2013.08.08

프리즘 사태가 CIO/CSO에게 시사하는 5가지

Jonathan Hassell | CIO
미 국가안전보장국(NSA, National Security Agency)의 대중 감시 체계에 관한 폭로가 이뤄진 지 두 달이 지났다. 이제 NSA가 여러 기업들의 시스템을 통해 우리 사회의 많은 부분을 지속적으로 관찰/감시해 왔다는 점은 새삼스러울 것 없는 사실이 되었다.

감시 프로그램의 모든 부분이 완전히 공개된 것은 아니다. 또 몇몇 부분들에 있어서는 여전히 논란의 여지가 남아있는 것이 사실이다. 그러나 일상의 삶이 감시 당할 수도 있다는 사실을 대중들이 자각하게 된 것은 분명하다. 어쩌면 이번 사건으로 인해 우리 사회는 예전과는 다른 방향으로 나아가게 될 것이다.

CIO를 비롯한 IT 전문가들 역시 이번 프리즘(PRISM) 감시 스캔들로 알려진 내용들에 대해 고민해 볼 시간을 가져볼 필요가 있을 것이다. 여기 그 5가지 구체적 내용들을 정리해본다.

1. 모든 것은 흔적을 남긴다
우리가 접하는 모든 서비스는 반드시 메타데이터(metadata), 다시 말해 어떠한 정보나 흔적을 생성한다. 이 데이터는 어느 곳엔가 저장되며, 또 추후 누군가 여기에 접근하는 것 역시 가능하다. 프리즘과 같은 감시 프로그램의 존재가 어떤 의미를 지니는 지를 이해하기 위해서는 이 사실을 명확히 인지할 필요가 있다.

우선 내부적으로는 데이터 보유 정책에 지금보다 더욱 신경 쓸 필요가 있을 것이다. 그리고 외부적으로는 기업의 비즈니스가 벤더들과의 관계에서 어떤 메타데이터를 생성하는지 확인하고, 또 이것의 저장 방식과 파기 시기는 어떠한지를 명확히 할 필요가 있다.

2. 프리즘과 관련한 보도 대부분은 사실과 다른 것으로 가정하자
조금 너그럽게 봐 준다면 보도 내용의 대부분이 기술적 관점에서 어느 정도의 부정확성을 띈다고 이야기할 수도 있겠다. 일반인들에게 기술적 운영 과정을 이해 시키거나 쉽게 설명하는 과정에서 흔한 일이기는 하지만 이번 프리즘 모니터링 프로그램을 설명하는 미디어의 태도에는 분명 상당 부분 부정확한 모습들이 있었다.

마이크로소프트, 구글 등의 업체들의 서버에 NSA가 ‘직접 접근'했다는 가디언 지의 초기 보도가 그 대표적인 사례 가운데 하나다. 이후 가디언 측은 ‘신형 아웃룩 닷컴(Outlook.com) 포털을 통해 이뤄지는 웹 채팅 암호 체계를 NSA가 우회할 수 있도록 마이크로소프트가 도왔다'라고 설명하며 기존 보도를 정정했다. 즉 MS의 지원이 직접 접근할 수 있도록 지원한 것이 아니며, 아웃룩 닷컴 및 핫메일(Hotmail) 서비스 등에 저장된 커뮤니케이션 해독을 지원하는 방식으로 이뤄졌다는 정정이었다.

그러나 이 기사만으론 마이크로소프트가 협조한 사항이 데이터 전송 과정에서 이용되는 SSL 기반 암호화를 NSA가 침투할 수 있도록 지원하는 것이었는지, 아니면 통신 기록과 컨텐츠를 일정 기간 암호화하여 관리하면서 그 키를 NSA에 넘겨준 것이었는지, 혹은 전혀 다른 어떤 방법이었는지를 명확히 파악하기 어렵다.

간단히 말하면, 제대로 알려진 것은 별로 없는 것이다. 이와 같은 유형의 도청에 대한 대비책의 모색이 어려운 것도 이러한 이유 때문이다. 위협 요인도 정확히 파악하지 못하면서, 위협 대비 전략을 세운다는 것이 가능한 일이겠는가? 미디어는 당신에게 그저 감시 프로그램의 규모에 관해서만 이야기할 뿐, 현실적이고 합리적인 기술적 설명은 해주지 못했다.

3. 프리즘 게이트는 클라우드 이전 계획에 걸림돌이 될 수 있다
‘직접 접근'과 같은 세부적 내용에 있어서는 논쟁의 여지가 남아있지만 한 가지 확실한 것은 NSA의 데이터 획득 및 열람 활동이 클라우드 환경때문에 보다 쉽게 진행될 수 있었다는 점이다. 기업 및 개인의 데이터가 내부에 저장돼 있었다면 감시하기에 좀더 어려웠을 것은 분명하다.




