profile

[펜타 뉴스레터 5월호] 암호화! 국가 안보 vs 사생활 보호

2017-05-25-1495679573-1444469-49_00-thumb

암호화, 국가안보vs사생활보호

2017-05-25-1495679573-1444469-49_00-thumb

 

백척간두에 선 듯 한 치도 양보할 수 없이 그냥 막 옳은 주제들이 있다. 이를테면, 국가 안보 그리고 사생활 보호. 그런 고집 센 것들이 어쩌다 서로 부딪히게 되면 각자 무조건 옳기 때문에 아주 요란해진다. 중간 어디쯤에서 대충 타협점을 찾으면 속 편하겠다만, 그게 그리 쉬운 일 아니다. 옳아서 옳고 옳기에 옳은 것들이라 서로 한 치도 양보할 수 없기 때문에.

 

국가안보vs사생활보호

국가 안보(National Security), 어떤 나라에 공포와 불안이 없는 상태를 뜻한다. 나라 안팎의 온갖 위협으로부터 국민과 영토와 주권을 보호하는 일, 안보는 국가가 수행하는 여러 가지 일들 중에서도 가장 중요한 기본 기능이다. 이를 위해 군사와 정보뿐 아니라 정치, 경제, 외교, 사회, 문화, 과학, 기술 등 모든 수단과 방법을 종합적으로 운용함으로써 위협을 제거하거나 방어하고 미연에 방지하려 애쓴다. 안보를 위협하는 요소가 완전히 사라진다는 건 아예 불가능한 일이므로, 이는 달성이 아닌 추구의 개념이다. 즉, 모든 국가는 안보를 위해 늘 최선을 다해야 하는 거다. 아니라면 국가라는 것은 아예 성립하지 않는다.

그리고, 사생활(Privacy) 보호. 사생활이란 개인이 일상 생활 중 공적으로 드러내지 않고 사적으로 가지는 영역을 말하며, 사생활의 자유란 인간 행복의 최소 단위인 나만의 영역을 갖는 것을 뜻한다. 내 사생활은 나의 동의 없인 함부로 공개될 수 없으며, 누구든 이를 침해하면 관련 법에 저촉된다. 사생활 침해란 개인의 사생활 영역, 인간 존엄성 유지를 위한 주거의 자유, 사생활의 비밀과 자유, 통신의 비밀과 자유 등을 본인의 동의 없이 타인이 침해하는 일이다. 요즘 말 많고 탈 많은 개인정보의 유출, 오용, 남용 등도 사생활 침해에 해당한다.

따라서, 모든 수단과 방법을 총동원해야 하는 국가안보와 그럼에도 나만의 영역을 꼭 지키야겠다는 사생활보호는 서로 부딪힐 수밖에 없다. 이는 정말 오래된 충돌인데, 매일매일이 일촉즉발 위기인 요즘은 난데없이 암호화를 두고 안보vs사생활 논쟁이 치열하다.

 

“테러리스트 잡겠다는데 정부에 협조해야지!”
“그렇다고 기본적인 사생활 보호를 무시해서야!”

이는 세계 곳곳에서 테러 사건이 벌어질 때마다 불거지는 논쟁이다. 최근 사례로는 2017년 3월 22일, 영국 웨스트민스터 사원 테러 공격 수사 과정에서, 테러리스트들이 ‘왓츠앱(WhatsApp)’ 메신저를 통해 연락을 주고 받았다는 사실을 알아냈지만 메시지의 암호화를 풀지 못해 내용에 접근할 수 없었다. 영국 내무장관인 앰버 루드(Amber Rudd)는 “정보기관은 어떤 암호화 환경에 대해서도 즉각 개입할 수 있는 능력을 갖춰야 한다”고 말했다. 그리고 지난 2015년 12월 2일, 미국 캘리포니아 샌버너디노 테러 사건에서도 수사기관은 테러리스트가 사용했던 아이폰 전화기를 확보했지만 잠금 장치를 해제하지 못해 수사를 할 수 없었다. 이를 두고 애플 사의 CEO 팀 쿡과 공개적으로 아주 치열한 논쟁을 벌인 FBI 제임스 코미(James Comey) 국장은 “암호화 논란 때문에 우리 모두의 미래가 더더욱 어두컴컴해지고 있다”고 말했다. 앰버 루드와 제임스 코미, 두 사람의 주장은 같다. 바로,

 

“국가안보를 위해서라면 정부가 암호화를 풀 수 있어야 한다.”

어째, 옳은 말 같다. 테러리스트들을 잡기 위한 수사 과정에서만 쓰겠다는데, 당연히 그래야 하지 않나. 범죄자 사생활 보호가 테러에 목숨을 잃은 무고한 희생자들의 생명보다 중요한가. 만약 보안이 문제라면 훨씬 더 강력한 보안조치를 취하면 될 일 아닌가.

정보보안 전문가들 중에도 그렇게 말하는 사람이 있다. 그 유명한 ‘RSA‘ 암호 시스템은 개발자 3명의 이름 앞글자를 딴 것인데, RSA의 ‘S’에 해당하는 이스라엘의 암호학자 아디 사미르(Adi “S”hamir)는 “애플은 FBI 결정에 따라야 한다. 일단 아이폰 OS에 암호화를 무력화할 백도어를 심고 나서, 그 후에 일반 사용자들의 전화기에선 작동하지 않도록 보안 조치를 강화하는 게 나았을 것”이라고 말했다. 그외 다른 사례도 살펴보고 싶었는데, 찾지 못했다. 대다수의 전문가들은 모두 다 애플 편을 들었다. 왜?

