네트워크 / 보안 / 프라이버시

망 중립성 폐지, 보안 악몽의 시작인가

Terena Bell | CSO 2018.01.31
망 중립성 폐지는 곧 제 3자 브라우저 추적, 온라인 거래의 개인정보보호 노출, 스마트폰에 만연하는 스파이웨어 등을 의미할 수 있다. 적어도 케네스 윌리엄스 박사의 주장은 그렇다.

윌리엄스 박사는 미국국립대학시스템(APUS) 사이버보안 센터 책임자다. 망 중립성 폐지가 이처럼 암울한 미래로 이어지는 과정을 설명하려면 몇 가지 단계가 필요하다.

윌리엄스는 "망 중립성이 사라지면 안티악성코드 소프트웨어 제공업체는 서비스 제공업체에게 더 높은 비용을 치러야 한다"며, "결과적으로 인터넷 서비스 제공업체(ISP)가 전부터 사용했던 데이터 보호 수단을 그대로 유지하기를 원하는 사용자 입장에서 부담하는 인터넷 접속 비용이 높아질 수 있다"고 말했다.

윌리엄스는 "이런 보안 요소를 선택하면 비용이 올라가지만 수수료를 내는 데 개의치 않는 사용자도 있다"면서, "비용을 내거나, 내지 않고 없이 사용하거나 둘 가운데 하나다. 보안 요소없이 사용할 경우 바이러스가 확산되므로 그 사람뿐만 아니라 그 사람에게 연결되는 사람들, 이메일을 보내는 사람들도 같이 위험해진다"고 말했다.

결국 윌리엄스가 주장하는 보안 '아마겟돈'은 많은 가정(what-if)을 전제로 한다. 윌리엄스 본인도 자신의 예측이 다소 극단적임을 인정하면서 "지금 당장은 내 이야기를 입증할 수 없으므로 누군가 너무 멀리 나간 이야기라고 해도 딱히 반박할 말은 없다"고 말했다.

혼란스러운 규제 환경
사실 망 중립성 폐지가 보안 위협에 미치는 영향과 관련해 보안 업계가 지금 입증할 수 있는 것은 거의 없다. 시큐어 채널(Secure Channels)의 최고 혁신 및 매출 책임자인 헨리 시엔키에비치는 앞으로의 전망에 대한 질문에 "아무도 모른다. 규제 환경은 여전히 혼란스러운 상황이다"고 답했다.

어떤 면에서 망 중립성은 그동안 호의적인 단어로 사용됐다. 2015년 4월 13일 미 연방통신위원회(FCC)에서 통과된 이 정책은 제대로 시행될 시간도 없이 2017년 12월 14일 FCC 투표에서 폐지됐다. 이 기사를 작성하는 현재 약 50명의 미국 상원의원이 FCC의 결정을 뒤집기 위한 방안을 마련 중이다.

망 중립성은 대중의 지지를 받지만 이와 무관하게 상황은 혼란스럽다. 많은 이가 망 중립성이 무엇이고, 망 중립성의 폐지가 특히 데이터 보안 측면에서 웹을 어떻게 바꾸어 놓을지에 대해 여전히 혼란을 느끼고 있는 상황이다. 그 변화를 정확히 예측할 수 있을까?

윌리엄스가 생각하는 핵심은 안티바이러스 소프트웨어에 업데이트를 배포하는 방법에 있다. 윌리엄스는 "안티악성코드 공급업체는 항상 사용자의 스마트폰을 지속적으로 업데이트한다"고 말했다. 이러한 업데이트에는 대역폭이 필요하다. 대역폭은 망 중립성 배후에 깔린 핵심적인 요소다. 망 중립성 정책은 기업이 대역폭을 더 많이 쓸 때 컴캐스트, 버라이즌과 같은 ISP가 이에 대해 추가 요금을 청구하지 못하도록 하기 위해 도입됐다.

인터넷이 공공재인지 여부에 대한 논란
시엔키에비치는 "관건은 인터넷이 공공 자원이냐는 것"이라며, "인터넷을 전기 또는 가스, 수도와 같은 공공재로 보느냐 아니냐의 문제"라고 말했다. 정부는 전기와 수도 판매를 규제하므로 인터넷이 공공재라면 당연히 그 판매도 정부가 규제할 수 있다.

