어렸을 때 람보를 보고 그런 상상을 했었다. 전 국민이 람보라면 단숨에 북한 때려 부수고, 독도를 자꾸 자기네 땅이라고 우기는 일본도 혼구멍을 내줄 텐데…
과연? 전 국민이 람보가 될 수 있는지는 둘째 치고, 과연 그랬다면 우리의 소원인 통일이 진작에 이뤄졌을까?
람보는 그린베레라는 미군 특수부대원이었다. 특수부대는 전쟁 시작 전 또는 초기 적진에 잠입하여 주요 시설물을 파괴하거나 요충지 점거 등을 통해 전쟁을 유리한 방향으로 이끄는, (일반적인 군대와 다른) 말 그대로 ‘특수’한 임무를 수행하기 위한 부대다.
그러나 ‘특수부대 사전 침투 → 대규모 공습 → 지상군 투입’ 순으로 이루어진 이라크전에서 알 수 있듯이 특수부대만으로는 전쟁을 수행할 수 없으며, 특수부대와 일반(?)부대의 균형 잡힌 운영이 현대전의 필수 요소라고 할 수 있다.
더 설명이 필요할까마는, 굳이 이유를 달자면 특수부대는 공격 전력의 일부분일 뿐이며, 공격만큼이나 방어 역시 전쟁에서 반드시 필요한 개념이기 때문이다. (아니었다면 휴전선 지킬 자원으로 특수부대 늘렸겠지.)
사이버 보안 강국의 탄…생?
밑밥은 그만 깔고, 며칠 전 대한민국 정보보안 분야에 희소식이 하나 날아들었다. 1993년부터 시작된 미국의 정보보안 컨퍼런스 데프콘에서 열린 해킹대회 ‘CTF(Capture The Flag)’에서 한국팀이 우승을 차지한 것. 정말 축하할 일이다. 그들의 열정과 노고에 아낌없는 박수를 보낸다.
당연히 기사들이 쏟아졌다. 그런데 그 많은 기사에 공통적으로 등장하는 문구가 하나 있다. 바로 ‘사이버 보안 강국’이다.
“이들이 글로벌 인재로 지속적으로 성장하는 토대를 만드는 것이 우리 사회 책임이며 사이버 안보 강화 첫걸음” (전자신문)
“글로벌 경쟁력을 갖춘 화이트해커 및 사이버보안 인력 양성에 더욱 집중해, 국민들이 안심하고 생활할 수 있는 사이버안보 강국으로 발돋움하는데 기여할 것” (ciokorea)
“내년에도 2연패 해서 사이버 보안 강국의 초석이 되길” (오마이뉴스)
해외 해킹대회에서 우승자가 나왔으니 대한민국은 이제 ‘사이버 보안 강국’일까? 해킹대회는 해킹 실력이 우수한 해커를 뽑는 대회이며, 해킹은 사이버 세상에서 상대의 방어 체계를 무력화하고, 나아가서 상대의 정보를 유출 또는 파괴하는 행위이다.
즉 해커는 사이버 세상의 공격 전문 특수부대다. 그 간 무수한 해킹사고들이 대한민국에서 발생했다. 이제 한국에 해킹 공격을 제일 잘하는 1등 해커가 나타났으니 그동안 공격을 하던 해커들이 무서워서 해킹을 중단할까?
‘최선의 방어는 공격’이라는데, 뛰어난 해커들이 공격자를 먼저(?) 공격해버리면 해킹사고가 줄어들지 않을까? 그런데 잠깐. 공격은 적을 먼저 정의해야만 실행할 수 있는 행위이다. 전 세계가 국경 없이 케이블로 연결된 사이버 세상에서는 과연 누가 적일까?
공격을 잘하면 공격에 이용되는 (소프트웨어 버그인) 취약점도 잘 아니 방어도 잘 할 것이다? 물론 가능성은 있다. 그런데 그 취약점이란 게 도대체 어느 정도의 규모일까?
어느 연구에 의하면 소프트웨어 개발 시 소스코드 1,000줄 당 최대 7개의 버그가 발생한다고 한다.
- 참고 : MySql 코드 97가지 버그 발견
- 참고 : “버그가 없는” 완벽한 소프트웨어, 가능할까?
마이크로소프트 Windows의 소스코드는 수천만 줄에 달한다. 보안 패치가 끊임없이 나오는 이유가 있다. 세상 모든 소프트웨어의 소스코드가 1억 줄, 버그는 1,000줄 당 하나라고 가정해도 취약점이 십만 개다. (물론 1억 줄은 턱도 없음. 맥OS만 하나만 해도 거의 1억 줄이다.)
- 참고 : 소프트웨어 소스코드 비교
이 얘기는 2014년을 떠들썩하게 했던 ‘HeartBleed‘처럼 몇 년만에 취약점이 알려진 경우는 오히려 행복한 사례이며 아직까지도 알려지지 않은 취약점이 사이버 세상에는 드글드글하다는 뜻이다. (취약점이 없어지길 기다리느니 차라리 해커들이 착해지길 바라는 게 빠르지 않을까?)
