2019-12-10 22:23 (화)
보안! 이제는 제대로 해봅시다
상태바
보안! 이제는 제대로 해봅시다
  • 길민권
  • 승인 2011.06.21 03:48
이 기사를 공유합니다

형식적인 보안 탈피…현실적으로 우리가 얻으려는 보안 달성해야
우리는 무엇인가를 하다가 너무 빠져들다 보면 왜 그 일을 하려고 했었나를 종종 잊게 된다. 그러지 않기 위해서 우리는 “초심으로 돌아가야 한다”고 하기도 하고 영어로 “back to the basic!” 이라고 걸어 놓기도 한다. 어쩌면 분야를 가리지 않고 너무 빈번하게 발생하는 현상이어서 그런 것 같다.
 
특히 그런 문제는 보안분야에서 유독 두드러진다. 그 문제는 형식적인 보안이라는 형태로 나타난다. 치명적일 수 있기 때문에 보안이 그래서는 안 된다. 그렇지만 그런 내용들이 너무나도 태연하게 기사에 나오고 영업사원들이 이야기하며 세미나에서 발표된다.
 
그렇다면 보안에서 형식적인 것이란 무엇일까? 언뜻 생각하기에 방어기능은 별로인데 이름만 보안인 제품이나 시스템이 떠오른다. 그런데 꼭 그런 것만은 아니다. 보안기능은 엄청나게 센데 정작 사용자가 불편하거나 적용하기 힘들어서 그 보안 기능을 버리는 경우도 해당된다. 최악의 경우는 보안도 별로이고 불편하기까지 한 경우이다. 결국 어떤 것이든 보안을 했는데 최종적으로 원하던 보안성을 얻지 못하면 바로 그것이 형식적인 것이라고 말하고 싶다.
 
패스워드 복잡하게 만들면 안전하기는 한데 정작 기억을 못해 써놓는 경우가 그렇고, 물리적 망분리를 한다고 해서 PC 추가해 놨는데 불편해서 결국 한 PC에서 내외망 다 접근하게 되는 것이 그러며, 편하고자 하는 인터넷쇼핑의 신용카드 결제에 이것저것 엉켜서 구매 한번 할 때마다 큰 일 치르듯이 해야 하는 것이 그렇고, 장비 성능이 너무 떨어져 결국 무보안으로 운영하는 것 등이 그렇다.
 
왜 우리는 이런 반복되는 실수를 하는 것일까? 여러 가지 규제 때문에 그런 것이기도 하지만 근본적으로는 초심을 잃어서이다. 분명 보안은 사업을 보호하려고, 사용자를 보호하려고 했지만 그것은 점점 정보와 시스템을 보호하는 것으로 범위가 바뀌면서 사용자는 배제 되고, OS, 네트워크, 악성코드, 해킹, 취약점, 암호화 같은 것만이 남게 되었기 때문이다.
 
그리고 그 정도가 더욱 심해져 개인정보 유출되면 DB암호화 하고, 사용자 인증은 인증서 쓰고, 웹서버 보안은 https식의 공식 아닌 공식들이 나와 버렸다. 원래의 취지는 사라져 버렸다. 서비스의 종류와 특성, 적용 단말, 사용자, 사용 빈도 등은 고려되지 않는다. 물론 어떻게 해킹이 일어나는 지는 말할 것도 없다. 설마 이런 상황에서 무슨 결실을 기대하는 것은 아닐 것이라 본다.
 
과학에서는 문제를 명확하게 파악하기 위해서 변인통제(變因統制)라는 방식을 사용한다. 즉 특정한 것들 사이의 관계를 명확히 알기 위해서다. 그러나 문제를 해결할 때는 그와 같은 방식을 사용하면 안 된다. 그것은 현실세계에는 통제됐던 변인들이 모두 영향을 미치기 때문이다. 그리고 굳이 나비효과를 말하지 않아도 배제 되었던 그 다양한 변인들이 어떤 영향을 미칠지는 인간의 힘으로 거의 파악하기 힘들 정도이다. 그래서 보안은 경제정책처럼 복잡계(complex system)에 속한다고 할 수 있다.
 
우리는 수많은 경제정책이 실패하는 것을 자주 본다. 그리고 때로는 당시에는 말도 안될 것 같은 정책이 효과를 보는 것도 보았다. 가장 재미있는 예는 뭐니뭐니해도 우리나라 주택정책이다. 투기를 억제 하려고 여기저기 건설하고 거래에 제제를 가하니 주택 시장이 침체, 미분양 사태가 발생하고 때로는 제제비용까지 웃돈을 붙여 거래되는 현상이 나타났다. 한마디로 공급이나 제제라는 변인만을 고려하고 다른 다양한 변인들을 고려하지 않은 정책은 실패를 하게 된 것이다.

