시스템 해킹 '내 잘못이 반이다'

4명의 보안 전문가들은 RAS 데이터 시큐리티 컨퍼런스에 참석해 네트워크로 연결된 세상에서 악의를 품은 침입자, 기업 스파이, 교육받지 않은 직원들 때문에 네트워크 보안이 엉망이 되고 있다는데 입을 모았다.

하지만 미국 최고 사이버 경찰이었던 마이클 배티스는 지난 11일 공개 토론회에서 기업 네트워크와 인터넷상의 보안 결함은 공격자보다는 피해자의 잘못에 기인하는 경우가 더 많다고 밝혀 이와는 상반된 의견을 보였다.

미연방 정부의 국가 인프라 보호센터 전무이사였던 배티스는 "해커만이 위험 인물인 것은 아니다. 문제 발생에 기여하는 우리 모두가 위험 인물"이라고 주장했다.

배티스는 다른 3명의 보안 전문가들과 함께 오늘날의 네트워크 보안에 대한 의견을 교환하는 공개 토론회에 참여했다.

현재 다트머스 대학 보안 기술 연구소장인 배티스는 "물론 웹사이트에 손상을 입히고 네트워크에 침입하는 것을 용서할 순 없다. 하지만 반달족들이 긍정적인 역할을 수행할 수도 있다는 점을 간과해선 안된다"고 주장했다.

그는 또한 "해커들은 정부에 있는 그 어떤 관리보다도 최근 몇 년 동안 보안 위협에 대한 경각심을 높이는데 공헌을 했다"고 말했다.

샌프란시스코에 있는 컴퓨터 보안 협회의 최근 연구논문에 따르면, 보안에 따른 위협은 지난 몇년 동안 계속 증가해왔다고 한다.

지난 3월에 발표된 연구논문에서 조사대상 기업들의 40% 이상이 인터넷을 통한 시스템 침입을 경험했다고 밝혔다.

이는 1년전보다 25%나 증가한 것이다. DoS 공격을 발견한 기업들은 1년전의 27%에서 38%로 증가했으며, 컴퓨터 바이러스 사고를 겪은 기업들은 그 전해의 85%에서 94%로 증가했다.

컴퓨터 보안 협회 편집이사이자 ''Tangled Web''이라는 보안관련 도서의 저자인 리차드 파워는 "모든 사람이 사이버 공간에서 얻을 수 있는 이익만 계산하고 있을 뿐, 손해를 볼 수도 있다는 점을 인식하고 있는 사람들은 소수에 불과하다"고 지적했다.

미법무부 형사국 컴퓨터 범죄 및 지적 재산권 관련 부서 차장 필립스 레팅어는 "네크워크가 점점 복잡해짐에 따라 많은 기업들이 감당해야 할 보안 위험도 점점 커지고 있다"고 강조했다.

그는 토론회에 모인 보안 전문가들과 시스템 관리자들에게 보안상의 허점을 막는 것을 커다란 스위스 치즈 덩어리에 있는 모든 구멍을 일일이 메우는 것에 비유했다.

레팅어는 보안 매니저가 기업 내의 네트워크만 신경쓴다고 해서 문제가 해결되는 것은 아니라고 말했다. 지난해 2월 DDoS 공격으로 몇 시간 동안 야후를 비롯한 일부 사이트에 접속이 불가능했던 사건이 있었다. 이는 외부 기업의 네트워크 보안 결함으로 모든 사람들이 피해를 입을 수 있음을 보여줬다.

레팅어는 "우리가 안전하겠거니 생각하는 외부 기업들의 보안에 문제가 생길 경우 기업 내부의 보안에도 치명적인 영향을 미칠 수 있다"고 지적했다.

하지만 프라이스워터하우스쿠퍼즈(PricewaterhouseCoopers) 사이버 범죄 방지 업무 담당 이사인 그레고리 쉐퍼는 문제를 회피하려는 쪽으로만 기업 문화가 형성돼 있음을 지적했다.

정부와 법 집행부는 침입자를 붙잡는 데만 관심을 갖고, 기업들은 공격을 받은 다음에도 네트워크를 다시 정상 가동시키는 데만 신경쓸 뿐이다.

쉐퍼는 "민간 부문에서는 침입자 색출에는 관심이 없고 다만 공격이 중단되기만을 바란다"고 말했다.

이번 컨퍼런스에 모인 보안 전문가들의 공통된 의견은 네트워크 보안이 제대로 갖춰지려면 이런 근시안적 사고 방식이 바로잡히는 과정이 선행돼야 한다는 것이었다.

Robert Lemos (Special to ZDNet News)