2012.10.23

칼럼 | 미 정부의 사이버 보안 계획, 발상부터 위험한 이유

Rob Enderle | CIO
지난 주 리언 파네타 미 국방 장관은 미국 내 민간 시스템들을 열람할 수 있는 침투성 시스템(invasive system)에 대한 프레젠테이션을 진행했다. 사이버 공격에 대한 감지 및 대처를 원활하게 한다는 것이 명분이었다.

파네타의 발언은 9/11 테러와 맞먹는 규모의 사이버 공격이 발생할 수 있고 여기에 어떠한 대응책을 마련하지 않는다면 미국 내 인프라스트럭처(infrastructure) 주요 부문들이 타격을 입을 수 있음을 경고한 것이었다. 이 과정에서 그는 사우디 아라비아의 국영 정유 기업 아람코(ARAMCO)에 사이버 공격이 가해져 3만 대의 컴퓨터에 보관되고 있던 막대한 규모의 데이터가 손실 되고 기업 운용이 일시적으로 불능 상태에 빠졌던 사건을 예로 들기도 했다.

그가 제안한 해결책은, 민간 시스템에 대한 광범위한 접근권을 미 정부에 부여하는 것이었다. 하지만 여기에는 국민의 프라이버시 침해라는 문제가 제기될 수 있다. 일부에서는 정부가 대응하려는 사이버 위협보다 더욱 큰 문제로 여길 수도 있는 문제다. 이러한 이유로 빠른 시간 안에 파네타의 제안이 실현되기는 어려울 것이다. 또한 이는 그 자체로 국내, 외적인 사이버 공격 가능성을 증가시킬 수도 있을 것이다.

중앙 네트워크는 기존의 방어 체계를 약화시킨다
시스템들이 정보를 공유하지 않고 공통 보안 스트럭처를 구성하지 않음으로써 발생하는 이점은 공격 범위가 협소화 된다는 것이다. 즉 사회의 여러 사설, 공공 시스템들은 서로 다른 보안 패키지와 운영 시스템, 애플리케이션을 구동하며 서로 다른 정책들을 통해 관리되기 때문에 특정 시스템에 대한 공격이 다른 영역으로 까지 확장되지 않는 것이다.

9/11 사태와 같은 재앙적 수준의 공격이 일어나지 않은 이유 중 하나는 이 시스템들이 상호 운용성을 담보하지 않으며 정보 공유 역시 제한적인 수준에서 진행하고 있기 때문일 것이다. 공격자들에겐 이 모든 영역들에 동시적인 공격을 펼칠 역량이 아직은 없다.

반대로 여러 시스템들이 정기적, 자동적, 실시간으로 정보를 공유할 수 있도록 하는 중앙 네트워크를 구성하게 되면, 공격을 집중할 수 있는 하나의 접근점을 만들어내는 결과를 가져오게 될 것이다. 이 변화로 인해 공격자들에게는 새로운 가능성이 주어지게 될 것이고, 공공, 민간 기관들은 보안 문제 대비를 위한 예산을 새로이 책정해야 할 것이다. 중앙 시스템에 대한 공격은 현재는 완전히 불가능한 것이지만 한번 그 가능성의 문이 열리게 된다면 그 기술은 계속적으로 발전해나갈 것이고 궁극적으로 중앙 시스템은 외부 공격자들이 노리는 최적의 침입 경로 중 한 곳으로 여겨지게 될 것이다.

정부의 최근 보안 관련 행보 역시 이러한 측면에서 살펴볼 필요가 있다. 리비아에서 발생한 미 대사의 사망 사건은 여전히 실제적인 위협이 존재하는 상황에서 대비 체계를 축소했을 때 발생할 수 있는 위협이 어떠한 것인지를 잘 보여주었다. 공격이 일어난 뒤에도 정치권에서는 문제의 재발을 방지하기 위한 대책을 마련하는데 집중하기보다는 비난의 화살을 받아낼 누군가를 찾는데 더 열심인 모습을 보여주었다.

한마디로 말해 파네타가 제안한 시스템은 역설적으로 그가 가장 우려하는 상황을 야기하는 결과를 낳게 될 가능성이 크다.

보다 나은 단기적 사이버 보안 솔루션
필자는 미 정부가 대신 실행할 수 있는 몇 가지 대안들을 구상해봤다.

-충분치 못한 방어 체계로 피해를 입은 기업들에게 보다 신속히 보상을 제공해줄 수 있도록 하는 강력한 책임법.

-보험사의 안정화 지원금과 유사한 형태로 시스템이 타깃 공격을 받은 기업들에게 제공되는 정부 출자 보상금 지원. 이는 에이전시들이 보안 예산을 늘리고 안정성에 대한 감사를 보다 철저히 진행하도록 압박하는 역할도 할 것이다.

