실시간 뉴스



[김홍선의 보안이야기]보이지 않는 곳에서 활동한다


정보 보안을 기피하는 이유-2

언론사에서 우리 회사를 방문할 때마다 겪는 어려움 중 하나는 사진이나 영상을 찍는 일이다. 카메라 기자들은 소위 ‘그림이 되는’ 인상적인 장면을 담고 싶어하는데 좀처럼 그런 장면이 연출되지 않기 때문이다. 게임 같은 소프트웨어는 화려하면서도 빠르게 움직이는 화면을 담을 수 있다. 심지어는 업무용 소프트웨어도 무언가 결과가 역동적으로 나오는 광경을 보여줄 수 있다.

그러나, 정보 보안은 보여줄 게 거의 없다. 영화나 드라마, 또는 TV 뉴스에서 해킹은 좋은 소재이지만 정작 보여주기가 쉽지 않다. 최근 인기리에 방영되는 드라마 '아이리스'에는 목걸이 속의 USB를 해독하는 장면이 나온다. ‘아이리스’의 실체에 본격적으로 접근하는 극적인 부분이니 밋밋하면 안 되지 않겠는가? 그래서 별 관계도 없는 그래픽과 텍스트가 끊임없이 올라가는 장면을 연출한다. 실제 환경과는 거리가 멀고 어떤 때는 말도 안 된다는 것을 우리는 잘 알고 있다.

정보 보안은 본질적으로 보이지 않는 곳에서 작동한다. 그러므로 정보 보안 종사자들은 화려한 스포트라이트를 받는 것을 포기해야 한다. 자기 일이 재미있어서, 또한 사명감을 가지고 자발적으로 임하는 것이 정보 보안의 업의 특성이다. 문제는 주변의 환경이 여러 모로 힘들게 한다는 점이다. 정보 보안 전문가를 낙담하게 하는 여러 문제를 짚어보기로 한다.

첫째, 정보 보안은 다른 소프트웨어의 문제점까지 해결해야 한다.

정보 보안은 기반이 되는 소프트웨어라서 수많은 소프트웨어와 연동되어 동작한다. 그러다 보니 정보 보안 소프트웨어는 다른 소프트웨어의 문제점까지 해결해야 하는 숙제를 떠안는다. 설상가상으로 우리 나라에서 소프트웨어를 구축하는 관행은 보안의 문제점을 더 키운다.

우리 나라에서 IT를 도입할 때에 소프트웨어는 언제든지 커스터마이즈(customize)할 수 있는 요소로 간주하는 경향이 있다. IT 서비스 업체를 통한 시스템 통합(SI) 과정에서 소프트웨어는 용역의 개념으로 전락한다. 심지어는 패키지 소프트웨어도 고객의 요구사항(needs)에 맞게 바꾸어야 할 때가 있다. 매달 빠듯하게 살아가는 국내 소프트웨어 회사들은 어떻게든 고객을 잡기 위해서 자신의 틀을 벗어나는 커스터마이즈를 수용하게 된다.

사실상 고객의 입장에서 이런 과정은 마이너스(-)다. 왜냐하면 개발사가 커스터마이즈할 때는 안정성이나 취약점을 충분히 고려해 설계하기가 어렵다. 본래의 설계 사상과 차이가 나기도 한다. 또한 시간에 쫓기다 보니 QA(Quality Assurance) 과정을 제대로 거치지 못한다. 이렇게 검증되지 못한 부분이 커지면 커질수록 소프트웨어 품질은 떨어질 수밖에 없다. 무엇보다 보안에 대한 가이드라인이 지켜지지 못한 소프트웨어는 보안 취약점이라는 폭탄을 안고 있다.

따라서, 정보 보안 업무가 본래의 의도했던 범위를 벗어나게 된다. 추가적인 기능이나 사용 편의성을 향상하기 위한 커스터마이즈는 칭찬이라도 받지만 정보 보안 소프트웨어의 경우 “왜 그런 경우도 막지 못하냐”고 억울하게 핀잔을 받기 일쑤다. 정보 보안 전문가들은 말할 수 없이 황당해하고 낙담한다.

