기본에 충실하라 - 보이지 않는 위협

 

IT 보안에 대한 책이라 고도의 기술적 내용이 나올 것 같지만, 의외로 그런 내용에 대한 비중은 적다. 대중을 대상으로 한 책이기도 하거니와 저자가 생각하는 IT보안은 단순히 Hard Technology에만 머무는 것이 아니기 때문이다. 특히 경영을 하는 입장에선 더더욱 그렇다고 강조한다. 

 

그래서 저자는 CISO에게 가장 중요한 것이 무엇이냐는 질문에 이렇게 답한다.

"조직 장악력입니다."

 

물론 유능한 보안 전문가가 당연히 필요하고, 양성되어야 한다. 그걸 부인하는 것이 아니다. 다만 더 거시적인 시각을 가지고 바라볼 필요가 있다는 것이다. 모든 존재는 유한한 자원을 가지고 있기 때문에 유한한 자원을 효율적으로 사용하려면 어느 한 쪽면만 바라볼 것이 아니라 여러 면을 바라보고 자원배분을 해야하기 때문이다. 

 

보안에 대해서는 전혀 모르지만 IT 생태계에서 일어나는 경험들은 도메인을 가리지 않고 비슷하게 일어나고 있는 것 같아 씁쓸하게 이 책을 읽었다. 그렇기에 저자가 강조하는 최신 기술/솔루션만 보지 말고 기본에 충실하라는 말이 와닿았다. 

 

이렇게 조직/경영 적 관점에 대한 글이 많으면서도 의외로 잘 몰랐던 해킹 사건들에 뒷이야기에 대해서도 배울 수 있는 책이라 흥미로웠다. 미국이 어떻게 이란의 핵시설을 해킹하려고 했는지, 북한이 소니픽쳐스를 어떻게 해킹하고 미국은 어떻게 대응했는지 등을 이 분야의 전문가에게서 들으니 실감나고 깊이 이해되는 느낌이었다. 

 

밑줄긋기

p.23

낫페트야 사건은 고의로 제작된 악성코드가 원전 시스템을 기습적으로 침입해 발생했다. 원전 감독자가 전하는 당시 급박했던 상황을 들어보자.

 

"불과 7분만에 컴퓨터 2500여 대가 다운됐고 여기저기서 전화벨이 울렸어요. 가장 큰 문제는 방사선 수치를 모니터링하는 컴퓨터가 동작하지 않았다는 겁니다. 아무도 방사선 상태를 알 수 없었어요."

 

감독자는 급한 마음에 확성기를 들고 방사선 수치를 직접 눈으로 점검하라고 소리쳤다. 30여 년 전 체르노빌의 참사가 되풀이되면 안 된다는 절박한 마음이었을 것이다.

 

낫페트야로 인한 피해는 우크라이나에 국한되지 않았다. 세계 1위의 해운 기업 머스크, 세계적 제약 회사 머크 등 현지 법인을 통해 전 세계로 퍼져 나갔다. 심지어 러시아 기업도 피해를 입었다. 만일 러시아 해커가 우크라이나를 공격하려고 벌인 일이라면 그 공격이 자국의 기업에 피해를 주는 부메랑이 되어 돌아온 셈이다.

 

우크라이나를 향한 사이버 공격은 2014년으로 거슬러 올라간다. 2014년 2월 친 러시아 성향의 빅토르 야누코비치 대통령은 오랜 반정부 시위로 퇴진했다. 우크라이나 혁명은 일견 성공한 것처럼 보였다. 그러나 곧바로 러시아가 반격을 시작했다. 크림반도에 군대를 투입했고 3월 21일 크림자치공화국을 강제 합병했다.

 

이후 우크라이나는 국가 안보를 위협받는 극도의 사이버 공격을 받았다.

 

p.25-26

그런데 이상하지 않은가? 신기하게도 우크라이나 정부 시스템은 큰 차질 없이 운영되고 있다. 실제로 러시아는 우크라이나 정부 자료를 보관했던 데이터센터를 크루즈 미사일로 폭격했고 센터 밖 시스템까지 사이버 공격으로 무력화시켰다. 그로 인해 통신 시설이 파괴되고 지상 인터넷이 마비됐는데도 불구하고 어떻게 지속적으로 공공서비스르를 제공하고 전시 상황 대응이 가능했던 것일까?

 

그 이유는 러시아가 침공하기 직전에 우크라이나 정부가 신속하게 정부 시스템에 보관한 중요 자료를 클라우드로 분산해 백업하고 이를 다른 유럽 국가로 이송해두었기 때문이다. 러시아는 다른 나라의 시스템까지 공격할 수는 없었다. 

 

우리는 우크라이나가 보여준 유연한 대응을 타산지석으로 삼아야 한다. 만일 정부나 민간기업이 이용하는 데이터센터가 테러를 당하거나 사이버 공격을 받으면 어떻게 될까?

