않았던 것이다.

사고 경위를 보더라도 바로 그 백신 서버가 뚫렸다. 백신 취약점을 노린 해킹이라고 발표되었지만 아니, 보다 근본적으로는 잘못 설계된 시스템 취약점을 노린 해킹이었던 것으로 봐야 하고, 따라서 대책이라고 내놓은 ‘백신 교체’는 자다가 남의 다리 긁는 엉뚱한 말일 뿐이다. 백신 회사에게도 이는 마치 질 나쁜 개그처럼 허무한 일이다. “너 때문이야! 너 말고 딴 회사 찾을 거야!” 막 뭐라뭐라 했는데, 정작 딴 회사도 못 찾아서 아마도 계속 함께 갈 것 같은, 이 무슨 희비극,,

정보란 원래 쫙 퍼지는 것

망분리를 하든 뭘 어떻게 하든 정보는 어떻게든 연결되고 전달되고 가공된다. 그것이 정보란 것의 애초 속성이다. 폐쇄망이란 것도 말이 폐쇄망일 뿐 제대로 사용하려면 외부와 다수의 접점을 가질 수밖에 없는데, 따라서 그에 대한 보안 또한 그 접점에 대한 전반적 관리 개념으로 다룰 일이지, 어느 한 요소를 딱 찍어 “이게 원인이다!”라고 말하면 이는 순전히 편리를 위해 너무 쉽게 고른 희생양에 그치고 만다.

그래서, 내부망과 외부망에다 각각 다른 백신을 적용함으로써 사고를 방지하겠다고 한다. 그래, 그렇게 하면 결과적으로 완전히 똑같은 사고를 방지하는 효과가 있긴 하겠다. 하지만 근본적..이란 말도 무색하다만 아무튼, 해법은 아니다. 해법은, 안전한 시스템 설계에 대한 고민이다. 너무 원론적이지 않나 싶더라도 어쩌랴, 그것만이 해법이다. 보안 불감증이니 보안의식 부재니 뭐 그런 흔한 이야기는 이제 서로 좀 지겹지. 문제는 그런 흔한 말이 아니라, 그냥 뭐가 뭔지 몰라서 털리는 거다. 그러니까, 알자. 보안은,

안전한 시스템 설계다. 거듭 강조하는 바, 1)네트워크 보안, 2)시스템 보안, 3)어플리케이션 보안 등 IT 시스템의 3개 계층 모두 각각 안전한 시스템의 설계 말이다. 실전적 방법론을 덧붙이자면 가장 사고 발생이 빈번한 어플리케이션 계층부터 막고, 각 계층마다 그리고 각 계층을 오가는 모든 데이터를 암호화하고, 사용자 인증 절차를 다중으로 강화하는 등, 정보보안의 3단 콤보 ‘웹 어플리케이션 보안 + 데이터 암호화 + 인증 보안’ 적용을 이야기할 수 있겠다만 이는 모두,

‘보안=안전한 시스템의 설계’ 등식에 대한 철저한 이해 이후의 일이다.

사이버 전쟁을 위해 돈을 더 쓰자?

이제 사이버 범죄는 범죄 수준이 아니라 사이버 전쟁 수준으로 급부상했다, 그렇다. 이젠 정말 흔한 말장난이 아니라 진짜로 전쟁이다. 그래서 이 나라는 돈 얼마를 쓰고 저 나라는 돈 얼마를 쓰니까 우리도 사이버 전쟁 대비 예산을 그만큼 높여야 한다, 옳다. 이거 정말 심각한 문제다. 하지만, 의문이다. 보안에 대한 이해가 지금 수준에 머무른다면 돈 얼마를 더 붓든 딱 그만큼의 헛된 낭비일 뿐일 테니까. 지금도 나름 돈 쓰고 있다만 결국 삐딱한 댓글이나 달고 있지 않던가,,

어떤 문제든 문제가 있으면 해법 모색은 그 문제를 정확히 아는 일에서부터 출발해야 한다. 거듭 강조하는 바, 지금 이 문제는 돈 문제가 아니다. 돈으로 그냥 해결되기라도 한다면 차라리 낫겠다만.

