“지난 2008년 미국에서 금융권이 몰락할 때 금융상품의 구조가 워낙 복잡해 사람들은 애초부터 위험성(Risk)을 이해하지 못했다. 현재 온라인 상황도 유사하다. 이제 그 구조가 너무 복잡해져서 사용자들은 어떤 보안 리스크를 지고 있는지 제대로 인식하지 못하고 있다.”
제프 모스(Jeff Moss) 국제 인터넷주소 관리기구(ICANN) 최고보안책임자 겸 데프콘(DEFCON) 설립자는 제14회 세계지식포럼에 참석해 ‘사이버 테러와의 전쟁’이라는 주제의 세션에서 사이버 시대에 인터넷 네트워크의 복잡성(Complexity)은 보안의 위험성을 점점 더 키우고 있다고 강조했다.
최초 해커출신 미국 보안자문위원
제프 모스는 ‘다크 탄젠트(Dark Tangent)’라는 이름으로 18년 동안 활동한 세계적인 해커다. 그는 현재 ICANN의 보안수장으로서 보안 컨설턴트로 활동하고 있다. 또 매년 라스베이거스에서 열리는 언더그라운드 해킹대회인 데프콘(DEFCON)과 보안콘퍼런스 블랙햇(Black Hat)의 설립자 겸 운영자이기도 하다. 지난 2009년 버락 오바마 대통령이 집권하면서 16명으로 구성된 국가 보안 자문위원회(Homeland Security Advisory Council)에 최초의 해커 출신 자문위원이 돼 업계의 큰 주목을 받기도 했다. 모스는 세계지식포럼 세션에서 1969년 인터넷의 전신인 ‘알파네트워크(Alpha network)’에서부터 오늘날 인터넷 트래픽 지도에 이르는 사진을 연속으로 보여주며 “네트워크의 모습은 천천히, 그렇지만 분명히 확장돼 오늘날 이 복잡성을 가시화하는 새로운 방법에 대한 모색이 필요하다”고 설명했다. 이어 그는 인공위성에서 우주의 모습을 찍은 것과 유사한 사진 한 장을 보여주면서 “이것이 2013년 인터넷 트래픽을 표현한 맵이다. 이러한 소우주와 같은 모습이 현재 우리 온라인 네트워크의 복잡성을 여실히 드러낸다”고 말했다.
그는 복잡성이 증가되는 모습을 투자 과정에 빗대 설명했다. 투자를 할 때 돈을 많이 벌기 위해서는 애플과 같은 회사에 돈을 몽땅 투자하고 좋은 실적을 내길 바랄 수도 있지만 그렇게 하면 리스크도 함께 높아진다. 반대로 리스크를 낮추기 위해 여러 군데 분산 투자를 하면 만약 애플 주식이 폭락해도 리스크를 줄이지만 수익은 낮아진다. 모스는 이런 현상을 보안과 연결했다. 네트워크 자체가 한 곳에 집중되지 않고 양파처럼 층층이 분산돼 있기 때문에 복잡성의 증가로, 시스템의 실패를 예측하는 것이 거의 불가능하다고 본다. 즉, 인터넷이 복잡해지면서 보안 문제가 발생했을 때 그 원인을 찾기가 어려워졌다는 얘기다.
인터넷 보안 새로운 발명 아니곤 해결 어려워
모스는 “현재 인터넷 문제는 근본적인 원인을 근절하지 못한 채 그때그때 보수할 수밖에 없다”며 “완전히 새로운 발명품으로 해결방법을 찾기 전에는 시스템이 어떻게 작동하는지 이해하기 힘들다”고 지적했다. 그는 인터넷 복잡성의 증가로 이전에는 상상하지 못했던 부분에서 보안 문제가 발생한다고 강조했다. 집 열쇠를 생각해보자. 이전에는 집 열쇠를 누군가가 획득하지만 않으면 안전할 것으로 간주됐지만 지금은 누군가가 카메라에 망원경을 연결하고 그 열쇠를 클로즈업해서 찍기만 해도 그것을 3차원(3D) 프린터를 통해 그대로 복제가 가능하다.
휴대폰도 신뢰할 수가 없다. 모스에 따르면, 10년 전에는 셀룰러 시스템이 복잡하지 않아 녹음기나 무전기 등 특수 장치가 있어야 전화 내용 도청이 가능했다. 그러나 지금은 GSM(범유럽 디지털 셀룰러 통일 규격) 통화 내용을 그대로 픽업하는 것은 어렵지 않다. 그는 “네트워크만 정상적으로 운영된다면 공격자가 휴대폰과 휴대기지국 간 연계를 통해 셀타워의 전송을 막고, 새로운 셀타워를 만들어내면서 휴대폰의 시그널이 원래 셀타워가 아닌 다른 셀타워로 가게 함으로써 도청이 가능하다”고 설명했다. 그러면서 “애플과 삼성의 최신 스마트폰을 포함한 그 어느 기기도 이것에 대한 방어책을 갖고 있지 않다”고 경고했다. 그는 “여기에다가 ‘가상화’를 통해 복잡성이 빠르게 가속화되고 있다”며 “2013년 현재 아직도 이메일이나 휴대폰, 웹 브라우징 중 안전한 것은 아무것도 없다”고 꼬집었다.
