바로가기 메뉴
본문 바로가기
대메뉴 바로가기

TECH M

[MIT리뷰] ②왜 우리는 이렇게 해킹에 취약한가

2016-03-24MIT테크놀로지리뷰
그레그 섀넌
(그레그 섀넌)
정보 침해가 되풀이되고 사이버 스파이로 인한 지정학적 긴장이 고조되는 가운데 미국 정부는 2016년 도입을 목표로 국가 사이버 보안 전략을 짜고 있다. 이 과정에 도움을 주는 사람 중 한 명이 바로 그레그 섀넌이다. 그는 최근까지 카네기멜론대 소프트웨어공학연구소의 수석과학자로 근무하다 백악관 과학기술국에서 사이버 보안 전략 부디렉터를 맡기 위해 휴직했다. 데이빗 탤봇 MIT테크놀로지리뷰 선임기자와의 인터뷰에서 섀넌은 기업과 개인은 물론 연방기관에까지 이뤄지는 빈번한 정보 침해와 스파이의 위협을 해결하려면 근본적으로 새로운 방식으로 소프트웨어를 개발해야 한다고 설명했다. 인프라를 완전히 고치는 데는 20년이 걸릴 수도 있다. Q. 사이버 보안은 오랫동안 많은 걱정을 안겨줬다. 최근 일련의 사건으로 상황이 역전됐나? A. 소니 해킹이 분수령이 됐다. 이 사건의 규모와 범위, 손해는 어마어마하다. 사이버 보안이 우리 경제와 얼마나 밀접한 연관이 있는지 밝혀졌다. 경제가 위험에 노출됐다는 뜻이기도 하다. Q. 왜 이런 대형 정보 침해가 일어나나? 수십 억 달러를 들인 보안 신기술은 효과가 없는 것인가? A. 그보다는 사이버 범죄에 따른 이익이 크게 늘었기 때문이다. 인터넷 초창기 IT 인프라가 연결되면서 효율성이 높아졌고 보안 문제는 비교적 대수롭게 여기지 않았다. 물론 위협은 언제나 존재했지만, 그때마다 군데군데 손을 보면 괜찮았다. 지금은 인터넷이 제공하는 범위와 그 가치가 폭증, 시스템을 악용하고 데이터를 훔치는 데 따르는 보상도 그만큼 늘었다. 그리고 그 결과가 우리 눈 앞에 나타나고 있다. 위협과 공격은 그 어느 때보다 절대적이다. 그러나 소프트웨어 인프라나 인터넷 서비스를 생산하는 기업들은 대부분 이 같은 사실을 등한시하고 있다. Q. 가장 큰 기술적 문제는 뭔가? A. 추상적이고 무미건조하게 들릴 수도 있지만 효능과 효율의 문제다. 새 보안기술을 설치하는 게 아무 조치를 하지 않는 것보다 더 나을지 알아낼 방법이 있나? 대부분 알 수 없다. 또 새로운 문제를 발견하면 대부분 그것만 고쳐 공격자가 그 방식을 더 이상 사용하지 못하게 한다. 그러나 이것도 그다지 유효한 접근법이 아니다. 일반적이고 체계적인 해결책을 제시해주지 못하기 때문이다. 한 마디로 비효율적이다. 따라서 소프트웨어 설계 방식을 재구상하고, 실제로 부가가치가 입증된 보안시스템을 개발해야 한다. 네트워크 인프라 운영에 필요한 수십 억 줄의 코드를 쓰고 업데이트하는 데 보다 엄격한 기준을 적용해야 한다. NASA(미국항공우주국) 같은 데야 말로 소프트웨어를 정말 철저하게 개발하는 곳이다. 여기서는 수백만 마일 떨어진 곳에서 수 년간 작동해야 하는 코드를 개발한다. 그들은 진짜 안전하고 버그가 없는 소프트웨어를 만들기 위해 고도로 엄격한 방식과 검증된 도구를 사용한다. Q. 