 

2017-08-31-1504153118-1941-54_00-thumb

IoT 보안은 모바일 보안이 아니다

2017-08-31-1504153118-1941-54_00.jpg

 

 

사물 인터넷 기술 이야기, IoT 담론이 활발하다는 건 좋은 일이다. 감히 거스를 수 없을 만치 크나큰 전 세계적 변화라면 결국 어떤 모습으로든 맞이할 수밖에 없을 테고, 담론이 활발한 만큼 변화의 충격은 덜하고 잘만 하면 무탈히 매끄럽게 적응할 수도 있을 테니까. 그런데,

IoT의 온갖 문제들, 특히 보안 문제를 기존 모바일 보안의 일종에 불과한 것인양 쉽게 말하고 그에 따른 위험만 경고하는 글들이 많아 염려스럽다. 그런 ‘오해’는 글쓴이가 의도한 바 위험 경고 효과도 없을뿐더러 상황을 잘못 그림으로써 오히려 위험을 더 크게 만드는 일이기도 하다. 어떤 큰 변화에 적절히 대응하려면 기존과 아예 다른 사고방식의 변화부터 필요하고, IoT도 물론 그러하다. 이에 중요하다 생각되는 몇 가지 오해들을 짚어 본다.

 

IoT 보안은 모바일 보안과 다르다.

어째서 IoT 보안을 모바일 보안의 일부로만 보는 걸까. 사물 인터넷의 ‘사물’을 무엇으로 보는지, 정체성 문제겠다. 지금은 그저 스마트폰에 연결하는 물건 정도의 뜻. 이를테면, IoT의 대표선수 ‘커넥티드 카’도 그저 스마트폰에 연결해 사용하는 보조적 장치쯤으로 보기도 한다. 아직까진 스마트폰에 연결해 사용하는 ‘테더링’ 방식이 많아서 그럴 텐데, 자동차가 독자적으로 인터넷에 연결되는 ‘임베디드’ 방식의 보급은 지금도 급속히 늘고 있고 머지않아 대세란 말도 초월해 원래 그런 것으로 당연하게 여겨지게 될 것이다. 그럼 저절로 자동차와 전화기는 별개의 것으로 인식되게 될 테니, 자동차 보안을 모바일 보안의 부가적 단편쯤으로 여기는 일은 짧은 과도기적 현상일 뿐일지도 모르지만 이거, 그리 쉽게 볼 일은 아니다. 왜냐면,

IoT 보안을 그저 모바일 보안의 일종으로 본다면, 그리고 그런 인식에 따라 기술이 개발되고 적용된다면, IoT 보안은 지금도 철철 넘쳐 감당 못하는 모바일 보안의 문제를 그대로 이어받게 된다. IoT 보안은 모바일 보안과 달리 애초에 안전하게 설계되어야 한다. 지금의 모바일 보안처럼 취약점을 발견하고 패치를 통해 해결하는 식의 안일한 태도는 절대 금물이다. 애초에 IoT와 모바일은,

 

설계에서부터 접근 방법이 다르다.

스마트폰이란 물건은 간단히 말해 전화가 되는 컴퓨터다. 컴퓨터란 대개 일반적인 도구다. 사용자가 각자 자기 필요에 따라 어플리케이션을 선택적으로 사용함으로써 그 컴퓨터의 용도가 결정된다. 예전엔 ‘OO 전용 컴퓨터’란 말도 흔히 들을 수 있었지만, 그래서 CG 전용 컴퓨터 같은 건 값이 억대에 이르기도 했지만, 기술이 충분히 발전한 요즘은 뭐 그런 거 없다. 누가 어떤 목적에 따라 어떤 어플리케이션을 쓰느냐, 사용자 각자 결정의 문제일 뿐. 반면, IoT는 대개 특수한 도구다. 어떤 목적에 따라 만들어지고 그 목적으로만 사용되어야 한다. 왜?

여러 이유가 있지만 가장 큰 이유는, 사람의 안전 때문이다. 기존 컴퓨터는 주로 추상적 정보만을 다루기 때문에 혹시 문제가 생기더라도 가장 큰 문제, 즉 사람의 안전에 직접 관계된 문제가 일어날 일은 거의 없다. 그러나 컴퓨터가 추상적 정보가 아니라 구체적 사물을 다루게 되면 안전 문제가 치명적으로 부각되게 된다. 이를 도식적으로 단순화해 보자면, 정보를 다루는 IT(Information Tech) 그리고 사물을 다루는 OT(Operation Tech)의 차이로 볼 수 있고, 다시 말해 IoT는 IT와 OT의 결합이라 할 수 있다. 당연한 말이지만 OT는 IT에 비해 보안, 즉 안전의 기준이 훨씬 더 높다. 따라서,

 

IoT는 IT지만 OT로 봐야 한다.