- 법률적 간섭을 최소화하면서도 확인된 공격을 효율적으로 보고할 수 있도록 하는 공통 보고 체계 지원.

이와 같은 대안들을 통해 우리는 각 시스템들 간의 연결 없이도 서로가 서로에게 접근할 수 있는 중앙 관리 조직을 구성할 수 있게 될 것이다. 이는 또한 정부의 예산 지출을 줄여줄 뿐 아니라 프라이버시와 관련한 고민을 해소하고 치명적 공격의 가능성 역시 제거한다는 점에서 여러 집단에게 효용을 가져다 줄 것이다. 간단히 말해, 이 계획은 사이버 공격 방어 체계의 보다 안정적인 구성과 동작을 가능케 할 수 있다.

사이버 9/11 이후에는  더욱 많은, 더욱 심각한 공격들이 이어질 것
파네타의 계획은 공격을 피할 수 없는 것으로 가정한다. 공격의 발생을 거의 확정적으로 가정하거나, 혹은 그 실행을 위해 사례가 될만한 공격의 발생을 필요로 한다는 점에서 이러한 기법은 득보다는 실이 많은 방식이라 할 수 있을 것이다.

9/11 사태 이후 미 정부의 무계획적인 대응은 항공 산업의 날개를 꺾고 재정을 파산 직전의 위협에까지 내몰았다. 사건이 발생하기 전에 진작 구성되었어야 할 통합 정부 커뮤니케이션은 현재까지도 완성되지 않은 상황이다.

현재의 가장 큰 문제는 국방부가 예측하고 있는 9/11 사이버 공격이 아직 발생하지 않았다는데 있다. 그리고 그들이 이 잠재적 공격에 대하여 시행하려는 대응 방식은 경제적으로, 그리고 국민들의 프라이버시와 관련하여 커다란 문제를 야기할 것이고 또한 더욱 큰 공격의 빌미를 마련해줄 수도 있는 듯 보인다. 이 모든 상황은 도미노처럼 연쇄적으로 발생할 것이다. 실제로 이와 같은 불안의 그림자는 이미 미국 사회에 드리우고 있다. 국가적 차원에서 시스템 통합을 주도해야 한다는 몇몇 이들의 생각은 매우 위험한 발상이라고 다시 한 번 강조하는 바다.

* Rob Enderle는 엔더를 그룹의 대표이자 수석 애널리스트다. ciokr@idg.co.kr



2012.10.23

칼럼 | 미 정부의 사이버 보안 계획, 발상부터 위험한 이유

Rob Enderle | CIO
지난 주 리언 파네타 미 국방 장관은 미국 내 민간 시스템들을 열람할 수 있는 침투성 시스템(invasive system)에 대한 프레젠테이션을 진행했다. 사이버 공격에 대한 감지 및 대처를 원활하게 한다는 것이 명분이었다.

파네타의 발언은 9/11 테러와 맞먹는 규모의 사이버 공격이 발생할 수 있고 여기에 어떠한 대응책을 마련하지 않는다면 미국 내 인프라스트럭처(infrastructure) 주요 부문들이 타격을 입을 수 있음을 경고한 것이었다. 이 과정에서 그는 사우디 아라비아의 국영 정유 기업 아람코(ARAMCO)에 사이버 공격이 가해져 3만 대의 컴퓨터에 보관되고 있던 막대한 규모의 데이터가 손실 되고 기업 운용이 일시적으로 불능 상태에 빠졌던 사건을 예로 들기도 했다.

그가 제안한 해결책은, 민간 시스템에 대한 광범위한 접근권을 미 정부에 부여하는 것이었다. 하지만 여기에는 국민의 프라이버시 침해라는 문제가 제기될 수 있다. 일부에서는 정부가 대응하려는 사이버 위협보다 더욱 큰 문제로 여길 수도 있는 문제다. 이러한 이유로 빠른 시간 안에 파네타의 제안이 실현되기는 어려울 것이다. 또한 이는 그 자체로 국내, 외적인 사이버 공격 가능성을 증가시킬 수도 있을 것이다.

중앙 네트워크는 기존의 방어 체계를 약화시킨다
시스템들이 정보를 공유하지 않고 공통 보안 스트럭처를 구성하지 않음으로써 발생하는 이점은 공격 범위가 협소화 된다는 것이다. 즉 사회의 여러 사설, 공공 시스템들은 서로 다른 보안 패키지와 운영 시스템, 애플리케이션을 구동하며 서로 다른 정책들을 통해 관리되기 때문에 특정 시스템에 대한 공격이 다른 영역으로 까지 확장되지 않는 것이다.

9/11 사태와 같은 재앙적 수준의 공격이 일어나지 않은 이유 중 하나는 이 시스템들이 상호 운용성을 담보하지 않으며 정보 공유 역시 제한적인 수준에서 진행하고 있기 때문일 것이다. 공격자들에겐 이 모든 영역들에 동시적인 공격을 펼칠 역량이 아직은 없다.

