2020.02.17

디지털 프라이버시 정책의 일부로 디지털 해킹을 다뤄야 하는 이유

Stuart N. Brotman | CSO
디지털 프라이버시는 정책이라는 동전의 양면 중 한 면에 해당한다. 지금까지는 일반 대중의 프라이버시 침해에 대한 우려를 해소하는 법적, 규제적 구제책 개발에 초점을 맞췄다. 그러면서 양면 중 다른 한 면인 디지털 해킹에는 큰 관심을 기울이지 않았다. 물론 임의의 기술적 고장이나 인적 실수로 인한 해킹에서 안전하다고 여겨지는 데이터 시스템이 구현되기도 했다. 그러나 이들 제품에 대한 장황한 설명에 비하면 대규모로 개인 정보 유출 사고에 대한 설명은 훨씬 더 부실하다.
 
ⓒ Getty Images Bank

이런 이유로, 디지털 프라이버시를 강화하는 프레임워크를 고민하고 있다면 패트릭 버카트와 톰 맥코트의 ‘해커가 승리하는 이유(Why Hackers Win, Patrick Burkart and Tom McCourt(University of California Press, 2019))'가 필독서다. 그는 텍사스 A&M 대학 커뮤니케이션 학과의 교수이며, 맥코트는 포드햄대학 커뮤니케이션 및 미디어학과 교수다.

두 사람은 해킹을 ‘기술적 코드(신뢰 된 시스템의 구조), 법적 코드(액세스와 사용에 적용되는 법), 사회적 코드(프라이버시와 규제되는 행동을 중심으로 사회에 미치는 영향) 간 인터페이스’라고 설명한다. 이들은 ‘통상 해외에 거주하는 해커 한 사람이 해킹하는 사례가 많다’는 (보편화돼 있지만 잘못된) 관념을 거부한다. 오히려 이들은 “표면적으로 해킹은 국가와 기업의 안보, 안전을 저해한다. 그러나 역설적으로 기업이나 국가가 자신의 이익을 위해 해킹하는 경우가 있다. 목적은 광범위하다. 정보 및 첩보 수집, 위기관리, 경쟁사 대비 경쟁력 획득 등이다"라고 주장했다.

또한, 이들에 따르면, 컴퓨터 취약점을 악용하는 권력 남용 조사 결과, 잘 조율된 해킹 작전에서 대대적인 감시나 첩보 활동 같은 ‘음모론’, 조직적인 ‘의지’의 침해 증거는 발견하지 못했다. 대신 글로벌 네트워크를 대상으로 하는 장기적인 공격과 방어에 관여하는 행위자의 수가 급증하는 것으로 나타났다. 해킹이 많은 기업에서 ‘일상적이면서 반복적인 애플리케이션’이 된 상태라고 주장한다.

이들의 연구에는 주목할만한 전략적인 정치, 경제적 목적의 해킹과 관련된 실제 사례에 대한 연구도 포함돼 있다. SWIFT 국제 지불 시스템 관련 사례, 독일의 언론인 2명이 유출한 해외 투자와 관련된 비밀 문건 1,340만 건과 관련된 ‘파라디이스 페이퍼스’ 사례, 국가 정보가 언론인과 반체제 인사를 해킹한 사례 등이 대표적이다.

또한 우버와 뉴스 코프, 폭스바겐 같은 기업의 ‘성장을 위한 해킹’ 사례도 분석했다. 정확히 말하면 일종의 저비용 마케팅 기법인데, 단기적으로 급성장하기 위해 빠르게 사용자 매트릭스 정보를 축적하는 것을 일컫는다. 프라이버시를 침해하는 활동, 행위가 ‘일반적인 비즈니스 전략’처럼 사용되는 사례가 증가하고 있음을 알 수 있다.

한편 해킹과 사이버보안은 사회, 경제, 정치적 측면에서 서로를 강화하는 역할을 한다. 따라서 디지털 데이터 수집과 보관, 배포 활동에 대한 투명성을 강화하는 것처럼, 사이버보안 방어 분야를 포함한 해킹 관련 분야의 투명성도 강화할 필요가 있다. 저자들은 “민간 보안 분야에 투입되는 공적 자금을 선출직 대표가 감사해야 한다. 그래야 이러한 공적 지출의 사회적 가치에 대한 담론을 강화할 수 있다”라고 지적했다.

이런 논의에 있어 참고할 만한 사례가 캐나다 토론토 대학 산하 시티즌 랩이다. 시티즌 랩은 자신이 표적이 됐다고 생각한 개인이나 다른 연구원이 제공한 침해적 소프트웨어와 스파이웨어 표본을 조사했다. 두 저자에 따르면, 시티즌 랩은 퍼블릭 네트워크에 초래되는 실시간 위협에 대한 실제적인 지식과 지표를 (감추지 않고) 드러내는 모델을 제공한다. 이런 것을 드러내는 방법으로 취약점을 수집해 자신에게 유리하게 사용하는 스파이웨어 업체의 ‘비밀성’을 약화하는 것이다.

의회가 할 일도 있다. 의회가 프라이버시 정책이라는 동전의 양면 가운데 다른 한 면을 다루는 데 도움을 주는 방법은 민간 사이버보안 기업에 대한 공개 감사, 시스템 취약점을 테스트해 노출하는 국가 시설에 대한 공적 자금 투입이다.