보안 문제가 지금껏 그래왔듯 추상적인 정보를 다루는 일에 대한 안전 문제가 아니라 구체적이고 물리적인 사물을 다루는 일에 대한 안전 문제이기 때문이다. 그 사물이, 자동차처럼 크고 무겁고 빠른 사물이라면.. 해킹이란 말의 의미가 전과 완전히 다른 차원, 즉 사람의 목숨이 걸린 문제로까지 훌쩍 치솟는다. 그렇기 때문에라도 IoT 보안을 기존 IT 시스템 보안, 특히 모바일 보안과 동일시해선 안 될 일이다.

거듭 강조하는 바, IoT 보안은 취약점이니 뭐니 그런 것들 따지는 일이 아니고 아니어야만 한다. 애초에 취약점이 없게끔 설계해야 하는 일이라 그런 여유 부릴 틈도 없다. 그것이, IoT 보안의 제1의 원칙 ‘선보안 후연결(Secure First, then Connect)’ 개발 원칙이다. 커넥티드 뭐뭐뭐들의 가장 큰 문제는 커넥션일까. 아니, 보안 즉 안전이다. 그런데,

 

해커가 따로 있지 않다.

지금까지 해커는 그냥 범죄자였다. (‘화이트 해커’ 등의 말들은 일단 무시하기로 하자.) 국가 정보기관 그리고 무선통신 모듈을 몰래 탑재한 전기주전자를 다른 나라 주요 호텔에 납품한다든지 등 참 희한한 방법으로 정보기관과 결탁해 암약하던 컴컴한 회사 등 특이한 변종들도 있긴 하지만 어쨌든 다 범죄자들이다. 그러나 IoT 해킹, 특히 자동차처럼 사람들 관심이 집중되는 사물의 해킹은 관계된 자 모두 다 해커가 될 수 있고, 심지어 소유자도 그러하다.

우선 제조사의 해킹, 한창 요란했던 독일 폭스바겐의 ‘디젤 게이트’ 사건이 그러하다. 그 일을 부품 교체 등 하드웨어 문제로 오해하는 사람들도 있지만, 소프트웨어 해킹 사건이다. 디젤 게이트란, “클린 디젤!” 외치며 디젤 자동차를 광고하던 폭스바겐이 검사 주행인지 일반 주행인지를 판단해 검사 주행이다 싶을 때만 질소산화물 배출량을 낮추는 일종의 치팅 소프트웨어를 차에다 탑재했던 사건이다. 일반적 매연 기준치의 수십 배 오염물질을 막 내뿜고, 리콜 받아 타고 다녀도 자동차 수명이 단축되는 등 최악의 짓을 저질렀던 것. 워낙 큰 기업이다 보니 이런저런 복잡한 어른의 사정까지 더해져 수사도 제대로 진행되지 않아 백 년 쌓은 명성이 일순간에 송두리째 무너진 판국이다. 도대체 왜 그랬는지 정말 모르겠다,,

그리고, 자동차 기술이 점차 고도화됨에 따라 중요성이 급부상하게 될 정비소도 마찬가지, 경쟁을 위해 차에다가 무슨 짓을 저지를지 모른다는 위험이 있다. 심지어,

 

사용자가 해커일 수도 있다.

해킹이 ‘튜닝’처럼 될 위험이 있다. 튜닝은 기계의 성능이 나의 성능이라고 믿는 좀 딱한 심리 때문에라도 절대 사라지지 않을 마약 같은 충동이다. 지금은 거친 사내들의 소소한 취미 정도의 뜻이고 그래서 ‘마개조’ 등 장난스러운 말이 오가기도 하지만, 자동차의 소프트웨어적 성질이 커짐에 따라 뜻이 변하게 된다. 마치 컴퓨터의 CPU나 그래픽카드를 오버클러킹 하듯 자동차 튜닝도 오남용될 위험이 있다. 컴퓨터 부품의 기본 연산 속도인 클럭을 사용자가 임의로 끌어 올리는 오버클러킹, 그거 정말 참기 힘든 유혹이긴 하다. 하지만 컴퓨터 오버클러킹은 자칫 회로가 홀라당 타 버려도 자기 손해로 그치고 그 피해도 그냥 새 거 사면 그만인 수준이지만, 자동차는 그렇지 않다. 사람이 죽거나 다친다. 나 말고 다른 사람도.