 

막연히 우크라이나가 IT에 취약할 거라고 생각했다면 큰 오산이다. 우크라이나에는 영어로 소통이 가능하고 비용 대비 탁월한 역량을 가진 IT 인력이 많아 구글, 삼성, 보잉 등 글로벌 기업의 R&D 센터가 설립되어 있다.

 

우크라이나는 기술 혁신으로 전쟁을 극복하기 위해 애썼다. 우크라이나의 디아(Diia)라는 전자정부 모바일 앱은 시민이 생성한 현장 사진과 동영상을 올리도록 오픈소스 집합지성 시스템을 갖추었고 스페이스X의 스타링크 위성과 연결할 수 있다. 구글 CEO를 역임한 에릭 슈미트는 우크라이나가 버티는 비결은 '혁신의 힘'이며 이것이 국제정치학의 힘이라고 주장한다. 

 

p.27-30

1979년 이란은 팔레비 왕을 쫓아내고 신정일치 체제의 이슬람 공화국을 수립했다. 과격해진 시위대는 테헤란에 있는 미국 대사관 직원 70여 명을 무려 444일 동안 억류했다. 팔레비 왕정을 지원한 미국에 대한 보복이었다. 그 후 이란과 미국의 적대적 관계는 평행선을 달렸다. 이란의 군사적 무장을 경계한 미국은 경제 제재와 외교적 압박의 고삐를 놓지 않았다.

 

그런데 미국을 경악하게 하는 사건이 발생했다. 이란이 은밀하게 핵무기를 개발하고 있었던 것이다. 이스라엘은 중동의 오랜 앙숙인 이란의 핵 보유를 용인할 수 없었기에 강력한 응징을 주장하고 나섰다. 하지만 당시 미국의 상황은 녹록치 않았다. 엄청난 사상자를 내는 이라크 전쟁을 종결하지 못하고 있었고 9.11 테러범을 잡기 위해 들어간 아프가니스탄에서는 주범인 오사마 빈 라덴의 행방조차 찾지 못하고 있었다. 조지 부시 대통령에 대한 여론은 최악이었다. 

 

이런 상호아에서 이란을 물리적으로 공격할 경우 제3차 세계대전으로 치달을 가능성이 농후했다. 이란의 핵무기 개발을 저지하되 또 다른 전쟁을 치를 수 없는 딜레마에 빠져 있을 때 전혀 새로운 옵션이 제시됐다. 바로 핵무기 개발을 은밀하게 방해하는 사이버 공격이다. 

 

핵무기를 제조하기 위해서는 우라늄을 원심분리기에 넣고 정제해서 동위원소 우라늄235 비율을 90% 이상으로 농축시키는 과정이 필수다. 문제는 우라늄 농축 과정에서 원심분리기를 돌리는 회전자다. 회전자의 속도가 너무 빠르거나 느리면 원심분리기가 이탈하거나 부서진다. 회전자의 오작동은 피하기 어렵기에 실패 확률을 줄이는 수밖에 없다. 바로 이 회전자의 오류성과 민감성에 공격 초점이 맞춰졌다.

 

만일 고의적으로 회전자가 오작동하도록 만들 수 있다면? 오작동이 감쪽같아서 이란 기술자들의 눈에 자신들의 기술 부족으로 비춰진다면? 폐쇄적인 국가인 이란에서 그것도 극히 소수만 들어갈 수 있는 격리된 시설에서, 눈 앞에 있는 장비를 지구 반대편에서 조작한다는 것을 누가 감히 상상하겠는가? 만일 작전이 성공한다면 우라늄 농축은 난항을 겪을 것이다. 이란은 그 원인을 자신들의 기술력 탓으로 돌리지 외부 소행으로 생각하지 않을 것이다.

 

사이버 공격 목표는 정해졌다. 은밀하게 기계 장애를 유발시키는 '사보타주', 작전명은 '올림픽 게임 Olympic game'이었다. 이 작전에는 몇 가지 전제 조건이 있었다.

 

첫째, 발각되면 안 된다. 회전자의 오작동으로 우라늄 농축에 실패하되 이란은 눈치채지 못해야 한다. 만일 회전자 오작동이 해킹에 의한 것으로 드러나면 이란은 장비의 취약점을 조치해버릴 것이다. 이렇게 되면 심혈을 기울여 개발한 공격 도구가 무용지물이 되고 만다.

 

둘째, 악성코드는 나탄즈 핵 시설 안에서만 동작해야 한다. 우라늄 농축 과정을 제어하는 장치를 '프로그래머블 로직 컨트롤러(PLC)'라고 한다. 문제는 PLC가 핵무기 개발 용도 이외에도 전력, 수도, 철도 등 각종 기반 시설에서 사용된다는 점이다. 만일 악성코드가 나탄즈를 벗어나 세계 여러 나라의 각종 기반 시설에 침입해 장애를 일으킨다면 민간인이 부수적 피해를 입을 수 있다. 이를테면 근처 병원의 의료 장비가 악성코드에 감염되면 환자의 생명이 위협받을 수 있다. 또한 사이버 공격의 실체가 밝혀지면 국제적 혼란을 키울 것은 명약관화하다.

