Home > 전체기사

[블랙햇 2022] 전 CISA 국장, “보안 인력이라면 대만을 지켜보라”

  |  입력 : 2022-08-12 22:44
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
트럼프 전 대통령이 원하는 말을 해 주지 않아 해고된 전 CISA 국장이 블랙햇 기조 연설자로 나섰다. 그는 보안 전문가들의 이목이 집중된 자리에서 대만을 가리켰다. 바로 거기에서부터 앞으로 사이버 공간에서 벌어질 일들이 시작될 것이라는 게 그의 주장이다. 그리고 클라우드에 대하여서도 비판을 아끼지 않았다.

[보안뉴스 문가용 기자] IT와 보안 업계는 지금 중국과 대만 문제에 바짝 귀를 기울여야 할 것이다. 왜냐하면 이런 지정학적 문제들이 IT 전반의 리스크와 사이버 보안에 직접적이고 간접적인 영향들을 계속해서 미치기 때문이다. 이는 미국 사이버 보안 전담 기관인 CISA의 전 국장이자 현 보안 컨설턴시 대표인 크리스 크렙스(Chris Krebs)의 주장이다. 미국에서 열리고 있는 블랙햇 2022(Black Hat USA 2022)의 기조 연설자로 나와서 발표한 내용이기도 하다.

[이미지 = utoimage]


크렙스는 CISA에서 명예롭게 퇴직하지 못했다. 2020년 선거가 안전하고 오류 없이 치뤄졌다는 입장을 고수한 덕분에 당시 트럼프 대통령(2020년 재선에 실패했었고, 이 때문에 선거 시스템에 문제가 있었다는 의견이 필요했다)에 의해 해고됐기 때문이다. 물론 그 후 현재까지 여러 나라와 각계 각층의 보안 담당자들과 결정권자들을 만나 계속해서 자기의 길을 행복하게 가고 있다. “그러면서 전 계속해서 기술, 정부, 공격자, 일반 사용자들에 영향을 주는 시장 안팎의 트렌드와 요소들이 무엇인가 찾아 헤맸습니다.”

그러면서 크렙스는 적어도 공공 기관과 민간 기업들 모두가 반드시 염두에 두고 있어야 하는 세 가지를 파악할 수 있었다고 발표했다. 
1) 세계적으로 일어나는 주요 지정학적 사건들
2) 디지털 전환의 물결
3) 적대적 세력들의 발전하는 사이버 공격 능력
이 세 가지를 눈여겨보고 그 때 그 때 전략을 수정하지 않는다면 리스크가 기하급수적으로 늘어난다는 것이 그의 설명이다.

현 시점의 지정학적 포컬포인트, 대만
크렙스는 “지난 6개월 동안만 하더라도 이전에 보기 힘든 지정학적 충돌들이 있었고, 그로 인한 기술적 리스크들이 상승했다”고 말한다. 당연하지만 러시아의 우크라이나 침공을 말하는 것이다. 하지만 그 무대가 지금은 대만으로 옮겨가는 중이라고 그는 강조했다. “러시아의 우크라이나 침공 때문에 사이버 보안 위협이 새로워지기도 하고, 크게 늘어나기도 했습니다. 이제 각 조직의 경영진과 지도자들은 대만과 관련된 위협들을 대비해야 합니다. 앞으로 한 3~4년은 대만과 관련된 지정학적 충돌이 여파를 미칠 것이고, 기업들은 여러 가지 시나리오를 마련하고, 각 시나리오별 영향과 충격을 평가해야 할 것입니다.”

중국이 대만을 실제로 침공한다고 했을 때, IT 업계는 즉각적인 공급망 관련 문제를 겪을 것이라고 그는 설명을 이어갔다. 필요한 부품을 공급받는 것도 힘들어질 것이고, 시장 경쟁 구도가 완전히 뒤바뀔 것이라고도 그는 짚었다. “정치와 외교 계통에서 일어나는 일들은 중대한 영향을 직간접적으로 미칩니다. 물론 그것이 당장 내일이 될지 내년이 될지는 정확히 예언할 수 없습니다. 하지만 주요 정부 기관의 보안 관련 요원들은 중국과 대만 사이에 뭔가 일이 벌어질 것이며, 그 때문에 IT 업계에 커다란 폭풍이 있을 것이라는 데에 대부분 동의하고 있습니다.”

현재까지의 국가 지원 해킹 집단(APT들)이나 사이버전 관련 내러티브에서 ‘나쁜 놈들’은 항상 정해져 있었다. 중국, 러시아, 이란, 북한이 바로 ‘빅4’다. 하지만 앞으로 이쪽 편에 속하게 될 국가들이나 세력들은 훨씬 많아질 것이라고 크렙스는 강조한다. “글자 그대로 지구상에 있는 모든 국가들이 지금 사이버 공격 능력을 열심히 개발 중에 있습니다. 사이버 공격이 이전처럼 ‘정찰’이나 ‘정보 수집’에서 그칠까요? 아닙니다. 파괴와 마비, 방해와 관련된 기능들도 다분이 존재합니다. 조만간 사이버전의 개념이 이런 방향으로 확장될 것입니다. 민간 기업들이 휘말려들 것이고요.”