암호화란 정보를 보호하기 위해 암호화 열쇠로 자물쇠를 잠그는 셈이니, 정부기관 주장에 따라 ‘뒷문’을 만들어 둔다는 건 암호화 자체에 대한 무력화 시도나 마찬가지다. 딱 그 자물쇠만을 여는 열쇠 같은 건 없다. 어떤 자물쇠가 범죄에 사용될지는, 아무도 모르잖아,, 만약 그런 게 있다면 모든 자물쇠를 다 열 수 있는 만능 열쇠나 마찬가지다. 따라서 ‘제한적 사용’이란 말은 사실상 불가능한 말이다.

더군다나, 어떤 제품에든 사용된 암호화 수준으로 강력한 암호화 기술은 이미 숱하게 공개되어 있다. 정부가 어떤 물건에 뒷문을 만들었다고 의심되면, 그거 말고 다른 물건을 사용하면 그만이다. 그러니 세상의 모든 암호화 기술에 대한 만능 열쇠가 아니라면 뒷문 요구는 애초에 무의미한 것이다. 그리고, 그런 짓 저지르는 자들은 정부만큼이나, 아니 정부보다 훨씬 더 온갖 편법 악용에 능한 자들이다. 그럴 거 같지 않지만 정부가 만약 정직하게 ‘제한적 사용’ 약속을 지킨다면, 정부는 아주 가끔 드나들고 범죄자들은 항상 들락거리는 문을 만드는 거나 마찬가지다. 여기서 정보보안의 무시무시한 일반론을 되짚어 보자.

 

“해킹은 반드시 일어난다.”

그렇다. 예외 없이 반드시 일어난다. 안타깝게도, ‘해킹 방어’는 이미 끝장난 개념이다. 그럼에도 안 할 수는 없으니 열심히 해야 하는 일이고. 따라서 결국엔 정부가 범죄자를 잡는 일보다 범죄자들에 의한 일반 시민의 사생활 침해가 훨씬 더 자주 일어나게 된다. 그리고 정부의 압박에 따라 합법적으로 설치된 백도어를 통한 정보 유출 사고 또한 지금도 끊임없이 일어나고 있는 것이다.

공격자 입장에서 보자면, 이거 엄청 편하다. 예전처럼 방어막 겨우 뚫고 들어가 데이터베이스를 노려 침투하는 등 번거로운 일 없이 그냥 딱 문 열고 들어가서 다 들고 나오는 거다. 문이 거기 있으니까. 앞문이든 뒷문이든, 모든 문은 열린다.

그래서 거의 모든 정보보안 전문가들이 애플 편을 드는 것이다. 유사한 주제를 두고 MIT는 ‘현관 깔개 밑 열쇠(Keys Under Doormats)’라는 보고서를 작성했다. 부제는 ‘Mandating insecurity by requiring government access to all data and communications’, 정부가 모든 데이터가 접근하기 위해 강제한 불안. 그 내용을 보면, “정부가 정보에 접근하기 위해 만든 장치들 때문에 발생하는 위험은 과거보다 훨씬 더 심각해지고 있다. 어떤 이유에서든 예외적 정책이나 기술을 도입하고 나면, 그것을 통제하기 위해 더 큰 위험이 생겨난다. 그리고 그에 따른 인권 침해 등 불법 행위가 발생하지 않기 위한 기술적 조치 또한 점점 더 어려운 일이 되어가고 있다.”

현실이 그러하다. 따라서 “국가안보를 위해서라면 정부가 암호화를 풀 수 있어야 한다”는 말이 그냥 막 옳은 듯싶지만 실은 아주 위험한 말인 것이다. 국가안보와 사생활보호, 암호화를 둘러싼 끊임없는 논쟁이 실제로 뜻하는 바는 딱 하나의 사실뿐이다.

 

“암호화는 풀 수 없다.”

FBI도 못 풀고 MI6도 못 풀고 NSA도 못 푼다. 음모론자들은 “그들은 이미 모든 것을 다 보고 있다!” 떠들지만, 못 본다. 설마 이미 다 보고 있다는 사실을 감추기 위해 일부러 아닌 척 호들갑을 떨고 있는 게 아니라면 말이다. 근데, 그들이 그렇게까지 노련할 것 같지는 않다.

 

 

network-782707_640 (1)

20년차 IT보안업체 펜타시큐리티는 왜 산업IoT 보안 시장에 뛰어들었나

커넥티드카와 스마트팩토리 등으로 대표되는 OT(Operation Technology)영역이 성장에 목마른 전통의 정보 보호 업체들에게도 대형 변수로 부상했다. 어느 분야나 그렇듯이, 커넥티드카와 스마트팩토리 분야에서도 보안은 대중화로 가기 위한 중요한 키워드 중 하나로 통한다. OT영역이 정보보호 업체들에게 확실한 기회의 땅이 될지는 확실치 않다.

스마트폰이 나왔을때, 그리고 몇년전 사물인터넷(IoT)이 관심을 끌기 시작했을 때, 보안 업계엔 새로운 시장이 될거란 기대가 퍼졌지만 결과는 달랐다. 모바일과 IoT 환경에서도 보안의 전략적 가치는 높았지만 이 분야에서 돈을 번 전통의 정보보호 업체들은 드물었다. 네트워크 인프라나 PC에서 통했던 게임의 룰이 모바일과 IoT 환경에선 제대로 먹혀들지 않았다는 얘기가 많다.

커넥티드카나 스마트팩토리라고 해서 다를까? 뭔가 있어는 보이는데, 기존 정보보호 업체 입장에서 수익용 실행파일을 만드는 건 여전히 만만치 않아 보이는 것이 현실이다.

이런 가운데 20년차 네트워크 보안 및 암호 솔루션 전문 업체 펜티시큐리티가 OT 보안 시장 공략에 속도를 내고 있어 주목된다. OT를 향한 펜타시큐리티의 행보는 다른 정보보호 업체들과 비교했을때 대단히 공격적이다. 다리를 걸치는 수준은 훌쩍 뛰어넘었다. 사실상 승부수다.

