이정현 숭실대 교수
반갑습니다. 이정현입니다. 지난 20년 동안 소프트웨어 보안에 대해 이야기 했는데, 꾸준히 고민을 해야 하는 문제라고 생각합니다.
보안업의 특성을 살펴보면 공격이 있고 방어가 있습니다. 다른 분야는 미리 대비하는 솔루션이 있는데 소프트웨어는 버그가 있을 수밖에 없으며, 공격과 방어의 접점이 안 생기는 특징이 있습니다.
가령 3·20 사태가 났는데 왜 방어를 하지 못 했느냐고 질책하면 그 사람은 보안을 모른다고 볼 수 있습니다. 백신은 지금까지 알려진 것에 대한 패치 기술이지 미리 막는 기술이 아닙니다. 공격자는 '원타임 석세스(one-time success)'입니다. 현존하는 모든 솔루션을 해봐서 성공해서 침투해서 왔는데 백신 깔았느냐고 물으면 말이 안 되죠.
또 하나의 중요한 문제는 2만원어치를 지키기 위해 보안을 200만원어치를 쓸 수는 없다는 겁니다. 다 넣으면 효율성이 떨어질 수 있고 보안 때문에 아예 서비스를 쓰지 않는다면 소용이 없겠죠.
한 편에서는 화이트 해커를 양성하자 합니다. 좋은 생각입니다. 왜냐면 해킹이 나쁜 것이 아니라 소프트웨어 구조를 잘 알고 보안 위협에 적절하게 대응할 수 있는 인력을 양성하자는 것을 뜻하기 때문입니다. 화이트해커는 블랙해커와 달리 책임감 있는 솔류션을 제공했으면 좋겠습니다. 이런 인력을 양성하자는 것입니다.
좋은 취지일 수 있지만, 화이트해커와 블랙해커를 식별하는 문제도 있고, 화이트해커가 블랙해커로 바뀔 수 있다고 우려하기도 합니다.
또 하나는 정부나 기업에 취약점을 알려주면 돈을 받을 수 있는 '버그 바운티(Bug Bounty)'에 대한 시각입니다. 화이트해커들이 취약점을 발견하고 하면 돈 받을 수는 있겠지만, 그 친구들이 돈 받은 것을 자랑스럽게 얘기 못 하죠. 어디 해킹대회 나가서 받는 것은 자랑스러운 것이지만 이렇게 버그 취약점 찾은 것은 이력서에도 못 씁니다.
우리 글로벌 기업들은 취약점에 대해 리포트 해주면 일단 굉장히 경계를 합니다. '또 얼마나 달라고 접근해올까' 이런 식의 태도입니다. 알려줘서 고쳤더니 고마웠다고 한 마디라도 써주면 얼마나 좋을까요. 우리 조직 문화에서는 힘든 현실입니다.
쉽게 수용하는 게 힘들다면, 국가 차원에서 기업들의 취약점을 알려주는 조직 위원회를 따로 구성하는 것이 좋을 것으로 생각합니다.