창과 방패의 대결인 해킹과 보안의 관계. 시스템적으로, 기술적으로 막을 수 없는 해킹, 그리고 사람의 실수에 의한 해킹까지는 막을 수 없는 한계를 어떻게..

SK컴즈의 개인정보유출사건에 대한 재판에서 재판부가 원고패소판정을 내렸다. 당사자인 SK컴즈와 안랩, 시만택 등의 보안업체를 대상으로 집단 손해배상청구소송에서 원고패소판정을 내린 것이다. 이를 두고 법이 기업의 개인정보유출에 대한 사안에 대해서 너무 관대한 것이 아니냐라는 논란이 나오고 있는 상황이다. 앞으로 이와 비슷한 유형의 개인정보유출사건에 대한 소송이 진행중에 있는데 판결에 기업쪽(즉, 개인정보유출을 한)에 유리하게 나오는게 아니냐라는 걱정과 함께 말이다. 이를 두고 이런저런 말들이 많은게 사실인 듯 싶다.

개인적으로는 보안업계에 10년 가까이 일하고 있고 앞으로도 보안밥을 먹어야 할 듯한 내 입장에서는 그냥 지나칠 수 있는 문제는 아니다. 지금 다니고 있는 회사도 보안회사고 앞으로 이런 소송에 대상이 되지 말라는 법도 없으니 말이다. 그런데 기업쪽에 유리한 판정이 나오는 사례가 나왔으니 다행이라고 생각해야 하나 하는 묘한 상황이다. 개인의 입장과 기업의 입장은 분명히 다를테니 말이다.

그냥 내 생각을 원론적인 입장에서 간단하게 써볼까 한다. 정말로 간단하게 말이다.

개인정보유출과 같은 정보유출은 여러 이유가 있을 수 있겠지만 솔직히 크래커(악의적으로 해킹을 일삼는 해커)가 맘먹고 뚫겠다고, 빼내겠다고 달려들면 방어하는 보안 담당자로서는 이를 막기가 어려운 것이 현실이다. 해킹에 대한 방어을 하는 보안의 기술은 이미 벌어진 해킹 수법에 대한 방어의 성격이 강하다. 어떤 얘기냐면 이미 한번은 해킹을 당했던 그 내용을 분석하고 그것에 대한 방어책으로 내놓고 그것으로 보안을 걸어서 방어를 한다는 것이다. 창과 방패의 대결이라고는 하지만 방패도 어느정도 강도를 지닌 무기에 대해서 막을 수 있지 정말로 날카롭고 단단한, 처음 접하는 물질로 만든 무기에 대해서는 속수무책으로 파괴되는 경우가 허다하다. 그렇기 때문에 보안을 매우 강하게 한다고 해도 100% 다 막는다고 말할 수는 없는 것이 현재 보안 세계의 현실이기도 하다.

또한 지금과 같이 모든 시스템 자원들이 네트워크로 연결되어있고 정보의 이동이 네트워크를 통해서 어떻게든지 연결되어있는 상황이라면 더더욱 100%로 방어하기가 어렵다. 어떤 경로로 들어올지 예측할 수 없기 때문이다. 기밀자료가 있는 시스템을 외부와 완전히 끊긴 네트워크에 연결해서 사용한다고 하면 모르겠지만 물리적인 분리가 아닌 논리적인 분리(라우터나 방화벽, 스위치, 혹은 이런 역할을 하는 서버에 의해서 내부적인 알고리즘에 의해서 나뉘는)로 나뉘어져있는 내부 네트워크라면 위험은 언제든지 도사린다. 논리적인 분리점에서 문제가 생기면 그 분리된 네트워크는 외부의 개방된 네트워크에 노출이 되기 때문이며 그 노출은 크래커들의 좋은 먹이감이 될 수 있기 때문이다.

일반적으로 개인정보와 같은 정보들은 데이터베이스화 되어서 서버(DB서버)에 저장이 된다. 본래 DB서버는 데이터를 저장하고 체계적으로 관리하기 위해서 많이 쓰며 외부의 서비스 서버에 데이터를 공급하는 역할도 한다. 뭐 중간에 DMZ 구간도 둬서 외부와 나름 분리하는 방식을 많이 사용하고 있지만 그 DMZ 구간 안에서도 해킹의 위험성은 얼마든지 존재한다. 어찌되었던 내부의 업무 시스템의 활용을 위해서 개인정보가 저장된 DB서버를 이용할 것이며 업무 시스템이 만약 인터넷과 연결되어있다면 데이터를 얼마든지 유출할 수 있는 기회는 있다는 얘기다.

물론 각종 보안솔루션의 존재가 이런 유출의 위험으로부터 많이 보호를 해주는 것은 사실이다. 하지만 그것을 다루는 것은 사람이며 그 사람이 실수함으로 얼마든지 보안의 장벽은 깨질 수 있다. 예를 들어 일반적으로 개인정보는 DB서버에 암호화 되어서 저장된다(개인정보보호법에 의해서). 하지만 사용자가 사용하는 개인정보검색 솔루션에는 암호화된 데이터가 아닌 복호화된 데이터가 보인다. 데이터는 암호화되어서 저장되지만 어플리케이션을 통해서 사용자의 눈으로 볼 때에는 암호화된 것을 그대로 볼 수는 없으니 복호화해서 본다는 것이다(당연한 것이다). 그런데 그 어플리케이션 자체가 해킹되었다면? 크래커들은 암호화되어 저장된 DB서버의 개인정보를 빼가는 것이 아닌 복호화되어 평문으로 된 사용자 어플리케이션에 노출된 개인정보를 빼가는 것이다.