이와 관련해 펜타시큐리티는 준비된 도전이라는 입장이다. 타당성 검토를 충분히 거쳤고, 의미있는 수익을 내는 전략도 짜놨다는 것이다. 펜타시큐리티의 김덕수 전무를 만나 OT 보안 시장 전망과 차별화된 진입 전략에 대해 물었다.

 

20170419145503138_QPTK654D

 

-펜타시큐리티는 오랫동안 IT보안 분야에서 활약해왔다. 스마트팩토리, 커넥티드 카 등 OT 보안에 관심을 갖게된 배경은?

“수치로 말하기 어렵지만 OT 보안의 잠재력이 매우 크다. OT는 IT보안과 달리 보안이 보험과 같이 인식되지 않는다. 꼭 필요한 요소이며, 수익과도 직결된다 보는 시각이 많다. 제조 현장에서 커넥티비티(Connectivity: 연결성)를 붙이는건 마음만 먹으면 할 수 있는 일이다. 그러나 보안에 대한 우려 때문에 커넥티비티 도입에 소극적인 회사들이 많다. 보안에 대한 직접적인 니즈가 분명하게 있는 것이다. OT는 처음 설계되고 디자인된 대로 써야 하는 환경이다. 이렇게 할 수 있게 하는 현실적인 방법이 암호화다. 공격적인 투자를 감행한 이유다.”

 

-OT는 광범위한 분야를 아우른다. 주력하는 쪽은?

“커넥티드카, 스마트팩토리, 스마트미터링, 스마트홈을 키워드로 잡았다. 스마트홈을 제외한 분야는 관련 솔루션을 이미 개발했다.”

 

-OT 보안 시장에서 펜타시큐리티가 가진 경쟁력은 무엇인가?

“OT 보안 전략의 핵심은 암호화다. 소프트웨어 또는 하드웨어 타입의 암호화 모듈을 제공해 IoT 기기 등의 보안성을 향상시키는 것이다. 그러나 암호화 기술 자체만으로 경쟁력을 확보할 수는 없다. 암호는 원천 기술일 뿐이다. 부가가치는 암호를 이용한 보안 시스템 설계 역량에서 나온다. 펜타시큐리티는 오랫동안 암호 관련 제품을 개발해왔고, 그런 노하우가 OT 영역에서 시스템 설계 역량으로 이어지는데 큰 도움이 됐다. OT 환경에 도입되는 IoT는 사람이 아니라 사물들이 연결되는 것이 만큼, 보안을 먼저 해결하고 커넥티비티를 추진하는 것이 맞다. 선보안 후연결이다. 이런 메시지를 시장에 계속 강조해 나갈 것이다.”

 

-OT에 커넥티비티가 붙으면 실시간으로 데이터를 수집하고 처리하는 것이 중요해진다. 암호화 기술이 즉용되면 이같은 프로세스에 부하가 걸리는 건 아닌가?

“암호화 쓴다고 무거워지는건 아니다. 대용량 DBMS면 몰라도 머신투머신(M2M) 환경에선 암호화가 시스템 운영에 영향을 주지 않는다. M2M은 보다 강력한 보안이 필요하다. 암호화 기술이 기본으로 들어가야 한다고 생각한다.”

 

-시장 발전 단계상 OT 보안은 지금 어느 수준인가?

“초기 단계다. IT와 비교했을 때 OT는 보안 자체가 없었다고 봐야 한다. 얼마전부터 OT를 겨냥한 보안 업체들이 나오고 있는 상황이다. 자동차 소프트웨어 하던 회사들 중 보안을 강화하는 곳들도 있다. 앞으로 OT 보안 시장에 뛰어드는 회사들은 점점 늘어날 것이다. 대기업들도 들어올 것으로 본다.”

 

-OT 현장에서 쌓은 경험이 많지 않은데, 구체적인 시장 진입 전략은?

“철저하게 파트너 전략 위주로 가겠다. OT 분야에서 오랫동안 활동해온 솔루션 전문 회사들과 협력을 적극 추진 중이다. 몇몇 업체들과는 이미 제휴했다. 파트너 숫자는 계속 늘려나갈 것이다. OT 분야 전문 업체들에게 보안은 자신들의 솔루션에 부가가치를 더할 수 있는 요소다. 그런만큼, 파트너들과 함께 시장을 만들어 나가는데 초점을 맞추고 있다.”

 

-OT 관련 플랫폼 공급 업체나 반도체 회사들도 독자적인 보안 전략을 강화하고 있다. 이런 상황에서 독립 보안 업체들이 OT 보안 시장을 주도할 수 있을까?

“플랫폼 회사들은 OT를 잘하기 위한 전체 솔루션을 제공한다. 이들 업체에 보안은 일부다. OT는 분야가 정말 광범위하다. 플랫폼 회사라고 해서 모든 걸 다할 수 는 없다. 반도체에 내장되는 보안도 기능이지 시스템으로 보기는 어렵다. IT와 마찬가지로 OT에서도 핵심은 안전한 시스템이다. OT 시장에서도 시스템 설계 역량을 가진 독립 보안 업체의 몫은 충분히 있다고 본다.

 

-올해 펜타시큐리티가 추진할 OT 보안 사업 주요 전략은?

“올해 전략은 경쟁력 있는 파트너들을 다수 확보하는 것이다. 이를 통해 시장 공략에 속도를 낼 계획이다. 국내는 물론 해외 시장 공략도 염두에 두고 있다. 해외 사업 역시 파트너 중심 전략이다. 스마트팩토리의 경우 일본에서도 관심이 많아 기대가 크다. 스마트 미터링 솔루션은 유럽 시장을 우선적으로 겨냥하고 있다.

