세상 모든 사람이 착해지면 어떻게 될까? 두말할 필요 없이 이 세상은 천국이 될 것이다. 그리고 천국에서는 범죄도, 전쟁도, 그리고 해킹 사고도 발생하지 않을 것이다. 하지만 그런 세상은 오지 않는다.
모든 사람이 착해질 수 없는 것처럼 모든 시스템, 애플리케이션의 보안이 완벽해지는 날 역시 오지 않는다. 사람은 결코 완전하지 않으며, 매일 매일 신기술과 그 기술의 취약점이 함께 발견되는 것처럼, 사람이 만드는 기술 역시 완벽하지 않기 때문. 결국 해킹은 전쟁이나 범죄처럼 인류 문명이 유지되는 한 근절할 수 없는 사회병리 현상이다.
그럼 어떻게 해야 할까?
고대로부터 인류는 군대, 사법 체계 등의 조직과 제도를 운영해 왔다. 그 결과는 어떤가? 우리가 이미 아는 바와 같이, 국가 차원에서 막대한 자원을 쏟아 부어 왔음에도 전쟁, 범죄 등 사회병리 현상은 사라지지 않고 있다.
그렇다면 군대나 사법 조직 및 제도는 무용한 것인가? 물론 그렇지 않음을, 병리 현상에 대한 억제력을 발휘하고 유사 시 피해를 최소화해 줄 것임을 우리 모두 잘 알고 있다.
한편으론 이런 체계를 아무리 확장, 강화한다 해도 병리 현상이 근절되지 않는다는 사실 역시 잘 알고 있다. 전쟁, 범죄를 근절하지 못한다고 비난할 수 없으며, 유지하는 것만으로도 그 체계는 존재 의미를 갖는다는 것.
정보보안 역시 이런 관점에서 접근할 필요가 있다. 많은 이들이 기술로 해결할 수 있다고 얘기하지만, 인간이 착해지기 전까지는 기술만으로, 기술 만능주의로 사회병리 현상을 해결할 수는 없기 때문이다.
결국 인간이 만든 기술을 다시 인간이 악용하는 해킹 역시 조직과 제도를 통해 100% 방지가 아닌, 피해를 줄이는 노력을 지속하는 것이 최선.
피해를 줄이기 위해서는 어떤 노력이 필요할까? 시스템, 애플리케이션의 취약점을 점검하고 제거하는 일은 반드시 필요하지만, 앞서 얘기했듯이 모든 사람이 착해질 수는 없다. 쓸 수 있는 자원도 무한하지 않다.
최소 자원으로 최대 효과를 보려면
북한의 도발에 대비해서 우리가 무엇을 하고 있는지 생각해보자. 간첩 색출, 이른 새벽 양복을 입고 산에서 내려오는 거동수상자 신고 등이 떠오르는가? 아마도 가장 먼저 떠오르는 것은 휴전선을 지키고 있는 군인의 이미지일 것이다.
그리고 그 이미지가 먼저 연상되는 이유는 휴전선이 안전하게 지켜지고 있을 때 비로소 앞서 나열한 행위에 의미를 부여할 수 있기 때문. 결국 정보보안 감시 체계가 확립되어야만 사고 분석, 취약점 제거, 시큐어코딩, 내부 감사 등에 의미를 부여할 수 있다.
어떻게 하면 사이버 휴전선을 안전하게 지킬 수 있을까? 해커를 많이 양성하면 될까? 특수부대가 많아지면 '노크 귀순'같은 사태가 발생하지 않을까?
피해를 줄이기 위해서는 어떤 노력이 필요할까? 시스템, 애플리케이션의 취약점을 점검하고 제거하는 일은 반드시 필요하지만, 앞서 얘기했듯이 모든 사람이 착해질 수는 없다. 쓸 수 있는 자원도 무한하지 않다.
최소 자원으로 최대 효과를 보려면
북한의 도발에 대비해서 우리가 무엇을 하고 있는지 생각해보자. 간첩 색출, 이른 새벽 양복을 입고 산에서 내려오는 거동수상자 신고 등이 떠오르는가? 아마도 가장 먼저 떠오르는 것은 휴전선을 지키고 있는 군인의 이미지일 것이다.
그리고 그 이미지가 먼저 연상되는 이유는 휴전선이 안전하게 지켜지고 있을 때 비로소 앞서 나열한 행위에 의미를 부여할 수 있기 때문. 결국 정보보안 감시 체계가 확립되어야만 사고 분석, 취약점 제거, 시큐어코딩, 내부 감사 등에 의미를 부여할 수 있다.
어떻게 하면 사이버 휴전선을 안전하게 지킬 수 있을까? 해커를 많이 양성하면 될까? 특수부대가 많아지면 '노크 귀순'같은 사태가 발생하지 않을까?
해커를 양성해야 한다고, 공격 무기를 만들어야 한다고 많은 이들이 이야기한다. 앞서 군대는 전쟁 억제력을 발휘한다고 했다. 해커 부대를 양성하면 해킹 사고를 억제할 수 있을까? 클릭 한 번으로 어떤 전산망이든 마비시킬 수 있는 무기를 갖게 되면 해커들이 겁을 집어먹고 공격을 포기할까?
'사이버 전쟁'이란 단어에서 느껴지듯이 정보보안 분야는 군사 분야와 많은 부분에서 유사점을 갖고 있다. 누군가는 공격을 하고 누군가는 방어를 하며 그 과정에서 다양한 전략과 전술을 논하는 것이 가능하다.
그런데 결정적으로 하나가 다르다. 과연 누가 공격을 할까? 해킹을 하진 않았지만 출발지 IP가 북한이라는 이유만으로 미사일을 발사할 수 있을까? 해킹을 했다는 이유로 출발지인 미국에게 선전포고를 할 수 있을까?
전 세계를 하나로 묶어버린 네트워크 덕분에 해커들은 출발지 조작이나 위장이 얼마든지 가능해졌고, 그 덕분에 정보보안 분야는 '적'을 정의할 수 없는 암흑의 공간이 되어버렸다.
북한이라는 주적과 그들의 예상 침투 경로인 휴전선을 알고 있는 우리는 행복한 것이다. 결국 우리는 수상한 행위가 없는지 두 눈을 부릅뜨고 감시하는 수 밖에 없다.
관련 글
'사이버 전쟁'이란 단어에서 느껴지듯이 정보보안 분야는 군사 분야와 많은 부분에서 유사점을 갖고 있다. 누군가는 공격을 하고 누군가는 방어를 하며 그 과정에서 다양한 전략과 전술을 논하는 것이 가능하다.
그런데 결정적으로 하나가 다르다. 과연 누가 공격을 할까? 해킹을 하진 않았지만 출발지 IP가 북한이라는 이유만으로 미사일을 발사할 수 있을까? 해킹을 했다는 이유로 출발지인 미국에게 선전포고를 할 수 있을까?
전 세계를 하나로 묶어버린 네트워크 덕분에 해커들은 출발지 조작이나 위장이 얼마든지 가능해졌고, 그 덕분에 정보보안 분야는 '적'을 정의할 수 없는 암흑의 공간이 되어버렸다.
북한이라는 주적과 그들의 예상 침투 경로인 휴전선을 알고 있는 우리는 행복한 것이다. 결국 우리는 수상한 행위가 없는지 두 눈을 부릅뜨고 감시하는 수 밖에 없다.
관련 글
댓글 없음:
댓글 쓰기