세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[기자수첩] 해외 보안 매체 볼 때 주의해야 할 용어들
  |  입력 : 2017-02-21 14:20
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
전문용어보다 더 어려울 수 있는 용어들...미묘한 개념 담고 있어
사이버 범죄와 사이버전의 차이점은? 위협과 공격과 첩보의 차이점은?


[보안뉴스 문가용 기자] 정보보안은 IT에서 파생된 분야다. 이 분야에서 활용되는 전문용어가 대부분 영어를 기본으로 한 외국어에서 나온다는 뜻이고, 양질의 정보가 아직은 해외에서 더 많이 나온다는 뜻이 된다. 그래서 굳이 영어를 줄줄 하는 사람이 아니더라도 전문용어들에 익숙한 전문가들은 해외 매체들을 자주 접해 한국에서 한 발 늦게 나오는 정보들을 미리 접한다.


그런데 문제는 BYOD나 machine learning 같은 것들이 아니다. XSS 취약점? 해싱? 알고리즘? 이런 것들도 아니다. 우리나라 시장에서는 사소하게 여겨지거나 아직 중요한 문제로 대두되지 않아 아직 분명하게 정립되지 않은 개념들이, 이미 해외 시장에서는 말싸움이든 어영부영이든 어쨌든 규정의 과정을 거쳐 일반명사화 되었을 때 우리나라 독자들은 그 미묘한 뉘앙스를 놓치게 된다. 그리고 한 문장에서 놓친 미묘한 뉘앙스는 그 기사 안에서 스노우볼처럼 굴러, 매체 이름과 영자 신문 읽었다는 혼자만의 뿌듯함 외에는 거대한 물음표만 남게 된다. 그래서 몇 가지 대표적인 것들을 정리해 보았다.

1. 일단 쉬운 것부터 – traditional/legacy network
traditional이나 legacy 모두 은근 자주 등장하는 단어다. 뒤에는 network가 올 수도 있으나 system, storage, device 등등 다양한 것들이 따라 붙을 수 있다. 물론 ‘전통적’이거나 ‘유산’으로 각각 풀이되는 traditional과 legacy의 사전적인 뜻을 잘 모르는 분들은 없을 것이다. 그런데 이게 정보보안의 맥락에서는 어색할 수 있다. 보통 보안 매체에서 이 두 단어를 썼을 땐 ‘구식’, ‘예전에 많이 사용되던’, ‘케케묵은’과 같은 뉘앙스를 갖는다.

예를 들어 network에 관한 기사에서 사용되는, traditional network란 요즘 한창 주가를 올리고 있는 클라우드나 소프트웨어 정의 네트워크(SDN), 하이브리드 네트워크와 같은 최신식과 상반된, 회사 공간에 서버실이 있고, 그 서버실을 통해 사무실 PC가 전부 연결되는 식의 네트워크 환경을 말한다. 즉 클라우드나 하이브리드 네트워크가 아니라는 걸 강조하기 위해 동원되는 표현이 traditional과 legacy라는 것이다.

traditional network가 언급될 때 잘 보면 외곽이라는 뜻의 perimeter라는 단어도 곧잘 등장한다. 학교 전산실 같은 네트워크는 ‘경계’가 분명해서, 그곳만 지키면 보안이 해결되었는데 클라우드나 SDN 환경에서는 사실상 ‘외곽’이라고 할 만한 개념이 없어서 보안이 어렵다는 말을 할 때 주로 사용된다. 이 때는 사무실의 물리적인 공간 자체가 곧 네트워크의 perimeter이기도 했다.