 

올림픽 게임은 고난이도 기술과 시나리오로 구성된 종합 프로젝트였다. 우라늄 농축 시설에 대한 전문성이 있어야 했고 이란에서 사용하는 제품과 기술, 내부 인프라에 대한 첩보가 필요했다. 핵무기 시설은 외부와 완전히 분리돼 있으니 네트워크를 이용한 잠입은 불가능하다. 어떻게 악성코드를 나탄즈의 컴퓨터에 잠입시킬 수 있을까? 누가 내부 컴퓨터에 USB를 꼽을까? 망이 분리돼 있으니 원격 지원 없이 알고리즘 스스로 작전을 수행해야 한다. 이처럼 상상력과 기술력을 총동원해 차원이 다른 공격을 수행해야 했다.

 

악성코드를 제작하는 데 고도의 스킬과 역량이 필요했고 꽤 오랜 시간이 걸렸다. 프로젝트를 지시했던 부시 대통령은 끝내 마무리하지 못하고 정권을 넘겨주게 됐다. 그가 오바마 대통령 당선인에게 인수인계를 하며 올림픽 게임 프로젝트를 직접 브리핑했다고 하니 얼마나 중요한 프로젝트였는지 짐작이 간다. 결국 공격 명령은 후임인 오바마 대통령이 내렸다.

 

초기에는 꽤 효과가 있었다. 이란은 원인 모를 회전자 오작동으로 골치를 앓았지만 눈치채지 못했다. 2010년 초까지 이란이 보유하던 원심분리기 8700여 개 중 4분의 1에 해당하는 2000여 개가 수리할 수 없을 정도의 피해를 입었다. 올림픽 게임은 핵농축 프로그램을 지연시키는 데 성공했다.

 

그러나 결국 우려한 일이 벌어지고 말았다. 악성코드가 외부로 유출돼 전 세계로 급속히 퍼져나갔다. 어떤 연유로 이란의 나탄즈를 빠져나갔는지 알 수 없었지만 벨라루스의 한 보안 기술자가 제일 먼저 발견했고 이어 시만텍을 비롯한 보안 회사들이 악성코드를 탐지했다. 마이크로소프트는 악성코드의 처음 몇 글자를 조합해 '스턱스넷Stuxnet'이라고 명명했다.

 

스턱스넷이 알려지자 이란은 핵무기 개발이 은밀하게 제지된 사실에 경악했고 미국은 곤혹스러워했다. 이 사건은 이란이 사이버 해커를 집중 양성하는 계기가 됐다. 

 

스턱스넷은 사이버 영역에서 만들어진 디지털 신호가 물리적 공간에 피해를 입힐 수 있다는 '사이버 키네틱 공격'의 가능성을 현실로 만든 첫 케이스다. 그것도 핵무기 개발을 놓고 국가 간의 첨예한 대립이 전개되는 상황에서 일어난 것이다. 스턱스넷은 몰래 활동하는 스파이와 원심분리기를 작동하지 못하게 한 알고리즘의 합작품이었다.

 

미국 국가안보국(NSA)과 미국 중앙정보국(CIA) 국장을 지냈던 마이클 헤이든은 스턱스넷 사건의 의미를 다음과 같이 설명했다.

 

"이번 사건은 사이버 공격이 물리적인 파괴를 달성할 수 있는 속성이 있다는 것을 보여준 최초 사례입니다."

 

그의 말은 이어진다.

 

"누군가 루비콘 강을 건넌 겁니다."

스턱스넷은 특급 기밀이라 궁금증이 끊이질 않는다. 올림픽 게임은 미국이 이스라엘과 합동으로 벌인 사건이 맞는가? 나탄즈 핵 시설 안으로 어떻게 악성코드를 집어넣었고 어떤 경로로 나탄즈 밖으로 새나갔을까? 2039년에 올림픽 게임 관련 기밀이 공개된다고 하니 기다려본다.

 

p.32-33

앞서 스턱스넷이 자국의 핵무기 개발을 저지하려는 목적으로 탄생했다는 사실에 자극을 받은 이란은 사이버 전투 의지를 불태웠다. 삽시간에 사이버 공격 역량을 결집해나갔다. 그 결과가 나오기까지 오랜 시간이 걸리지 않았다. 이란의 첫 공격 대상은 미국의 우방이자 오랜 중동의 앙숙이던 사우디아라비아였다.

 

2012년 8월 15일 세계 최대 석유 회사인 사우디아라비아 아람코의 컴퓨터 3만 5000여 대가 먹통이 되는 사태가 발생했다. 어떤 컴퓨터 화면에는 불타는 성조기의 이미지가 나타났다.

 

스스로를 'Cutting Sword of Justice'라고 부르는 해커들은 이슬람교의 라마단 기간을 이용했다. 많은 IT 인력과 보안 전문가가 휴가를 가서 대응할 수 없었기 때문이다. 아주 파괴적이고 전혀 돈을 요구하지 않은 전형적인 국가 지원 공격이었다.

