pentasikyuriti

어떤 제품에든 사용된 암호화 수준으로 강력한 암호화 기술은 이미 숱하게 공개되어 있다. 정부가 어떤 물건에 뒷문을 만들었다고 의심되면, 그거 말고 다른 물건을 사용하면 그만이다. 그러니 세상의 모든 암호화 기술에 대한 만능 열쇠가 아니라면 뒷문 요구는 애초에 무의미한 것이다. 그리고, 그런 짓 저지르는 자들은 정부만큼이나, 아니 정부보다 훨씬 더 온갖 편법 악용에 능한 자들이다. 그럴 거 같지 않지만 정부가 만약 정직하게 '제한적 사용' 약속을 지킨다면, 정부는 아주 가끔 드나들고 범죄자들은 항상 들락거리는 문을 만드는 거나 마찬가지다.
"OTP 카드만 있으면 인증은 뭐든 다 된다고 하던데, 정말 그런가요?" 현장에서 종종 듣는 질문이다. 'OTP 카드' 자리에 든 말만 계속 바뀔 뿐이다. 'USB 인증서'만 있으면, '스마트카드'만 있으면, '지문인식기'만 있으면 식으로. 뭐라고 대답하기 좀 곤란한 질문이다. 원론적으로 맞다고 답할 수도 있고 실무적으로 아니라고 답할 수도 있다. '인증'이라는 기술의 정의가 구체적으로 명확하기 않기 때문이다.
인터넷에 연결되는 사물은 애초에 특수한 목적에만 충실하게끔 설계되어야 한다. 그렇기 때문에, 로지컬 방식이 시그니처 방식보다 우수하거나 효율적이기 때문에 더 적합한 게 아니라, 애초에 IoT보안은 로지컬 방식이어야만 하는 것이다. 그리고 그 '로직(Logic)'은 해당 'IoT 디바이스'에 대한 총체적 보안의 일부로서 동작해야 한다.
1,000만 명의 개인정보를 훔친 해커는 회사에 메일을 보내 정보를 인질 삼아 30억원을 요구했다. 아마 애초 의도는 다크웹 등 해커들 장터에 올려 팔 계획이었을 것이다. 그런데 요즘 한국인 개인정보는 완전 헐값이다. 아예 값이 없을 정도다. 그도 그럴 것이, 중국 해커마을에서는 경로당 노인들도 "한국 민쯩 50만명 받고 30만명 더!" 그러며 마작판을 벌인다는 소문도 있을 지경이니, 그딴 게 팔릴 리 없다. 한국인 개인정보는 완전한 공개를 통해 비로소 안전해졌다고나 할까,,
별 뜻 없이 가벼운 기사 한 줄이지만 그 내용에 해당하는 업계에는 청천벽력 같을 때가 있다. 대개 외국 기사 번역한 기사인데, 깜짝 놀라 원문 찾아 짧은 영어로 열심히 번역해 보면 이런, 완전 다른 내용이다. 그저 기자, 아니 번역자가 보다 성실해 주길 바랄 따름,, "암호 알고리즘 '디피-헬먼'을 깰 수 있는 백도어 개발"이란 기사가 떴다. 이게 만약 사실이라면 보안 업계 전체에 엄청난 충격이다. 지진 나서 원전 터진 바닷가에 서서 쓰나미 밀려오는 걸 바라보는 공포와 마찬가지. 기사 내용을 보자.
자동차용 AFW 기술에 있어 가장 중요한 판단기준은 지능형 기술이냐 아니냐의 차이다. 지금도 어플리케이션 공격은 분야를 가리지 않고 모든 정보보안 공격의 절대적 다수를 차지한다. 그리고 커넥티드카가 완전히 실용화 그리고 대중화된 근미래 시점의 어플리케이션 공격의 양은 지금과는 비교도 할 수 없을 정도로 훨씬 더 많아질 것이다. 그렇게 되면 통신 내용을 이미 알려진 공격의 목록과 일일이 대조하며 위험성을 판별하는 기존의 시그니처 방식 방법론으로는 제아무리 열심히 막으려 해도 도저히 막아 낼 수가 없다.
이번 행사 일반 어젠다 내용을 종합하면, "저 어마무시한 공격을 우리가 도대체 어떻게 막아낼 것인가?" 정도로 정리할 수 있겠다. 결론부터 말하자면, 막아낼 수 없다. 안타깝지만 사실이다. 제아무리 최선을 다해 막아도 사고는 결국 발생하고야 만다. 이는 단순히 말하자면, 물량 문제다. 어떤 집단이 정보보안에 투자할 수 있는 최대 비용과 역량을 10이라 치면, 최대값 10의 힘으로 막아도 100의 힘으로 쳐들어온다. 해킹 기술이 점점 저렴해짐에 따라 적의 수는 앞으로 훨씬 더 많아질 것이다. 간단한 인터넷 검색만으로도 누구나 해킹을 할 수 있는 시절이다.
예전에는, 그러니까 인터넷 대중화 이전에 이런 사고가 발생하면 사회 전체가 분노로 끓어오르곤 했는데, 요즘은 하도 자주 일어나니까 아주 익숙해져버려 다들 그저 "뭐? 또?" 잠깐 짜증만 내고 금방 잊는다. 개인정보는 나만의 것이 아니라 아무나 막 가져다 쓰는 공공재가 되었다는 비웃음마저 흔히 들을 수 있다. 하지만 개인정보 유출사고는 그렇게 가볍게 여기며 대충대충 웃고 넘어갈 그런 일이 결코 아니다. 정말정말 위험천만한 일이기 때문이다.
'블록체인(Blockchain)'이란, 각 분산 노드의 운영자에 의한 임의 조작이 불가능하도록 고안된 분산 데이터베이스의 한 형태로서 대규모의 노드들 사이에서 각 노드에 분산 저장된 데이터를 항상 최신 상태로 유지할 수 있도록 하는 합의 및 수렴 알고리즘이다. 아니 이게 도대체 뭔 소린가,, 보다 간단하게는, 구글에 '블록체인'이라고 치면 쪼르르 같이 뜨는 '비트코인'이 어떻게 동작하는지를 보면 쉽게 이해할 수 있다.
이후 대책이라고 내미는 것들은 모두 다 철통방어를 보다 철통답게 만들어야 한다는 주장뿐이다. 현관 게이트 통과 시 신분증과 신분 일치를 일일이 확인하라! 출입문 옆에 비밀번호 제발 좀 적지 마라! 온통 물리보안 이야기뿐이다. 그런데, 만약 청사에서 일하는 내부자가 성적을 조작하려 든다면 도대체 어쩔 작정인 걸까? 내부자는 게이트로 막든 뭐로 막든 그냥 통과하잖은가? 결국 지켜야 할 게 뭔지 모른다고 볼 수밖에 없다. 결국 지켜야 할 것? 두말할 것 없이 데이터다. 송씨의 목적 또한 청사 침입이 아니라 데이터의 조작이었잖은가.