Offcanvas

모바일 / 보안 / 비즈니스|경제 / 소비자IT

기고 | 스마트 기기의 편리함 뒤에 숨은 보안 위협들

2013.12.19 Taylor Armerding  |  CSO


경고만 있고 아직 실체 없는 ‘위협’
적어도 현재까지는 양 측 모두에게 이 문제를 신경써야 할 타당한 이유가 없었던 것이 현상의 원인일 것이다. 실력을 갖춘 해커라면 얼마든지 쉽게 난방, 환기, 심지어 현관의 도어락까지 가정의 모든 자동화 시스템에 침입할 수 있음을 증명하는 충격적인 보고서들이 발표되고 있지만, 이러한 위협들이 소비자들의 피부에 직접적으로 와 닿은 주요 사례는 아직 없었다.

이에 관해 슈나이어는 “소비자들이 경험할 피해를 예상하는 것은 옳지 않다. 많은 해킹 사례들이 사용자가 기기를 적절히 설치, 설정하지 않아서 발생하지만, 그 경우 역시 책임의 핵심은 제조업체에 있는 것이다. 업체들은 그들이 생산하는 기기가 보안 전문가들을 위한 전문 제품이 아닌, 소비자들이 편하게 구매하고 이용하는 제품임을 기억해야 할 것이다”라고 지적했다.

제조업체들은 자신들이 제대로 된 안정성을 갖춘 상품을 제작할 경우, 일반 소비자들이 사용하기엔 지나치게 복잡할 것이라는 변명을 애용해왔다. 보안이 편의성을 훼손한다는 것이 주장의 기저에 깔린 논리다.

이러한 논쟁에 관해 해커 아카데미(The Hacker Academy)의 설립자인 아론 코헨은 두 입장 모두 나름의 타당성이 있다는 입장을 밝혔다. 오랫동안 상품들에 보안 기능을 강화해야 한다는 주장을 지지해온 아론이지만, 최근에 와서는 보안과 편의성 사이에 균형을 맞추는 것 역시 중요하다는 입장을 보이고 있다.

아론은 “대부분의 사용자들에게는 기능성이 보안에 비해 중요한 가치로 여겨지고 있다. 완벽하게 안전하지만 사용자 본인마저 이용 과정에서 번거로움을 느껴야 하는 TV라면, 대부분의 소비자들에겐 외면 받을 것이다. 우스갯소리로 ‘전원 뽑힌 컴퓨터는 누구도 해킹할 수 없다'. 물론 누구도 이용할 수 없다”라고 말했다.

보안과 편의성 사이의 균형 설정의 한 방법으로 코헨은 오픈 웹 애플리케이션 보안 프로젝트(OWSAP, Open Web Application Security Project)가 적용하고 있는 방법론인 안정적 소프트웨어 개발 수명 주기(S-SDLC, Secure Software Development Life Cycle)를 제안했다. 그는 이 방법론이 ‘고-취약성' 위협의 해결에 도움을 줄 것이라 설명한다. 또 그는 산업이 보안 문제를 다루기에 앞서 우선 순위를 설정할 필요가 있음을 주장하기도 했다. 그는 난방 기기를 사례로 들며 “이것의 보안 초점은 난방 온도를 높이고 낮추는 단계의 방어가 아닌, 기기를 켜고 끄는 과정에 맞춰져야 한다”라고 강조했다.

코헨은 위협 분석이 금융 가치의 이해를 통해 보다 효율적으로 진행될 수 있을 것이라는 주장도 덧붙였다. 그는 “당신의 TV에 침입해 수익을 거둘 수 있다면, 해커들은 곧바로 그를 위한 최선의 방법을 발견해낼 것이다”라고 말했다.

편의성 vs. 보안
역시 FTC 워크숍에 패널로 자리한 스마트씽즈(SmartThings)의 설립자이자 CTO인 제프 하긴스는 코헨 등이 주장하는 보안과 편의성 간의 이분법적 시각에 반대하는 인물이다. 하긴스는 “보안보다 우선시 되는 것은 편의성이 아닌 가격이다. 그러나, 사실 이 둘은 함께, 우선순위에 놓일 수 있는, 그리고 놓여야 하는 요소들이다”라고 말했다.

그는 “뛰어난 사용자 경험 개발, 물론 어려운 작업이다. 보안 기능을 뛰어난 설계에 포함하는 작업 역시 어렵기는 마찬가지다. 그러나 결국 고객들은 최상의 경험과 기능, 그리고 합리적인 가격을 갖춘 제품을 선택할 것이다. 이 요소들 간의 균형을 유지하는 것은 쉽지 않은 일이다. 그럼에도 그 균형을 잡고 더불어 보안에 집중해야 할 이유는 분명하다. 그리해야 승리할 수 있기 때문이다”라고 강조했다.

이처럼 혼란스런 전망들이 혼재하는 가운데서도 희망적 소식들은 존재한다. 사이지털(Cigital)의 CTO이자 오랜 기간 ‘보안 구축’을 지지해온 게리 맥그로우에 따르면 이전 CTO 에드워드 펠튼과 그 후임 스티븐 벨로빈의 주도 하에 FTC는 보안 및 소프트웨어 보안에 관련해 적극적인 행보를 벌여나가고 있다. 맥그로우는 “이들 전•현직 CTO들은 모두 믿을만한 전문가다”라고 평가했다.

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.