 

무엇보다 이란이 단기간에 사이버 전사를 양성했다는 사실이 우리를 놀라게 했다. 국가가 마음만 먹으면 얼마든지 사이버 공간에서 공격 역량을 갖출 수 있음을 보여준 사례다. 천문학적 투자와 절대적인 시간 확보가 필요한 군사력과 달리 사이버 역량은 사람과 의지에 좌우되는 영역이다. 이제 지능적이고 대담한 사이버 공격 뒤에는 국가가 은밀하게 후원한다는 사실은 더 이상 비밀이 아니다.

 

p.35-37

미국은 연간 약 200만 건의 신원 조사를 하는데 연방정부에 Standard Form(SF)-86을 작성해 제출해야 비밀취급인가를 받을 수 있다. 127쪽에 달하는 SF-86 질문서에는 채무 문제, 친지 현황, 범죄 경력, 약물 취급, 심리 상담 치료 등 민감한 내용이 담겨 있다. 당시 OPM은 약 1800만 장의 SF-86을 보관하고 있었다. 이렇게 국가 내 권한을 가진 사람만 볼 수 있는 고급 정보가 적에게 넘어간 것이다. 

 

또한 그 속에는 무려 560만 명의 지문 정보도 포함돼 있었다. 생체 정보는 사람마다 하나씩 보유한 고유 식별자로 패스워드처럼 마음대로 바꾸지 못한다. 그래서 중요 시설이나 시스템을 보호하는 강력한 인증 방법으로 쓰인다. 만일 적국의 스파이나 테러리스트가 훔친 생체 정보를 사용한다면 방어막은 손쉽게 뚫린다는 얘기다.

 

OPM 외에 앞서 다른 세 곳도 민감한 개인정보를 갖고 있다. 호텔에 머문 동선과 기록(메리어트 호텔), 건강 의료 기록이 담겨 있는 정보(앤섬 헬스케어), 신용평가기관이 보유한 채무 이력(에퀴팩스)은 가족조차 알기 어려운 사생활 정보다. 만일 OPM과 이 세 기업에서 탈취한 정보가 누군가의 손에 들어간다면 협박하거나 유혹하기에 좋은 수단이 되지 않겠는가?

 

예를 들어 경제적 어려움을 겪는 연방 공무원을 매수하려고 할 수도 있고, 불륜과 같은 약점을 이용해 협박할 수도 있다. 또한 CIA 직원 정보는 OPM에 들어 있지 않아서 만약 해외에 거주하는 외교관 신분의 직원 리스트를 전수조사하면 CIA 직원을 가려낼 수 있다. 이처럼 개인정보 유출 사건 하나하나를 보면 단편적인 일처럼 보이지만 훔친 정보를 조합해 적국이 악용한다면 이는 국가 안보를 위협하는 중대한 이슈다.

 

중국은 개인정보만 노린 것이 아니다. 중국의 사이버 공격은 한 가지 큰 차이점이 있는데 통상 무역과 관련된 비밀이나 지적재산권을 탈취한다는 것이다. 구글의 소스코드를 노린 오로라 공격(Operation Aurora)이 탐지되자 구글에 비상이 걸렸다. 소스코드는 IT 기업의 보석과 같은 자산이다. 바로 그 심장을 노린 것이다. 그렇지 않아도 중국 정부의 검열 때문에 중국 사업에 골치를 앓던 구글은 오로라 사건을 계기로 중국에서 철수하는 결정을 내렸다.

 

가장 충격적인 지적재산권(IP) 탈취는 군사 기밀이었다. 미국 일간 워싱턴포스트는 미국의 첨단 무기 시스템 설계도를 중국 해커가 탈취했다고 보도했다. 그 중에는 미국의 미사일 방어 시스템인 패트리어트, 사드, 이지스 등이 망라돼 있었다. 이와 같이 첨단 기술, 군사 장비, 하이테크 기업의 소스코드 등 IP라는 무형 자산을 향한 중국의 사이버 공격은 그칠 줄 몰랐다.

 

미국의 국가안보국 국장 겸 최초의 사이버 사령관으로 임명된 키스 알렉산더 장군은 매년 2500억 달러(약 327조 5000억 원) 상당의 지적재산권을 도둑맞고 있다며 미국이 당한 사이버 범죄를 한 문장으로 표현했다.

 

"역사상 최대의 부의 이동"

 

p.48-49

미국의 추수감사절 연휴를 앞둔 2014년 11월 24일, 소니 픽쳐스 직원들의 컴퓨터 화면에 'Hacked By #GOP'라는 제목과 함께 흉악한 해골이 나왔다. 스스로를 평화의 수호자(Guardians of Peace)라고 자처하는 해커 그룹이 소니 픽처스 네트워크와 시스템을 중지시키며 보낸 공포의 메시지였다. 소니 픽처스 임직원들은 즉각적으로 시스템을 복구하려고 노력했다.