 

[기사원문보기 – 헬로티 goo.gl/4tgRT0]

표지

IT 리스크, 해법은 실용주의 암호화

 

표지

기업 경영에 있어 가장 큰 리스크는 전통적으로 늘 ‘경제 불확실성’이었다. 하지만 최근 ‘IT 보안 위험’이 급속도로 부상해 1위 자리를 노리고 있다. 경영 일선에서도 두 항목의 순서를 바꿔 불안을 호소하는 경우가 많다.

불확실성 때문에 발생하는 문제는 대개 기업 자체로 감수하며 끝낼 수 있는 일이고 과거부터 늘 있던 거다 보니 마치 공기처럼 당연하게 느껴지는데 비해, 신종 리스크인 사이버 위협은 생소함 때문에라도 영 껄끄럽고 불편하다. 게다가 그 기세 점차 거세지고 문제가 터졌다 하면 온갖 언론 앞다투어 달려들어 회사를 아주 작살을 내려 드니 수습도 어려워 도저히 감당 못하겠다는 불평이다.

IT 보안 사고는 항상 지속되어야 하는 비즈니스의 연속성을 해치고 투자자의 투자심리에 악영향을 미칠 뿐 아니라 심각한 경우 엄청난 사회적 혼란을 야기해 재난 수준의 경제활동 마비와 기업활동 중단으로 이어지기도 한다. IT 위기 대응 능력은 기업의 가장 중요한 자산이자 성공적 기업의 핵심역량이라는 인식은 이제 선택이 아니라 불가피한 필수역량이다. 따라서 기존의 위기 관리 방법을 재검토하고 새로운 접근법을 찾아야만 한다.

 

IT 보안 이해의 핵심

 

경영자 입장에서 IT 보안의 가장 심각한 문제는 난해함일 것이다. 그게 뭔지 아무리 집중해서 들어 봐도 도대체 무슨 소리를 하는 건지 모르겠다. 도저히 이해할 수가 없다. 책을 찾아봐도 기술자들이나 겨우 읽는 완전한 기술서 아니면 아무짝에도 쓸데없는 말만 잔뜩 채워 놓은 사이비 경영서뿐이라서 배우고 싶어도 배울 수도 없다. 그러다 보니 경영과 기술 사이의 갭은 점차 벌어지고 그 틈을 노린 범죄자와 사기꾼들만 드글거리는 와중에 각종 사건사고는 끊이지 않는다.

IT 보안을 완전히 이해하기란 사실 아주 어려운 일이다. 수많은 중요 요소들을 다각도에서 꼼꼼하게 검토해야 하고, 기술뿐 아니라 기술 바깥 영역에 이르기까지 백과사전 급의 지식으로 무장해야 한다. 하지만 여타 제반 분야들과 마찬가지로 IT 보안에도 뼈대 역할을 하는 중심 줄기가 있다. 중요한 맥락 흐름에 따라 전체를 보는 관점을 가지게 되면 그 난해한 IT 보안이 명료한 하나의 이미지로 떠오르는 것을 체감할 수 있다.

IT 보안 기술 이해의 핵심은 바로 암호 기술이다. 암호화는 IT 보안의 시작이자 끝이라 할 만큼 가장 중요한 요소다. 암호 기술을 중심으로 IT 보안의 지식과 관점을 연결함으로써 총체적 시각을 갖게 된다면 쉽게 IT 보안의 전체 모습을 조망할 수 있을 것이다.

“아니, IT 보안 기술의 핵심은 안티바이러스나 방화벽 아닌가?”

아니다. 암호 기술이다. 보다 자세히 들여다보자.

 

IT 보안의 두 가지 방법론

 

IT 보안 분야는 난해하고 방대해 보이지만 그 방법은 간단하게 두 가지로 나눌 수 있다. ‘위협으로부터의 방어’와 ‘안전한 시스템 설계 및 구현’이다. 이는 사람이 건강을 지키는 두 가지 방법과 비교해 보면 간단히 이해할 수 있다.

‘위협으로부터의 방어’는 이미 만들어진 기존 시스템을 잘 지키기 위한 방법이다. 안티바이러스, 침입 탐지/방어, 취약성 점검 시스템 등이 여기에 해당한다. 몸이 아프면 병원에 가서 치료를 받고 주사를 맞고 약을 먹는 것과 마찬가지다. 당연히 취해야 할 조치다. 하지만 기업의 전산망 경계에 대한 보안은 제아무리 최선을 다해도 결국 뚫리고야 만다.

이를테면 요즘 언론에 자주 등장하는 ‘APT 공격’은 정말 지긋지긋할 정도로 집요한 공격이다. 조금씩 조금씩 시스템에 잠식해 들어와 결국 전체를 다 장악하고 만다. 시중에 수많은 APT 방어 시스템이 판매되고 있지만, 정직하게 말하자면 제대로 된 시스템은 단 하나도 없다. 과장 섞은 말이 아니라 정말 없다.

반면 ‘안전한 시스템 설계 및 구현’은 보다 근본적인 접근 방법이다. 문제가 발생하면 그에 대응하는 것이아니라 애초에 시스템을 안전하게 설계하고 구현하는 것이다. 건강한 삶을 위한 꾸준히 운동하고 균형 잡힌 영양을 섭취 하는 등 건강에 좋은 습관와 비슷하다고 볼 수 있다.

여기서 ‘안전하다’는 말은 적법한 사용자가 정상적인 방식으로 접근하고, 통제된 권한 체계 안에서 정보를 열람하고, 이에 대한 감사 정보가 기록되는 시스템의 존재를 뜻하는 말이다. 다시 말해 IT 시스템이 상식적 수준에서 합리적으로 운영되는 것을 의미한다. 그러한 ‘안전한 시스템 설계 및 구현’이라는 근본적으로 문제를 해결하기 위한 방법을 자유롭게 구사함에 있어 반드시 필요한 도구가 바로 ‘암호화’다. 적법한 사용자인지 인증하고, 비정상적인 접근일 때는 정보를 감추고, 권한이 있는 사람에게 정보가 열람되도록 하고, 감사 정보에 대한 무결성을 보장해 준다. 즉, 합리적인 시스템 동작을 보장하고 증명하는 핵심 기술이다.

