수준높은 해킹과 허술한 프라이버시로 인해, 지난 주는 또 한 번 인터넷 보안의 허술함을 확인할 수 있는 한 주였다. 전문가들은 IT 산업이 점증하는 위기를 등한시하고 있다고 비난한다.
최근에 발생하고 있는 상황을 살펴보자. 3개의 국제적인 웹사이트가 해킹당했고, 인터넷 프라이버시 표준에 대한 2개의 끔찍한 보고서가 발표됐으며, 1/3에 달하는 인터넷 기업들이 파이어월조차 사용하지 않는다는 충격적인 통계가 발표됐다. 이 모든 것을 종합해보면, 현재의 인터넷 프라이버시와 보안 상태를 나타내는 황량한 그림이 그려진다. 더구나 이번에는 전문가들이 IT 관리자들에게 책임이 있다고 주장하고 나섰다. 주범은 허술한 보안 관행과 회사 웹사이트의 보안을 위해 비용과 시간을 더 투자하려는 의지가 부족하기 때문이란 것이다.
한 마디로, ''e''자가 들어간 모든 것에 대한 러시 현상이 이제는 보안 위협의 형태로 기업들의 발목을 잡고 있다.
전국에 걸쳐 수천 개의 임대물을 보유한 이퀴티 레지덴셜 프라퍼티 트러스트(Equity Residential Properties Trust)사의 CIO 제프 비클러는 "지금 IT 업계는 자성할 시기"라고 주장한다.
비클러는 "당신에 대한 정보들이 무방비 상태로 드러나 있다는 사실을 인정해야 한다. 현재 기업들은 자사의 공개 서버가 내부 서버와 다를 바 없다고 생각하고 있지만 그건 분명 잘못된 판단"이라고 지적했다.
최근 들어 발생한 해킹 사고들은 심각한 수준이었다. 유니온 파이낸셜 서비스(Union Financial Services)사는 1만 6000명에 달하는 고객들의 대차카드 정보를 손상시켰다. 해커들은 국제적인 가구업체인 아이키아 인터내셔널 A/S(Ikea International A/S)의 데이터베이스에서 고객주소 및 전화번호를 포함한 개인 데이터를 뽑아냈다. OPEC 웹사이트는 높은 유가에 항의하는 사람에 의해 손상을 입었다.
놀랄 것도 없다
전문가들은 해킹 범죄의 증가는 쉽게 이해할 수 있는 것이라고 말한다. AT&T 연구소의 보안전문가 애비 루빈은 "지금까지는 해킹에 대한 자극제가 없었지만 이제는 자극제가 넘쳐나고 있다. 해킹은 그 어느 때보다 쉬워졌지만 대응력은 따라가지 못하고 있다. 기업들은 인터넷 안전보다는 그저 인터넷에 존재한다는 것 자체에 더 관심을 쏟고 있다"고 지적했다.
매번 피해를 입은 기업은 상황의 중요성을 깎아 내리거나 책임을 전가하는 식의 준비된 성명 이상의 논평은 하지 않는다. 웨스턴 유니온(Western Union)사는 신용 사기가 발생한 적이 없다고 주장했다. 아이키아의 한 여성 대변인은 플리머스 회의에서, 자사의 웹을 서드파티에 의존하고 있다고 밝혔다.
오스트리아 비엔나에 소재한 OPEC는 해커가 OPEC 웹사이트 소개 페이지에 적어놓은 메시지를 제거하는데 거의 하루를 소비했다. 대변인에 따르면, 해커를 추적하려 애쓰고 있지만 이 해커는 자신의 행방을 감추고 말았다고 한다.
전문가들은 기업들이 보안 업무에 충분히 단련되지 않았다는 증거로, 웨스턴 유니온과 아이키아의 해킹 사건을 예로 든다. 웨스턴 유니온의 시스템은 보수기간 동안 취약한 상태로 방치돼 있었고, 아이키아의 웹사이트는 아무도 시스템을 모니터하지 않는 휴일 주말에 공개됐다.
해군, 공군, 펜실베니아주의 보안 시스템을 구축하는 오퍼레이셔널 리서치 컨설턴트(Operational Research Consultants)사의 공사 담당 부사장인 댄 투리시니는 "기술이 문제가 아니다. 기술은 이미 존재하기 때문이다. 기업들은 조금 더 시간을 투자하고 조금 더 열심히 작업해서 훗날의 보안을 위해 몇 가지 추가 조치들을 취하는 일을 별로 달갑지 않게 생각한다. 시스템 유지보수 기간동안 취약 상태에 놓이지 않도록 하는 일은 가장 기본적인 일이다. 사전 보안 평가를 통해 해킹을 쉽게 예방할 수 있다"고 강조했다.
