2014.08.05

칼럼 | ‘통화도 자동차도’ 어떤 것도 안전하지 않다

Rob Enderle | CIO
블랙베리는 게임 개발자들보다 기업 고객을 중요하게 여기는 유일한 모바일 벤더라 할 수 있다. 이번 주 뉴욕에서 열린 기업 보안 브리핑에서 블랙베리는 자사의 전문가들은 물론 헬스케어, 은행, 그리고 정부 등 각 분야의 전문가들을 초대했다.

이번 행사에서 블랙베리는 최근 인수한 독일 보안 기업 시큐스마트(Secusmart)를 소개했다. 시큐스마트는 전화 통화 보안으로 유명한 업체다. 그러나 그보다 흥미롭고 한편으로 사람들을 두렵게 한 것은 패널들의 경고였다.



통화 내용은 통화 품질 개선을 위해(그리고 첩보 활동을 위해) 녹음되고 있다
우리는 데이터 보안에만 너무 신경을 쓴 나머지 음성 보안에 대해서는 까맣게 잊고 있다. 요점을 말하자면, 이번 행사에 참석한 이들은 러시아 정부에서 녹취해 언론에 공개한 어느 미국 외교관과 동료 사이의 대화를 들었다.

이 외교관은 지면에서는 차마 밝힐 수 없는 단어를 이용하며 유럽 연합에 대한 자신의 감정을 드러냈다고 한다.

이 통화 공개로 미국과 유럽 간의 관계에 미친 악영향을 생각해 보자. 물론 이 통화내용이 공개 되었을 때 보안 팀과 외교관 사이에 어떤 대화가 오갔을지는 말 할 것도 없고 말이다. (애초에 유럽 연합이 러시아를 상대로 한 미국의 제재 요청을 거부한 것도 이런 이유에서였는지도 모른다. 러시아도 바로 그 점을 노리고 통화 내역을 공개했을 것이고 말이다.)

전화 내용을 암호화하지 않는 이상 어딘가에서 통화를 녹취하고 있을 가능성을 배제할 수 없다. 스마트폰과 기술을 적당히 사용하면 전화 통화를 암호화하는 것 역시 어렵지는 않다.

그러나 지상 통신선의 경우 보안 유지가 어려운 편이다. 특히 최신 PBX(구내교환망, Private Branch eXchange)를 거치지 않는다면 더욱 그렇다. 누군가의 집으로 거는 전화는 거의 무방비 상태라 봐도 좋다.

즉 우리가 무심코 뱉은 말이 언젠가, 예상치 못한 때에 칼날이 되어 돌아올 지 모른다는 것이다. 이런 류의 통화 감시가 매우 광범위하게 일어나며, 또 음성을 텍스트로 전환하는 툴과 비정형 데이터 애널리틱스가 날이 갈수록 발전하고 있다는 사실을 생각해 보면, 전화로 속내를 털어놓는 일이 얼마나 위험한 일인지도 알 수 있다. 그리고 앞으로 점점 더 안전하지 않게 될 것이다.

자동차의 무선 접속 포인트는 얼마나 안전한가?
사물 인터넷과 관련하여 가장 걱정되는 점 중 하나는 인터넷에 연결되는 그 ‘사물’들의 보안 상태가 과연 안전할 것인지다. 자동차를 예로 들어보자. 자동차에 설치된 모바일 핫스팟이나 타이어 압력 모니터링 시스템의 무선 연결이 해킹 당하면 어쩔 것인가? 정말 두려운 일이다. 최근 각광받고 있는 무인 자동차만 해도 그렇다. 보안 관련 사고가 일어날 확률이 너무나 높다.

이번 행사에서 블랙베리는 보안 문제에 있어 한 발짝 앞서가는 회사로 아우디를 언급하긴 했다. 그렇지만 아우디 외에도 보안 문제가 관련 토론의 중요한 일부분으로 포함되어야 할 것이다. 과연 기업의 CSO들이 자사의 모든 배달 차량이 살인 무기가 되는 날이 오는 것을 상상해 보았는지, 궁금하다. 특히 요즘 한창 지지를 받고 있는 배달용 드론에 문제가 생기면 어떻게 될지는 상상하고 싶지도 않다.
변호사와의 전화 통화, 얼마나 안전하다고 생각하는가?
이번 행사의 마지막 연사는 국제적 로펌인 스케이든(Skadden) 직원이었다. 소송에서 클라이언트와 변호사간의 비밀 유지가 소송의 승패에 큰 영향을 미치며 판결에도 영향을 미친다. 그런데 우리는 우리가 이용하는 로펌들의 보안 상태에 대해 얼마나 잘 알고 있을까? 엄청난 돈을 들여 소송을 준비하는데, 로펌의 허술한 보안으로 소송에서 진다면?