 

그러나 공격은 이제 시작에 불과했다. 다음 날인 11월 25일부터 해커는 소니 픽처스가 아직 출시하지 않은 영화를 하나씩 온라인에 공개했다. 급기야 11월 28일에는 소니 픽처스의 내부 파일을 모조리 인터넷에 공개했다. 파일 안에는 소니 픽처스 임직원의 개인정보와 이메일, 민감한 급여 내역이 들어 있었다. 여러분이 다니는 직장의 CEO나 상사, 직장 동료가 받는 연봉이 만천하에 공개됐다고 생각해보라. 회사를 뒤흔드는 일이 일어난 것이다.

 

<디 인터뷰>를 크리스마스에 맞춰 상영하려던 극장들은 시민의 안전을 이유로 하나둘 발을 빼기 시작했다. 소니 픽처스도 시사회나 출시 일정을 조정하기에 이르렀다. 북한의 사이버 공격은 성공하는 것처럼 보였다.

 

오바마 대통령은 소니 픽처스가 내린 결정을 탐탁지 않아 했다. 소니 픽처스 해킹에 대한 기자의 질문에 "나는 소니 픽처스가 실수했다고 생각합니다"라고 단언한 뒤 반대 이유를 명확히 밝혔다.

 

"어딘가에 있는 독재자가 미국에서 만든 저작물을 검열하도록 방관하는 사회가 돼서는 안 됩니다. 풍자적인 내용을 다룬 영화의 출시를 막기 위해 누군가가 협박하게 둔다면 자기가 좋아하지 않는 다큐멘터리나 뉴스에 대해서도 그럴 겁니다. 그러면 제작사나 배급사는 자기 검열을 하게 됩니다."

 

오바마 대통령은 북한의 행위를 용인하는 태도가 미국의 헌법 정신인 언론과 사상의 자유를 해칠 수 있다고 본 것이다. 어떠한 콘텐츠이건, 어떤 상황에서도 헌법 정신을 훼손할 수 없다는 그의 원칙은 확고했다. 미국 시카고 대학에서 헌법학 강의를 했던 교수다운 면모가 드러나는 순간이었다. 그가 제시한 의견은 터닝 포인트가 됐다.

 

구글이 전격적으로 영화를 온라인에 출시하기로 결정한 것이다. 일부 극장이 결정을 뒤집기 시작하며 마침내 극장 상영이 확정되고 <디 인터뷰>는 오히려 주목받는 영화가 됐다. 돌이켜 보건데 북한은 소니 픽처스 해킹 공격으로 얻은 게 그다지 없다. 소니 픽처스의 내부 파일을 공개해 창피를 줬지만 <디 인터뷰> 출시를 막지 못했기 때문이다. 소니 픽처스는 초기에 당황하고 우왕좌왕했지만 시간이 흐르면서 신중해졌다.

 

p.55

7.7 디도스는 10만 대 이상의 컴퓨터를 악성코드로 좀비화하면서 발생한, 국가 차원에서 최초로 겪은 사이버 공격이다. 당시 악성코드를 먼저 수집해서 백신을 개발해 배포하고, 그 악성코드에 숨겨진 공격 대상과 시간을 해독하여 악성코드 구조를 실시간으로 공유한 곳이 안랩이었다. 워낙 안랩이 주도하다 보니 언론에서 '관군은 없고 민병만 있다'라는 타이틀이 나올 정도였다.

 

언론에서 온갖 스포트라이트를 받으니 시샘도 많이 받았다. 그렇지만 누구라도 해결해야 할 것 아닌가? 국가로부터 돈 한 푼 받지 않고 봉사 차원에서 한 일이고 안랩에 디도스 방어 제품이 없었기에 기대할 만한 사업적 이득도 없었다. 그저 대한민국을 위해 좋은 일을 했다는 자부심으로 만족하자고 직원들을 격려했던 기억이 난다.

 

그런데 7.7 디도스 공격의 처음부터 끝까지 중심에 있었던 기업에게는 물어보지도 않고 대책을 만들었다고 한다. 게다가 그 문서에는 신속한 사고 분석이 핵심 경로에 놓여 있었고 안랩이 대표적인 기업으로 적시돼 있었다. 안랩 CEO인 내가 전혀 내용을 모르는데 과연 그런 계획이 제대로 실행될 수 있을까? 정부라고 민간기업을 맘대로 동원할 수 있는 건가?

 

사이버 공격을 받으면 일단 당황하게 돼 생각할 시간이 없다. 아무리 훈련을 해도 잘될지 장담할 수 없다. 시시각각 환경이 변하면서 수많은 변수가 발생하기 때문이다. 책상 위에서 그려낸 이론과 실제 상황은 다르다.