부품 조립산업 쪽에서는 공정 효율을 위해 동일한 하드웨어에 대해 소프트웨어적으로 성능을 제한함으로써 제품군의 가격대를 나누기도 한다. 주로 전자제품 쪽에서 흔히 볼 수 있는 일인데, 이제 자동차도 전자제품으로 봐야 하니 이도 예의주시할 일이다. 지금 전자제품들이 그러하듯 전 세계 아마추어 자동차 해킹 대회가 열리게 될 수도 있다,, 음향 장비 등 흔하고 사소한 물건이라면 몰래 즐기는 소소한 취미일 뿐이라고 우길 수도 있겠지만, 자동차처럼 나 말고 남의 인생에까지 영향을 미칠 수 있는 물건이라면 완전히 다른 이야기가 된다. 자동차는 예일 뿐, 사물을 다루는 IoT 전반에 대해 그러하다. 따라서,

 

개조 단속이 달라지고, 절대불가 영역도 정해야 한다.

단속 기준과 방법이 달려져야 한다. 지금까지는 지적재산권 등 제조사의 권리 보호를 위한 단속이 주였다면, 앞으로는 임의 개조의 위험 차단을 위한 단속이 되어야 한다. 서로 크게 문제 될 게 없다는 안일한 태도로 모든 요소가 순정 상태일 거라는 전제 하에 정기적 검사 등 단속을 하고 제조사의 서비스 기준도 그러한데, 이는 보안의 가장 심각한 문제인 “이상 무!” 확신과도 비슷하다. 오직 해킹 방어에만 집중하며 ‘해킹은 없다’는 전제에 따라 보안정책을 세우지만, 당연한 말이다만 해킹은 있다, 것도 아주 많다. 그러니 사고 발생 시 사고가 발생했다는 사실 자체를 모르게 되거나 알더라도 원래 상태로 되돌리는 회복력이 떨어지는 등, 순진한 확신은 보안의 가장 심각한 문제다. 현실을 제대로 인식해야.

그리고, 건드릴 수 있긴 하지만 우리 이것만큼은 건드리지 않기로 해요 식의 합의는 당연히 깨지기 마련이니, 아예 못 건드리는 영역도 지정해야 한다. 결국 IoT 보안은 순정 영역에 대한 확실한 지정인 듯싶다. 절대 건드려선 안 되고 건드리고 싶어도 건드릴 수 없는 영역. 이 또한 IoT 보안의 ‘선보안 후연결(Secure First, then Connect)’ 원칙의 바탕이다.

 

지금도 복잡한 책임 문제가 훨씬 더 복잡해진다.

법적 책임의 문제, 정말 어렵지만 어떻게든 풀어야 할 숙제다. 예를 들어, 자율주행 자동차 사고 시 그 책임은 누구에게 따질까. 자동차 제조사? 프로그래머? 운전자? 아니면, 자동차? 책임 문제가 지금보다 훨씬 더 복잡해져, 자동차의 기술적 문제인지 운전자의 과실 문제인지를 따지는 법정 다툼의 양상도 크게 달라진다. 모든 법적 문제는 결국 사람 중심으로 해결하는 전통이 있다. 그래서 조직 대 조직의 문제도 조직을 ‘법인’이라는 이름으로 인격화해서 사람 대 사람 문제로서 해결한다. 그러니 이 문제는 결국 기계의 인간성 문제로 풀어야 할 지도 모르겠다. 그럼, 법인 말고, 기인?

