pentasikyuriti

통신보안 대책으로 제시되는 것들에 대한 관심 또한 높다. 지나치게! 개중 대표적인 것이 작년 한창 뜨거웠던 '종단간 암호화 (End-to-End Encryption)' 그리고 'SSL (Secure Socket Layer)' 암호화 통신이다. "이건 SSL이니까 안전해!" 란 말도 요즘 아주 흔히 듣곤 한다. 이런 처방들이 대개 그러하듯, 아주 틀린 말은 아니다. SSL은 애초에 전자상거래 등의 보안을 위해 개발된 것이기에 기본적인 안전성을 확실히 보장한다. 단, '전송계층(Transport Layer)'까지의 안전을 보장한다. 전송계층? 그게 뭔데?
이번 사건을 통해 우리나라의 개인 신원 확인 절차는 또 어지러워질 것이다. 온갖 성토가 속출하고 대책이 난무할 것이다. 그럼? 절차가 복잡해지는 것이다. 게다가 아이핀 아닌가, 이거 무너지면 이제 뭘로 주민등록번호를 대체하겠다고 나설 작정일지 벌써부터 궁금하다. 그러다 결국 '너무 어려워서 인증 받지 못하는 인증'이 되고 만다.
세상엔 이룰 수 없는 꿈들이란 게 많다. 그중 하나가 바로 '패스워드 계몽'. 어쩌면 절대 불가능한 일일지도 모르겠다. 가장 많은 패스워드 세계 1위는 '123456'인데 계몽은 무슨,, 따라서 '우리 회사 모든 임직원은 아래와 같이 행동하라' 정책을 강제한다. 1)패스워드 복잡도, 2)패스워드 유효주기, 3)시스템별 패스워드 등. 즉, 문자 숫자 기호 섞어 충분히 복잡한 패스워드를 시스템별로 다르게 만들고 때마다 바꿔야 한다는 뜻이다. 그 결과, 자기 패스워드를 모른다!
모 회사 관련 기사들을 살펴본다. "업계 1위!" 아니다. 심지어 2위도 아니다. 시쳇말로 듣보잡 회사다. "국내 최초로 OOO 알고리즘 개발!" 아니다. 다른 회사에서 상품화해 시장에 내놓은 게 벌써 몇 년 전 일이고, 학부 교재에도 나오는 내용이라 애초에 '개발'이라 할 만한 것도 아니다. 고작 이 정도로 뻔한 사실관계에 대한 확인조차 하지 않은 언론사 데스크에도 심심한 유감을 표한다.
우리나라의 정보보안 담론은 원인요법 일색으로만 흘러가는 경향이 있다. 그 취지가 근본적으로 옳은 건 틀림없지만, 원인 분석이 충분치 않고 당장 적용하기 어렵거나 불가능한 추상적 해법 제시로 그치는 경우가 대부분이다. 옳은 말이라는 게 참, 이거 정말 곤란하다. 아니라고 틀렸다고 반박하기도 애매하니 탁상공론만 끝없이 이어진다.
"개인정보 비식별화만 하면, 빅 데이터 분석 막 해도 되나?" 감히 말하건대, 막 해도 된다. 단, 개인정보 비식별화 방법에 대해선 좀 따져 볼 필요가 있다. 특히 '랜덤 토큰' 방식은 문제가 많다. 거듭 강조하는 바, "따로 안전하게 보관했으니까, 안전하다." 이 믿음만큼 위험한 게 따로 없다. 지난 수많은 사건사고들을 되짚어 보라.
사실 패턴이 그렇게나 중요한 까닭은 아쉽게도 기계가 아직 사람의 지능만큼 발달하지 않았기 때문이다. 너무 빨라서 "굉장하다!" 싶지만 기계가 사람처럼 생각하려면 아직 갈 길이 한참 멀다. 그저 처리속도가 빨라져 예전엔 불가능해 보이던 일을 거뜬히 해낼 뿐, 실은 도대체 발전이 없는 방법론의 반복일 뿐이라 해도 지나친 폄하는 아니다. 인공지능에 대한 연구는 하다가 안 되니 아예 포기한 것 아닌가? 의심이 좀 들기도 하고. 아무튼,
게다가 임원이란 자들은 원래 말을 좀 안 듣는다. 보안점검 있으니까 기계 좀 보자고 해도 "내가 얼마나 중요한 사람이고 여기 얼마나 중요한 기밀이 들어 있는데!" 라며 거부한다. 그리고 임원이 단체 메일을 보내면 아랫것들은 안 열어 볼 수가 없다. 그러면? 회사 전체가 탈탈 털리는 거. 어떻게 이런 일이 가능한가? 가능하다. 이번에 드러난 건만 보더라도 최소 4년 이상을 치열하게 작업한 결과다. 지능형 "지속" 위협이란 게 원래 그런 대규모-장기간 공작이다.