MS와 오라클을 비롯한 여러 기술 기업들이 그들 간의 분쟁을 그만 두고, 사이버 공격에 공동 대처키로 합의했다.
클린턴 행정부가 국가의 주요 산업들을 사이버 공격으로부터 보호하기 위한 계획을 발표한지 1년만에 19개 기술 기업들은 시스템의 취약성과 인터넷 위협에 관한 정보를 공유하기 위해 단결했다고 지난 16일 발표했다.
IT 정보 공유 및 분석 센터(Information Technology Information Sharing and Analysis Center), 즉 IT-ISAC로 불리는 이 단체는 그룹 멤버들과 기타 하이테크 산업 부문들에 대한 미래의 사이버 공격을 막기 위해 정부와 협력할 예정이다.
네트워킹 장비 제조업체인 시스코 시스템 부사장인 그레고리 애커즈(Gregory Akers)는 “오늘날 우리는 그동안 한 번도 경험해보지 못한 문제에 직면해 있다. 이제는 우리가 한데 뭉쳐 우리 앞에 다가오는 위협에 맞서 싸우는 것이 중요하다”고 밝혔다.
IT-ISAC 창립 멤버에는 시스코 이외에도 MS, 오라클, 베리디안(Veridian), CSC, IBM, 휴렛 팩커드 등이 포함돼 있다.
IT-ISAC은 네번째로 설립된 정보 공유 및 분석센터라고 할 수 있는데, 금융 서비스 산업, 텔레콤 산업, 전력 산업에도 이미 그런 센터들이 설립돼 있다.
사임하는 통상부 장관인 놈 미네타(Norm Mineta)는 어떤 기업이든 가장 하고 싶지 않은 일중 하나가 경쟁 기업과의 정보 공유라는 것을 지적하면서, IT-ISAC 설립은 기술 산업의 약속을 보여준다고 말했다.
우리는 단결했다
미네타는 “우리는 오늘 공격자들에게 그들의 사이버 테러리즘이 그냥 묵과되지 않을 것이라는 메시지를 보내는 바이다. 우리는 단결했다”고 밝혔다. 미네타는 현재 부시 행정부의 교통부 장관으로 임명되기 위한 상원의 승인을 기다리고 있다.
IT-ISAC의 창립 멤버들은 이 비영리 단체를 출범시키기 위해 총 75만 달러를 기부했으며, 앞으로 새로 가입할 멤버들은 5000달러를 기부해야 동참이 가능하다. 창립 멤버에 속하는 보안 단체인 인터넷 시큐리티 시스템(Internet Security Systems)이 취약성 정보를 수집/보급하는 일을 담당해 이 센터를 관리할 예정이다.
이 센터의 멤버들은 중요한 인터넷 및 컴퓨터 시스템에 관한 취약성 정보를 그들 간에 공유하고, 업계를 위한 최선의 관행을 결정할 계획이다. 이런 센터들은 1년전 클린턴 행정부가 발표한 당초의 ‘주요 인프라 보호를 위한 국가계획(National Plan for Critical Infrastructure Protection)’의 핵심 부분이었다.
MS를 비롯한 수많은 대기업들은 최근 그들의 기업 네트워크가 해킹당하는 경험을 했다. 크고 작은 조직들을 겨냥한 그런 공격을 통해 일부 해커들은 낙서나 좀더 신랄한 메시지로 웹사이트를 손상시킨다. 어떤 해커들은 고객 정보나 개인 프로필같은 사적인 정보에 손을 대기도 한다.
사이버 절도로 수백 억 달러 손실
많은 기업들은 귀중한 지적 재산권을 보호하기 위한 보안 수단들을 증가시켰지만, 여러 보도를 통해 드러난 바로는 대부분의 기업들이 여전히 취약한 상태이다.
MS의 CSO(Chief Security Officer)인 하워드 슈미트는 “우리의 최대 관심사는 취약성보다는 위협이다. 우리는 누가 내 네트워크를 손상시키고 있는지 파악할 수 있는 꽤나 강력한 수단을 갖고 있다”고 말했다.