IoT 보안 이거, 엄청나게 복잡한 문제다. 뭐 그런 미래가 오고 있다고들 하니 그냥 그런가 보다 여기고 말 일이 아니다. 일상생활의 바탕 사고방식 자체를 바꿔야 할 판이라 사회 각계각층의 관심이 절실한데도 왜 이리들 한가한지, 정말 모르겠다. 이거, 엄청나게 심각한 문제인데,,

isec 2016 (1)

‘ISEC 2016′, 어째 좀 아쉽지만 그럼에도..

isec 2016 (1)

8월 30~31일 일정으로 ‘국제 사이버 시큐리티 컨퍼런스 ISEC 2016′ 행사가 막을 내렸다. 우리나라 최대의 정보보안 컨퍼런스라 볼거리가 많아서 해마다 꼭 참석하는데 올해도 일정 전체에 걸쳐 예의 주시 집중했다. 큰 행사다 보니 기사도 이미 많이 있다. 이 기사가 볼 만하다. 이 기사도. 제목은 좀 이상하게 박혔다 싶지만 인터뷰도 읽을 만하다. 그러니 여기선 순전히 사사로운 사견만 적자면,

눈에 띄게 줄어든 손님

성황리에 종료..라고 말하긴 어째 좀, 그렇다. 예년에 비해 눈에 띄게 줄어든 객의 수에서부터 섭섭하다. 까닭이 궁금했는데 여기저기서 주워들은 풍문이다 보니 정확한 사실은 아니겠지만 대략 그림은 그려졌다. (사실 아니라면 여기로 메일 보내 주시면 이후 정정하겠습니다.)
우선 공공기관 및 기업 보안담당자 참석 의무가 해제되었다고 한다. 아마도 행사 참석 도장 받아 오면 일정한 시간의 보안교육을 면제해 주는 등의 혜택이 없어졌거나 대체할 다른 교육과정이 제시되어 갈아탄 듯한데, 이 정도 큰 규모로 꽤 잘 짠 교육과정이 따로 있을까. 행사 참석이 형식적 절차로 그쳐 실효성이 없다고 판단해서 폐지한 거라 한들 안타깝게도 대부분의 보안교육은 형식적이고 귀찮은 일 정도로 여기고 마니까 그 또한 이유로서 적당하진 않은 듯싶고. 까닭이야 어쨌든, 아쉬운 일이다. 이틀쯤은 투자할 만한 가치 충분한 교육 기회인데 말이지.

그리고 정보보안 솔루션 회사 외 여타 ICT 회사들이 행사에 참여하지 않았다는 점도 객 수의 1할쯤은 깎았다고 짐작하는데, 이 또한 이해가 안 되는 일이다. 정보보안 솔루션 회사와 아닌 회사는 어떤 기준으로 나누나. 정보보안은 기술이나 제품의 범주가 아니라 문화다. 즉 ICT 산업 전체의 일이라는 뜻이다. 작년까지만 해도 이종 업계 간 소통이 눈에 확연히 보일 만큼 활발했다. 보안과 비보안(이라는 괴상한 분류로 꼭 나눠야 한다면) 각자 다른 입장으로 참석한 사람들이 호기심에 서로의 부스를 기웃거리며 대화를 나누곤 했다. 하지만 올해는 동네 축제 야시장 구경하듯 잠깐 흘낏흘낏 보다가 부스 안에서 대기하던 근무자가 무슨 말이든 걸라 치면 황급히 딴 데로 휙 가버리는 일이 잦았다. 나도 그랬다. 예년과 달리 어째 좀 어색한 분위기라,,

행사 형식은 그러하고 내용은, 좀 다른 맥락의 아쉬움이 있다.

세계적 동향과 한국적 관심의 괴리

행사 전체의 내용을 총평하자면, 강연자들과 참석자들의 관심과 열의를 행사라는 그릇이 제대로 담지 못했다는 느낌이 든다. 이는 주최 측의 진행 미숙 때문이 아니라, 우리나라의 정보보안 인식이 세계적 정보보안 동향으로부터 상당히 동떨어져 있기 때문인 듯싶다. 그러니 강연자가 조금이라도 새롭거나 낯선 개념을 제시하려 들면 어째 거리감이 느껴져 서로 어색해지는 공기를 감지할 수 있었다. 그런데 이는 어쩔 수 없는 일이긴 하다. 어떤 나라든 그 나라의 관심은 여론 주도자, 대개 언론이 “이게 문제다!”라고 지시하는 대상에 집중되게 마련이니, 그런 대상과 거리가 먼 이야기가 나오면 분위기가 싸해진다.