시스템을 설계 단계에서부터 안전하게 구현했다는 것은 보안에 최선을 다했음을 증명하는 증거가 된다. 따라서 만약의 경우 보안 사고가 발생하더라도 처벌 받지 않는 근거가 된다. 근본적 문제 해결 노력이니 ‘위협으로부터의 방어’ 방법에 비해 책임 면제의 법적 근거도 보다 충실하다. 따라서 기술적으로 보나 경영적으로 보나 ‘안전한 시스템 설계 및 구현’는 ‘위협으로부터의 방어’에 비해 우월하다고 말할 수 있다. 궁극적 보안 개념에 따라 발전하고 진화하는 방향성으로 볼 수도 있다.

IT 보안 문제로부터 자유롭고 싶다면 안전한 시스템 구축, 즉 암호화 해야 한다.

 

실용주의 암호화의 필요

 

안전한 시스템 구현이 그리 중요한데도 왜 대부분의 사람들은 IT 보안 그러면 ‘위협으로부터의 방어’만 떠올리는 걸까? 질병이 있으니 치료제가 있다, 성이 있으니 성벽을 기어오른다 식으로 공격과 방어 상황이 마치 한 장의 그림처럼 그려져서 직관적인 이해가 간편하기 때문이다. 실제로 비교적 간단한 기술이기도 하다. 다시 말해, ‘안전한 시스템 설계 및 구현’이 어렵기 때문이다. 그중에서도 암호 기술은 특히 어렵고 복잡하다. 가장 중요한 기술이 어려우니까 접근이 어렵다. 그래서 안티바이러스나 방화벽처럼 당장 손쉽게 처방할 수 있는 방법만 바라보게 되는 것이다.

보안 기술, 특히 암호화와 관련된 지식을 배우는 것은 매우 어렵게 느껴진다. 활자화된 지식 체계도 제대로 갖춰져 있지 않아서 여러 권의 책을 동시에 읽어야만 핵심 원리를 겨우 이해할 수 있다. 게다가 대부분의 책이 매우 두껍고 현장에서는 쓸 일이 없는 쓸데없는 이야기도 너무 많이 들어 있다. 그러니 여기저기 흩어져 있는 지식을 유기적으로 연결하는 일을 독자가 직접 해야만 하는데 이는 아주 어려운 일이다. 하지만 기술을 제대로 이해하기 위해서는 그 높은 진입 장벽을 넘을 수밖에 없다. 그러다 보니 제대로 된 기술자의 수가 적다.

그러나, 달리 생각해 보자. 암호 기술 자체를 원론적으로 이해하는 것과 실제 기업 현장에서의 충분한 보안을 위해 암호 기술을 이해하는 것은 전혀 다른 차원의 문제다. 다시 말해, IT 보안에 대한 통찰을 얻기 위해서는 컴퓨팅(Computing)과 네트워킹(Networking) 지식 위에 보안 지식을 쌓아야 한다. 컴퓨팅과 네트워킹이라는 주제에 완전히 통달하는 것은 매우 어려운 일이지만, 충분한 보안성을 달성하기 위한 수준에서 컴퓨팅과 네트워킹의 원리를 이해하는 것은 상대적으로 쉬운 일일 것이다.

마찬가지로, 암호 기술 자체는 어렵지만 안전한 시스템을 만들기 위해 암호 기술을 어떻게 활용할 것인지를 배우는 일은 그리 어렵지 않다. 그리고 기업 현장에서는 그 정도 수준의 이해로도 충분하다. 결국 노리는 바 목적은 암호 제작이 아닌 ‘보안’이기 때문이다. 실용적으로 암호 기술을 이해하려는 목적은 안전한 시스템을 설계하고 구현하기 위함이지 완전히 새로운 암호 알고리즘을 만드는 일이 아니다.

이를 기존 학술적 암호화 이론과 비교하기 위해 ‘실용주의 암호화’라 칭하겠다. 실용주의 암호화가 절실하다. 안전한 시스템 설계 및 구현에 있어 가장 중요한 기술이기 때문이다.

 

안전한 시스템의 설계 및 구현

 

짧은 기간 동안 사회 전반에 IT 기술을 접목함으로써 이른바 ‘IT 강국’이 되었다. 과장이 아니라 일상의 모든 일이 IT 기술에 기반해 이루어진다. 매우 편리하긴 하지만 그 과정에서 주먹구구로 시스템을 마구 설계하고 운영해 제대로 된 정보 보안은 이루지 못했다.

이는 보안을 바라보는 근시안적 관점 때문이다. 그 결과, 시스템이 발전하는 과정에서 보안적 중요도에 따라 제대로 정보가 분류되지 못했다. 일반정보인지 중요정보인지, 식별정보인지 인증정보인지, 공개정보인지 비밀정보인지 엄격히 구분해 데이터베이스를 설계하고 체계적으로 관리하는 일이 보안의 시작이다. 하지만 우리나라 대부분 시스템에서는 데이터를 뒤섞어 관리하고 있었다. 문서 상으로는 정보 분류 및 보안 등급 관리 등의 지침이 있었지만, 현실의 환경에서는 이는 아주 요원한 일이었다. 기업뿐 아니라 국가 행정적으로도 정보 시스템 운영에 있어 체계적인 보안이 이루어지지 못했다. 그리고, 대형 사고가 연이어 발생했다. 전체 인구수보다도 훨씬 많은 개인정보가 한 번에 유출되는 웃지 못할 사고도 벌어진다. 그것도 매우 자주! 이미 일어난 과거나마 반면교사로 삼아 조심하며 피해야 할 일이다.

