국방부 백신 사업이 또 유찰됐다. 이유는 무응찰, 아무도 참여하지 않아서,,
보안회사에게 국방부 일은 여간해선 참기 힘든 유혹이다. "나라를 지킨다!" 자랑할 수 있으니까. 보안회사 홍보에 그보다 더 멋진 타이틀이 달리 또 있을까. 그래서 국방부뿐 아니라 정부기관 납품 실적은 어느 보안회사 회사소개서든 전면에 붙여 자랑한다. 그러나,
앞뒤 맥락 알 만한 사람들은 하나같이 반복되는 유찰은 당연한 결과라고 말한다. 말하자면 '독이 든 성배'라는 공통된 인식이다. 그러니 결국 수의계약으로 끝나리라 예상되는데, 그럴 경우 보안 효과의 품질 저하가 걱정스럽다. 예사 기업도 아닌 정부기관, 그것도 무려 국방부 아닌가.
어쩌다 이리 된 걸까. 어째서 다들 무응찰이 당연한 결과라는 걸까. 에둘러 말하자면, 기대가 큰 만큼 실망도 큰 상황이다. 그리고 그 기대는 애초에 잘못된 오해, '보안=백신'이라는 잘못된 등식 때문에 부풀려진 오해다.
보안 = 백신 ?
당연히, 백신은 보안의 전부가 아니다. IT 보안은 IT 시스템의 3개 계층 구조에 따라 크게 1)네트워크 보안, 2)시스템 보안, 3)어플리케이션 보안으로 나눌 수 있는데, 백신은 그중 2)시스템 보안의 일부 영역을 맡아 지킬 뿐이다.
공격 수법의 고도화뿐 아니라 공격 물량부터 폭증해 감당하기 벅찬 요즘, 백신이 맡은 영역의 방범 성공률은 대략 40% 정도로 보는 게 현실적 판단이다. 어쩌면 당연한 게 최신 백신의 가장 열정적 사용자는 해커들이니까. 백신도 안 돌려 보고 덤빌까,, 그런데도 전체 보안 책임 100%를 감당해야 하는 것처럼 말하니 이거, 백신 입장에서도, 난 누군가 또 여긴 어딘가, 너무나 부담스러운 노릇이다. 그러다 보니,
"보안은 백신 회사가 다 알아서 해 줘야지?"
백신 공급 외 이것저것 다른 요구들도 많아진다. 사용 단말기 라이센스 관리 및 커스터마이징, 소프트웨어 업데이트, 사고 발생 시 원인 분석 외 정기적 보안 교육까지 맡아야 하고, 기술 지원을 위해 10명의 상주 인력을 배치해야 하는데 나랏일이 대개 그러하듯 해당 인력의 학력 등 스펙이 구체적으로 정해져 있기 때문에 그만큼의 고급 인력을 회사 밖에 둔다는 건 사람값이 가장 무서운 회사에겐 엄청난 부담이다.
백신에 대한 기대가 큰 만큼 실망도 크게 하니까 부담이 엄청난데 그렇다고 큰 기대만큼 돈을 크게 주지는 않는다. 무려 2배로 높였다 하지만 그래도 회사가 져야 하는 부담에 비해선, 싸다. 너무 싸다. 뭐든 희한한 물건들 아무거나 척척 사는 거 보면 돈 참 잘 쓰던데 이런 일은 왜 이리 짜게 구는 건지 모르겠다. 아마도 눈에 보이는 물건이어야 값을 매길 수 있나 보다. 소프트웨어는 고달프다.
보안 = 안전한 시스템 설계 !
백신이 보안의 전부가 아니고 일개 도구일 뿐이라면, 그럼 보안의 전부는 무엇일까. 단 하나가 전부인 뭔가가 따로 있을 거라는 믿음이 곧 위험이다. 여러 가지 도구들을 적재적소에 "잘" 배치하는 일, 즉 보안이란 '안전한 시스템 설계'다. 어떤 도구 하나를 맹신하면 전체 설계가 틀어진다. 작년 가을의 군 내부망 해킹 사고를 보더라도 그 원인은 '백신' 그리고 '망분리' 등 어떤 도구의 효과를 지나치게 믿었기 때문 아닌가 싶다.