 

그나마 디도스 공격은 외부에서 웹사이트로 트래픽을 쏘아대는 비교적 간단한 유형이다. 어렵게 내부망으로 침투할 필요가 없다. 이에 비해 사이버 공격은 이미 조직적인 범죄 단체나 국가 차원의 지원을 받아 치밀한 시나리오와 정교한 해킹 기법으로 전개되고 있었다. 디도스 공격에 맞춘 대비책 정도로 복잡하고 지능적인 사이버 공격에 대응할 수 있겠는가?

 

p.57-58

사이버 보안이 중요해지면서 전 세계적으로 정보보호최고책임자라는 새로운 자리가 생겨났다. CEO의 사이버 보안 미션을 일부 위임한 직책이다. CISO가 되려면 어떤 자질이 필요한지에 대한 질문을 받는다. 사이버 보안이라면 으레 기술 영역이라고 짐작하고 전문 스킬셋이나 자격증, 학위를 구비해야 할 것이라고 생각한다. 그러나 나의 답변은 그들의 예상을 벗어난다.

 

"조직 장악력입니다."

 

예를 들어 '모든 PC에서 USB 사용을 금지한다', '특정 인터넷 사이트 접근을 금한다', 'A사와의 비즈니스를 끊는다'와 같은 보안 정책을 내렸을 때 CISO의 지시가 조직 구석구석에 먹혀야 한다. 떄로는 보안을 위해 기존 절차를 바꿀 수도 있다.

 

물론 경영진이라면 합리적인 근거에 기반해 임직원을 설득하고 소통해야 한다. 그러나 일단 방향이 정해지면 단호하고 신상필벌이 명확해야 한다. 본래 의도한 방향대로 유지되는지 끊임없이 관찰하고 점검해야 하며 혹시 잘못된 방향이었다고 판단되면 솔직하게 인정하고 방향을 틀 수 있어야 한다. 리더의 역할과 책임은 그런 것이다. 불편하다고 예외를 인정하기 시작하면 실효성이 떨어진다.

 

p.78~79

조직을 이끄는 순간부터 크고 작은 결정을 내려야 한다. 지금껏 수많은 결정을 스스로 하고 결정 과정에 참여했다. 그런데 임시로 구성된 위원회에서 시원하게 결정을 내리는 모습을 본 적이 없다. 위원회는 정보를 공유해 결정을 추인할 순 있어도 과감한 전략을 추진하기 어렵다. 결국 사업 현장을 이끄는 리더의 판단이 중요하다.

 

p.98-99

요컨대 웹은 정보와 컴퓨터를 분리했다. 웹 이전 시대에는 정보르 다루기 위한 기술적 과정에 시간을 쏟아야 헀다면 웹 이후는 정보 자체에 집중했다. 다시 말해 웹 이전이 기술 중심 세계라면 웹 이후는 정보 중심 세계다. 인터넷은 정보의 넓은 바다로 보통 사람들을 끌어들인 게임 체인저다.

 

그러나 인터넷은 전혀 통제되지 않는 세상이다. 미국 국방부에서 인터넷을 만든 의도는 핵 공격을 당해도 커뮤니케이션할 수 있는 분산 네트워크를 확보하는 데 있었다. 인터넷 프로토콜, 월드와이드웹의 발명은 모두 미국 정부의 지원 덕택이다. 애당초 인터넷은 연구소나 학교에서 신뢰할 수 있는 사용자 간에 호환되는 프로토콜에 촛점을 맞추었지 보안은 관심 대상이 아니었다.

 

인터넷을 통제하는 주체도 없다. 그나마 미국 정부의 마지막 역할이었던 인터넷 도메인 관리가 1998년 ICANN이라는 비영리단체로 넘어가면서 그야말로 100% 민간에 의해 움직이는 인프라가 됐다. 보안의 핵심은 중앙 통제인데 통제 주체가 없는 정보의 바다, 그것이 인터넷이다.

 

p.104

산업이 발전하고 상거래가 확대되면서 금융은 경제의 혈관이 됐다. 여기에 IT가 도입되면서 거래량이 증가하고 거래 방식이 다양해졌다. 타 은행으로, 다른 금융권으로, 국제적 거래로, 파생 상품으로 확장되면서 금융 산업은 날로 커졌다. 문제는 거래가 급증하는 가운데 산업시대에 형성된 모델을 얼마나 유지할 수 있느냐였다. 그러던 중 2008년 금융 위기가 터졌다. 금융회사의 탐욕과 부도덕한 행태가 알려지면서 중개기관에 대한 불신이 극도로 팽배해졌다. 개인의 힘이 커진 디지털 시대인데 금융 회사를 제쳐놓고 거래할 수는 없을까?

 

이때 사토시 나카모토라는 신비한 인물이 비트코인 백서를 발간했다. 그는 첫 문장에 '중개 없이 온라인 지불이 이루어지는 전자 현금'을 천명했다. 전자적인 거래를 중개기관 없이 성사시키려면 디지털 데이터의 특성인 '복사'와 '이전'문제를 해결해야 했다. 이른바 '이중장부'의 문제다. A가 B에게 돈을 보낼 때 장부를 맞춰주는 중개기관의 역할을 어떻게 대체할 것인가? 만일 모든 사람이 동일한 장부를 갖고 거래할 때마다 맞출 수 있다면 가능하지 않을까? 그것이 분산장부와 암호 기술로 구성된 블록체인 개념이다.