2013.08.08

프리즘 사태가 CIO/CSO에게 시사하는 5가지

Jonathan Hassell | CIO
미 국가안전보장국(NSA, National Security Agency)의 대중 감시 체계에 관한 폭로가 이뤄진 지 두 달이 지났다. 이제 NSA가 여러 기업들의 시스템을 통해 우리 사회의 많은 부분을 지속적으로 관찰/감시해 왔다는 점은 새삼스러울 것 없는 사실이 되었다.

감시 프로그램의 모든 부분이 완전히 공개된 것은 아니다. 또 몇몇 부분들에 있어서는 여전히 논란의 여지가 남아있는 것이 사실이다. 그러나 일상의 삶이 감시 당할 수도 있다는 사실을 대중들이 자각하게 된 것은 분명하다. 어쩌면 이번 사건으로 인해 우리 사회는 예전과는 다른 방향으로 나아가게 될 것이다.

CIO를 비롯한 IT 전문가들 역시 이번 프리즘(PRISM) 감시 스캔들로 알려진 내용들에 대해 고민해 볼 시간을 가져볼 필요가 있을 것이다. 여기 그 5가지 구체적 내용들을 정리해본다.

1. 모든 것은 흔적을 남긴다
우리가 접하는 모든 서비스는 반드시 메타데이터(metadata), 다시 말해 어떠한 정보나 흔적을 생성한다. 이 데이터는 어느 곳엔가 저장되며, 또 추후 누군가 여기에 접근하는 것 역시 가능하다. 프리즘과 같은 감시 프로그램의 존재가 어떤 의미를 지니는 지를 이해하기 위해서는 이 사실을 명확히 인지할 필요가 있다.

우선 내부적으로는 데이터 보유 정책에 지금보다 더욱 신경 쓸 필요가 있을 것이다. 그리고 외부적으로는 기업의 비즈니스가 벤더들과의 관계에서 어떤 메타데이터를 생성하는지 확인하고, 또 이것의 저장 방식과 파기 시기는 어떠한지를 명확히 할 필요가 있다.

2. 프리즘과 관련한 보도 대부분은 사실과 다른 것으로 가정하자
조금 너그럽게 봐 준다면 보도 내용의 대부분이 기술적 관점에서 어느 정도의 부정확성을 띈다고 이야기할 수도 있겠다. 일반인들에게 기술적 운영 과정을 이해 시키거나 쉽게 설명하는 과정에서 흔한 일이기는 하지만 이번 프리즘 모니터링 프로그램을 설명하는 미디어의 태도에는 분명 상당 부분 부정확한 모습들이 있었다.

마이크로소프트, 구글 등의 업체들의 서버에 NSA가 ‘직접 접근'했다는 가디언 지의 초기 보도가 그 대표적인 사례 가운데 하나다. 이후 가디언 측은 ‘신형 아웃룩 닷컴(Outlook.com) 포털을 통해 이뤄지는 웹 채팅 암호 체계를 NSA가 우회할 수 있도록 마이크로소프트가 도왔다'라고 설명하며 기존 보도를 정정했다. 즉 MS의 지원이 직접 접근할 수 있도록 지원한 것이 아니며, 아웃룩 닷컴 및 핫메일(Hotmail) 서비스 등에 저장된 커뮤니케이션 해독을 지원하는 방식으로 이뤄졌다는 정정이었다.

그러나 이 기사만으론 마이크로소프트가 협조한 사항이 데이터 전송 과정에서 이용되는 SSL 기반 암호화를 NSA가 침투할 수 있도록 지원하는 것이었는지, 아니면 통신 기록과 컨텐츠를 일정 기간 암호화하여 관리하면서 그 키를 NSA에 넘겨준 것이었는지, 혹은 전혀 다른 어떤 방법이었는지를 명확히 파악하기 어렵다.

간단히 말하면, 제대로 알려진 것은 별로 없는 것이다. 이와 같은 유형의 도청에 대한 대비책의 모색이 어려운 것도 이러한 이유 때문이다. 위협 요인도 정확히 파악하지 못하면서, 위협 대비 전략을 세운다는 것이 가능한 일이겠는가? 미디어는 당신에게 그저 감시 프로그램의 규모에 관해서만 이야기할 뿐, 현실적이고 합리적인 기술적 설명은 해주지 못했다.

3. 프리즘 게이트는 클라우드 이전 계획에 걸림돌이 될 수 있다
‘직접 접근'과 같은 세부적 내용에 있어서는 논쟁의 여지가 남아있지만 한 가지 확실한 것은 NSA의 데이터 획득 및 열람 활동이 클라우드 환경때문에 보다 쉽게 진행될 수 있었다는 점이다. 기업 및 개인의 데이터가 내부에 저장돼 있었다면 감시하기에 좀더 어려웠을 것은 분명하다.


X