실용주의 암호화를 통해 안전한 시스템 설계 및 구현을 이루길 바란다.

펜타시큐리티 기획실장

쉬운 암호 기술 책 저술 김덕수 펜타시큐리티 전무

“최근 촉망받는 사물인터넷(IoT)이나 핀테크, 간편결제 등 모든 산업은 기본적으로 보안이 밑바탕에 깔려야 합니다. 처음 설계 단계부터 안전한 암호화 적용으로 제대로 된 보안 수준을 충족할 필요가 있습니다.”

펜타시큐리티 기획실장

<김덕수 펜타시큐리티 기획실장>

김덕수 펜타시큐리티 전무(기획실장)는 지난달 이석우 대표와 함께 정보보안 기술서적 `인크립션:실용주의 암호화`를 출간했다. 어렵고 복잡하게 느껴지는 암호 기술을 보다 쉽게 알리기 위해서다.

암호 기술은 IT보안 시작과 끝이라고 할 만큼 중요한 요소다. 하지만 비전공자가 기술 전반을 이해하기 쉽지 않다. 암호화를 구성하는 각종 수학 개념과 알고리즘은 비전공자에게 그야말로 `난수표`다.

`인크립션`은 암호를 만드는 사람이 아니라 암호화를 이용하는 사람, 현업 담당자를 대상으로 정보보안 전체 관점에서 암호기술을 풀어낸 책이다. 암호 기술 자체보다 안전한 시스템을 설계하고 구현하는 데 핵심인 `암호화`를 이해하는데 중점을 두고 기술했다. 김 전무가 지난 20년간 정보보안 산업에서 개발, 기획, 구축 프로젝트, 보안 컨설팅 등 다양한 현장을 뛰며 얻은 경험이 녹아져있다.

펜타시큐리티 기획실장

<김덕수 펜타시큐리티 기획실장>

김 전무는 “암호가 이해하기 어렵다보니 단순히 `암호화`라는 이름만 붙어 있으면 안전하다고 생각하는 경우가 많다”면서 “다양한 시스템과 환경에 따라 도입한 암호화 기술이 실제로 안전한지 여부와 또 보안이라는 최종 목표를 달성하는지 여부는 다르게 나타날 수 있다”고 말했다.

개인정보보호와 정보보안 관련 법적 규제 강화와 IoT, 빅데이터 등 산업 발전으로 암호화 시장도 다변화했다. 국내외 여러 업체가 다양한 기술과 제품으로 시장에서 경쟁하지만 모두 `암호화`라는 명칭으로 묶여 시장을 형성한다.

김 전무는 “적재적소에 맞는 암호화 방식을 적용해야 한다”고 강조했다. 일부 서비스와 시스템 영역에서는 편의성과 속도가 향상된 암호화 기술이 적합하다. 민감한 데이터를 다루는 영역에서는 보다 높은 보안성을 만족해야한다. 요구하는 보안 수준에 따라 `안전한` 암호화 제품 선택이 중요한 이유다.

펜타시큐리티

<펜타시큐리티>

그가 회사 설립부터 몸담아온 펜타시큐리티 역시 암호 기술에서 출발해 현재 웹방화벽과 데이터암호화, 스마트카 보안 등에서 활발한 사업을 펼친다. 1990년대 국내 DB암호화 시장 초기 시장 성장과 함께한 회사다.

김 전무는 “전문가나 보안 담당자뿐만 아니라 일반인도 이해하기 쉬운 정보보안 문화가 만들어지길 기대 한다”며 “앞으로 본인인증과 생체인식 등 최근 주목받는 분야와 블록체인, 양자암호 등 미래 기술 이야기도 다뤄볼 계획”이라고 말했다.

 

[기사 원문 보기 – 전자신문 http://www.etnews.com/ 2016. 11. 24]

profile

[펜타 뉴스레터 7월호] “이 데이터가 네 데이터냐?”

2016-05-24-1464067939-6536383-40_00-thumb (1)

“이 데이터가 네 데이터냐?”

2016-05-24-1464067939-6536383-40_00.jpg
대한민국 정부청사가 털렸다. 사건 전모를 보자면,

정부청사 침입 사건

너무나도 공무원이 되고팠던 26세 송모씨는 지난 2월 28일 정부서울청사 경비대 의무경찰들 틈에 섞여 청사 본관에 몰래 들어가 체력단련실에서 공무원 신분증을 훔쳤다. 인사혁신처 사무실에 들어가 공무원 시험 문제지를 훔치려 했지만 출입문 비밀번호를 몰라서 실패했다. 시험지를 미리 못 챙기면 시험을 망치는 딱한 버릇을 가진 송씨는 역시나 시험을 망쳤고, 3월 24일 성적을 조작하기 위해 훔쳐 둔 신분증으로 다시 청사에 들어갔다. 이번엔 누가 문 옆 벽에다 써놓은 출입문 비밀번호를 발견하고 사무실 문 따기에 성공, 컴퓨터를 켰지만 이번엔 컴퓨터 비밀번호를 몰라서 또 실패했다. 이틀 뒤 3월 26일, 미리 비밀번호 제거 프로그램을 준비해 간 송씨는 마침내 자기 성적을 조작하고 합격자 명단에 자기 이름을 올리는 데 성공했다.

