"OO년 IT보안 동향"이라 제목 붙이면 온갖 사건사고 10개쯤 골라 피해규모 순으로 쭉 나열한 뒤 "그러니까 조심하자!" 외치며 언뜻 보기에 꽤 그럴싸하지만 사실 실용성은 애매한 처방전까지 덧붙여야 할 것 같은 기분 들지만, 그 일은 보다 전문적으로 잘하는 사람들이 따로 있으니까 그때 보기로 하자. 그러니 보다 동향의 본질을 짚어보자는 핑계를 대며, 실은 잡담이다.
긍정적 : 알파고 승리, 인공지능 시대의 시작
상당히 뜬금없어 보이지만 이거, IT보안에 있어서도 아주 중요한 일이었다. 이상하다 싶을 만치 아주 흔한 오해와는 달리 '알파고'는 바둑 소프트웨어가 아니다. 인공지능을 연구하는 구글의 자회사 '딥마인드'가 개발한 인공지능 소프트웨어로서, 인공지능답게 여러 가지 목적과 용도가 있는데 그중에, 바둑도 하는 것. 알파고는 2016년 3월 9일부터 15일까지 7일 동안 서울에서 이세돌 9단을 상대로 4:1로 승리했다.
바둑 특유의 수많은 경우의 수 때문에라도 기계가 인간을 꺾는 것은 불가능하다고 굳게 믿었던 사람들에게 이는 다분히 충격적인 사건이었다. 한편, IT업계에도 이 이벤트는 상당히 충격적으로 작용했다. 구글, 마이크로소프트, 아마존, IBM 등 IT 대기업들이 인공지능 상용화와 공개를 서두르는 계기가 되어, 그간 말은 많았지만 다들 "글쎄? 아직은 좀 시기상조 아닐까?"라며 주저하던 시장이 급속도로 활성화되었다. IT보안 업계도 예외 아니다.
최근 IT보안을 위협하는 공격 추세를 한 단어로 표현하라면, '집요함'이다. 특정 목표를 노리고 정말 끈질기게 파고들어 마침내 뚫고 들어오고야 만다. 그것도 엄청나게 많은 공격자들이, 끊임없이, 세계 곳곳에서. 그러니 이를 막아내는 방법 또한 집요함일 수밖에 없다. 획기적인 방법론? 그런 건 사실 추상적인 말장난에 불과하고, 그저 집요하게 공격하면 집요하게 방어하는 수밖에 없다. 그런데 그게 더이상은 인력으로 불가능해지는, 아니 이미 불가능한 상황이다. 365일 24시간 쉬지 않고 잠도 안 자고 밥도 안 먹고 오직 공격자 침입만을 살피는 감시탑의 필요, 이는 사람은 해내지 못할 일이니 기계에 맡길 수밖에 없다.
다행히도 요즘 IT보안 업계에도 인공지능 화두가 대세 중 하나로 정착해 각종 연구개발 결과물들이 제법 그럴싸한 모양새로 나오고 있다. 그러니 지금은 안타깝게도 '물량전에서 패배'로 볼 수밖에 없는 전황이지만 이제 겨우 역전의 가능성이 엿보여, 정말 다행이다. 어쨌거나,
10년만 지나도 파란만장했던 2016년은 그저,
- 아디다스 공장이 독일로 돌아간 해
- 알파고가 이세돌을 이긴 해
..로 기록될 것이다. 이거, 아주 중요한 변화임에도 아직까지는 확연히 체감할 수 없지만, 곧 사회계층 하단부터 때리기 시작하면 그때 가서야 뼈저리게 깨닫게 될 거라, 무섭다.
부정적 : 랜섬웨어 기승, 정보범죄 수법의 세계화
랜섬웨어는 원래 세계적으로 악명 높은 공격이다. 그런데 한국에선 유독 올해 랜섬웨어 피해가 요란했다. 이는 단지 특정 공격의 유행을 뜻하는 일만은 아니다. 공격 수법의 세계화(?) 징조로 읽어야. 랜섬웨어 말고도 그런 수법이 많다. 이를테면 현금자동입출금기 해킹이나 카드 복사 등 꽤 흔한 사고가 한국에서는 드물게 일어난다. 이는 유럽과 러시아 컴컴한 동네서 활동하는 정말 무시무시한 정보범죄자들이 아직까진 한국을 노리지 않고 있음을 다행으로 여겨야 할 일이고, 일상생활 전반에 걸쳐 ICT 기술이 지나치게 발달하면 범죄수법이 오로지 웹 환경으로 획일화되는 경향이 있다고 긍정적으로 볼 수도 있는 일이기도 하다.
