기고 | 해킹 후에도 보안 투자는 파격적으로 늘지 않는다... 왜?

CSO
3억 2,700만 개의 메리어트호텔 사용자 계정이 해킹당했다. 개발자 Q&A 사이트인 쿼라에서는 1억 개 사용자 계정이 해킹당했다. 에퀴팩스에서는 1억 4,800만 개였다. 2013년 야후에서 해킹된 30억 개의 사용자 계정에 비하면 새발의 피이다.
 
Credit: GettyImages

우리 자신에게 한번 물어보자. 최신 기록 데이터 유출에 관한 이야기를 들을 때마다 분개하나? 아니면 "또?"라는 반응을 보이나? 우리 사회는 후자의 반응을 보인다. 

필자는 최근 디지털 세상을 더욱 잘 인증하고 보호하는 방법을 파악하기 위해 워싱턴 DC에서 열린 STA(Secure Technology Alliance) 컨소시엄 회의에서 세계적인 석학들과 한 공간에 앉아 있었다. 필자가 참석한 회의 중 가장 중요한 회의에서 더 나은 광범위한 인증을 집중적으로 다뤘다. 

많은 연사가 지속적인 피싱과 패치되지 않은 소프트웨어로 인한 조직의 보안 방어력 감소 등 상황이 얼마나 좋지 못한지를 이야기했다. 겉으로는 다를 것이 없는 사용자들로 인해 약화된 훌륭한 인증 솔루션에도 불구하고 상황이 그렇다.

"사용자들이 보안에 좀더 신경 쓰지 않는 이유는 무엇일까?"가 휴식시간 중 나온 가장 보편적인 질문이었다. 다른 많은 발표자는 우리가 언급한 많은 문제들이 이미 30년 전에도 존재했었다고 지적했다. 방 안에는 남아있는 어려운 문제를 해결하고 적절한 인증 솔루션을 개발하고 표준화하는 방법을 파악하려는 사람들로 가득했다.

필자는 큰 소리로 "어쩌면 지금의 사이버 보안 수준은 우리가 수용할 수 있는 수준이 아닐까?"라고 말했다. 누군가 "매일 대형 유출 사건이 발생하는 상황에서 어떻게 그렇게 말을 할 수 있지?"라고 받아쳤다.

"내 말이!"라고 필자가 응답했다.

현재 상황을 정상이라고 하는 사회는 굳이 더 안전한 솔루션을 찾지 않을 것이다. 거기 있던 모든 보안 전문가들은 모든 것이 정상이라고 이야기하지 않겠지만 그렇게 예상할 수밖에 없다. 우리는 보안 전문가다. 우리는 컴퓨팅 보안 강화를 중시한다.

보안 실태가 대부분 사람의 삶에 영향을 끼치지 않는다
일반인에게 컴퓨터 보안의 실태에 관해 묻는다면 나쁘다는 것은 인정하면서도 자신의 삶에 그렇게 악영향을 끼치고 있지는 않다고 말할 것이다. 그럴 경우에는 컴퓨터를 사용하지 않을 것이다. 엄청난 온라인 범죄가 발생하고 있는데도 소비자들은 더 많은 기술을 도입하고 있으며 자신의 삶을 더욱 디지털화하고 있다. 온라인 구매가 점차 늘어나고 있다. 사람들은 휴대전화에 앱을 설치하고는 삭제하지 않는다. 사람들은 현금보다는 신용카드와 직불카드를 더 많이 사용한다.

컴퓨터 보안 전문가들의 눈에는 그렇게 보이지 않겠지만 지금이 이미 최신일 수도 있을 것이다. 최소한 9/11 사태에 버금가는 디지털 사건은 없었다. 상황이 이렇다 보니 우리 사회와 디지털 자체는 그럭저럭 잘 버텨왔다. 물론 매년 수십억 개의 기록이 해킹되고 있고, 1~2년에 한 번씩 신용카드가 해킹 및 재발급되고 있다. 그런 데도 크게 불편을 느끼지 않는다.

사기 발생해도 피해자 불편 줄어… 비즈니스 하려면 감수해야 할 비용
수년 전에는 누군가 온라인 신원이나 신용카드를 훔쳐가면 삶이 엉망이 될 수도 있었다. 심지어 사기로 인한 비용을 피해자가 책임져야 할 수도 있었다. 신용 기록을 정리하는 데 1년이 소요될 수도 있었다.

현재 은행은 카드에 대한 사기 비용을 찾으면 새 카드가 내일 우편으로 도착할 것이라고 먼저 알려준다. 그 신용카드 사기로 발생한 어떤 비용도 피해자가 책임질 필요가 없으며 신용 평가도 영향을 받지 않는다.

어떤 사람들은 여전히 큰 영향을 받고 있으며 때로는 상당한 문제와 재정적 손실을 경험하지만 그리 흔치 않다. 일반인이 취약한 보안 무문제로 크게 귀찮아지지 않는 한 기업과 프로세스는 바뀌지 않을 것이다.