이것이 정보 보안과는 무슨 관계가 있을까? 시엔키에비치는 "인터넷이 공공재라면 1934년 미통신법 2장에 따라 통신사는 핵심 인프라를 허용 범위를 벗어난 위험에 노출시키지 않는 방식으로 상업, 시장, 공공 안전, 보편적 접근성과 사생활을 보호해야 한다"고 말했다. 공공재가 아니라면 규제는 2장보다 보호 수준이 낮은 1장에 따른다.

시엔키에비치는 "1장으로 규제할 경우 그 다음 질문은 '통신사와 ISP가 조직에서 환경을 적절히 보호할 수 있는 수단을 제공하도록 FCC가 어떻게 보장할 것인가?'가 된다"고 말했다.

주 정부 개입, 보안을 더 복잡하게 만든다
미국 주 정부가 관여하기 시작하면서 규제 환경은 더 복잡하게 꼬일 수 있다. 미국 몬타나 주는 1월 22일 미국 최초로 연방 결정과는 별개로 주 자체의 망 중립성 법을 통과시켰다.

이 상황은 정보 보안에 미치는 영향 역시 인터넷을 공공재로 볼 것인지의 질문으로 되돌아간다. 시엔키에비치는 "공공재 기업은 주 수준에서 규제되므로 몬타나와 같은 개별 주가 자체 법규를 통과시키는 것은 얼마든지 가능하다"고 설명했다. 또한 시엔키에비치는 몬타나 주의 법이 실제 시행하려면 기술적으로 매우 복잡하다고 말했다.

연방과 분리되어 자체 규칙을 만드는 주가 늘어나면 유럽 연합과 같은 형태가 될 수도 있다. 유럽 연합에서는 지배적인 보안 요구 사항이 전체 지역에 적용되지만 각 국가마다 자체 법안도 여전히 시행한다. 시엔키에비치는 "예를 들어 캘리포니아 배출물 통제 기준이 인터넷 트래픽을 위한 기준을 제공하는 방편으로 사용될까?"라고 물었다. 법규가 까다로운 주에서 ISP가 완전히 철수할 가능성도 있다.

물론 인터넷 보안을 그냥 예전 방식대로 되돌리면 되지 않냐고 생각할 수도 있다. 시엔키에비치는 거기에도 문제가 있다면서 "망 중립성 규제 이전의 네트워크는 그다지 깨끗한 환경이 아니었다"고 말했다. 초기 인터넷 제공업체들이 어떻게 형성됐는지에 대해 생각해 보면 그 환경이 왜 지저분했는지, 적어도 되돌아갈 만큼 이상적인 환경은 아닌 이유를 쉽게 이해할 수 있다.

망 중립성과 상관없이 데이터 보안은 여전히 과제
시엔키에비치에 따르면, 문제는 네트워크와 통신사가 모든 최종 사용자에 대한 보안을 담보하기 위한 일종의 책임을 지도록 보장하려면 어떻게 해야 할 것인가다. 시엔키에비치는 "개별 최종 사용자 중에는 엄청나게 증가하는 위협을 모두 관리할 만한 수단이 없는 사용자도 있다. 규제 이전이 깨끗한 환경이었다고 주장하는 사람이 있다면 나는 그 주장이 부적절하다고 생각한다"고 말했다.

망 중립성 폐지가 데이터 보안에 어떻게 영향을 미칠까? 그 질문에 답하려면 먼저 망 중립성 폐지가 실제 인터넷에 미칠 영향부터 알아야 한다. 좋은 소식은 스파이웨어에 관한 온갖 무서운 이야기들은 그 근거가 부족하다는 점이다.

시엔키에비치는 "결정은 사실에 근거해서 내려야 한다"고 말했다. 그런데 보안 측면에서 결정의 근거가 되는 사실이 아직 별로 없다. 물론 미통신법 2장에서 1장으로의 전환에 따라 ISP의 법적인 책임도 바뀐다. 추가 대역폭 비용을 지불하기 위해 보안 예산을 깎는 기업이 나올 수 있다는 윌리엄스의 말은 맞지만 시엔키에비치는 "망 중립성과 사이버 보안을 묶어 생각하는 것은 다소 주제를 벗어난다"고 말했다.

시엔키에비치는 "기업과 사용자 모두 스스로의 데이터 보안에 대해 주의를 기울여야 한다"면서, "조직도 책임을 져야 하고, 인터넷 서비스 제공업체도 책임을 져야 한다. 이 부분에 대해서는 모두에게 의무가 있다. 규제 환경이 바뀌기 전에는 어느 방향으로 갈지 알 수 없다"고 말했다. editor@itworld.co.kr  

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.