아무리 청소년 장래희망 1위가 공무원인 나라라지만 이런 집요함은 좀,,

그리고, 발칵 뒤집어졌다. 이게 무슨 일인가! 다른 곳도 아닌 살벌할 정도로 삼엄해 마땅한 정부청사 본관을 풀방구리 쥐 드나들듯 막 들락날락거리다니! 청사보안 매뉴얼은 왜 만들었나! 것도 무려 7단계씩이나! 언론의 호들갑도 굉장했다. 여기서 1차로 막았어야 했고 혹시 뚫리면 저기서 2차로 막았어야 했고 그것도 또 뚫리면 거긴 마지노선이라 기필코 막았어야 했다! 연일 군사작전지도처럼 그린 지도 그림이 뉴스를 장식했다. 그래,

 철통방어의 맹점: “있어도 없다고 본다.”

당연히 막아야 한다. 그러나, 위 사건으로 이미 충분히 증명되었듯, 암만 막더라도 못 막을 수도 있고 또 못 막을 경우도 대비해야 한다. 하지만 외벽 철통방어의 지나친 강조는 곧 내부는 안전하다는 잘못된 인식으로 이어지게 마련이다. 무조건 막는다는 전제는 즉 침입자의 존재를 부정하는 것과 마찬가지라, 완벽하게 막았으니 내부엔 없는 게 당연하다 여긴다. 물리보안 철통방어 주장의 근본적 맹점이다. 내부 침입자 존재의 인정은 즉 철통방어에 대한 부정이기 때문에 인정할 수가 없는 것이다. 그러니 데이터 암호화 등 근본적 조치 없이 하나 마나 마찬가지인 컴퓨터 운영체제 비밀번호만 덜렁 걸어 놓고 아무렇게나 방치한 컴퓨터는 시중에 나도는 간단한 해킹 툴로도 그냥 막 뚫리고 그런다.

문득 오늘 본 기사 문장이 떠오른다. “계파 존재를 부정하니까 청산할 수도 없다.”

관련 기사를 쭉 훑어 종합해 보자니, 내부 공모자가 있었을 거라는 (아마도 보안 담당자의) 주장과 청사보안 시스템 자체가 허술했다는 (아마도 털린 사무실 근무자의) 주장이 내부에서 서로 대치했다는 징후가 농후하다. 이 방어막은 절대 뚫을 수 없다! 그런데도 뚫리고 나면 늘 그런 주장들이 대립하는 법이라 별 뜻은 없다만, 그 와글와글 소란 와중에 진짜 중요한 핵심을 간과하게 되는 게 진짜 문제인데,

 “만약 내부자가 데이터 털겠다고 작정했다면?”

그 중에서도 가장 치명적이고 결정적인 허점은, 가장 빈번히 사고를 치는 내부자의 존재다. 좀처럼 발각되지도 않아 실제 사고는 드러난 것보다 훨씬 더 많을 것이다. 그런데도 이후 대책이라고 내미는 것들은 모두 다 철통방어를 보다 철통답게 만들어야 한다는 주장뿐이다. 현관 게이트 통과 시 신분증과 신분 일치를 일일이 확인하라! 출입문 옆에 비밀번호 제발 좀 적지 마라! 온통 물리보안 이야기뿐이다. 그런데, 만약 청사에서 일하는 내부자가 성적을 조작하려 든다면 도대체 어쩔 작정인 걸까? 내부자는 게이트로 막든 뭐로 막든 그냥 통과하잖은가? 게다가 그 내부자가 만약 해당 데이터 담당자라면?

결국 지켜야 할 게 뭔지 모른다고 볼 수밖에 없다. 결국 지켜야 할 것? 두말할 것 없이 데이터다. 송씨의 목적 또한 청사 침입이 아니라 데이터의 조작이었잖은가. 상황은 조작 이후까지도 예상하고 대책을 마련해야 한다.

그래서, 데이터 무결성을 확인하는 장치가 필요하다.

데이터 무결성 확인 장치?

데이터 무결성(Data Integrity)이란, 말의 뜻 그대로 데이터가 무결(無缺)하다 즉 결함이나 흠이 없다, 데이터 생성 이후 위변조 없이 그대로의 상태를 유지하고 있음을 뜻한다. 무결성을 확인하기 위해서는 원본 외 따로 대조본을 저장해 두고 둘을 놓고 오류나 조작이 없는 완벽한 문서인지 비교해 보면 된다. 만약 다르다면 그 문서는 잘못되었다고 판단하고 다름의 까닭을 추적할 수 있다.

하지만 그게 그리 간단한 일은 아니다. 그러려면 문서 원본을 여기에 저장하고 대조본을 저기에 따로 저장하고 대조 위해 둘을 통신망 통해 주거니 받거니 아주 복잡해지는데, 복잡한 시스템은 무조건 지양함이 옳다. 게다가 만약 암호화가 필요한 중요문서라면 원본과 대조본 그리고 통신구간 전체를 암호화하고 각각 암복호화 키 관리 등의 조치를 모두 다 취해야 한다. 문서 보안등급에 따라서는 사본 저장 자체가 불가능할 수도 있다. 나는 단지 문서 무결성 확인만 하고 싶었을 뿐인데,, 일이 너무 커진다. 암호화 시스템이든 뭐든 무관하게 따로 정보 무결성 확인만 딱 하는 방법이 있으면 좋겠는데?

같은지 다른지 ‘확인’만을 위한 암호화

그래서 있는 게 단방향 암호화다. 단방향 암호화란, 평문을 암호화하는 것은 가능하지만 암호문을 평문으로 복호화하는 것은 불가능한 방법이다. 그게 무슨 암호화냐? 복호화도 못하는데 암호화를 왜 하냐? 싶지만, 다 쓸모가 있다. 바로, ‘확인’.