필자 역시 소송에 많이 참여해 봤다. 많은 경우 소송 전략을 상대편이 알게 될 경우 패소할 수도 있었다. 이를 감안한다면 정부나 제약 회사에서 이용하는 로펌은 피해야 하는 것이 아닌가 하는 생각까지 든다. 이들 단체에서 이용하는 로펌이 가장 보안 위협에 취약하기 때문이다. 기밀 정보가 유출된다면 정말 큰 문제가 아닐 수 없다.

생각지도 못한 것에 목숨을, 직장을 잃게 될지 모른다
이번 블랙베리 행사에서 필자가 느낀 점은 우리가 보안 문제에 대한 전체적인 시각을 갖추지 못하고 있다는 것이었다. 전반적인 사물 인터넷이나 무인 자동차 같은 것들에 대해 분명히 우려해야 할 부분이 있음에도 불구하고 우리는 무관심하다. 보안에 대한 구글의 형편 없는 전적을 고려했을 때, 구글의 무인 자동차를 마냥 신기하게 볼 수 있을까?

이쯤 되면, 수십 년 전 IBM에서 진행한 보안 테스트에 대해 이야기하는 사람이 있을 것이다. 당시 우리는 우리 능력이 닿는 한 가장 안전한 웹사이트를 만들고 전직 첩보요원 및 보안 전문가에게 해킹을 해 보라고 제안했다.

놀랍게도 그는 불과 몇 시간 만에 그 일을 해냈다. 사이트 자체로는 보안이 너무 튼튼해 뚫고 오지 못했지만, 우리 사이트와 연결된 다른, 무방비 상태의 웹사이트를 통한 것이다. 전체적인 시각을 갖추어야 한다는 건 그런 의미다.

마지막으로 음성 정보를 데이터와 다른 것으로 생각하는 태도는 큰 실수다. 모바일 기기 덕분에 이제는 음성 대화도 쉽게 녹취할 수 있다. 이번 행사에 참여한 한 전문가가 말하듯, 암호화가 되어 있는 안전한 전화를 사용하는 사람이 아닌 이상 당신의 전화 통화가 하나 이상의 정부 기관의 감시를 받고 있다고 생각하는 것이 속 편할 것이다.

*Rob Enderle은 엔덜 그룹(Enderle Group)의 대표이자 수석 애널리스트다. 그는 포레스터리서치와 기가인포메이션그룹(Giga Information Group)의 선임 연구원이었으며 그전에는 IBM에서 내부 감사, 경쟁력 분석, 마케팅, 재무, 보안 등의 업무를 맡았다. 현재는 신기술, 보안, 리눅스 등에 대해 전문 기고가로도 활동하고 있다. ciokr@idg.co.kr



2014.08.05

칼럼 | ‘통화도 자동차도’ 어떤 것도 안전하지 않다

Rob Enderle | CIO
블랙베리는 게임 개발자들보다 기업 고객을 중요하게 여기는 유일한 모바일 벤더라 할 수 있다. 이번 주 뉴욕에서 열린 기업 보안 브리핑에서 블랙베리는 자사의 전문가들은 물론 헬스케어, 은행, 그리고 정부 등 각 분야의 전문가들을 초대했다.

이번 행사에서 블랙베리는 최근 인수한 독일 보안 기업 시큐스마트(Secusmart)를 소개했다. 시큐스마트는 전화 통화 보안으로 유명한 업체다. 그러나 그보다 흥미롭고 한편으로 사람들을 두렵게 한 것은 패널들의 경고였다.



통화 내용은 통화 품질 개선을 위해(그리고 첩보 활동을 위해) 녹음되고 있다
우리는 데이터 보안에만 너무 신경을 쓴 나머지 음성 보안에 대해서는 까맣게 잊고 있다. 요점을 말하자면, 이번 행사에 참석한 이들은 러시아 정부에서 녹취해 언론에 공개한 어느 미국 외교관과 동료 사이의 대화를 들었다.

이 외교관은 지면에서는 차마 밝힐 수 없는 단어를 이용하며 유럽 연합에 대한 자신의 감정을 드러냈다고 한다.

이 통화 공개로 미국과 유럽 간의 관계에 미친 악영향을 생각해 보자. 물론 이 통화내용이 공개 되었을 때 보안 팀과 외교관 사이에 어떤 대화가 오갔을지는 말 할 것도 없고 말이다. (애초에 유럽 연합이 러시아를 상대로 한 미국의 제재 요청을 거부한 것도 이런 이유에서였는지도 모른다. 러시아도 바로 그 점을 노리고 통화 내역을 공개했을 것이고 말이다.)

전화 내용을 암호화하지 않는 이상 어딘가에서 통화를 녹취하고 있을 가능성을 배제할 수 없다. 스마트폰과 기술을 적당히 사용하면 전화 통화를 암호화하는 것 역시 어렵지는 않다.

그러나 지상 통신선의 경우 보안 유지가 어려운 편이다. 특히 최신 PBX(구내교환망, Private Branch eXchange)를 거치지 않는다면 더욱 그렇다. 누군가의 집으로 거는 전화는 거의 무방비 상태라 봐도 좋다.