화성 탐사용 코드만큼 훌륭한 IT인프라는 어떻게 만들 수 있나? A. 나를 비롯한 사람들이 해답을 찾고 있다. 우선 일반 소프트웨어가 그 정도로 훌륭하지 못한 이유 뒤에는 여러가지 비기술적인 문제가 있다는 점을 이해해야 한다. 원자력발전소나 항공교통관제 등 중요도가 높은 분야를 제외하면, 아직 발생하지 않은 문제에 대해서는 소프트웨어 업체에 적용하는 규제나 불이익이 없다. 따라서 정책적으로 코딩을 더 잘 할 때 인센티브를 제공하는 방안을 고려할 필요가 있다. 의무사항, 규정, 시장 매커니즘을 동원하는 것이다. NASA가 사용한 것 같이 엄격한 소프트웨어 개발 기법이 더 효율적이고 사용하기도 쉽도록 시장 유인을 만들어야 한다. 미 의회는 2014년 사이버보안향상법을 통해 연방 차원의 사이버보안 연구개발 전략 계획을 수립하도록 요청했고, 2016년 도입을 목표로 준비 중이다. 물론 문제라는 게 악의적 내부자나 인간적 실수로 인해 언제든 발생할 수 있다. 하지만 훌륭한 소프트웨어는 그런 문제까지도 해결할 수 있다. 접근에 대한 명확한 규칙을 만들고 비정상적인 활동이 발생할 경우 경고를 보내면 된다. Q. 기업들은 어떻게 자신을 보호할 수 있나? A. 크건 작건 모든 기업은 각자 특정 자산, 위협, 사이버 보안 역량을 고려해 최선을 다해야 한다. 솔직히 본질적으로 취약한 시스템이 대부분이다. 보통 시스템은 수백만 줄에 달하는 코드로 이루어져 있다. 소프트웨어 버그는 평균 코드 1000줄 당 하나 꼴로 발생한다. 이런 버그 수백 개 중 하나만이라도 보안 취약성의 요인이 되면 해결이 불가능하다. 그러나 기업들이 최선을 다하면 자신을 더 잘 보호하고 소니 해킹 같은 상황을 피할 수 있다. Q. NASA 수준까지는 아니더라도 제대로 된 소프트웨어를 개발하는 경우가 있나? A. 매우 중요하고 필수적이며 간단한 조치가 있는데, 바로 소프트웨어를 정기적이고 안전하게 업데이트하는 것이다. 테슬라, 구글, 애플, 특히 마이크로소프트가 그렇게 하고 있다. 구글의 크롬은 백그라운드에서 업데이트를 실행한다. 요즘은 사용자의 허락을 구하지도 않는다. 애플 iOS의 구조를 살펴보면, 일반적인 앱개발자들이 전부는 아니더라도 대부분의 보안문제에 신경을 쓰지 않아도 되도록 했다. 테슬라 업데이트는 자동차 충전 중에도 실행된다. Q. 지금 단계에서 더 안전한 미래를 만들기 위해 어떤 기회가 있나? A. 수십 억 대의 기기를 서로 연결하는 사물인터넷이 등장하면서 첫 단추부터 잘 낄 수 있는 기회가 찾아왔다. 자동차와 집 안의 네트워킹 기기, 웨어러블 장비는 다수의 공격대상이 될 수 있다. 하지만 이들과 클라우드 기반 기술을 바르게만 사용하면 차세대 기술에 보안이 기본 장착되도록 할 수 있다. Q. 그 어떤 공격에도 끄떡없을 네트워킹 인프라를 완성하기까지 얼마나 걸릴까? A. 전력망이나 대형 산업 시스템 같은 분야의 주요 요소는 5-10년 정도가 예상된다. 제대로 확산되기까지는 최소 20년이 걸릴 것이다. <본 기사는 테크M 제35호(2016년3월) 기사입니다>