 

블록체인은 중개기관 없이 디지털 정보를 교환하는 개인 간의 거래 구조다. 그 방식은 냅스터가 MP3 파일을 교환할 때 사용했던 P2P 기술에서 진화했다. 블록체인은 어느 날 갑자기 나타난 것이 아니라 이동이 안 되고 복사만 되는 디지털 데이터의 속성을 극복하려는 노력의 일환으로 탄생했다.

 

p.105

데이터는 디지털 시대의 재료이자 소통 수단이다. 수많은 모바일 기기, SNS, 사물인터넷, 로봇에서 발생하는 폭발적인 데이터르 안전하게 처리해서 보관하고 정확한 장부로 맞추는 것은 기본이다. 문제는 원본과 동일하게 무한 복사되는 디지털 데이터의 속성이다. 디지털의 이러한 속성을 고려해야 실효성 있는 보안 정책을 수립할 수 있다.

 

p.112-113

모르는 것을 지킬 수는 없다. 몇 대의 컴퓨터가 네트워크에 연결돼 있는지, 어떤 버전의 소프트웨어를 사용하는지, 데이터는 언제 누가 만들어서 처리하는지, 컴퓨터에 의해 작동하는 기계가 얼마나 되는지 모르고 대책을 세울 수 있겠는가. 하드웨어, 소프트웨어, 데이터베이스, 앱, 모바일 기기, 프린터 등을 IT 자산이라고 한다. 해커가 벌이는 공격을 막연히 걱정하기에 앞서 자신이 가진 IT 자산을 정확히 파악한 뒤 그것을 기반으로 보안의 틀을 세워야 한다.

 

구글은 대표적인 테크 기업이다. 당연히 보안 대책도 기술에 방점을 둘 것 같지만 오히려 구글 CISO인 필 베너블스의 권고는 기본에 중심을 둔다.

 

"대부분의 사이버 공격은 새로운 취약점을 노린 경탄할 만한 방법이라기보다 이미 운영 중인 통제 약점을 노린 것이 대부분입니다."

 

시시각각 변하는 IT 환경에서 현재 시점과 1시간, 2시간 후의 보안 상태는 전혀 다르다. 새로운 장비가 들어왔을 수도 있고 새로운 계정이 생성됐을 수도 있고 누군가 악성코드가 감염된 노트북 컴퓨터를 연결할 수도 있다. 매분 매초 수많은 데이터와 네트워크 패킷이 오가는 환경 자체가 도전이다.

 

아무리 세계적인 보안 제품을 가져다 놓아도 제대로 설정하지 않으면 무용지물이다. 좋은 약을 몽땅 먹으면서 바쁘다는 핑계로 체력 관리를 하지 않는 것과 같다. 사이버 보안은 자신과의 끊임없는 싸움인 셈이다.

 

자기 관리를 경영 용어로 표현하면 '거버넌스 체계를 세워서 가시성을 높이는 것'이라고 한다. 이를 위한 방법론이 IT 자산과 리스크를 식별하고 각종 위협에 대해 예측한 지표로 만드는 '리스크 관리 체계 Risk Management Framework RMF'다.

 

미국 국립표준기술연구소(NIST)에서 만든 사이버 보안 프레임워크(NIST CSF)나 국제표준기구(ISO)에서 만든 ISO/IEC 27001을 기반으로 전 세계 유수의 기업이 보안 거버넌스 체계를 운영하고 있다. 그런데 한국에서는 관심을 끌지 못한다. 사이버 보안을 기술적으로 대응해야 하는 이슈로, 즉 경영 관점에서 보지 않는다는 방증이 아니겠는가?

 

p.118-119

글로벌 은행에 일하다 보니 전 세계의 규제를 살펴볼 기회가 생기곤 한다. 미국이나 EU와 한국의 규제를 비교하니 확연히 다른 점이 있다.

 

한국에서는 정해진 가이드라인을 준수하는 체크리스트 방식이 일반적이다. '주민등록번호를 암호화하시오', '방화벽을 설치하시오',' 취약점을 점검해 조치하시오'같은 보안 점검 항목을 제시한다. 가이드라인을 잘 따르는 것만 해도 쉬운 일이 아니다. 그런데 문제는 가이드라인에만 촛점을 맞춘다는 점이다. 체크리스트에 없으면 아예 들여다보지도 않는다. 설사 사고가 나더라도 가이드라인을 충실히 따랐다면 책임이 경감된다. 그러다 보니 어떤 기업은 은근히 디테일한 규제를 원하기도 한다.