2. 어쩌면 그들만의 구분 – cyber crime vs. state-sponsored hack
보안뉴스 국제부에 들어온 신입 기자들이 가장 헷갈려 하는 부분 중 하나가 바로 사이버 범죄와 국가가 후원하는 해킹을 구분하는 것이다. 결론부터 말하면 cyber crime은 다크웹의 암시장에서 주로 활동하는 범죄자들의 나쁜 짓으로 돈이나 개인적인 복수 등을 목적으로 하는 것만을 지칭한다. state-sponsored hack은 국가가 적국을 겨냥해 뒤에서 몰래 하는 해킹 행위로 정치적인 목적을 가지고 있다.

해외 매체들의 관점에서 둘의 일반적인 차이점은 다음과 같다.
a) cyber crime은 돈이 목적, state-sponsored hack은 정치적 목적
b) cyber crime은 민간인들, state-sponsored hack은 정부기관
c) cyber crime은 다크웹과 관련되고 state-sponsored hack은 다크웹과 관계 없음
d) cyber crime은 수사기관 및 사법기관의 영역, state-sponsored hack은 국제관계 및 외교 문제의 영역

그래서 해외 전문가 인터뷰에는 ‘돈이 목적인 듯 하다’, ‘금전적인 이득이 동기’라는 말이 곧잘 등장하는데, 이건 ‘사이버전과는 관련이 없다’, ‘정부는 연관되어 있지 않다’는 뜻이 된다. 또, 사이버전과 사이버 범죄의 구분이 사라지고 있다는 표현도 작년 말부터 굉장히 많이 나오는데 이는 정부들이 다크웹과 같은 곳에서 일종의 ‘용병계약’을 맺고 사이버전을 수행하기 시작했다는 말이다. 사이버 범죄를 수사하다가 갑자기 체포된 카스퍼스키의 연구원이 이런 현상의 최대 피해자라고도 볼 수 있다.

3. 분명한 듯 애매한 듯 – threats vs. attacks vs. intelligence
이 세 단어들은 사실 그리 구분이 어렵지는 않다. 우리나라 말로도 threat는 위협, attack은 공격, intelligence는 첩보로 분명히 다르다. 이 세 단어가 혹시 헷갈렸다면 아마 셋 다 ‘위험하다’는 의미를 내포하고 있기 때문인 것으로 보인다. 위협도 위험하고 공격도 위험하며, 첩보도 그 위험에 관한 소식이니 말이다. 하지만 해외 매체 기준, 위험의 시점이라는 측면에서 이 셋은 분명히 구분된다.

a) 보통 해외 보안 매체에서 threat를 사용할 땐, 실제 공격이 발생하지는 않았는데, 그럴 여지가 충분하다는 뉘앙스다. ‘위험할 수 있는’ 요소를 가리킨다.
b) 하지만 attack이 사용되었다면 공격이 일어났다는 표현이 된다. threat에 뭔가 ‘잠재적인 위험’이라는 뉘앙스가 있다면, attack은 ‘실재하는 위험’이 된다.
c) intelligence는 이 두 가지를 모두 아우른다. 어디선가 공격이 진짜로 일어났으니 너도 조심해, 라는 뜻도 되고, 어디선가 심각한 위협이 발견되었으니 너도 한 번 잘 알아봐, 라는 뜻도 된다.

4. 만능이라 매력 없어 – system, infrastructure
정말 오만가지 상황에 삽입이 가능한 만능 명사들이다. 내 손안의 작은 동글부터, 회사 책상 위에 있는 PC 한 대는 물론 사내 전체 네트워크와 심지어 공공 인터넷 공간까지 아우른다. 전적으로 해당 기사를 쓰는 사람의 언어 습관에 따라 ‘엿 장수 마음대로’ 사용된다. 요즘 떠오르는 자매품으로는 ecosystem과 environment가 있다.

이건 상황마다 너무 달라서 팁이랄 게 없다. 스스로 이 단어들의 모든 개념을 엄격히 정리해서 숙지한다고 해도 실용적인 도움이 되지 않는다. 그저 보안 매체에서 system이라고 한다면 맥락에 따라 a) 엔드포인트 기기, b) PC 한 대, c) 사내 네트워크, d) 보안 정책(오타 아님!), e) 보안 시장의 작용 원리(역시 오타 아님) 중 하나라고 퉁치는 게 최고다. infrastructure 역시 a) 공장, 교통 체제 등 사회 기반 시설, b) 네크워크 환경, c) 보안 전체 시장 환경 중 하나다.

