Home > 전체기사 > 인터뷰
브루스 슈나이어, “보안의 눈, 사회 구석구석을 누벼라”
  |  입력 : 2020-03-02 13:26
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
취약점 찾아 해결하는 ‘시스템 강화 능력’ 갖춘 보안 전문가들...사회로 눈 돌려
사람의 선의를 전제로 한 사회 시스템, 현대 사회의 새로운 리스크 막을 수 없어


[보안뉴스 문가용 기자] 취약점을 찾고, 패치하고, 네트워크를 안전한 상태로 유지하는 것, 이는 모든 보안 전문가들의 오랜 싸움이다. 이런 접근법을 보다 넓게 적용할 수는 없을까? 지난 주 열린 RSA에서 유명 보안 전문가이자 하버드 케네디 스쿨의 강사인 브루스 슈나이어(Bruce Schneier)가 사이버 보안 전문가들 앞에서 던진 질문이다.

[이미지 = iclickart]


먼저 슈나이어는 “우리의 사회 시스템은 수백 년 전의 모습을 그대로 답습하고 있다”고 지적했다. 교육부터 선거까지 조금 발전되었다는 측면을 제외하고는 기본 구조가 굉장히 오래됐다는 것이다. “이 ‘오래됨’의 핵심은 무엇일까요? 바로 인간의 선의를 기본 전제에 깔고 있다는 겁니다. 하지만 이는 현대화 된 위협과 위험들에 대처할 수 없게 합니다. 선의를 기본 바탕으로 하고 있다는 건 앞으로 있을 급격한 변화에 대응할 수 없다는 뜻입니다.”

오래된 것은 사회 시스템만이 아니다. 다양한 소프트웨어와 디지털 자산들을 하루 종일 들여다보면서 위협이 될 만한 구석을 찾아 헤매는 보안 전문가들의 강화 방식도 그렇다. 슈나이어는 “좀 더 능동적으로 시스템을 바꿀 필요가 있다”며 “공격자의 입장에서, 공격자의 전략을 실제로 적용해 약점을 보강하는 전략이 필요하다”고 강조했다. 또한 공격자의 전략이 늘 변한다는 것까지도 감안해 보안 강화에 적용시켜야 한다고도 덧붙였다.

이어서 슈나이어는 청중들에게 질문을 던졌다. “우리가 가진 IT 보안 전문성으로, 세법, 선거 시스템, 시장 경제와 같은 좀 더 큰 사회 구조를 변화시킬 수 있을까요? 아니면 가치를 결정하는 우리의 사고방식까지도? 사회 전체를 해킹한다는 게 무슨 의미이며, 있을 수 있는 일일까요?” 다소 철학적일 수 있는 질문이다.

예를 들어 연방 세법은 족히 수천 페이지의 규칙들로 이뤄져 있다. “보안 전문가 혹은 해커의 마음으로 이 세법을 보면 어떨까요? 여러 질문을 할 수 있습니다. 누가 이 법문과 시행 상황을 감사하는가? 누가 세금을 내는가? 어떤 취약점이 법문 안에 존재하는가? 패치의 자격과 책임을 가진 자는 누구인가? 취약점이 패치될 때까지는 누가 보호해야 하는가? 즉 우리가 보안 업무를 수행하면서 묻는 물음들이 그대로 적용되어 더 강력한 세법을 만드는 데 일조할 수 있다는 겁니다.”

그러면서 슈나이어는 “우리가 가진 기술과 전문성은 인간이 만든 시스템을 보다 온전하고 입체적으로 이해할 수 있게 해주는 것”이라고 강조하며 “특히 우리를 괴롭히는 해커나 사이버 범죄자들의 사고방식으로 보면 강화해야 할 부분이 더 잘 보인다”고 짚었다. “해킹이란 건, 한 번 발명되고 나면 그 후로 노화일로를 달려가는 모든 사회 시스템을 모니터링 함으로써 새롭게 만들어주는 행위가 될 수 있습니다.”

국가들마다 존재하는 입법 과정도 대단히 복잡하다. 그럼에도 어디선가 구멍이 나고, 누군가는 그것을 악용한다. 고칠 여지가 있다는 것이다. 기존의 투자 시장은 어떤가? 경쟁하는 상품이나 서비스가 있고, 적당한 지식을 가진 소비자들이 구매를 결정한다. 하지만 벤처 투자가들은 이를 우회한다. 상품이나 서비스가 나오기도 전에 스타트업의 무언가를 보고 투자하고(미리 구매한다), 그에 대한 보상금을 나중에 챙겨가는 식이다. 즉 시장 경제의 기본적 흐름을 역행함으로써 해킹과 비슷한 행위를 합법적으로 하는 것이다.

“우리 모두 현존하는 사회 시스템이 불완전하다는 데에는 동의할 것입니다. 해결해야 할 문제가 산적해 있죠. 정책을 담당하는 사람들이라면, 우리 보안 전문가들이 현장에서 매일 같이 묻고 답하는 질문들을 스스로들에게 해야 합니다. 우리가 이런 저런 정책과 규정들로 보호하려는 것은 무엇인가? 위험 요소들에는 어떤 것이 있는가? 위험 요소들을 어떻게 평가해야 하는가? 우리가 아는 해결책의 부작용에는 무엇이 있는가? 보안 강화를 위해 희생시켜야 하는 것에는 무엇이 있는가? 이런 질문들이죠.”

슈나이어는 “역사적으로 군, 과학, 예술 등 여러 분야들이 차례대로 사회를 정립해왔다”며, “지금은 IT의 차례”라고 강조했다. “디지털 기술이 사회에 편입되는 걸 넘어, 이제 여러 변화와 현상들을 이끌어간다는 걸 잊지 말아야 합니다. 그런 의미에서 우리 보안 전문가들이 할 것은 사회 시스템을 해킹하는 겁니다. 즉, 취약점을 찾고 오래된 것들을 발견해 튼튼한 것과 새 것으로 갈아야 한다는 뜻입니다.”

3줄 요약
1. 보안 업계에서 영향력 있는 인물인 브루스 슈나이어, ‘사회 해킹’ 강조.
2. 현대의 사회 시스템, 보완되어야 할 부분이 가득하기 때문에 ‘해커의 눈’ 필요함.
3. IT가 사회를 만들어가는 때, 보안 전문가들은 여전히 취약점 찾아나서야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)