메사추세츠주 알링턴의 커터 컨소시움(Cutter Consortium)의 연구보고에서는 기업들이 놀라울 정도로 낮은 수준의 보안 전문성과 투자를 하고 있다는 것을 지적하고 있다. 커터 인포메이션(Cutter Information)의 한 부문인 커터 컨소시움은, 조사대상이었던 전세계 134개 기업 중 31%가 아예 파이어월을 사용하지 않고 있으며 기본적인 보안 기술에 대한 전문성 수준도 낮다는 사실을 밝혀냈다.
설상가상으로, 커터 애널리스트인 켄 오르는 보안 침해가 늘면 늘었지 줄지는 않을 것으로 내다봤다. 그는 "기업들은 부정적인 정보를 최소화하려 노력하고 있고 애널리스트들도 그다지 나쁜 상황이 아니라고 말하고 있다. 하지만 상황은 나빠질 것이다. 더욱 악화될 것이다. 따라서 사실을 은폐하는 건 전혀 도움이 되지 않는다"고 밝혔다.
전문가들에 따르면 IT 커뮤니티 일각에서 나오는 반응을 보면, 무엇보다 왜 이런 문제가 발생하는지 알 수 있다고 한다. 이들은 파이어월을 해킹 방지 수단으로만 여기고 이 문제를 제대로 다루기보다는 가볍게 보는 경향이 있다는 것이다.
일례로 웰즈 파고 앤 컴퍼니(Wells Fargo & Co.)의 비즈니스 인터넷 서비스 담당 부사장인 데보라 로시는 웨스턴 유니온 해킹 사건을, 웰즈 파고가 단 한 번도 침입당한 적이 없다는 사실을 과시하는 기회로 삼았다.
"고객들은 우리를 믿을만한 회사로 여기고 있다"고 말하는 로시에게 웰즈 파고가 침입당할 수 없는 이유를 묻자 "우리는 다중 파이어월을 구축했다. 우리 사이트를 유지보수할 때도 서버 및 파이어월이 여러 겹으로 돼있어 해커들이 침입할 수가 없다"고 답했다.
AT&T의 루빈은 그런 대답을 비웃었다. 루빈은 "웰즈 파고가 갖고 있는 것이라곤 잘못 배치된 파이어월 하나뿐이다. 파이어월을 내던져버리고 현재 안전한 것은 아무것도 없다는 것을 깨달아야 한다"며 "웰즈 파고처럼 자사의 시스템을 스스로 해킹해보는 것은 좋은 방법이지만, 기업들이 해킹으로부터 무사하다고 주장하는 것은 피해야 한다"고 강조했다.
사적인 데이터를 도난당하는 것은 분명 좋지 않은 일이지만, 허락없이 서드 파티에 노출되는 것도 문제다. 최근 미국 회계감사원이 발표한 한 보고서는 정부 사이트가 채택하고 있는 프라이버시 정책의 3%만이 연방거래위원회(FTC)의 온라인 프라이버시 기준에 부합했으며, 평가된 정부 사이트의 15%는 아직도 프라이버시 정책을 게시하지 않았다고 밝혔다.
뿐만 아니라, 커터 보고서는 조사대상 기업 중 47%가 적절한 온라인 프라이버시 정책을 갖고 있지 않다고 밝혔다. 응답자들은 인터넷 사업에 중요한 8가지 요인 중에서 프라이버시를 6위로 꼽았다.
근본적인 조치가 필요하다
기업들이 고객의 보안과 프라이버시보다는 인터넷 사업 참여 자체를 더 높이 평가하는 한 앞으로도 최근의 침해 사례와 같은 일들이 더 많이 벌어질 것이다. IT 업체들이 근본적인 조치를 취하지 않는 한 상황은 더욱 악화될 것이다.
얼마나 근본적인 조치여야 하는가? 일부 전문가들은 기업들이 보안 및 프라이버시 대책을 충분히 평가할 수 있을 때까지 자체 사이트를 폐쇄하는 극단적인 방안을 제시하고 있다. 하지만 이 방안은 경쟁적인 이유 때문에 실현 가능성이 없다. 루빈은 보안 벤더들이 다른 기업들의 보안 재난을 마케팅에 이용하는 것을 그만두고, 보안 마케팅에 전적으로 비용을 쏟아 붇는 일도 그만둘 것을 충고했다.
루빈은 "보안 벤더들의 제품이나 서비스를 구별하기는 어렵다. 단지 그들이 내세우는 마케팅일 뿐"이라고 하면서 언더라이터 레보러토리(Underwriters Laboratories)와 흡사한 보험업체가 필요하다고 덧붙였다.
투리시니는 "보안과 프라이버시가 스스로 유지되리라 기대해서는 안된다. 보안과 프라이버시는 관리가 필요하다. 업데이트, 유지보수, 사람의 개입도 필요하다. 비용도 필요하다. 사람들은 이런 사실을 이해하지 못하는 것 같다. 그들은 이런 말을 듣고 싶어하지 않기 때문"이라고 주장했다. @
