보안 책임「누구에게 물어야 하나」

네트워크 보안 전문가들은 현재의 열악한 보안 상태가 누구 탓인지 묻고 싶어한다. 하지만 이에 대한 답변을 얻기 위해서는 커다란 대가를 치러야 할 것 같다.

네트워크 공격과 사이버 반달리즘이 갈수록 심화되는 상황에서 네트워크 보안 전문가들은 ''허술한 보안 상태에 대한 책임을 누구에게 돌려야 하는가''라는 주제로 논쟁을 벌였다. 이를 인터넷 스타일로 ''책임 공방전''이라고 불러보자.

이에 대한 답변은 앞으로 누군가에게 큰 짐을 안겨주게 될 손해배상 소송을 의미할 수도 있다.

보안 기술 및 정보 제공업체인 글로벌 인티그리티(Global Integrity)사에서 보안 자문위원으로 신망을 얻고 있는 유진 슐츠는 "우리는 어디선가 잘못을 범하고 있다"라며 문제를 제기했다.

그는 우선 기업의 최상부 관리자를 향해 보안 책임을 묻고 있다. 그는 "최고 경영진이 보안 문제의 가장 큰 원인"이라며 필수적인 보안 대책 마련에 소극적으로 임하는 경영자를 꼬집었다.

그는 또한 소프트웨어 제조업체를 향해 "보안이라는 관점에서 볼 때, 벤더들은 우리에게 악영향을 끼쳤다"며 그들의 책임도 물었다. 그러나 그는 사용자들을 비난하지는 않았다. 그는 "ILOVEYOU 웜에 대해 그 책임을 사용자에게 돌리기는 어렵다"고 단언했다.

슐츠를 비롯한 6명의 보안 전문가들은 네트워크 보안 2000 행사 기간 중에 열린 패널 토의에서 보안 책임이 누구에게 있는지에 대해 집요하게 파고 들었다.

슐츠에 따르면, 범세계 정보 공유 및 분석 센터(World Wide Information Sharing and
Analysis Center, WW/ISAC)를 관리하는 글로벌 인티그리티와 그의 금융 담당 계열사인 FSISAC는 심화되는 네트워크 공격으로 현재 하루 수천만 달러의 손해를 입고 있다고 전했다.

많은 패널들이 모든 당사자를 비방함으로써 그들을 향한 비난의 수위를 낮췄다. 전자상거래 애플리케이션 제공업체의 보안을 전문으로 취급하는 이그나이트 테크놀로지(Ignyte Technology)의 서비스 담당 스티브 콴 이사는 "보안에 대한 책임은 우리 모두에게 있다"고 주장했다.

서비스 제공업체인 파일럿 네트워크 서비스(Pilot Network Services)의 보안 감시 및 조사 담당 이사인 케이드 로리는 "네트워크 침입자들, 특히 시간이 많은 10대 스크립트 재주꾼들을 막아내는 일은 바다를 막는 일처럼 어렵다"고 비유한다. 그는 "이들은 네트워크 공격을 위한 기회, 시간 및 동기를 가지고 있다"고 말하며, 이 같은 적대적 세력에 대항해 "완벽한 보안 따위는 존재하지 않는다. 끊임없이 보안을 위해 노력하는 것뿐"이라고 덧붙였다.

파일럿 네트워크는 단순한 네트워크 침입 시도에서부터 직접적인 파괴 행위에 이르기까지 매달 수백만 건의 침입을 탐지하고 있다.

이처럼 네트워크 침입이 광범위하게 자행되는 현실은 사용자들이 좀 더 현명해져야 한다는 사실을 역설하고 있다. 로리는 "책임은 결국 개개인에게 돌아가는 것"이며 "누군가에게 강력한 도구를 준다면 그들이 그 사용에 대한 책임을 져야 한다"고 지적했다.

하지만 개인들이 최신 보안 동향을 따라갈 수 없다는 사실은 보안 서비스 제공업체에게 무거운 책임감을 안겨준다.

반도체 제조업체인 어플라이드 머티리얼(Applied Materials)의 세계 정보 보안 서비스 담당 이사인 매튜 아키발드는 "해결책은 따로 없다. 100%의 안전을 보장할 수 있는 일이라곤 아무 것도 없다"고 지적했다. @