국방부 전산 시스템에는 다른 정부기관이 그러하듯 내부망과 외부망을 나눠 쓰는 소위 망분리가 적용되어 있다. 안과 밖에 아예 다른 망을 씀으로써 위험을 애초에 차단하자는 의도였을 것이다. 그런데 그 망과 망 중간에다가 백신을 관리하는 중계 서버를 둔 것, 게다가 그 중계 서버만도 800대나 필요한 복잡한 구조였다. 이럴 거면 망분리를 왜 했나, 상식적으로도 이해할 수 없는 일이다. 안전한 시스템 설계의 실패, 즉 보안이 성립하지 않았던 것이다.
사고 경위를 보더라도 바로 그 백신 서버가 뚫렸다. 백신 취약점을 노린 해킹이라고 발표되었지만 아니, 보다 근본적으로는 잘못 설계된 시스템 취약점을 노린 해킹이었던 것으로 봐야 하고, 따라서 대책이라고 내놓은 '백신 교체'는 자다가 남의 다리 긁는 엉뚱한 말일 뿐이다. 백신 회사에게도 이는 마치 질 나쁜 개그처럼 허무한 일이다. "너 때문이야! 너 말고 딴 회사 찾을 거야!" 막 뭐라뭐라 했는데, 정작 딴 회사도 못 찾아서 아마도 계속 함께 갈 것 같은, 이 무슨 희비극,,
정보란 원래 쫙 퍼지는 것
망분리를 하든 뭘 어떻게 하든 정보는 어떻게든 연결되고 전달되고 가공된다. 그것이 정보란 것의 애초 속성이다. 폐쇄망이란 것도 말이 폐쇄망일 뿐 제대로 사용하려면 외부와 다수의 접점을 가질 수밖에 없는데, 따라서 그에 대한 보안 또한 그 접점에 대한 전반적 관리 개념으로 다룰 일이지, 어느 한 요소를 딱 찍어 "이게 원인이다!"라고 말하면 이는 순전히 편리를 위해 너무 쉽게 고른 희생양에 그치고 만다.
그래서, 내부망과 외부망에다 각각 다른 백신을 적용함으로써 사고를 방지하겠다고 한다. 그래, 그렇게 하면 결과적으로 완전히 똑같은 사고를 방지하는 효과가 있긴 하겠다. 하지만 근본적..이란 말도 무색하다만 아무튼, 해법은 아니다. 해법은, 안전한 시스템 설계에 대한 고민이다. 너무 원론적이지 않나 싶더라도 어쩌랴, 그것만이 해법이다. 보안 불감증이니 보안의식 부재니 뭐 그런 흔한 이야기는 이제 서로 좀 지겹지. 문제는 그런 흔한 말이 아니라, 그냥 뭐가 뭔지 몰라서 털리는 거다. 그러니까, 알자. 보안은,
안전한 시스템 설계다. 거듭 강조하는 바, 1)네트워크 보안, 2)시스템 보안, 3)어플리케이션 보안 등 IT 시스템의 3개 계층 모두 각각 안전한 시스템의 설계 말이다. 실전적 방법론을 덧붙이자면 가장 사고 발생이 빈번한 어플리케이션 계층부터 막고, 각 계층마다 그리고 각 계층을 오가는 모든 데이터를 암호화하고, 사용자 인증 절차를 다중으로 강화하는 등, 정보보안의 3단 콤보 '웹 어플리케이션 보안 + 데이터 암호화 + 인증 보안' 적용을 이야기할 수 있겠다만 이는 모두,
'보안=안전한 시스템의 설계' 등식에 대한 철저한 이해 이후의 일이다.
사이버 전쟁을 위해 돈을 더 쓰자?
이제 사이버 범죄는 범죄 수준이 아니라 사이버 전쟁 수준으로 급부상했다, 그렇다. 이젠 정말 흔한 말장난이 아니라 진짜로 전쟁이다. 그래서 이 나라는 돈 얼마를 쓰고 저 나라는 돈 얼마를 쓰니까 우리도 사이버 전쟁 대비 예산을 그만큼 높여야 한다, 옳다. 이거 정말 심각한 문제다. 하지만, 의문이다. 보안에 대한 이해가 지금 수준에 머무른다면 돈 얼마를 더 붓든 딱 그만큼의 헛된 낭비일 뿐일 테니까. 지금도 나름 돈 쓰고 있다만 결국 삐딱한 댓글이나 달고 있지 않던가,,
어떤 문제든 문제가 있으면 해법 모색은 그 문제를 정확히 아는 일에서부터 출발해야 한다. 거듭 강조하는 바, 지금 이 문제는 돈 문제가 아니다. 돈으로 그냥 해결되기라도 한다면 차라리 낫겠다만.
* 이 글은 IT&보안 잡지 'decodr'에 게재된 글입니다.