pentasikyuriti

고객의 정체를 비밀에 붙이는, 즉 조용히 사고 조용히 파는 관행의 여파가 홍보의 곤란함 정도로만 그친다면 그냥 혼자 투덜투덜 끙끙 앓으면 그만이다. 하지만 그러한 암암리 와중에 상황이 꼬이고 꼬여 정보보안 본연의 위험성이 높아지기도 하니 강 건너 불 보듯 방관할 수는 없는 일이다. 상도상 비밀의 맹점을 노리는 편법 상술이 창궐하고 그 결과 국가적 차원의 정보보안 허점이 점점 커지는데도 이를 딱 잘라 명쾌하게 지적하기 참 애매할 때, 상당히 곤욕스럽다. 이 뻔한 문제를 도대체 어떻게 매끈하게 이야기할 것인가.. 그래도 어디 한 번, 시도해 보자.
한국의 주민등록번호는 1968년부터 시행된 낡은 제도다. 도입 당시엔 개인정보 유출과 그에 따른 피해 양상이 오늘날과 완전히 달랐고, 휴전상태 분단국가인 한국 특유의 자국민 식별 목적이 워낙 강력해서 다른 모든 문제들을 압도해버리기도 했다. 따라서 주민등록번호는 애초에 개인의 신상정보를 최대한 드러내기 위해 설계된 번호다. 13자리 숫자에 해당인의 생년월일, 성별, 출생등록지, 오류 검증을 위한 고유번호 등이 모두 노출되어 있다. 요즘 상식에 기준해 보면 도저히 이해할 수 없는 참 이상한 번호다. 하지만 1968년 당시엔 별 문제 없었다. 하지만 이후 전산 시스템에서 취급하는 개인정보로 사용되기 시작하며 온갖 문제들이 불거지기 시작했다.
근래 갑자기 "자동차 해킹!" 기사들이 무슨 쓰나미처럼 막 쏟아졌다. 잠깐 조용하나 싶더니 "자동차 해킹, 또 성공!"이라며 또 요란하다. '자동차 해킹' 구글링하면 10페이지쯤 쫙 깔린다. 미국 IT 잡지 'Wired'의 저널리스트 Andy Greenberg와 전직 NSA 해킹 툴 전문가 등이 모여 기획한 폭로성 기사 때문. 기사와 함께 동영상까지 공개해 파장이 더욱 큰 듯싶다. 보다 자세히 들여다보자.
대부분의 유명한 클라우드 호스팅 서비스들은 모두 충분히 믿을 만한 네트워크 보안 서비스를 제공한다. 필요에 따라 선택적으로 보안 서비스를 받을 수도 있다. 하지만 웹 컨텐츠 보호에 대해서는 특별한 방법을 따로 제공하지 않는다. 단지 기술적 문제 때문만은 아니고 웹 컨텐츠 레벨에서의 내용 검수 등 법적 적절성 문제까지도 얽혀 있어 굉장히 복잡한 문제인데 어쨌든 중요한 건, 클라우드 호스팅 서비스들의 보안성은 웹 컨텐츠 보호에서만큼은 매우 취약하다는 점이다. 이를 어쩌지?
오늘날 방화벽이나 IDS/IPS 등 네트워크 보안장치의 성능과 시스템 계층에 대한 취약점 및 공격에 대한 방어는 일정 수준 이상에 도달했다고 볼 수 있다. 그래서 역설적으로 현재 가장 심각한 정보보안 문제는 애플리케이션 계층 보안인 것이다. 환경이 웹이든 아니든. 하지만, 웹 보안에 있어 애플리케이션 보안이 가장 큰 비중을 차지한다는 건 틀림없는 사실이지만, 이는 기본적으로 네트워크와 시스템 보안의 안정성이 바탕이 되어야만 이룰 수 있는 일이라는 점 역시 간과해서는 안 되고
거듭 강조하는 바 웹 애플리케이션 보안은 웹 보안 전체에 있어 가장 중요도가 높은데도 불구하고 정작 애플리케이션 보안에 대한 투자는 네트워크 보안 투자비용의 고작 1/10에 불과하다. 그 까닭은? 아마도 뭘 어떻게 해야 하는지 모르겠다 싶은 난해함 때문 아닌가 싶다. 네트워크 보안은? 비교적 간단하지. 그냥 기계 사다가 랙에 꽂고 "아, 끝났다!" 잊으면 되니까. (물론 네트워크 보안도 그렇게 하면 절대 안 된다,,)
사이버 범죄 발생에 따른 연간 피해액은 약 120조 원으로, 하루 평균 1백만 명 이상, 1초당 12명이 사이버 범죄에 당한다. 듣기만 해도 무시무시한 수치라 이는 완전 전문적인 해커들이 시도하는 공격으로 보인다. 하지만, 최근에는 흔한 검색 엔진을 통한 간단한 검색만으로도 그런 웹 공격 방법뿐 아니라 그냥 다운로드 받아 쓰면 되는 도구들까지 제공하는 곳이 많아서 전문가가 아닌 일반인들도 쉽게 웹 공격을 시도할 수 있다. 편의점에서 핫바 사듯 간단하게 해커가 되는 것이다.
"올바른 사용자인가?" "문제 없는 데이터인가?" "누가 훔쳐가면?" 지난 정보보안 사건 사고들을 쪼르르 나열해 살펴보면 무지 복잡하고 천태만상 보이지만 종합해 보면 거의 전부 위 3개의 질문으로 귀결된다.
"웹사이트는 인터넷 프로토콜 기반 네트워크 상에 존재하는 각각 주소와 경로를 따로 가진 페이지들이 유의미하게 묶인 구조체다. (딱 여기까지가 세칭 '홈페이지'의 뜻이고,) 나아가, 기존 시스템들의 통합을 이루기 위해 웹 기술이 서로 다른 각종 장치와 애플리케이션 간의 소통을 위한 인터페이스로 사용됨에 따라, 오늘날 기업 및 기관 전산환경의 절대적 다수는 그 자체로 거대한 웹사이트라 할 수 있다. 그 구조체에 집단 바깥 외부자의 열람을 위한 '홈페이지'가 달려 있든 달려 있지 않든." 아니 그러니까, 그게 뭔 소리냐고,, 먼저 간단히 '업무용 컴퓨터'의 역사를 훑어보자.
'한국인터넷진흥원 KISA'에서 발표한 '2014년 정보보호실태조사(기업부문) 요약보고서'를 읽는다. 7천여 개 사업체를 대상으로 방문면접 조사한 꽤 믿을 만한 보고서다. 하지만 읽는 내내 체증 걸린 듯 답답한 마음, 못내 아쉽다. 문득 떠오른 말은, "모든 일은 결국 벌어진다." 스티븐 킹의 단편집 제목이다. "Everything's Eventual". '소 잃을 수밖에 없는 외양간 보고서', 내용 중 핵심만 골라서 보자.