보안도 이와 조금도 다르지 않다. 많은 경우 일부분이 전체인양 모델링 해서 결론을 도출하고 있다. 결국 이러한 생각들이 세상을 단순화 시키고 많은 변인들을 제외하는 결과를 가져오게 된다. 그 결과는 주택정책과 같이 된다.
 
지금까지의 잘잘못을 논한다고 한다면 정부나 관련 기관, 소비 기업, 공급 기업 모두에게 잘못이 있었다고 할 수 있다. 정부는 보안을 역동적인 것으로 파악하지 않고 정적인 것으로 이해를 하면서 잘못된 역할을 해왔으며, 소비 기업은 규제 준수가 보안이라는 인식이 팽배 했으며, 공급 기업은 기술이나 제품이 보안 자체인 것으로 생각을 했었다. 물론 드물게 정말 개념 있게 하는 사업이나 기업들이 있었다. 그러나 전체적인 흐름을 바꿀만하지는 못했고 현재에 이르게 됐다.
 
일 예로 스마트폰 사례를 들 수 있다. 2009년 아이폰 도입이 오늘내일 하고 있을 때, 대부분의 보안업체는 이에 대한 고민을 하지 않았고, 관계 기관들도 별 준비를 하지 않았다. 지속적으로 문제점을 알렸지만 움직이는 업체나 기관은 거의 없었다. 물론 소비 기업들도 마찬가지였다. 결국 급속도로 퍼져가는 과정에서 모든 것이 졸속으로 이루어졌다. 최종 내려진 결론은 스마트기기를 PC와 동일하게 간주하여 PC에 적용된 방식과 유사한 보안방식을 적용하는 것이었다.
 
한마디로 스마트기기와 PC와의 차이점은 거의 고려되지 않고 진행이 되었다. 적용이 불가한 경우 대응하는 활동이 있을 경우 용인해주는 것만으로도 사실 놀랄 정도의 변화였다. 소비기업들은 기존의 PDA처럼 또 하나의 단말이 추가된 정도로 이해를 했고 보안도 규제를 만족시키는 정도에서 이루어지게 되었다. 분명 보안에 도움이 되지도 않으면서 불편하게만 하는 요소가 있지만 없어지지 않았다. 반면에 정작 대응해야 하는 것들은 아무도 관심을 두지 않고 있다.
 
이러한 상황에 이르게 된 근본적인 원인은 두 가지다. 그 하나는 보안의 최종 목표가 업적이나 규제 준수, 제품이나 기술이 아니라 사람, 회사, 국가라는 것을 잊어서이고, 또 하나는 ‘열 사람이 한 도둑을 못 잡는다’는 말처럼 어려운 보안을, 너무 쉽게 하려고 했기 때문이다. 그 결과 사용자만 불편하게 하는 결과를 가져왔다.
 
이제는 겉만 번지르르한 형식적인 보안을 탈피해서 현실적으로 우리가 얻으려는 보안을 달성하기 위해 노력해야 할 때다. 보안을 기획하고 개발하고 적용하고 운영할 때 충분한 고려를 해야 할 때다. 지엽적인 사실에 집착하지 말고 전체적인 상황을 파악할 때다. 그리고 그 중심에 사람을 두어야 한다. 기술, 절차, 구조, 정책 어느 한가지도 소홀히 할 수 없다. 한 가지로 다 해결할 수 있다는 위험한 생각도 버려야 한다. 관점의 변경은 새로운 기술을 필요로 하게 될 것이다. 그러나 기술을 위한 기술을 하는 것 보다 명확한 방향 설정을 한 후에 이루어지는 기술은 많은 사람들을 행복하게 해줄 것으로 믿는다.
 
가장 이상적인 보안을 묘사하는 고전 문구가 있다.
천망회회 소이불루(天網恢恢 疏而不漏) .
‘하늘의 그물은 성긴 것 같으나 결코 새지 않는다’라는 뜻으로 사용자나 공격자가 볼 때 큰 보안이 없는 것 같지만 막상 공격해보면 도통 뚫을 수 없는 상태다. 그리고 이 말은 지금까지 해온 방식과 다른 방식이 필요함을 암시하기도 한다. 이제는 초심으로 돌아가 이상적인 보안에 도전해보자.
[안철수연구소 김기영 실장 kiyoung.kim@ahnlab.com]