적응형 보안 시스템으로 대처하라

CIO
줄곧 사이버 보안을 제1 과제로 다루어 오던 미 연방 CIO들에게 데이브 옥스미스(Dave Aucsmith)의 이야기는 더 큰 걱정거리를 안겨주게 됐다.

마이크로소프트의 정부 첨단 테크놀로지 연구소(Institute for Advanced Technology in Governments) 선임 이사인 옥스미스는 지난 4일 마이크로소프트에서 주최하고 연방 IT 전문가들이 참여한 컨퍼런스에서 현재 정보 보안 상태에 대해 경각심을 높이는 발언을 했다.

옥스미스는 "모든 상황에서 완벽하게 안전한 컴퓨터 시스템을 만드는 건 불가능하다. 그렇다면 남은 방법은 뭘까? 위협 양상이 변화함에 따라 시스템도 거기에 맞춰 변화할 수 있어야 한다. 그러려면 그 시스템을 바꾸는 여러분 역시 위협을 잘 이해하고 있어야 한다"고 말했다.

옥스미스의 말을 빌리자면 '적들이 전문가가 되어가고 있는' 시점에 이런 이야기를 한 것이다. 옥스미스는 근래 은행권을 비롯해 타깃(Target)이나 니먼 마커스(Neiman Marcus)같은 소매업체를 겨냥해 눈길을 끌었던 보안 공격을 언급하기도 했다.

오늘날 위협의 양상이 매우 역동적이며 해커들의 방식 역시 새로운 취약점을 찾아 갈수록 정교해지고 있다. 즉 공격 대상의 대비가 철저해질수록 해커들 역시 이를 앞서나가기 위해 노력하는 것이다.

옥스미스는 "이것은 마치 군비 경쟁과 같다. 발전하지 않는 것은 안전할 수 없다"고 경고했다.

정부 사이버 보안, '끝이 없는 과제'
전직 펜실베니아 주지사에서 미 국토안보부의 초대 장관으로 부임한 톰 리지 역시 비슷한 이야기를 했다. 현재는 컨설팅 업체 '리지 글로벌(Ridge Global)'을 운영중인 리지는 21세기 연방 사이버 보안은 '끝이 없는 과제'가 될 것이라 말했다.

리지는 "공격의 양상이 바뀌었다. 예전보다 훨씬 공격의 폭이 넓어졌다. 요즘 해커들은 훨씬 조직적이고, 재정적 지원도 많이 받으며 성과지향적"이라고 설명했다.

이처럼 변화하는 공격의 성격 때문에 새로운 공격이나 위협에 유연하게 대처가 가능한 적응형 컴퓨팅 시스템이 필요하다고 옥스미스는 강조했다. 같은 이유로 지속적인 모니터링 역시 중요하며, 가능하다면 새롭게 떠오르는 위협 요소에 대해 공공 부문과 민간 부문 사이에 정보 공유를 하는 것이 좋다고 덧붙였다.

옥스미스는 "이를 통해 지구 어딘가에서 공격이 발생하면 곧바로 다른 곳들에서도 이 사실을 알고 알맞게 대처할 수 있게 된다. 이렇게 빠른 대처가 가능해지면 결국 해커들이 아무리 효과적인 공격을 한다 해도 단 한 번밖에 그 방법을 사용할 수 없다"고 설명했다.

옥스미스는 또 빠르게 움직이는 적들을 앞두고 무엇보다 '컴퓨터 위생'의 기본기를 철저히 해야 한다고 연방 IT 커뮤니티에 조언했다. 그에 따르면 정부 기관들은 보안 패치 등의 설치가 느리고 오래된 버전의 소프트웨어를 사용하는 경우가 많다.

100% 안전한 방법은 없다. '적응' 능력이 중요하다
해커들을 한 방에 물리쳐주는 사이버 보안의 정석은 존재하지 않는다. 설계가 아주 잘 된 시스템이라고 해도 예기치 못한 행동을 보이곤 한다. 즉 자신의 제품을 가리켜 100% 스펙이라고 말하는 개발업체가 있다면 그것은 거짓말이란 얘기라고 설명했다.

옥스미스에 따르면 시스템이 어느 정도 복잡해질 경우 반드시 의도한 기능에서 벗어나는 부분이 발생하게 되는데 대개 이 부분에서 시스템의 취약점이 생겨난다. 그런데 이런 취약점들은 미리 예측을 할 수 없으므로 이런 부분을 타깃으로 하는 위협에 완벽하게 선제 방어를 하는 것은 불가능하다.

옥스미스는 "이건 마치 '내가 뭘 모르고 있는가'를 스스로에게 묻는 것과 같다. 현재 상태로는 대답하기 아주 어려운 질문이다"라며, 예기치 못한 위협이나 공격에 대처하기 위해서는 시스템의 적응성이 기본이라고 설명했다.

"현재 우리가 만드는 시스템은 너무나 복잡해서 그 행동들을 완전히 이해하기가 어려울 정도다. 말하자면, 그 행동을 완전히 예측하기 어려운, 엄청나게 복잡한 시스템을 만들어서 공격하기로 작정한 해커들 앞에 내놓는 상황이라 할 수 있다. 이 시스템이 공격 당할 것이란 건 거의 확실하다. 따라서 공격이 불가능한 완벽한 시스템을 만들 수 있을 거라는 헛된 믿음을 버리고, 다시 생각해야 한다"라는 것이 옥스미스의 경고다.

옥스미스는 다음과 같은 말로 결론을 내렸다. "그렇다고 해서 시스템을 만들 때 최선을 다 하지 말아야 한다는 말은 아니다. 최선을 다해 시스템을 만드는 것 만으로는 부족하다는 의미다." ciokr@idg.co.kr