신수정
인포섹 대표이사
최근 대형 보안 사고들이 마치 쓰나미처럼 대한민국을 강타했지만 아직도 그 여진은 남아 있다. 조금 과장해 말하면 최고경영자(CEO)들은 보안에 대한 불안감으로 하루하루를 맞는 상황이 되었다.
몇 년 전 미국의 한 정보기관에서 보안수준이 상당히 높다는 한 핵심 기반시설을 대상으로 최고의 보안전문가들을 통해 모의해킹 시험을 했다. 공격 대상 시스템 3만8000대 중 침투 성공한 시스템은 전체의 65%인 무려 2만4700대였다. 더 놀라운 사실은 관리자들이 그 침입을 발견한 경우는 2만4700대의 4%인 988대뿐이었다는 것이다. 상위자에게 침투되었다고 보고된 대수는 이 중 27%인 267대였다. 결국 침투에 성공된 시스템 대비 보고된 시스템은 1%밖에 되지 않았다. 이를 통해 세 가지 가설을 유추할 수 있다. 해킹은 쉽게 당할 수 있고, 해킹 흔적은 잘 탐지되지 않으며, 해킹 사실은 잘 보고되거나 공개되지 않는다는 점이다.
기업들이 직면한 보안 문제를 해결하는 방안은 무엇인가. 첫째, 기본 보안시스템들을 구축하고 관리체계를 수립해야 한다. 최소한 고수급이 아닌 공격자들은 막아줄 수 있기 때문이다. 이는 상당한 인적·물적 투자가 요구된다. 둘째, ‘탐지’ 역량을 강화해야 한다. 치밀한 침입흔적 발견 노력은 필수적이다. 최근 필자 회사의 ‘모의침투 컨설턴트(고객의 동의 하에 침투 테스트를 하는 컨설턴트)’들에게 어떤 사이트가 가장 침입하기 어려운지 문의를 해보았다. 재미있게도 가장 보안시스템이 많은 회사가 아니라 관리자가 가장 꼼꼼한 회사라고 대답했다. 기업의 탐지 역량이 강한 경우 공격자들의 공격은 약화된다. 공격자의 ‘공격의지’를 감소시키는 것 또한 중요하다. 공격자가 직면하는 ‘위험’이 공격을 통해 얻는 ‘대가’보다 크게 하면 된다. 공격자의 ‘위험’이란 ‘공격자가 잡히는 확률’과 ‘받게 될 처벌’의 곱으로 표현될 수 있다.
해킹 세계에서 단순 공격자들은 많아도 고도의 기법을 사용해 큰 금전적 이득을 얻으려는 범죄자들은 많지 않다. 많은 대형 보안사고들은 소수의 전문 해커들에 의해 이루어졌을 것이라는 게 전문가들의 견해다. 그런데 왜 이러한 사태가 지속되었는가. 이는 해킹당한 기업들이 이 사실을 공개하지 않고 조용히 처리하려 했기 때문이다. 대부분의 기업이 사고 사실을 알렸을 경우 명성의 피해와 과도한 제재를 두려워한다. 그런 의미에서 지난 4월의 ‘현대캐피탈 해킹 사건’은 시사하는 바 크다. 빠르게 신고하고 정면 대응해 이를 통해 해킹조직의 대부분이 검거되도록 한 것은 의미 있었다.
기업들은 해커와 정면대응하는 것보다 해커와 타협하는 것이 비용이나 명성관리 측면에서 더욱 효율적이라고 생각할 수 있다. 이런 생각을 고치려면 정면 대응한 기업에 고객정보를 잘 관리하지 못한 부분의 책임은 묻되 과도한 제재는 고려할 필요가 있다. 그렇지 않을 경우 앞으로 드러내는 기업이 줄어들 위험도 있다. 대한민국 모든 기업이 타협하지 않고 끝까지 범인을 추적해 잡아낸다면 이러한 위험을 무릅쓰고 해킹 시도를 할 해커들의 수는 점점 감소할 것이다.
신수정 인포섹 대표이사
