세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
세계 경제 포럼에서 사이버 보안 강화 위한 책자 만들었다
  |  입력 : 2018-01-16 14:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
갈수록 복잡해지는 보안 체제...민관의 협조만이 성공의 길
하나의 규범을 정하려는 노력 아냐...커다른 프레임워크 제시할 뿐


[보안뉴스 문가용 기자] 다보스 포럼이라고도 불리는 세계 경제 포럼(WEF)에서 정보보안에 관한 책자를 발간해 배포하고 있다는 소식이다. 이는 연중 건립할 계획인 글로벌사이버보안센터(Global Centre for Cybersecurity)를 위한 초석으로 분석된다.

[이미지 = iclickart]


세계 경제 포럼이 보안을 강조하면서 발간한 이 책자의 골자는 “국민들의 안전을 꾀해야 하는 정부의 입장과 프라이버시를 침해당하지 않을 권리가 있는 개인의 입장이 충돌한다는 것이 사이버 보안을 복잡하고 어렵게 만드는 것이므로 민과 관의 협조만이 보안을 성공적으로 이끌 수 있다”는 것이다.

책은 크게 두 가지 부분으로 나눠져 있다. 1) 민관의 협업을 위한 참조 아키텍처(reference architecture)와 2) 사이버 정책 모델이 바로 그것이다. 즉 하나의 규정을 결정해주는 것이 이 책의 목적은 아니다. 또한 기본 골자만을 제시하고 있어, 나라별로 판이한 상황에서 독자적인 응용 방법을 기획해갈 수도 있게 해놨다.

정책과 관련해서는 14가지 주제들이 등장한다. ‘연구’, ‘데이터 공유’, ‘범인 귀속’, ‘암호화’, ‘능동적 방어’, ‘사이버 보험’ 등 범위도 넓다. 그러면서 또한 1) 데이터 공유를 위한 안전한 장소(safe harbor) 마련 문제, 2) 화이트 햇 연구 행위의 법적 허용 범위, 3) 대칭적인 국제 정책 반응의 영향, 4) 컴플라이언스에 드는 비용과 효율, 5) 소프트웨어 코딩의 질적 표준 문제까지도 다루고 있다.

정책이라는 분야 내에서 다뤄진 주제들은 각각 다섯 개 영역 내에서 분석된다. 1) 보안, 2) 프라이버시, 3) 경제적 가치, 4) 책무성, 5) 공정성이 바로 그것이다. 이렇게 큼직큼직한 키워드를 가져가는 건 이 책을 참고하여 각 정부가 상황에 맞게 민관 협조 체계를 마련할 수 있도록 하기 위함이라고 전문가들은 말한다.

예를 들면 첫 번째 정책 모델에서는 제로데이 취약점 문제에 정부가 어떤 식으로 접근할 것인가에 대한 얘기가 나온다. 이 책에서 제시하는 제로데이 공격의 생애주기는 1) 코드 내 알려지지 않은 약점 존재, 2) 발견, 3) 익스플로잇 및 대처다. 코드의 질적 표준을 상승시키면 1)번부터 해결이 될 가능성이 높다. 하지만 오류가 하나도 없는 코드가 꾸준히 지속적으로 생산될 거라고 기대할 수는 없다고 책은 적시한다.

그러므로 정부가 가진 선택지는 두 가지다. 1) 제로데이 시장에서 완전히 발을 빼고 소프트웨어 취약점을 발견케 하는 연구 행위를 일절 금지시키는 것과 2) 정부가 독자적으로 제로데이 취약점 정보를 취득하고 민간에 배포하거나 기밀로 두는 것이다. 그런 후 두 번째 옵션에 관한 이야기가 책에 더 나온다. “제로데이를 쌓아두고 공개하지 않는다는 건 반대로 악성 행위자들 역시 비슷한 연구 결과를 저장하고 있다는 뜻이 될 수 있다. 또한 정부가 몰래 제로데이를 구매하는 것 역시 민간 부문의 버그바운티를 약화시키는 결과를 낳는다.”

이로 인한 결과는 1) 제로데이 익스플로잇이 늘어나 상업 부문에 피해가 커지고 2) 프라이버시 침해가 더 빈번하게 일어난다는 것이다. 반면 정부가 활발한 연구와 공유를 선택했을 때는 1) 보안이 전체적으로 강화되며, 2) 민간 기업들의 경각심을 키워줄 수 있다고 책은 서술하고 있다. 보안 전문가들에게는 다소 기초적일 수 있지만, 이런 점들이 ‘경제 포럼’에서 다뤄졌다는 걸 감안하면 고무적인 일이다.

또 다른 예로는 ‘능동적인 방어’가 있다. 책은 ‘능동적인 방어’를 “방어자와 공격자 간의 기술적인 상호작용에서부터 공격자라고 생각되는 자들에게 상호간에 피해를 입히는 행위까지”라고 정의하고 있다. 물론 정의의 후반부에 있는 걸 그대로 받아들인다면 보복 행위가 크게 늘어날 수 있다. 책 역시 이 점을 경고한다. “국가의 후원을 받고 있는 적 세력에게 대응하면 중차대한 부주적 주의의무가 발동될 수 있다. 또한 뛰어난 기술력을 바탕으로 자신들의 정체를 감춤으로써 일부러 보복 행위를 유발하고 외교 마찰을 일으키는 상황이 벌어질 수도 있다.”

또한 능동적인 방어를 국가가 허용했을 때 치러야할 대가가 있다고도 명시하고 있다.
1) 능동적인 방어에 드는 비용은 경제적인 효과나 이득을 창출하지 못할 수 있다.
2) 공격자라고 의심받는 자(단체)와 공격에 연루된 제3자의 프라이버시가 침해될 수 있다.
3) 능동적인 방어 행위를 한다고 해서 방어력이 올라가는 건 아니다.
4) 능동적인 방어 행위를 할 수 있는 건 사실상 대기업이나 국가 후원을 받는 단체뿐이다.
5) 범인을 정확히 지목할 수 있는 기술이 없다면, 성공 확률이 줄어든다.

세계 경제 포럼 측은 보안 강화를 위한 플레이북을 편찬한 목적을 계속해서 강조한다. 그건 “민관 협조 체계가 구성될 수 있도록 프레임워크의 기반을 다지는 것”이다. “사이버 보안은 이제 공익의 차원에서 논해야 할 분야이며, 갈수록 공격과 피해의 양상이 복잡해지고 있어 공공 부문과 민간 부문의 유기적인 협조만이 보안의 기틀을 성공적으로 마련할 수 있다.”

해당 책자는 여기(http://www3.weforum.org/docs/WEF_Cyber_Resilience_Playbook.pdf)다운로드가 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
내년 초 5G 상용화를 앞두고 통신사들의 경쟁이 더욱 치열해지고 있습니다. 다가오는 5G 시대, 무엇보다 보안성이 중요한데요. 5G 보안 강화를 위해 가장 잘 준비하고 있는 통신사는 어디라고 보시는지요?
SK텔레콤
KT
LG유플러스
잘 모르겠다
기타(댓글로)