세션 이후 이어진 기자와의 인터뷰에서 모스는 현재 보안상황에 대해 부정적인 전망을 전했다. 그는 “사이버 보안상황은 좋았던 적도 없고, 전혀 나아지고 있지 않다”며 “새로운 기술을 이해하기 위해 시장에 대해 알아야 하고 혁신도 해야 한다. 우리는 뭔가를 처음 만들 때 보안을 고려하기 힘들다. 자동차나 우주선을 만들 때는 안전장치를 생각하지만 SW를 만들 때는 그걸 고려하지 못한다”고 우려했다.
그는 보안 문제를 해결하기 위해서는 민간단체 간의 협업이 가장 중요하다고 강조했다. 이어 모스는 “오늘날 일어나고 있는 상황을 보면 협업이 프라이빗 포스트 그룹(private post group)을 통해 이뤄진다. 서로 신뢰를 가진 사람들 간 협력을 하는데, 인터넷 교류를 서로 알고 있는 사람들끼리 진행한다. 그래서 어떤 공격이 일어나면 이런 트러스트 그룹이 빨리 대응한다”고 말했다.
각 국가 간, 기업 간 이해관계가 상충하기 때문에 서로 협력하는 것이 힘들지 않느냐는 지적에 대해 “협업이 눈에 안 보인다고 해서 없다고 생각하면 안 된다”고 강조했다. 그는 “협업이 은밀하게 일어나는 이유는, 범죄자들이 누가 협업하는지 알면 곧바로 개입을 할 수 있기 때문”이라며 “300기가바이트(GB)의 유럽 공격이 일어났을 당시에도 트러스트그룹이 라우트를 바꾸고 ISP랑 일해서 공격 예방을 신속히 단행했다”고 설명했다.
지난 10월 세계지식포럼에 참석한 제프모스 (맨 오른쪽)
모바일 보안문제 더 심각
그는 “정부의 개입보다는 트러스트 그룹 간 활동을 진행한다. 민간 기업들이 진행하고, 민간 계약을 통해 일어나고 정부의 개입은 최소화 된다”며 “이미 많은 툴을 갖고 있고 정부들도 협력이 있는데 잘 안 보인다”고 말했다. 모바일 기기의 보안성에 대해선 더 부정적인 입장을 밝혔다. 모바일 기기의 사용 증가로 인해 PC 뿐 아니라 모바일 보안성이 강조되고 있는데 대해 “모바일 보안은 거의 없는 수준이라고 봐야 한다. 사용자 입장에서 스마트폰에 최소한의 앱을 까는 것이 낫다”고 조언했다.
그 이유는 많은 제조사들은 소비자들의 정보를 보호해줄 인센티브가 별로 없기 때문이라고 했다. 그는 “안드로이드 앱이 내가 거짓말 할 수 있도록 해주면 얼마나 좋을까. GPS에 내가 정말 있는 곳을 거짓말하거나 내 주소록을 원할 때 가짜 주소록을 준다면 좋지 않을까”라며 “구글은 그걸 원하지 않는다. 보안 관련자들은 좋은 아이디어라고 생각하지만 기업에선 정보로 돈을 버는 입장”이라고 설명했다.
하지만 모스는 그렇다고 해서 보안과 관련된 논의를 멈춰져는 안 된다고 주장했다. 그는 “보안 이슈는 공공 헬스와 비슷한 이슈”라며 “사람들이 암에 대해 연구를 한다고 해서 완치할 수 있는 건 아니지만, 연구를 하면서 암과 몸에 대해 많은 걸 배운다. 그래서 난 항상 보안 관련업계에 들어오는 사람들에게 말한다. ‘세상의 보안 문제를 완전히 풀 것이라고 생각하지 말고, 공공 헬스 문제처럼 연구를 통해 무엇을 배울 수 있을지 생각하라’고. 그게 오히려 더 좋은 방법이다”라고 말했다.
모스는 ‘빅데이터, 상상 이상의 것’이라는 세계지식포럼 세션에 참가해선 빅데이터의 힘을 인정해야 한다고 역설하기도 했다.
“빅데이터는 우리가 생각하지 못한 아주 많은 소셜 임팩트가 있을 것”이라 강조한 그는 “미래에 누구에게 얼마나 자주 말하는지, 그리고 그것이 위치기반서비스와 결합된다면 강력한 데이터가 될 것”이라고 말했다.
그러면서 빅데이터로 인해 ‘데이터를 가진 자’와 ‘데이터를 가지지 못한 자’ 간 격차가 더욱 커질 것이라고 주장했다. 그는 미국을 예로 들며 “만약 내가 권력 있는 정치인의 자식들이 정치인이 되길 바란다면 데이터가 불리하게 적용되지 않도록 온갖 노력을 다할 것”이라며 “이런 의식이 없는 사람들은 이후에 데이터 공격에서 자유롭지 못할 것”이라고 지적했다.
아울러 “사생활 정보가 빅데이터 공간에 저장되었다면 데이터가 언제까지 유효한지 기간을 정하는 방안을 생각해볼 수 있다”며 “사람들의 알 권리와 특정 개인의 (잠재적) 사생활 침해 간에 균형을 잡을 수 있는 대안”이라고 말했다.