그럼 우리나라의 관심은? 다소 고루하다 싶기도 한 기업정보보안, 그것도 고전적 방법론에 머물러 있다. 물론 그것이 현재 벌어지는 보안사고 양상과는 상당히 일치하니까 아주 틀려먹은 일은 또 아니긴 하다. 하지만,

특정 분야의 전문적 컨퍼런스에 대해 기대하는 바는 지금-여기 현실의 재확인만은 아닐 것이다. 그러니 이런 행사가 주도적으로 변화와 적응을 먼저 이야기하는 것도 매우 중요한 일이다. 이를테면, 전에 관람기를 썼던 ‘CES 2016′ 행사는 원래 가전제품, 행사 이름부터 ‘Consumer Electronics’ 박람회인데도 요즘은 그냥 자동차쑈다. 시대의 변화와 요구에 따라 스스로 정체성까지 모두 바꾸며 적응한 결과다. 선제 그리고 주도권을 뜻하는 ‘이니셔티브’란 말은 괜히 거창해 보이지만 실은 누가 먼저 하느냐의 뜻일 뿐이니. 그렇게 CES는 다소 고루한 역사에도 불구하고 지금도 경쟁자가 누군지 떠올리기도 민망할 정도로 영향력 있는 큰 행사로 늘 흥행에 성공하고 있다. 어쩌면 문화적 기획의 문제, 우리나라가 전반적으로 좀 못하는 일이기도 하다.
아니, 세계적 동향이란 게 도대체 뭔데? 달리 뭐겠어, IoT 보안.

IoT 보안 = IoT 인프라 보안, 그런데 드론?

IoT 보안 관련 내용이 없진 않았다. 하지만 IoT 기기 보안 관련 대표적 사례로서 ‘드론 해킹’이 제시된 건, 글쎄, 적절한지 모르겠다. 지엽적 유행에 민감했던 것 아닌가 싶다. “드론도 좋은데 왜?” 왜냐면, IoT에 대한 흔한 오해 때문이다.

IoT는 인프라 산업이고 인프라 산업이어야 한다. ‘사물인터넷’이라는 이름 때문에, 그리고 IoT 기술의 상징으로서 ‘스마트폰으로 켜는 전등’ 이미지가 강하다 보니 마치 그 기술이 아주 작고 사사로운 물건들에다가 인터넷을 굳이 연결하는 일로 여기는 게 상식처럼 되었는데, 간단히 생각해 보자. 스마트폰으로 전등을 켜는 일에 도대체 뭔 의미가 있겠나. 전등에 인터넷을 연결함으로써 기대하는 온갖 효과들 중에서 가장 말로 표현하고 소통하기 쉽기 때문에 가장 간단해 보이는 소위 ‘홈 오토메이션’이 강조될 뿐, 가전기구의 망 연결로 기대할 수 있는 가장 큰 효과는 ‘스마트 그리드’, 즉 전력망을 지능화 고도화함으로써 고품질 전력 서비스를 제공하고 국가 단위 에너지 사용 효율을 극대화하는 목적과 효과가 훨씬 더 크다. 하지만 그러한 인프라 이야기는 어째 좀 감이 영 머니까 쉽고 빠른 소통을 위해 바로 눈앞에서 볼 수 있는 사소한 이야기를 하는 것일 뿐.

그런 맥락으로 볼 때 IoT 기기 보안 관련해 보다 적절한 대표적 사례는 뭘까? 다름아닌 자동차, 달리 뭐가 있을지 비교대상이 떠오르지 않을 정도다. 왜?

드론 해킹은 대부분 장난 수준이거나 범죄라 하더라도 규모가 크지 않을 것이다. 드론을 범죄에 악용한다 치면 그 드론을 띄운 자가 범인일 경우가 대부분일 것 같지 않나. 지독하게 말해 만약 누가 어떤 사람을 해치려고 머리 위에다 드론을 떨어뜨릴 작정을 한다더라도 목표를 노려 그 주변에서 드론을 띄울 생각을 하지 마침 주변을 날아가던 남의 드론을 해킹해서 범죄에 악용하진 않을 것이다. 나아가 국가안보를 위협하는 전략적 요지를 몰래 촬영하는 등의 범죄의 경우도 마찬가지, 마침 주변을 지나가는 드론을 해킹해서! 아, 이건 글로 쓰기도 민망한 코미디 아닌가. 기사에 종종 등장하듯 드론을 물건 배달에 활용하는 등 보다 사용이 활발해지면 미처 생각하지도 못했던 탈취 범죄가 속속 등장할 수도 있겠지만, 그럼에도 IoT 보안의 대표적 사례로선 어째 좀 약하다 싶다. 하지만 자동차는 다르다. 자동차 해킹은 곧 그 자동차를 탄 사람의 생명에 치명적 위협을 가한다.

