2016 년 6 월 15 일

(주)이셋코리아

대표이사 김남욱

최근 국내 대기업과 공공기관, 정부 부처 등 160여곳에서 사용하는 PC 통합관리망을 이용한 북한의 해킹 공격이 보도되었습니다. 해당 관리망은 한 민간업체가 제작한 프로그램으로, 이를 설치하면 관리자가 원격으로 다수 PC를 관리하면서 소프트웨어를 일괄적으로 업데이트하거나 불필요한 소프트웨어를 삭제할 수 있어 많은 PC를 운용하는 기업 및 기관 등이 이를 사용한다고 합니다.

북한은 이 관리망의 보안상 취약점을 찾아내 시스템에 침투, 전산망 통제권과 각종 내부 문서를 탈취한 것으로 드러났습니다. 매년 주기적으로 반복되고 있는 보안 솔루션을 이용한 사고 보도를 통해, 보안 솔루션의 본질에 대한 우리의 생각과 기대가 얼마나 잘못되어 있는지에 대한 우려를 금할 수가 없습니다.

보안 솔루션이란 허가되지 않은 주체의 허가되지 않은 행위를 차단하기 위한 솔루션입니다. 때문에 허가되지 않은 주체를 식별해야 하고, 허가되지 않은 행위를 판단해야 하기 때문에 이를 적용하고 사용함에 있어 다소의 불편함을 감수해야 합니다. 예를 들어, 가정에서 사용하는 현관문은 낯선 사람의 침입을 방지하기 위해 잠금 장치가 장착되어 있습니다. 열쇠로 문을 여는 방식부터, 비밀번호나 지문 등으로 문을 여는 장치까지 다양한 방법이 사용되고 있으며, 각 방법마다 보안 수준이나 편리성 및 장착 비용에 차이가 존재합니다. 가장 좋은 방식은 당연히 보안 수준은 높으면서 이용의 불편함은 낮아야 하고 가격도 저렴해야 하겠지만, 이러한 조건을 만족하는 잠금장치를 제작하기란 현실적으로

쉽지 않습니다. 통상적으로 보안 수준이 높으면 이용의 불편함과 가격도 함께 높아지는 것이 현실이죠. 따라서 가격을 고려하고, 다소의 불편함을 감수하면서 가능하면 보안 수준을 높이는 쪽으로 선택을 하게 됩니다. 이러한 보안성과 편리성의 상호 관계를 인정하지 않고 제작된 보안 솔루션은 항상 사고의 가능성을 내포하고 있다고 보는 것이 타당합니다.

우려스럽게도, 너무나 많은 현장에서 이러한 보안성과 편리성의 상호 관계를 무시한 채로 보안 솔루션이 도입되고 있습니다. 더 나아가, 마치 보안 솔루션이 시스템의 사용이나 관리를 보다 편리하게 해주는 유틸리티로 생각하는 부분도 있는 듯 합니다. 이러한 현상은, 주문 제작된 보안 솔루션에서 더욱 많이 발견됩니다. 물론, 보안성과 편리성을 함께 추구하려는 주문자의 요구를 거부할 수 없는 현실이 빚어낸 결과이겠지만, 이 세상에 이런 보안 솔루션은 존재할 수 없습니다. 편리한 만큼 보안성은 필연적으로 떨어질 수 밖에 없기 때문입니다. 한가지 목적의 보안 솔루션에 열가지의 편의 기능이 추가되어 있다면 이는 이미 보안 솔루션이 아니라 일반 유틸리티로 보아야 합니다. 보안 솔루션이 본연의 기능과 무관한 각종 편의 기능으로 뒤범벅되어 있으면, 이러한 보안 솔루션은 추가적인 보안 취약점을 내포하고 있을 가능성이 매우 높으며, 좀도둑에 잡기 위해 강도를 고용하는 것과 다를게 없습니다.

이제는 보안 본연의 기능에 충실한 솔루션을 선택해야 합니다. 보안 솔루션이 적용되지 않은 상태 이상의 편리성을 요구하는 것은, 해당 보안 솔루션의 보안성을 포기하는 것과 같습니다. 물론 보안 솔루션 제작사는 보안 솔루션 도입후에 떨어지는 편리성을 최소화하려는 노력을 계속하고 있습니다만, 이러한 노력이 솔루션 도입 이전보다 편리성을 높여준다는 의미는 절대 아닙니다.

탄력적인 피부를 만들어 주는 항암제는 절대 존재하지 않습니다.