물론 이것만으로는 해커에게 승리할 수 없다. 디지털 프라이버시 보호에 대한 아젠다를 개발하는 사람은 민간 기업을 통제하는 디지털 프라이버시 보호 체계 강화를 주장하는 것과 동시에 해킹 장벽을 높이는 방법을 찾아야 한다. editor@itworld.co.kr


2020.02.17

디지털 프라이버시 정책의 일부로 디지털 해킹을 다뤄야 하는 이유

Stuart N. Brotman | CSO
디지털 프라이버시는 정책이라는 동전의 양면 중 한 면에 해당한다. 지금까지는 일반 대중의 프라이버시 침해에 대한 우려를 해소하는 법적, 규제적 구제책 개발에 초점을 맞췄다. 그러면서 양면 중 다른 한 면인 디지털 해킹에는 큰 관심을 기울이지 않았다. 물론 임의의 기술적 고장이나 인적 실수로 인한 해킹에서 안전하다고 여겨지는 데이터 시스템이 구현되기도 했다. 그러나 이들 제품에 대한 장황한 설명에 비하면 대규모로 개인 정보 유출 사고에 대한 설명은 훨씬 더 부실하다.
 
ⓒ Getty Images Bank

이런 이유로, 디지털 프라이버시를 강화하는 프레임워크를 고민하고 있다면 패트릭 버카트와 톰 맥코트의 ‘해커가 승리하는 이유(Why Hackers Win, Patrick Burkart and Tom McCourt(University of California Press, 2019))'가 필독서다. 그는 텍사스 A&M 대학 커뮤니케이션 학과의 교수이며, 맥코트는 포드햄대학 커뮤니케이션 및 미디어학과 교수다.

두 사람은 해킹을 ‘기술적 코드(신뢰 된 시스템의 구조), 법적 코드(액세스와 사용에 적용되는 법), 사회적 코드(프라이버시와 규제되는 행동을 중심으로 사회에 미치는 영향) 간 인터페이스’라고 설명한다. 이들은 ‘통상 해외에 거주하는 해커 한 사람이 해킹하는 사례가 많다’는 (보편화돼 있지만 잘못된) 관념을 거부한다. 오히려 이들은 “표면적으로 해킹은 국가와 기업의 안보, 안전을 저해한다. 그러나 역설적으로 기업이나 국가가 자신의 이익을 위해 해킹하는 경우가 있다. 목적은 광범위하다. 정보 및 첩보 수집, 위기관리, 경쟁사 대비 경쟁력 획득 등이다"라고 주장했다.

또한, 이들에 따르면, 컴퓨터 취약점을 악용하는 권력 남용 조사 결과, 잘 조율된 해킹 작전에서 대대적인 감시나 첩보 활동 같은 ‘음모론’, 조직적인 ‘의지’의 침해 증거는 발견하지 못했다. 대신 글로벌 네트워크를 대상으로 하는 장기적인 공격과 방어에 관여하는 행위자의 수가 급증하는 것으로 나타났다. 해킹이 많은 기업에서 ‘일상적이면서 반복적인 애플리케이션’이 된 상태라고 주장한다.

이들의 연구에는 주목할만한 전략적인 정치, 경제적 목적의 해킹과 관련된 실제 사례에 대한 연구도 포함돼 있다. SWIFT 국제 지불 시스템 관련 사례, 독일의 언론인 2명이 유출한 해외 투자와 관련된 비밀 문건 1,340만 건과 관련된 ‘파라디이스 페이퍼스’ 사례, 국가 정보가 언론인과 반체제 인사를 해킹한 사례 등이 대표적이다.

또한 우버와 뉴스 코프, 폭스바겐 같은 기업의 ‘성장을 위한 해킹’ 사례도 분석했다. 정확히 말하면 일종의 저비용 마케팅 기법인데, 단기적으로 급성장하기 위해 빠르게 사용자 매트릭스 정보를 축적하는 것을 일컫는다. 프라이버시를 침해하는 활동, 행위가 ‘일반적인 비즈니스 전략’처럼 사용되는 사례가 증가하고 있음을 알 수 있다.

한편 해킹과 사이버보안은 사회, 경제, 정치적 측면에서 서로를 강화하는 역할을 한다. 따라서 디지털 데이터 수집과 보관, 배포 활동에 대한 투명성을 강화하는 것처럼, 사이버보안 방어 분야를 포함한 해킹 관련 분야의 투명성도 강화할 필요가 있다. 저자들은 “민간 보안 분야에 투입되는 공적 자금을 선출직 대표가 감사해야 한다. 그래야 이러한 공적 지출의 사회적 가치에 대한 담론을 강화할 수 있다”라고 지적했다.

이런 논의에 있어 참고할 만한 사례가 캐나다 토론토 대학 산하 시티즌 랩이다. 시티즌 랩은 자신이 표적이 됐다고 생각한 개인이나 다른 연구원이 제공한 침해적 소프트웨어와 스파이웨어 표본을 조사했다. 두 저자에 따르면, 시티즌 랩은 퍼블릭 네트워크에 초래되는 실시간 위협에 대한 실제적인 지식과 지표를 (감추지 않고) 드러내는 모델을 제공한다. 이런 것을 드러내는 방법으로 취약점을 수집해 자신에게 유리하게 사용하는 스파이웨어 업체의 ‘비밀성’을 약화하는 것이다.

의회가 할 일도 있다. 의회가 프라이버시 정책이라는 동전의 양면 가운데 다른 한 면을 다루는 데 도움을 주는 방법은 민간 사이버보안 기업에 대한 공개 감사, 시스템 취약점을 테스트해 노출하는 국가 시설에 대한 공적 자금 투입이다.

물론 이것만으로는 해커에게 승리할 수 없다. 디지털 프라이버시 보호에 대한 아젠다를 개발하는 사람은 민간 기업을 통제하는 디지털 프라이버시 보호 체계 강화를 주장하는 것과 동시에 해킹 장벽을 높이는 방법을 찾아야 한다. editor@itworld.co.kr


X