빅데이터 유출이 발생하면 대부분 사람은 비밀번호를 변경하는 것 외에는 영향을 받지 않는다. 해당 기업 자체는 잠시 재정적으로 영향을 받을 수 있다. 한두 사람이 해고될 수도 있다. 1년 후 해당 기업의 수익과 주가는 일반적으로 상승할 것이다.

이 마지막 결과로 사람들과 기업들이 컴퓨터 보안을 더욱 중요하게 생각하지 않는 이유를 알 수 있다. 이것이 옳다는 것은 아니지만 고통이 심하지 않다면 행동을 바꿀 가능성이 작으며 고객의 불편과 손쉬운 매출의 누락이 발생하는 경우에는 더욱 그렇다.

한 은행 임원이 말했듯이 "사기는 우리 기업에 여전히 존재하는 오류다."

보안 투자는 어렵다
실제 생활과 디지털 생활 간의 사물 연결이 점점 더 늘어나고 사물 연결이 점점 더 중요해지면서 더 나은 컴퓨터 보안이 필요해지지만, 절대 일어나지 않을 것 같은 곳에 돈을 내라고 사람들에게 요구하기는 어렵다.

항공사 보안 전문가들은 9/11 사태가 발생하기 전에 사람들이 신발, 옷, 물병 속에 폭탄을 숨길 수 있다는 사실을 알았지만 9/11이 발생하기 전에 항공사 고객들이 신발을 벗고 물병을 버리고 인체 스캔을 거쳐야 했다면 어땠을지 상상해 보자. 많은 고객이 분노하여 항공사를 이용하지 않는 지경에 이르렀을 수도 있다. 9/11이 발생한 후 우리는 숨쉬는 것처럼 당연하게 줄을 서서 신발을 벗고 물을 버리며 스캔을 받는다. 몇몇 사람들이 여전히 불평하고 있지만 항공사 이용률은 증가하고 있다.

일반적으로 인간은 힘든 일을 겪어 봐야 비로소 어떻게 대처할지 알고 행동한다. 허리케인 중에는 배터리가 잘 팔린다. 허리케인이 지나간 다음에는 허리케인 셔터가 잘 팔린다. 하지만 마지막 허리케인을 50년 전에 겪은 특정 지역에서는 이러한 일이 쉽게 일어나지 않는다. 

현재 컴퓨터 보안이 우수한 편은 아니지만, 어쩌면 시대에 맞는 ‘적당한’ 수준의 컴퓨터 보안일 수도 있다는 말이다. 그렇지 않으면 고객들은 더 많이 불평하고 컴퓨터 보안이 실제로 더 나아질 것이다. 대부분 조직에서 컴퓨터 보안이 아직도 그렇게 나쁜 이유가 있다. 여전히 매년 수십억 개의 기록이 도난당하는 이유가 있다. 고통이 그렇게 크지 않다. 고객이나 기업 모두 마찬가지다.
 
---------------------------------------------------------------
Roger A. Grimes 인기기사
->칼럼 | 방화벽·백신 소용없다··· 깜짝 놀랄 보안 ‘팩트' 5가지
->칼럼 | 데이터 주도형 보안으로 가는 길
->칼럼 | 보안 이벤트 정보, '정확도'가 전부다
-> 기고 | IT보안 위협에 집중하지 못하는 6가지 이유
->칼럼 | 'AI를 가장한 룰 엔진' 여러분의 솔루션은 진짜 AI입니까?
-> 오쓰(OAuth)란?··· 보안 전문가를 위한 가이드
-> 칼럼 | 보안 분야의 AI 마케팅··· '룰 엔진'이 아니고?
---------------------------------------------------------------

더 쉬운 복구 vs. 더 나은 보안
보안 업체들은 컴퓨터 보안을 크게 개선하기보다는 고객 데이터 복구 과정을 더 쉽고 빠르게 만들어 대응했다. 현재 이 전략은 사고가 발생하기 전까지는 실제로 컴퓨터 보안을 크게 강화하는 것보다 저렴하고 쉬워 보인다. 필자는 여전히 메리어트호텔에 묵고 있다. 필자는 메리어트호텔과 여기서 제공하는 포인트가 마음에 든다. 에퀴팩스에는 필자의 신용 이력이 있으며 필자는 여전히 야후 계정을 사용한다. 1~2년 후에는 예상치 못하게 은행에서 신용카드를 교환해줄 것이다. 필자는 신이 난 것이 아니다. 그런 사람은 없지만 사회 전체적으로 이런 선택을 한 것으로 보이며, 최소한 인터넷에서 9/11 사태가 벌어지기 전까지는 그럴 것이다.

현재 유출이 발생하여 그들이 과도하게 불편하기 전까지는 사회는 양호하며 보안도 양호하다. 우리의 수준에는 맞지 않는 보안일 수도 있지만 분명 우리가 수용할 수 있는 수준의 보안이다. 

* Roger A. Grimes는 2005년부터 집필해온 보안 칼럼니스트다. ciok@idg.co.kr