그렇기 때문에 기업들은 전 세계적으로 발생하는 충돌과 대치 관련 소식들에 민감하게 귀를 기울여야 한다고 그는 촉구했다. 이 때 윤리관을 가지고 사안들을 바라보는 것이 중요하다고 그는 귀띔했다. “그냥 이런 저런 사건이 벌어졌다고만 파악해서는 안 됩니다. 커다란 원칙을 가지고 있고, 그것을 기준으로 사건을 이해해야 합니다. 당신들의 기업이 어떤 가치를 추구하고 있으며, 어떤 정체성을 유지하며, 또 어떤 선을 절대로 넘지 않는지 확고히 정하고 다져야 해요. 러시아가 우크라이나를 침략했을 때 제가 알고 있던 사장님들 중 일부는 ‘우리 회사는 제재와 관련이 없으니 다행이네’라고 그 사건을 웃어 넘겼습니다. 하지만 각종 러시아의 전쟁 범죄 증거들이 TV에 나오기 시작하고 소비자들이 러시아에 대해 알게 되면 어떨까요? 제재 대상이 아니니 계속해서 러시아와 사업을 한다면 소비자들이 어떻게 반응할까요? 대만과 관련된 일들을 바라보며 내가 서 있어야 할 곳을 정하는 게 중요합니다.”

클라우드의 불완전함, 태생적인 요소
또 크렙스는 최근 2~3년 동안 인류를 괴롭힌 코로나에 대해서도 이야기 했다. 이러한 사회적 사건 때문에 클라우드와 디지털 변이가 상상 이상으로 가속됐다는 것이다. “그러한 흐름 속에서 보안은 간단히 간과됐습니다. 일단 수요가 높을  때 얼른 공급해주는 게 우선이니까요. 보안을 신경 쓰느라 공급의 기회를 놓쳤다? 보안 사고가 터져서 후속 조치를 하는 것보다 훨씬 큰 손실을 받게 됩니다. 그러니 기업들이 ‘차라리 보안 피해를 감수한다’는 입장을 유지하는 겁니다.”

이는 이전부터 있어 왔던 ‘보안은 속도를 늦추는 요소’라는 신입견의 또 다른 발현이라고도 볼 수 있다. 속도라는 것의 가치는 늘 인간 사회에서 가장 중요한 것들 중 하나로 꼽히던 것이었는데, 보안이 그걸 거스르는 것처럼 느껴지니 본능적으로 보안을 무시하게 되고, “그래서 기업들은 설계 때부터 안전하지 않은 제품과 서비스를 별 다른 죄책감 없이 사용자들에게 제공하고 있는 것”이라는 게 크렙스의 설명이다. 그리고 그렇게 태생적으로 위험한 서비스 중 하나가 클라우드라고 그는 지적한다.

“클라우드도 갑자기 수요가 늘어난 IT 서비스입니다. 그 수요에 맞추기 위해 용량이나 기능적 측면의 성장이 급격히 이뤄졌죠. 클라우드를 기반으로 한 각종 신기술들이 발명됐고, 서비스되기 시작했습니다. ‘서비스형 소프트웨어(SaaS)’는 가히 폭발적으로 늘어났고, 서비스형 인프라(IaaS), 서비스형 플랫폼(PaaS)까지 비슷한 길을 걷고 있습니다. 그런데 그 어떤 것도 처음부터 보안이 고려됐다고 보기 힘듭니다. 전부 사용자 하나라도 더 유치하고자 하는 다급한 마음에서 출발한 것들이죠. 그러니 공격자들이 쉽게 기회를 포착하고, 이미 클라우드를 각종 공격 전략에 활용하는 겁니다. 클라우드 업체들은 여기에 반발할 지 모르는데요, 딱 하나만 봐도 클라우드가 태생적으로 보안을 크게 염두에 두지 않았다는 걸 알 수 있습니다. 바로 가시성이죠. 수년 전부터 클라우드 보안을 이야기할 때 가시성이 가장 큰 문제로 지적됐는데, 이걸 해결한 클라우드 서비스가 있나요? 그럼에도 클라우드는 계속해서 확대되고 있죠.”

크렙스는 앞으로 클라우드의 ‘설계 때부터의 불안함’ 때문에 많인 기업들이 이전보다 더 극심한 위협에 시달릴 것으로 예상하고 있다. “클라우드 업체나 사용자나, 아무도 클라우드라는 인프라가 보안을 태생적으로 염두에 두고 있지 않다는 걸 말하지 않았습니다. 오로지 클라우드로의 이전만을 강조해 왔죠. 거기다가 코로나가 덮쳤어요. 이제 우리는 우리도 모르게 태생부터 위험한 장소에 기반을 두게 되었습니다. 공격자들이 이걸 모르지 않습니다. 게다가 사물인터넷이라는 시한폭탄 같은 장비들이 생태계로 편입되면서 문제는 더 복잡해졌습니다.”