둘째, 검증하기 어려운 기술과 상품이 쏟아져 나온다.

사용자들은 좀더 화려하고 사용하기 편리한 서비스와 기능, 그리고 새로운 제품에 눈길이 가게 마련이다. 그러다 보니 고객의 눈에 맞추기 위한 새로운 소프트웨어가 범람한다. 당연히 그에 대한 위협과 공격은 날로 극성을 부린다. 각종 스크립트(script) 언어로 실행 모듈이 내제된 웹 사이트는 사용자가 브라우징(browsing)만 해도 악성코드에 감염될 수 있는 위험에 처한다.

게다가 모든 제품은 인터넷과 연동되고 기능은 복잡다단해진다. 최근 각광을 받는 스마트폰은 더 이상 휴대전화에 그치지 않는다. 수많은 기능, 소프트웨어, 콘텐츠 측면에서 PC와 차이가 거의 없다. 이와 같이 새로운 소프트웨어 기술과 제품이 출현할 때마다 정보 보안의 복잡도는 증대한다.

예를 들어, 사용자의 키보드 입력 값을 탈취하는 키로거(keylogger)는 정보와 패스워드를 탈취하는 주요한 수단이다. 이미 수천 개의 키로거가 존재하는 상황에 새로운 형태의 키보드가 속속 나오는 현실은 문제를 더욱 증폭시킨다. PS/2, USB, 무선 등 수많은 형태의 키보드가 나올 때마다 키보드 보안 기술은 보안 취약점을 해결해야 한다. 게다가 키보드 입력 과정은 마우스와 같은 입력 장치와 조합되어 전혀 다른 취약점을 발생시키기도 한다.

셋째, 설계 단계에서 표준화가 되지 않는다.

소프트웨어는 약속이다. 서로 다른 소프트웨어 간에 정보를 긴밀하게 교환하고 프로세스나 라이브러리(library)를 공유하기도 한다. 특정 프로젝트 별로 설계 시에 원칙이 세워져서 프로토콜이나 인터페이스를 정의하게 된다. 문제는 그보다 상위의 개념인 글로벌 표준을 제대로 지키지 않는다는 점이다.

앞서 언급한 키보드 보안 기술의 경우를 보자. 키보드 보안 기술은 입력된 키 값이 운영체제로 넘어가는 과정에서 발생하는 해킹을 막아야 한다. 키보드에서 입력된 키(key) 값이 레지스터(register)에 전해지는 시스템 소프트웨어의 가장 밑단에서 키로거(keylogger)와 키보드 보안 제품은 한바탕 전쟁을 벌이게 된다.

때로는 다른 USB 장치나 소프트웨어와의 충돌도 일어날 수 있다. 소프트웨어가 본래의 USB 프로그램 가이드라인을 지키거나 표준을 따르면 문제의 소지는 거의 없지만, 급조해서 그런 표준을 따르지 않거나 혹은 자체의 결점(bug)이 있으면 전혀 예상하지 못한 행위를 하는 경우가 발생한다. 이런 것이 모두 결정적 취약점이 될 수 있다.

이럴 경우 문제의 발견부터 진단, 그리고 해결 과정은 전적으로 키보드 보안 기술을 제공하는 보안 업체의 몫이 된다. 진단만 해도 수일이 걸리기도 하는데 문제의 범위도 파악되지 않는 이런 일은 고객의 눈에 들어오지도 않는다.

이와 같이 보이지 않는 곳에서 작동하는 보안 기술을 다루는 전문가들은 말 못할 사연이 많다. 이런 노력을 이해하지 않는 분위기, 눈에 보이지 않기 때문에 제대로 인정받지 못하는 현실, 또한 그런 구조적 문제점을 일으키는 소프트웨어 개발 관행이 보안 전문가들을 힘들게 한다. 글로벌 표준에 입각한 선진 환경과 속 깊은 배려가 아쉬울 따름이다.

/김홍선 안철수연구소 대표이사 column_phil_kim@inews24.com







alert

댓글 쓰기 제목 [김홍선의 보안이야기]보이지 않는 곳에서 활동한다

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스