http://www.bloter.net/wp-content/bloter_html/2010/04/30213.html
슈나이어 박사를 비롯해 해외 보안 전문가들을 초청한 ‘한국 전자금융거래 보안 기술 특별 강연회’가 4월29일 서울 코엑스에서 열렸습니다.
브루스 슈나이어 영국 브리티시텔레콤 최고 보안 전문가가 한국 정부에 던진 따끔한 충고다. 브루스 슈나이어 박사는 세계적인 컴퓨터 보안 전문가이자 암호학 연구자다. 미국 국방성과 벨 연구소에서 일하며 ‘블로우피시’(Blowfish) 등 다수 암호 알고리즘 개발에 참여했으며 유명 보안 서적도 여럿 출간했다.
여러 보안 전문가들은 늘 경고의 메세지를 보내기 마련이긴 합니다. 왜냐하면 보안이란 늘 위기를 먹고 살며 이들 전문가들도 이를 통해 돈을 벌기 때문입니다. 또한 보안이라는 영역은 늘 위험이 도사리는 분야이기도 합니다. 방심으로 보안에 헛점이 생긴다면 그 피해는 겉잡을 수 없이 커지는 분야이기 때문입니다.
최근 안보에서도 안타까운 문제가 발생했습니다. 서해 백령도 인근 해상에서 우리 해군의 천안함이 알 수 없는 이유로 침몰해서 46명의 희생자를 내고 말았습니다. 외부 공격설이 가장 유력한 이때에 할 수 있는 것은 안보의 구멍을 매우는 것이지만 그 피해는 겉잡을 수 없이 커지고 말았스빈다.
전자 보안도 마찬가지입니다. 작년 옥션 사태는 시작에 불과할지도 모릅니다. 이미 전자 거래가 활성화 되었고 전자통신으로 모든 거래를 수행하는 이 시대에 전자 보안이 뚤리게 된다면 피해가 엄청날 것이라 생각됩니다.
불행인지 다행인지 한국에서는 아직 대형 은행사고는 나지 않았습니다. 이는 우리나라의 보안이 튼튼하기 보다는 특이해서 생긴 현상인듯 합니다. MS에서도 사용하지 말 것을 권고하는 Active X라는 기술을 주로 사용해서 보안 템플렛을 이리저리 설치해 놓은 형태는 해외에는 없는 보안 방식입니다. 그래서 국내 해커가 아니라면 이러한 상황이 매우 특이하다고 생각할 것입니다.
하지만 만약 한국을 타겟으로 하게 된다면 이 기술들이 안전하다고 생각하지 않습니다. MS에서 인정한 보안 취약성을 가진 Active X기술을 계속해서 활용할 경우 앞으로 어떠한 일이 일어날지 모르죠. 또 고인물은 썩는다고 지금까지 IT 분야에서 정부에서 주도로 개발하여 나온 기술 중에 끊임없는 생명력을 가진 기술은 거의 전무합니다. 개발할 당시는 가장 좋은 기술이 나올 것입니다. 투자한 것이 많기 때문입니다. 하지만 정부는 개발이 끝나면 그 기술의 생명력 보다는 기술을 활용할 생각만 하게 됩니다. 이로서 기술의 생명력은 연장되지 않고 사용되면서 수명을 다하게 되죠.
특히 보안 기술은 인체 면역성하고 비슷해서 외부 상황에 계속해서 대응하며 변화해야 합니다. 하지만 한번 맞은 강한 백신을 믿고 계속해서 나아갈 수 없습니다. 언젠가 내성이 생긴 바이러스가 나오고 인체에 치명적인 문제를 일으킬 수 있습니다. 보안 기술도 마찬가지 입니다. 지금의 금융 보안 체계가 나온지 10년이 다되어 갑니다. 그동안 작은 변화들은 계속해서 있어왔지만 MS에서 새로운 IE 버전을 발표할 때마다 내홍을 치룬 것을 볼 때 큰 변화없이 기존의 기술을 계속해서 활용하는 방법으로만 나아가고 있는 모습입니다. 심지어 Active X를 활용할 수 없는 다른 브라우저에서 Add-on과 같은 기능을 활용해서 Active X기술을 활용할 수 있게 한다는 점에서 기술의 생명력을 불어넣기 보다는 억지로 생명을 이어가는 모습만 보일 뿐입니다.
10년전 브라우저의 기본 보안성은 매우 취약했지만 다양한 브라우저들이 개발되면서 보안성이 많이 좋아졌습니다. 또한 보안 기술에도 표준화가 이루워지고 다양한 보안 기법이 발표되고 있습니다만 한국에서는 적용이 전혀 되지 않고 있습니다.
당장 이 기술을 버릴 필요는 없습니다. 다만 그 생명력이 다해가고 있기에 새로운 생명력을 불어 넣기 위해 다양한 기술 표준을 지원하면서 Feedback을 받고 보안 기술 발전을 이룩해야 할 듯 싶습니다.
댓글 없음:
댓글 쓰기