물론 드론 관련 인프라도 필요하다. 드론은 ‘무인비행장치’로 분류되어 항공법 적용 대상이다. 12Kg 초과하는 드론은 기본 신고 외 따로 안전성 인증 및 자격 증명도 받아야 하고. 그러니 국토교통부 지방항공청 그리고 경찰, 나아가 휴전국가 특성 상 국방부까지도 아우르는 관리 인프라가 필요하다. 하지만 이는 드론을 적극적으로 사용하기 위한 인프라가 아니라 지도에 빨간 색깔로 표시하면 싹 다 벌겋게 칠해야 하는 비행금지구역과 비행제한구역을 지키기 위한 감시 감독 인프라일 거라, 자유로운 사용을 국가 차원에서 보조하는 성격의 커넥티드 카 인프라와는 성질이 다르다.

IoT 보안 관련해 커넥티드 카 관련 내용이 없진 않았지만, 아쉽다. 행사 전체의 중심이 기존의 전통적 방법론에 기초한 기업정보보안이 아니라 보다 세련된 그 무엇으로 이동해야 하지 않나, 그런 생각이 행사 내내 맴돌았다.

또 생각해 볼 만한, 보다 세계적 동향과 적절히 비벼지는 주제는 뭐가 있을까.
그리고, 머신러닝 보안
이번 행사 일반 어젠다 내용을 종합하면, “저 어마무시한 공격을 우리가 도대체 어떻게 막아낼 것인가?” 정도로 정리할 수 있겠다. 결론부터 말하자면, 막아낼 수 없다. 안타깝지만 사실이다. 제아무리 최선을 다해 막아도 사고는 결국 발생하고야 만다. 이는 단순히 말하자면, 물량 문제다. 어떤 집단이 정보보안에 투자할 수 있는 최대 비용과 역량을 10이라 치면, 최대값 10의 힘으로 막아도 100의 힘으로 쳐들어온다.

해킹 기술이 점점 저렴해짐에 따라 적의 수는 앞으로 훨씬 더 많아질 것이다. 간단한 인터넷 검색만으로도 누구나 해킹을 할 수 있는 시절이다. 특히 기존 통신 기술뿐 아니라 시스템 환경에서부터 사용자 인터페이스에 이르기까지, 모든 ICT 기술이 웹으로 통합되는 본격 웹 시대, 그럼에도 전체 IT 시스템 구성에 있어 웹 어플리케이션은 애초에 보안적으로 아주 불안한 요소다. 웹을 통해 사용자와 소통하기 위한 애초 목적 때문에 아무리 안전하게 구축한다고 하더라도, 다시 말해 ‘시큐어 코딩’을 제아무리 잘한다 하더라도 취약점은 존재할 수밖에 없다. 물론 정말 엄청나게 안전한 어플리케이션을 만들려면 만들 수야 있겠지만 그렇게 되면 사용이 아예 불가능할 정도로 불편해진다. 사용자 편의성을 무시하면 할수록 사용자 수는 급감하니 무조건 안전만 생각할 수도 없는 노릇이니 어느 정도 절충은 필요하다. 그리고 그 절충은 곧 허점이다.

막을 수 없다. 단, 인력으로는 막을 수 없다. 기계력을 동원해야 한다. 365일 24시간 잠도 안 자고 쉬지도 않고 트래픽을 감시하는 인공지능 보안관제의 필요, 절실하다. 그렇게 굴려도 현재 완전한 비대칭 전황 물량 차이를 극복할 수 있을까 의심스러울 지경이니. 하지만, 정보보안에 있어서만큼은 기계는 인간을 완전히 대체할 수는 없다. 흔히들 인공지능, 보다 구체적으로는 머신러닝 보안이라고 하면 여전한 인간적 판단의 필요를 따지는데, 사실이다. 짧게 말해 사고(?)의 방식이 다르니까. 하지만 그런 말은 대개 기계로의 대체를 가정하고 하는 말일 뿐, 인간은 인간대로 열심히 해야 할 일이 있고 기계는 기계대로 열심히 해야 할 일이 따로 있다.

미래는 이미 와 있다. 단지 널리 퍼져 있지 않을 뿐이다. 특히 우리나라에.