즉 우리가 무심코 뱉은 말이 언젠가, 예상치 못한 때에 칼날이 되어 돌아올 지 모른다는 것이다. 이런 류의 통화 감시가 매우 광범위하게 일어나며, 또 음성을 텍스트로 전환하는 툴과 비정형 데이터 애널리틱스가 날이 갈수록 발전하고 있다는 사실을 생각해 보면, 전화로 속내를 털어놓는 일이 얼마나 위험한 일인지도 알 수 있다. 그리고 앞으로 점점 더 안전하지 않게 될 것이다.

자동차의 무선 접속 포인트는 얼마나 안전한가?
사물 인터넷과 관련하여 가장 걱정되는 점 중 하나는 인터넷에 연결되는 그 ‘사물’들의 보안 상태가 과연 안전할 것인지다. 자동차를 예로 들어보자. 자동차에 설치된 모바일 핫스팟이나 타이어 압력 모니터링 시스템의 무선 연결이 해킹 당하면 어쩔 것인가? 정말 두려운 일이다. 최근 각광받고 있는 무인 자동차만 해도 그렇다. 보안 관련 사고가 일어날 확률이 너무나 높다.

이번 행사에서 블랙베리는 보안 문제에 있어 한 발짝 앞서가는 회사로 아우디를 언급하긴 했다. 그렇지만 아우디 외에도 보안 문제가 관련 토론의 중요한 일부분으로 포함되어야 할 것이다. 과연 기업의 CSO들이 자사의 모든 배달 차량이 살인 무기가 되는 날이 오는 것을 상상해 보았는지, 궁금하다. 특히 요즘 한창 지지를 받고 있는 배달용 드론에 문제가 생기면 어떻게 될지는 상상하고 싶지도 않다.
변호사와의 전화 통화, 얼마나 안전하다고 생각하는가?
이번 행사의 마지막 연사는 국제적 로펌인 스케이든(Skadden) 직원이었다. 소송에서 클라이언트와 변호사간의 비밀 유지가 소송의 승패에 큰 영향을 미치며 판결에도 영향을 미친다. 그런데 우리는 우리가 이용하는 로펌들의 보안 상태에 대해 얼마나 잘 알고 있을까? 엄청난 돈을 들여 소송을 준비하는데, 로펌의 허술한 보안으로 소송에서 진다면?

필자 역시 소송에 많이 참여해 봤다. 많은 경우 소송 전략을 상대편이 알게 될 경우 패소할 수도 있었다. 이를 감안한다면 정부나 제약 회사에서 이용하는 로펌은 피해야 하는 것이 아닌가 하는 생각까지 든다. 이들 단체에서 이용하는 로펌이 가장 보안 위협에 취약하기 때문이다. 기밀 정보가 유출된다면 정말 큰 문제가 아닐 수 없다.

생각지도 못한 것에 목숨을, 직장을 잃게 될지 모른다
이번 블랙베리 행사에서 필자가 느낀 점은 우리가 보안 문제에 대한 전체적인 시각을 갖추지 못하고 있다는 것이었다. 전반적인 사물 인터넷이나 무인 자동차 같은 것들에 대해 분명히 우려해야 할 부분이 있음에도 불구하고 우리는 무관심하다. 보안에 대한 구글의 형편 없는 전적을 고려했을 때, 구글의 무인 자동차를 마냥 신기하게 볼 수 있을까?

이쯤 되면, 수십 년 전 IBM에서 진행한 보안 테스트에 대해 이야기하는 사람이 있을 것이다. 당시 우리는 우리 능력이 닿는 한 가장 안전한 웹사이트를 만들고 전직 첩보요원 및 보안 전문가에게 해킹을 해 보라고 제안했다.

놀랍게도 그는 불과 몇 시간 만에 그 일을 해냈다. 사이트 자체로는 보안이 너무 튼튼해 뚫고 오지 못했지만, 우리 사이트와 연결된 다른, 무방비 상태의 웹사이트를 통한 것이다. 전체적인 시각을 갖추어야 한다는 건 그런 의미다.

마지막으로 음성 정보를 데이터와 다른 것으로 생각하는 태도는 큰 실수다. 모바일 기기 덕분에 이제는 음성 대화도 쉽게 녹취할 수 있다. 이번 행사에 참여한 한 전문가가 말하듯, 암호화가 되어 있는 안전한 전화를 사용하는 사람이 아닌 이상 당신의 전화 통화가 하나 이상의 정부 기관의 감시를 받고 있다고 생각하는 것이 속 편할 것이다.

*Rob Enderle은 엔덜 그룹(Enderle Group)의 대표이자 수석 애널리스트다. 그는 포레스터리서치와 기가인포메이션그룹(Giga Information Group)의 선임 연구원이었으며 그전에는 IBM에서 내부 감사, 경쟁력 분석, 마케팅, 재무, 보안 등의 업무를 맡았다. 현재는 신기술, 보안, 리눅스 등에 대해 전문 기고가로도 활동하고 있다. ciokr@idg.co.kr

X