반대로 여러 시스템들이 정기적, 자동적, 실시간으로 정보를 공유할 수 있도록 하는 중앙 네트워크를 구성하게 되면, 공격을 집중할 수 있는 하나의 접근점을 만들어내는 결과를 가져오게 될 것이다. 이 변화로 인해 공격자들에게는 새로운 가능성이 주어지게 될 것이고, 공공, 민간 기관들은 보안 문제 대비를 위한 예산을 새로이 책정해야 할 것이다. 중앙 시스템에 대한 공격은 현재는 완전히 불가능한 것이지만 한번 그 가능성의 문이 열리게 된다면 그 기술은 계속적으로 발전해나갈 것이고 궁극적으로 중앙 시스템은 외부 공격자들이 노리는 최적의 침입 경로 중 한 곳으로 여겨지게 될 것이다.

정부의 최근 보안 관련 행보 역시 이러한 측면에서 살펴볼 필요가 있다. 리비아에서 발생한 미 대사의 사망 사건은 여전히 실제적인 위협이 존재하는 상황에서 대비 체계를 축소했을 때 발생할 수 있는 위협이 어떠한 것인지를 잘 보여주었다. 공격이 일어난 뒤에도 정치권에서는 문제의 재발을 방지하기 위한 대책을 마련하는데 집중하기보다는 비난의 화살을 받아낼 누군가를 찾는데 더 열심인 모습을 보여주었다.

한마디로 말해 파네타가 제안한 시스템은 역설적으로 그가 가장 우려하는 상황을 야기하는 결과를 낳게 될 가능성이 크다.

보다 나은 단기적 사이버 보안 솔루션
필자는 미 정부가 대신 실행할 수 있는 몇 가지 대안들을 구상해봤다.

-충분치 못한 방어 체계로 피해를 입은 기업들에게 보다 신속히 보상을 제공해줄 수 있도록 하는 강력한 책임법.

-보험사의 안정화 지원금과 유사한 형태로 시스템이 타깃 공격을 받은 기업들에게 제공되는 정부 출자 보상금 지원. 이는 에이전시들이 보안 예산을 늘리고 안정성에 대한 감사를 보다 철저히 진행하도록 압박하는 역할도 할 것이다.

- 법률적 간섭을 최소화하면서도 확인된 공격을 효율적으로 보고할 수 있도록 하는 공통 보고 체계 지원.

이와 같은 대안들을 통해 우리는 각 시스템들 간의 연결 없이도 서로가 서로에게 접근할 수 있는 중앙 관리 조직을 구성할 수 있게 될 것이다. 이는 또한 정부의 예산 지출을 줄여줄 뿐 아니라 프라이버시와 관련한 고민을 해소하고 치명적 공격의 가능성 역시 제거한다는 점에서 여러 집단에게 효용을 가져다 줄 것이다. 간단히 말해, 이 계획은 사이버 공격 방어 체계의 보다 안정적인 구성과 동작을 가능케 할 수 있다.

사이버 9/11 이후에는  더욱 많은, 더욱 심각한 공격들이 이어질 것
파네타의 계획은 공격을 피할 수 없는 것으로 가정한다. 공격의 발생을 거의 확정적으로 가정하거나, 혹은 그 실행을 위해 사례가 될만한 공격의 발생을 필요로 한다는 점에서 이러한 기법은 득보다는 실이 많은 방식이라 할 수 있을 것이다.

9/11 사태 이후 미 정부의 무계획적인 대응은 항공 산업의 날개를 꺾고 재정을 파산 직전의 위협에까지 내몰았다. 사건이 발생하기 전에 진작 구성되었어야 할 통합 정부 커뮤니케이션은 현재까지도 완성되지 않은 상황이다.

현재의 가장 큰 문제는 국방부가 예측하고 있는 9/11 사이버 공격이 아직 발생하지 않았다는데 있다. 그리고 그들이 이 잠재적 공격에 대하여 시행하려는 대응 방식은 경제적으로, 그리고 국민들의 프라이버시와 관련하여 커다란 문제를 야기할 것이고 또한 더욱 큰 공격의 빌미를 마련해줄 수도 있는 듯 보인다. 이 모든 상황은 도미노처럼 연쇄적으로 발생할 것이다. 실제로 이와 같은 불안의 그림자는 이미 미국 사회에 드리우고 있다. 국가적 차원에서 시스템 통합을 주도해야 한다는 몇몇 이들의 생각은 매우 위험한 발상이라고 다시 한 번 강조하는 바다.

* Rob Enderle는 엔더를 그룹의 대표이자 수석 애널리스트다. ciokr@idg.co.kr

X