많은 이들이 보안사고가 발생하기 전에 먼저 취약점을 찾고 미리 예방해야 한다고 얘기한다. 사리에 맞아도 너무 맞는 말이며 절대 게을리해서는 안 되는 일인 것은 맞다. 그런데 만약 ‘살인 사건이 발생하기 전에 먼저 예비 살인범을 찾고 미리 검거해야 한다’는 주장을 펼치면 어떻게 될까? 또라이 취급이나 안 받으면 다행 아닐까? 결국 해킹은 범죄, 전쟁과 마찬가지인 사회 병리 현상의 하나이며 기술만으로는 해결하기 힘들다.
인류 문명이 사라지지 않는 한 범죄나 전쟁을 근절할 수는 없다. 그렇다고 손 놓고 구경만 할 수도 없는 노릇. 결국 최선은 공격과 방어의 균형을 잡는 것이다.
공격과 방어의 균형이 깨지면?
해킹대회 우승 며칠 전, 북한군이 매설한 것으로 추정되는 지뢰로 인해 대한민국 군인 2명이 크게 다치는 사고가 있었다. (평생 불구로 살아야 하는 그들에게 어떤 말이 위로가 될 수 있을까? 그저 같은 일이 반복되지 않기를 바랄 뿐이다.)
정부 발표에 따르면 북한군은 휴전선을 넘어와서 우리 측 비무장지대에 지뢰를 심어놓고 돌아갔다. 그런데 북한군의 통행을 아무도 못 봤다. 특수부대더러 왜 휴전선 감시를 똑바로 하지 않느냐고 따지고 들 사안일까?
엄연히 휴전선 경계 부대의 감시 실패다. 물론 250km에 달하는 감시 범위 및 울창한 삼림, 기상 조건 등으로 인한 시계(視界) 확보의 어려움과 감시 인력, 시설 미비의 영향이 크다. (뒤로 새는 돈만 없어도 휴전선이 더 안전해질 텐데…)
휴전선은 통행 자체가 이상징후다. 그럼에도 이처럼 감시가 어렵다. 네트워크는 (누구나 해외 직구를 할 수 있다는 사실에서 알 수 있듯이) 통행이 자유롭다. 휴전선에 비하면 그야말로 무주공산(無主空山)인 셈.
그런데 현 국내 정보보안 정책은 해커 양성 일변도를 벗어나지 못하고 있다. 해커는 (그것도 비공식적인 공격만 할 수 있는) 공격자다. 현실적으로 종사 가능한 분야는 모의 해킹, 취약점 제거 정도. (물론 일하다 보면 복사 포함해서 이것저것 시키는 건 다 해야겠지?) 하나 더하자면 이미 터진 사고 분석.
방어는, 감시는 누가 할 것인가? 누가 수많은 시스템과 네트워크의 로그를 분석하고 공격 징후를 찾아낼 것인가? 양성된 해커 중 입상하지 못한 해커를 강제로 2교대, 3교대, 밀어내기식 네트워크 감시 업무에 종사하게 할 요량인가?
배보다 큰 배꼽을 바라지만
개인적으로 더 많은 엔지니어(시스템, 데이터베이스, 네트워크, 소프트웨어 등등등)를 양성(?)해야 한다고 본다. 그런데 생각이 이쯤에 이르고 보니 그게 될까 싶다. 결국 정보보안은 정보기술에 종속된 분야다. 배보다 배꼽이 더 클 수 없듯이 정보기술이 발전하지 않으면 정보보안 역시 질적, 양적 발전을 기대하기 힘들다. (원천 기술과 시장을 가진 미국을 제외하면 이런 고민이 없는 나라를 찾기도 힘들 듯…)
엘리트 스포츠 정책의 가장 큰 폐해는 ‘저변(底邊)’의 확대가 어렵다는 것이다. 정책의 혜택를 받지 못하는 나머지는 그저 구경꾼에 머물게 되며, 전체적인 질적 수준은 낮아진다는 것. 그럼에도 선호되는 이유는 성공했을 경우 (금메달 몇 개 식의) 눈에 보이는 성과가 뚜렷하며, 덤으로 국민들에게 애국심과 자긍심까지 선사해주기 때문이다.
나라님들이 해커 양성과 사이버 보안 강국을 동일시하는 정책에 매달리는 게 이해가 간다. 특정 산업 자체를 발전시키는 것보다는 특정 인력을 양성하는 게 훨씬 더 쉬울뿐더러, 해커라는 단어가 주는 임팩트와 함께 국민들에게 세계 1등 해커를 보유(?)했다는 안도감까지 심어줄 수 있으니 말이다. (비용 대비 효과 짱★)
방패보다 창을 먼저 발명한 인류의 역사나 시급 몇 백 원에 불과한 사병들이 지키고 있는 휴전선이 말해준다. 예나 지금이나, 현실이나 사이버 세상이나 방어는 영원한 비인기 종목이라고.