슈미트는 그런 정보를 다른 멤버들, 그리고 궁극적으로는 전체 기술 커뮤니티와 공유함으로써 IT-ISAC이 인터넷을 좀더 안전하게 만들어주기를 기대하고 있다.
미국산업보안협회(American Society for Industrial Security)와 컨설팅 기업인 프라이스워터하우스쿠퍼즈(PricewaterhouseCoopers)에 따르면, 포춘지 선정 1,000대 기업들은 1999년 비공개 정보를 도용당함으로써 450억 달러 이상의 손실을 입었다고 한다.
이 액수는 1990년대 중반 FBI가 약 240억 달러로 못박았던 예측치보다 훨씬 높은 수준이다.
피해자는 기술 기업들
그런 해킹 사건의 대부분을 차지했던 것은 기술 기업들이다. 기술 기업은 평균 약 67건의 개별 침입 사건을 보고했으며, 도용 행위로 인한 손실은 평균 약 1,500만 달러에 달했다.
작년 연방 시스템에 대한 일련의 침입사건이 있은 후, 클린턴 대통령은 IT 근로자들을 충원하고 훈련시키기 위한 교육 사업을 포함해 20억 달러 상당의 사이버 테러리즘 퇴치 계획에 착수했다. 이 계획에는 연방 정부기관의 취약성을 분석하고, 인프라 보호 계획을 개발하는 일도 포함됐다.
하지만 일각에서는 IT-ISAC의 폐쇄적 속성에 의문을 제기하기도 했다.
보안 서비스 제공업체인 @스테이크(@Stake)의 연구개발 담당 매니저인 ‘웰드 폰드(Weld Pond)’는 “이런 단체가 직면하는 장애물 중 하나는 보안 업계를 이 단체에 소속된 사람들과 그렇지 않은 사람들로 구분하는 것”이라고 지적했다(그는 자신의 이름을 해커명인 ‘웰드 폰드’로 표시해 주도록 요청했다).
그는 또 “보안에 관한 업계의 협력은 바람직한 것이지만, 대기업들만이 이 새로운 단체에 협력하고 있다”고 일침을 가했다.
얘기할까 말까?
제품 취약성을 자유롭게 공개해야 한다는 주장과 기업들이 그런 취약성을 문제가 해결될 때까지 비밀에 부칠 수 있도록 허용해야 한다는 주장 간의 논란은 보안 산업에서 오랫동안 맹위를 떨쳐왔다.
이 단체가 그런 정보를 비밀에 부치는 것이 당연하지만, 웰드 폰드는 그들이 그런 정보를 입밖에 내지 않는 것도 어려울 것이라고 믿고 있다.
그는 또 “만약 그들이 다른 이들이 알기 전에 중요한 것을 탐지한다면, 그 정보는 그 단체 밖으로 알려지지 않을 것이다. 하지만 현재 드러난 대부분의 취약성은 그것을 회사측에 통보한 후 일반에게 공표하는 경향이 있는 다른 전문가들에 의해 발견됐다”고 말했다.
IT-ISAC이 그런 기술 전문가들을 어떻게든 포섭하지 않는 한, 그들의 시스템 상에 있는 결함들은 펼쳐진 책처럼 훤히 알려지게 될 것이다.
IT-ISAC의 프로그램 이사로 활동하게 될 인터넷 시큐리티 시스템의 피터 앨로어(Peter Allor)는 이런 의견에 반대하면서, 이 센터는 모든 사람들과 정보를 공유할 계획이라고 말했다.
즉 “IT-ISAC은 멤버들 간 최선의 관행을 공유하기 위해 조직됐다. 뿐만 아니라 우리는 다른 조직들과도 정보를 공유할 것이다. 우리가 그렇게 해야 정보 보안 부문이 혜택을 보게 될 것”이라고 말하고, 또 “인터넷의 힘은 모든 사람들을 보호할 수 있는 우리의 능력에 달려있다. 구멍이 하나만 생겨도 전체가 무너진다”고 덧붙였다.