다행스럽게도 보통 ‘퉁쳐도’ 되는 경우가 많다. 문맥을 이해하는 데에 있어 치명적인 역할을 하는 경우는 거의 없다. 있다면, 어떤 사건 사고에서 공격을 당한 PC나 기기 한 대를 말할 때, 공장이나 산업 시설을 infrastructure로 분명하게 지칭할 때 뿐이다. 그런 경우 아예 제목이나 첫 문단에서부터 사건에 대한 암시가 풍부히 되어 있을 테니 감안하고 읽어가도록 하자. 참, infrastructure의 경우, 최근 사물인터넷 기기들이 산업 기반 시설이나 사회 인프라에 다수 투입되기 시작하면서 점점 더 많이 언급되고 있다.

5. 끝내기 아쉬워서 – rogue와 context
노파심에서 딱 두 단어만 더 짚어본다. rogue와 context다. 요즘 아이덴티티 도난으로부터 파생되는 보안 사고들이 많은데, 정식 ID를 훔쳐 그 사람인 것처럼 로그인을 하고 문서를 빼내거나 삭제하는 등의 악성 행위자들을 가리키는 표현 중 점점 많이 나오는 것이 rogue다. 가짜 사용자라고 해서 fake user라고 할 거 같지만, 솔직히 fake user라는 말은 악성 아이덴티티 도둑들을 가리키는 상황에서는 단 한 번도 본 적이 없다.

rogue user 혹은 malicious user가 헷갈릴 수 있는데, malicious user는 실제 합법적인 아이덴티티를 스스로 보유하고 있는 사람도 포함된다. 즉 훔치는 행위 없이 자기 본래 아이덴티티를 가지고 갑자기 변심 등을 계기로 나쁜 짓을 하는 사람은 malicious user라는 것이다. rogue user라고 하면 남의 정상 아이덴티티를 훔쳐서 그 사람인척 시늉하는 사람들을 말한다.

그런데 이 둘을 그냥 혼용하는 것이 최근 분위기다. 지금은 rogue user = malicious user라고 봐도 무방하다. 두 개념이 합쳐진다는 건, 아이덴티티로 인한 악성 행위가 발생했을 때 누군가 ID를 훔쳤다 아니다가 더 이상 중요한 논쟁거리가 아니라는 것이다. 정상 ID로 악성 행위가 벌어지고 있다는 것 자체가 더 중요한 것이고, 그러므로 도난으로부터 시작했는지 아닌지는 부차적인 문제가 된다. 다시 말해 훔친 놈이나 변심한 놈이나 구분하는 게 무의미하다는 것.

context는 문맥, 맥락, 상황이라는 뜻으로 문학 수업에서나 볼 법한 단어라, 정보보안 이야기 중에 context가 나오면 아직도 좀 낯선 감이 있다. 우리 업계 매체들에선 보통 context information이라고 표현되는데, ‘맥락적 정보’ 혹은 ‘상황 정보’ 등의 뜻으로 풀이하면 된다. 한 사용자가 로그인을 했을 때, 로그인한 시각, 장소(위치정보), 접속 지속 시간, 실제 사용한 데이터나 접속 시도한 네트워크 영역 등의 정보를 말한다. 요즘 뜨거운 이야깃거리인 이중인증, 다중인증을 주제로 한 기사나 칼럼에서나, 사용자 행동 분석이 언급될 때 주로 등장한다. metadata와 비슷한 면이 있지만 context information은 아직까지 사람의 접속 과정에서 생성되는 정보들을 말할 때 주로 나타난다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)