실제로 우리나라 웹 보안사고 비중은 세계적 추세에 비해 압도적으로 높다. 그러니 웹만 잘 막으면 되니까 어쩌면 편하다. 그저, 웹 보안을 가장 허술히 취급하는 나라라는 사실이 안타까울 뿐.
그런데, 랜섬웨어는 간단히 말해 암호화 소프트웨어다. 데이터를 암호화하고 암호화를 풀려면 돈을 내라고 한다. 돈을 줘도 복호화해 주지 않는 경우도 많으니 이거 참, 답이 없다. 이는 곧 암호화 효과의 살벌함이다. 그런 기사 흔하다. "암호화 따위 해 봐야 소용 없다! 해커들이 다 푼다!" 그런데 랜섬웨어 이야기 나오면 "암호화했기 때문에 못 푼다!" 또 요란하다. 암호화는 풀 수 있기 때문에 안전하지 않다고 했다가 암호화는 풀 수 없기 때문에 큰일이라고 호들갑이니 뭘 어쩌자는 건지,, 이는 언론사 데스크를 의심할 일 아닌가. "그냥 기사 같아 보이는 글이면 돼! 무조건 하루에 하나는 써! 내용 일관성 같은 건 상관 없어! 제목만 잘 뽑으라고!" 그러거나 말거나,
암호화 효과는 무서운 것 맞다. 랜섬웨어를 보라. 이는 반대로 말해, 암호화한 데이터는 충분히 안전하다. 못 푼다.
근본적 : 유통업체 I사 개인정보 유출사고, 너무 빠른 망각
2016년에도 초대형 보안사고가 세계 곳곳에서 일어났다. '야후(Yahoo)' 털리고 '오라클(Oracle)' 털리고 좀 민망하게시리 불륜 웹사이트 '프렌드파인더 네트웍스(FriendFinder Networks)' 털리고, 대형사고가 속출했다. 올해도 풍년이다. 한국 최대 보안사고는, 유명 전자상거래 I사에서 약 1,000만 명의 개인정보 유출사고 아닐까 싶다. 마침 비슷한 시기에 터졌던 A 항공사 보안사고가 저절로 묻혔으니 회사 입장에서 이는 큰 행운이었고.
1,000만 명의 개인정보를 훔친 해커는 회사에 메일을 보내 정보를 인질 삼아 30억원을 요구했다. 아마 애초 의도는 다크웹 등 해커들 장터에 올려 팔 계획이었을 것이다. 그런데 요즘 한국인 개인정보는 완전 헐값이다. 아예 값이 없을 정도다. 그도 그럴 것이, 중국 해커마을에서는 경로당 노인들도 "한국 민쯩 50만명 받고 30만명 더!" 그러며 마작판을 벌인다는 소문도 있을 지경이니, 그딴 게 팔릴 리 없다. 한국인 개인정보는 완전한 공개를 통해 비로소 안전해졌다고나 할까,,
그래서 포기하고 회사를 협박하기로 한 해커, 나름 고민했을 것이다. 얼마를 달라고 할까? 얼마를 불러야 신고하는 것보다는 싸게 먹히니까 순순히 돈을 줄까? 고민 끝에, 30억을 불렀다. 30억쯤 되면 회사 이미지 실추에 따른 피해가 그보다 훨씬 더 크다고 판단할테니 신고 안 하고 그냥 주겠지? 기대했을 것이다. 그러나, 회사는 신고했다. 물론 이는 당연한 일을 한 것이다. 사고 터지면 24시간 내에 한국인터넷진흥원(KISA)과 경찰에 신고해야 하는 게 룰이니까. 하지만 일을 그렇게 신속하게 처리하지는 않았다. 간단히 말해 나름 어떻게 해 보려고 시도하다가 결국 포기했다고 봐야 할 정황인데, 그 배후에선 아마도 이런 계산을 했으리라 짐작한다.
'단순하게, 경제적으로만 판단하자. 30억보다는 과징금이 훨씬 더 싸다. 전에 1억명 개인정보 유출사고 때도 벌금이 고작 1천만원이었으니까. 언론은 요란하게 떠들겠지만 길어야 1주일만 지나면 조용해질 것이다. 고객 손해배상 소송도 종종 일어나던데, 그거 성공하는 걸 본 적이 없다. 회사 이미지? 딱 한 달만 두고 보자. 그때도 이 사건을 기억하는 사람이 과연 몇 명이나 되겠어?'
그리고, 정말 그렇게 되었다. 조용해졌고, 잊었다. 우리나라 사람들은 화도 빨리 내지만 참 빨리 잊는다.
이 심각한 불안을 이렇게나 빨리 잊다니, 이것이 한국 모든 보안 문제의 근본 아닐까?