평문을 평문 상태로 여기저기 들고 다니며 옳은 값인지 확인하고 그러면 당연히 유출 등의 위험이 있다. 그리고 이것저것 다 신경 쓰자니 시스템이 엄청나게 복잡해진다. 그럴 때, 키 관리 등의 기술적 부담이 없는 단방향 암호화를 이용한다. 실제로 어떤 경우에 사용될까? 그래, 사용자 비밀번호 확인 용도로 가장 자주 쓴다. 웹사이트 회원정보 중 비밀번호는 단방향으로 암호화되어 저장된다. 암호화된 비밀번호는 다시 복호화할 수 없기 때문에 만약의 경우 유출되더라도 원래 값을 알 수 없으니 안전하고, 회원이 사이트 접속 위해서 비밀번호를 입력하면 입력한 비밀번호를 또 암호화해 저장된 비밀번호의 암호화 값과 일치하는지를 통해 본인 여부를 확인할 수 있다. 구조 간단하고 목적 및 효과 충분하다.

모름지기 전자정부라면 이러한 무결성 검증 장치는 당연히 갖춰야 하니까 이미 해당 기능이 준비되어 있지만 특수 목적에만 제한적으로 사용하게끔 만들어진 장치라서 보다 일반적인 방법론이 필요하다. 데이터 관리자뿐 아니라 일반 열람자까지 모두 다 간편하게 이용할 수 있는. 특히 요즘 세계적 대세인 공공문서 공개 시스템이 제대로 가동되려면 정말이지 꼭 필요한 장치다.

공공문서만? 아니, 그렇지 않다. 민간 영역에서 발생한 데이터 조작 사건을 살펴보자.

쇼핑몰 가격정보 조작 사건

너무나도 부자가 되고 싶었던 24세 이모씨는 지난 4월 26일 한 인터넷 쇼핑몰에 접속해 6회에 걸쳐 고가의 카메라와 렌즈 등 17개 상품 구매 버튼을 눌렀다. 물건값은 5천577만원이었지만 이씨는 이를 조작해 1만779원만 결제하고 물건을 챙겼다. 쇼핑몰에서 물건값을 결제할 때 결제대행사 서버로 전송되는 인증값을 알아내 가격정보를 임의로 조작했고, 판매자는 주문내역서와 결제내역서에 각각 ‘완료’라고 뜨는 것만 보고 속았던 것이다. 이씨는 받은 물건을 중고장터에서 되팔아 돈을 챙겼다.

이건 사건이 크다 보니 지면에까지 오른 것이고, 규모 사소해서 그냥 조용히 묻히는 쇼핑몰 데이터 조작은 흔히 일어나는 일이다. 쇼핑몰 주인이 너무 싫거나 아니면 무조건 남 괴롭히는 짓이 그냥 막 즐거운 자들이 쇼핑몰 웹사이트를 공격해 가격정보 등 웹사이트 내용을 자기 맘대로 바꿔 훼손한다. 100만원짜리를 10만원짜리로 바꾸고 싼 값에 깜짝 놀란 사람들이 막 몰려들어 주문 폭주하면, 쇼핑몰 운영자의 혼은 저멀리 안드로메다로 날아간다,,

그래서, 데이터 무결성 확인 장치는 민관공 불문 누구나 쉽게 사용 가능한 ‘서비스’ 형태로 만들어야 한다. 그러니 암호화 자체보다는 직관적이고 편리한 사용자 인터페이스가 핵심이어야. 쭉 둘러보니 아직은 그런 물건이 없는 듯하니, 글은 이만 쓰고 어서 만들어야겠다,,

profile

[펜타 뉴스레터 5월호] 암호화해도 데이터 형태가 변하면 안 돼!

profile

[펜타 뉴스레터 4월호] 알파고, 시큐리티

photo-1453060113865-968cea1ad53a

인공지능도 풀지 못하는 펜타시큐리티의 보안 기술

앞선 암호화 기술로 웹보안을 완성하는, 펜타시큐리티

펜타시큐리티는 암호 기술에 기반을 둔 정보보안 소프트웨어 엔지니어링 전문기업입니다. 1997년 창립 이후 국내외 주요 기업과 공공기관 등 보안 전쟁 최전선에서 쌓아 온 고도의 노하우와 전문성을 보유하고 있습니다. 암호플랫폼, 웹보안, 통합 인증보안 등 정보보안 제반 분야 시장점유 1위를 고수하였고 이를 바탕으로 웹방화벽 WAPPLES은 아시아 태평양 시장점유율 1위의 성과를 낼 수 있었습니다.

인공지능도 풀지 못하는, 펜타시큐리티의 보안 기술

안전한 데이터 관리를 위하여, 그리고 강력한 웹보안을 위해 암호화 전문기업 펜타시큐리티는 빠르게 변화하는 웹 환경에 최적화된 강력한 암호 플랫폼 기술로 고객의 소중한 데이터를 완벽하게 지키겠습니다. 더불어, 서로 믿고 소통하고 교류하고 공유하는 열린 사회를 이루기 위한 [신뢰]를 안정망으로서, 기업과 기관의 보다 자유로운 활동을 보장하기 위해 보유한 인재와 기술을 헌신할 것입니다.

암호 플랫폼 1위, 웹방화벽 시장 1위 기업 – 펜타시큐리티

D’Amo란?

 

D’Amo는 2004년에 개발되어 10년간 약 1,800여 고객환경을 지원한 시장점유율 1위의 암호 플랫폼입니다.
다양한 고객의 환경에서 적용가능하며 국내 최고수준의 암호화 성능을 보유하고 있습니다.

 

WAPPLES 이란?

 

웹방화벽 WAPPLES은, 독자적인 기술력으로 개발한 지능형 논리 분석 엔진(COCEP)을 탑재하여 알려지지 않은 공격까지 차단하고, 정확한 탐지 수행을 통해 낮은 오탐률을 보장하며, 쉬운 보안 설정과 운영 편리성까지 갖춘 제품입니다.

 

펜타시큐리티 제품 문의

메일 문의 : skim@pentasecurity.com / 전화 문의 : 02-2125-6752