자. 위의 경우에는 과연 누구의 잘못일까? 보안업체들은 할만큼 다 했다고 할 것이다. 분명 개인정보를 저장하는 DB서버에 암호화를 적용하여 암호화한 상태로 개인정보를 저장했다. 크래커가 DB서버를 해킹해서 데이터를 가져간다고 해도 암호화된 데이터이기 때문에 사용할 수 없다(암호화 알고리즘과 암/복호화 키를 모르면 풀 수도 없다). 그리고 사용자 어플리케이션과 DB서버 사이의 통신 구간도 암호화해서 통신한다. 일단 암호화된 데이터가 오가기 때문에 스내핑(중간에 가로채는 해킹 수법)해서 데이터를 가져가도 의미가 없을뿐더러 그 통신 구간마저 암호화되어 전송된다(SSL이나 PKI 등을 이용해서). 통신 구간에서는 암호화가 2번이나 진행되는 것이다. 그렇게해서 사용자가 사용하는 어플리케이션까지는 데이터가 안전하게 도착을 한다. 그 이후에는 어플리케이션의 몫이다. 물론 백신 등의 PC에 설치된 각종 보안 어플리케이션들도 나름대로 방어를 하지만 사용자 어플리케이션 자체까지는 방어해주지는 못한다. 사용자가 만약 USB 등을 통해서, 혹은 인터넷을 통해서 다운로드받은 악성 어플리케이션이 사용자 어플리케이션을 조작한다면 방법이 없다. 백신은 악성코드나 바이러스에 대해서 검사를 하고 방어를 하지만 특정 목적을 위한 해킹 작업까지 100% 다 방어할 수는 없다. 이런 이유로 기술적으로, 시스템적으로 보안업체들은 각종 보안솔루션을 통해서 할 수 있는 것들은 다 했다고 말할 것이다. 그 이상은 현재로서는 기술적으로, 시스템적으로 더 보안할 수 없는게 현실이기도 하다.

기본적으로는 해당 어플리케이션을 사용하는 사용자의 보안의식이 잘 갖춰져야 100%에 가까운 보안을 할 수 있다고 할 것이다. 하지만 그런 보안의식을 잘 갖춘 사람이라도 100% 다 방어할 수가 없다. 위에서 언급했듯 새로운 해킹 수법이 등장한다면 현재의 보안 솔루션이 갖고 있는 방어능력으로는 감당할 수 없는 경우가 있기 때문이다. 보안 솔루션은 지금까지의 해킹기법, 바이러스 패턴 등을 기반으로 방어를 한다. 지능형 보안이라고 해도 지금까지의 패턴, 형식 등을 분석해서 유추하는 기법이다. 어느정도는 방어할 수 있겠지만 완전 새로운 수법이라고 하면 속수무책인게 현실이다. 인공지능 보안이라고 해도 100% 완벽한게 아니라는 얘기다.

얘기가 좀 길어졌다. 솔직히 이번 SK컴즈의 판결은 개인정보를 다루는 기업에 대해서 정보유출에 대한 문제를 단순 실수정도로 치부하는거 같다는 느낌을 줄 수 있다. 하지만 실제로 내부 당사자들이 정보에 대한 보안을 위해 나름대로 준비하고 대비하는 것을 감안한다면 꼭 그렇게 실수정도로 치부한다라고 볼 수도 없다. 앞서 얘기했던 대로 시스템적으로 대비할 수 있는 것은 분명 어느정도 한계가 있고 보안 관계자의 보안의식이 철저하다고 하더라도 새로운 수법에 대해서는 속수무책일 수 밖에 없는 것이 현실이기 때문이다. 분명 개인정보라는 민감정보를 다루는 사람들의 보안에 대한 인식이 투철하다면 개인정보유출이라는 문제가 생길 수 있는 가능성은 매우 줄어들 것이다. 하지만 100% 다 완벽하게 방어할 수는 없다는 것이 문제다. 결국 유출에 대한 가능성을 최소화하고 유출된 이후에도 그 피해를 최소화해야 하는 것이 기업이 해야 할 보안에 대한 원칙이 아닐까 싶다. 그리고 유출된 데이터에 대한 피해에 대해서는 기업이 100% 다 보상해야 하는 것은 무리라고 보지만 적어도 납득할 수 있을 정도의 피해보상은 해줘야 하는게 맞다고 본다. 물론 도저히 막을 수 없었던 해킹으로 인한 유출에 한해서 말이다. 완벽히 다루는 사람의 잘못으로 인한 유출 피해나 시스템적으로 막을 수 있음에도 막지 않음으로 인한 피해에 대해서는 그 피해자에 대한 배상은 100% 기업의 몫임은 분명하지만 말이다.

창과 방패의 대결이라고 불리는 해킹과 보안의 관계에서 보안은 아직까지는 늘 방패의 입장에서 수세에 몰릴 수 밖에 없는 것이 어쩔 수 없는 현실이 아닐까 싶다.

첨언 #1.

개인정보를 쓰는 것을 기업에서 최소화 한다면 이런 유출사태는 줄어들 수 있을 것이다. 최소화 한다면 말이지. 가입 때 주민번호나 필요없는 개인정보를 안받아들이고 다른 방식으로 인증하도록 한다던지 말이지. 솔직히 주민번호를 쓰는 이유가 같은 사람이 중복으로 가입하는 것을 막기 위함도 있기에. 본인 확인을 위함도 있겠지만 말이지. 최근들어 주민번호 사용을 법으로 줄이도록 막으려고 하는 모습이 보이는데 과연 어떤 영향을 미칠지는 지켜봐야 할 듯 싶다.