본문 바로가기

Security Indicator

보안정보는 공개적으로 논의 되어야 한다.

 

 아래의 기사는 지난해 (2005년) 5월에 주간동아에 기고한 기사입니다.

 


 
보안정보 유통채널 어디 없나
보안 취약성 관련 정보 교환의 장 전무 … 사고 대응 및 위험 통보 없어 수동적 대응
 
 
 
 
 
보안 관련 정보가 유통되지 않고 감춰져 있으면 그로 인한 피해는 더욱 커지게 된다. 

최근 ESG(Enterprise Strategy Group)는 미국에 있는 종업원 1000명 이상의 기업에 근무하는 229명의 보안전문가를 대상으로 ‘기업 내부보안 위협’에 대한 설문조사를 했다. 응답자의 절반가량이 연간 매출 10억 달러 이상의 대기업 소속이었다고 한다.

결과는 일반적인 예상치를 뛰어넘는 심각한 수준이었다. 응답자 중 27%가 사내에서 보안 관련 문제가 발생했는지조차 모르고 있었고, 23%는 지난 1년 동안 내부보안 결함으로 인한 침입이 있었다는 것. 이로 인한 손실은 40%가 주요 시스템이나 서비스 중단을 경험했고, 38%는 데이터 손상이나 손실을 겪어야 했다.

 

“게시판이나 각종 DB 프로그램의 취약점을 알려주려고 해도 알려줄 공간이 없어요.”

 

해커나 크래커를 상대하는 국내 보안전문가들의 최대 고민은 국내에 보안 취약점에 대한 정보 유통 채널이 없다는 것이다. 보안이란 전쟁터에서도 역시 정보싸움은 매우 중요한 부분이 될 수밖에 없다. 거의 날마다 새로운 취약성이 발견될 정도로 보안 관련 정보가 폭증하고 있는 것. 안티바이러스 솔루션을 만드는 회사의 경우 과중되는 업무로 비명을 지를 지경이다.

 

보안에서 가장 핵심적인 내용이라면 일반 사용자 측면과 방어하는 쪽에서의 기술적인 부분이 있을 수 있다. 일반 사용자라면 바이러스 백신의 활용과 PC 보안 조치 및 운영체제의 패치를 즉시 설치하는 정도가 될 수 있겠고, 해커와 맞상대하는 보안전문가라면 앞으로 일어날 위험을 예측하고 사회의 기반시설이 된 인터넷을 안전하게 지킬 수 있도록 노력하는 부분이라고 할 수 있다.

 

해외 메일링 리스트에 의존 앞으로 일어날 위험을 예측한다는 것은 그에 대한 정보가 이미 확보돼 있어야 하며, 특히 취약성에 관련된 정보의 활발한 교류와 적극적인 토론을 통해 방안을 모색해야 한다는 것을 뜻한다. 이제껏 국내에서 그와 같은 구실을 했던 매개체는 한국정보보호진흥원(KISA)에서 운영하는 CERTCC-KR 메일링 리스트(http://www. certcc.or.kr)가 유일하다.

 

이 메일링 리스트는 양 방향 채널을 가지고 의사소통을 통해 보안 의식과 취약점에 대한 정보를 공식적으로 언급해왔으나 현재는 유명무실해졌고, 아주 소수의 알려지지 않은, 또는 활동이 매우 뜸한 메일링 리스트만이 정보를 소통하고 있을 뿐이다.

 

그렇다면 우리나라의 보안전문가들은 이 같은 고급 정보들을 어떻게 획득해온 것일까. 대부분이 해외에서 운영하는 메일링 리스트에 의존해왔다. 미국의 Bugtraq(http://www. securityfocus. com/archive/1) 같은 해외 메일링 리스트를 이용해 취약성 정보를 받아왔을 뿐이다. 국내에서는 사이버 안전센터 및 KISA에서 제작하는 취약성 관련 경고문만이 일방적으로 전달되는 실정이다.

 

이 같은 일방적인 정보 전달이 왜 문제인가 하면 지난해 말 발생한 PHP-BB의 취약성을 이용해 웹페이지 변조 및 악성코드를 다운로드 받도록 만들어진 SANTY Worm처럼 프로그램을 직접 이용한 취약성 공격이 빈번해진다는 점, 그리고 올해 초 1000개 이상의 홈페이지가 PHP 취약성에 의해 공격을 당하는 상황에서 볼 수 있듯 앞으로도 새로운 유형의 공격이 증가할 것이라는 우려 때문이다.

 

국내에서 개발된 다수의 애플리케이션(Application)에 대한 취약성도 분명히 존재하며, 이런 취약점을 공개적으로 토론할 장소도 없는 상황에서 국내 취약성이 해외 버그 트랙(Bugtraq)이나 취약성 관련 메일링 리스트에 공개될 경우 해외 크래커들에 의해 악용당할 소지가 매우 높다. 그리고 해외 메일링 리스트에 공개된 취약점이 국내에서 적극적으로 쟁점화되지 않고 보안·네트워크·시스템 관련자들에게서 이슈화되지 못함으로써 수동적인 대응밖에 할 수 없게 된 것.

 

인터넷 인프라가 훌륭한 것은 기반시설이 잘되어 있는 것이고, 기술과 커뮤니티가 활성화되는 것은 발달이 이루어지는 것이다. 보안이라는 부분은 기술과 커뮤니티라는 사회가 무너지지 않도록 보완하는 조직이며 상호적인 관계에 있다. 대한민국의 인프라는 훌륭하며 앞으로도 독창적인 기술과 커뮤니티 문화는 계속 발전하게 될 것이다.

 

위협의 빠른 차단과도 같은 준비는 이미 발생한 위험을 최대한 줄여주는 구실도 한다. 지금의 우리나라 정보보호 준비는 빠른 차단과 확산의 최소화를 목표로 한다. 그러나 위험을 없앨 수는 없고 때로는 치명적인 위험을 입을 수 있다. 그렇다 하더라도 앞으로 발생할지 모르는 위험과 위협에 대해서 적극적으로 토론하는 장이 그 어디에도 없다는 것은 우리에게 너무나 아쉬운 대목이다.   (끝)