 

반면에 미국이나 EU의 규제 방식은 문제를 스스로 만들어 답을 찾아가는 형태다. 어떻게 보면 아주 영리한 접근 방식이다. 감독기관 입장에서는 구태여 힘들여 문제를 내느라 준비할 필요가 없지 않은가? 문제를 도출하고 해결하는 방법이 부실하면 따끔하게 지적하면 되고, 설계가 잘 됐으면 제대로 운영하는지 확인하면 된다. 전자를 설계 효과성 design effectiveness, 후자를 운영 효과성 operational effectiveness이라고 한다.

 

이처럼 스스로 문제를 내서 해결책을 찾는 방식, 즉 리스크를 파악해 처리하는 방법론을 앞서 말한 리스크 관리체계(RMF)라고 한다. RMF를 통해 내가 보유한 정보 자산은 어떤 것인지, 각 자산을 겨냥한 위협은 무엇인지, 위협을 받았을 때 비즈니스 영향은 어느 정도인지, 그런 위협을 막기 위해 어떤 보안 통제를 적용해야 하는지 등을 도출해낸다.

 

이를테면 체크리스트 방식은 PC에 백신이 잘 설치됐는지, 제대로 작동하는지를 점검하는 형태다. 반면에 어떤 유형의 PC(직원 업무용, 테스트용, 공장 라인 운영용 등)를 사용하는지, 각 PC에 어떤 위협(악성코드, 계정 탈취, 디스크 삭제 등)이 예상되는지, 그로 인한 피해가 얼마인지를 계량화한 뒤 리스크를 줄일 수 있는 통제방안을 마련하는 것이 RMF 방식이다.

 

p.138-139

이 과정을 한 장의 그림으로 표현하면 다음과 같다.

 

- 모든 IT 자산을 정확히 파악하는 것은 기초다. 모르는 것을 지킬 수는 없다.

- 자산에 대한 CIA 평가를 통해 어떤 관점(기밀성, 무결성, 가용성)에 무게를 두어야 할지 결정한다.

- 비즈니스 영향도는 정량적인 보안 등급과 더불어 비즈니스 측면에서 위협 시나리오를 예측한 정성적인 평가로 구성된다. 여기에서 조직이 가지고 있는 총체적인 리스크가 나온다.

- 리스크를 줄이기 위해 기술/제품, 프로세스, 사람의 3대 요소를 동원해서 보안 통제를 구성한다.

- 위협 모델에 대입해서 보안 통제의 효과성을 판단한다. 최종적으로 나온 잔여 리스크의 수준에 따라서 추가적인 보안 통제를 구축하거나 모니터링을 강화한다.

 

리스크 관리 프레임워크는 보안 거버넌스의 틀이다. 기업이나 정부는 물론 국가도 이런 체계를 구성할 수 있다. 단지 업의 특성이나 규모에 따라 차이가 있을 뿐이다. 요컨대 전체 구성원이 사이버 리스크에 대한 공동 지표를 갖추어야 한다. 일단 방향성이 정립되면 어떠한 신기술이나 신종 위협이 나오더라도 당황하지 않고 의연하게 대처할 수 있다. 서로 다른 기업과 국가가 소통할 수 있는 거버넌스 체계를 갖추어야 보이지 않는 위협에 공동으로 대처할 수 있다.

 

 

p.144-145

"프로젝트가 급하니 일단 건너뛰고 나중에 고칩시다."

 

이런 문화 속에서는 부실이 나올 수밖에 없다. 일단 마무리하고 나중에 할 것인가? 일은 끊임없이 밀려오고 일할 수 있는 인력은 항상 부족한 상황에서 검증할 여유는 나중에도 없다.

 

검증 단계는 아주 많다. 소프트웨어의 경우 개발한 코드를 반영하기 전에 취약점 점검을 돌리거나 동료에게 검증을 맡긴다. 만일 치명적인 취약점이 발견되었다고 하자. 그런데 이 서비스가 내일까지 출시되어야 한다면 어떻게 하겠는가? 신규 서비스가 바로 매출과 직결되는 상황이라면 CEO와 사업본부장은 어떤 판단을 하겠는가? 이러 때 원칙에 따라 출시를 연기하는 결정을 내릴 수 있어야 한다.

 

그렇지만 실상은 그 반대인 경우가 많다. 심지어 유명한 IT 기업에서도 적당히 타협하는 경우를 보았다. 해커는 단 하나의 취약점만 있어도 파고든다. 철저한 보안 정책으로 '괜찮겠지'라는 판단의 여지를 없애야 한다. 

 

공격 저지가 외부와의 전쟁이라면 안전한 빌드업은 조직 내부와의 싸움이다. 그래서 리더의 확고한 신념과 보안에 대한 인식이 필수다. 공격을 저지하는 것은 보안팀을 격려하고 지원해주는 정도가 리더의 역할이다. 이에 비해 안전한 빌드업을 위해서는 경영진과 전 직원이 철저하게 규칙을 준수하도록 조직 문화를 바꾸어야 한다. 그래서 빌드업에는 강력한 리더십이 요구된다.