보안이 적극 협조해야 할 공공 분야
그 다음 크렙스는 미국 정부가 ‘정부의 시장 개입’이나 ‘규제’가 혁신에 대한 민간 부문의 열망과 균형을 잡지 못하고 있다는 것을 지적했다. “정부가 보안을 엄청나게 강조하고 있죠. 그러면서 시장이 경직됐어요. 다들 혁신을 할 수 없는 환경이 되어간다고 불만을 토로합니다. 미국 정부도 이게 고민이고요. 그런데 과연 보안 때문에 이런 일이 벌어지는 걸까요? 문제는 보안 그 자체가 아니라 보안을 강조하거나 규제화 하는 방법에 있습니다. 아직도 정부의 보안 관련 규제는 ‘체크리스트’ 형태를 벗어나지 못하고 있습니다. 성능과 기능성 기반의 결과가 아니라 yes/no 질문으로 평가해 결과를 내는 것이죠. 정부가 아무리 보안을 강조해도 결과가 신통치 않은 것은 이 때문입니다.”

사법기관들의 경우 사법부와 FBI가 수년 동안 꾸준히 랜섬웨어 문제를 심도 깊게 다루고 있는데, 이것 자체는 올바른 방향이라로 크렙스는 말한다. “경찰, 사법부, 정보 기관들의 움직임은 이전보다 훨씬 공격적으로 변했습니다. 자신감도 붙은 것 같고, 국제 공조도 이전과 비교가 안 될 정도로 부드럽게 이뤄지죠. 하지만 수사와 체포, 재판 등 실질적인 결과를 내는 데 걸리는 기간이 지나치게 깁니다. 이를 줄일 방안을 모색해야 할 것입니다. 당연히 기관들만으로는 힘들 것이고 민관의 협조가 있어야겠죠. 지금의 방법론을 좀 더 발전시켜, ‘미국 땅 안에서 랜섬웨어를 운영한다는 것은 매우 리스크가 높은 일’이라는 관념이 공격자들 사이에 퍼지게 하는 것이 중요합니다.”

랜섬웨어 공격자들은 점점 전문가들이 되어가고 있다고 그는 짚었다. “공격자들의 향상 속도는 상상을 초월합니다. 지금 다크웹에 들어가 사이버 범죄자 활동을 시작한다고 했을 때, 진입 장벽이 이전보다 훨씬 낮아지기도 했습니다. 비용이 들지도 않고 체포의 위험도 없습니다. 심지어 배울 만한 선배들도 가득하고 각종 비공식 교재들도 수두룩합니다. 비용과 위험 부담을 증가시키는 게 큰 틀에서 사이버 보안의 목표가 되어야 하고, 그것을 위해서 민과 관이 협조할 수밖에 없습니다. 보안 업계가 공공 분야에 보다 더 관심을 가져야 하는 이유입니다.”

인력 부족, 당분간 해결되지 않을 것
사이버 보안 인력이 부족한 건 이제 누구도 부인할 수 없는 사실이다. 현재까지 집계된 바 사이버 보안 전문 인력이 필요하지만 채워지지 않는 자리가 전 세계에 300만이 넘는다고 한다. 크렙스 역시 기조 연설 자리에서 이를 언급했다. “IT 인력과 보안 전문가가 아닌 사람들도 이 자리에 꽤 많은 것으로 알고 있는데, 그런 김에 보안이라는 일자리에 대해 홍보하고자 합니다. 보안은 일단 무척 재미있습니다. 그리고 급여가 넉넉한 편입니다. 그리고 무엇보다 절대로 없어지지 않을 일자리입니다. 보안 위협은 영원히 있을 것이기 때문입니다. 또한 국가의 운명을 좌지우지 할 수도 있을 만큼 중요한 일이기도 합니다.”

크렙스는 현재의 보안 인력 부족 현상이 영원할 거라고 보지는 않는다고 한다. “인력들은 점점 더 기술에 능숙해지고 있습니다. 젊은 세대일수록 더 그렇죠. 그렇기 때문에 보안 인력으로 전환되기에 더 손쉬울 것이고, 그래서 제가 말한 것처럼 보안이라는 직무가 가지고 있는 장점을 적극적으로 홍보할 필요가 있습니다. 실제 보안에 큰 관심이 없이 자란 사람이지만, 각종 IT 기술 속에서 자랐기 때문에 큰 어려움 없이 보안으로 전환하는 사람들이 늘어나고 있기도 하죠. 미래에는 IT 기술보다 문제 해결 능력이나 소통 능력, 비판적 사고 능력이 더 중시될 수도 있습니다.”

3줄 요약
1. 지정학적 현안들이 IT와 보안에 미치는 영향력은 지대함.
2. 클라우드는 태생부터 보안을 염두에 두지 않은 IT 서비스.
3. 공공 분야는 앞으로 보안 인력들의 더 많은 관심을 필요로 할 것.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)