세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
사이버 보안 목적의 ‘보복 해킹’ 괜찮을까
  |  입력 : 2018-10-30 18:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
[인터뷰] 제주도 사이버보안 컨퍼런스 기조연설 앞둔 게리 브라운 미국 국방대학 교수
법과 기술 사이의 중간 소통 담당하는 역할 중요해지고 있어
빠른 기술 vs. 느린 법...자본주의 사회에서는 시간이 해결할 것


[보안뉴스 문가용 기자] 현재 제주 메종글래드 호텔에서는 ‘2018 사이버공격방어대회’와 ‘사이버보안 컨퍼런스’가 한창 진행 중에 있다. 특히, 오늘은 공방대회의 마지막 날로, 레드 팀과 블루 팀의 막바지 작업이, 점심도 앉은 자리에서 그냥 먹어야 할 정도로 치열하다.

▲ 게리 브라운 미국 국방대학 교수[사진=보안뉴스]


내일은 사이버보안 컨퍼런스가 열리는데, 기조연설을 맡은 게리 브라운(Gary Brown) 미국국방대학 교수는 미리부터 현장에 나와 젊은 사이버 보안 전문가들을 지켜보고 있다. 원래는 내일 기조연설을 통해 만나고자 했지만 자꾸 행사장 복도에서 마주치기에 인사를 나눴다.

게리 브라운 교수는 미국 공군에서 수석 법률 자문관으로 근무했으며, 미국 사이버사령부의 설립에 참여했고, 사이버 보안 분야의 국제법 가이드라인인 탈린 매뉴얼의 1번과 2번 버전 작업 모두에 참여한 바 있다. 그는 “기술적으로 이렇게 뛰어난 사람들 앞에서 법과 정책에 관한 이야기를 해야 한다니 (사람들의 흥미를 끌지 못할까봐) 걱정된다”고 웃었다.

보안뉴스 : 괜찮다. 최근 몇 년 동안 한국 사이버 보안 전문가들 사이에서 정책과 법에 관한 관심이 높아졌다. 게다가 올해 GDPR이 등장해서 더 불이 붙었다. 물론 지금은 조용하지만.

게리 브라운 : 4월까지만 해도 엄청나게 큰 이슈였는데 지금은 그리 많이 이야기되고 있지 않다. 기업들이 GDPR을 준수하기 위해 많은 노력을 했고, 실제로 잘 한 것 같다. 한국은 모르겠는데, 미국에서는 GDPR 이후로 대다수 국민들이 무수한 기업들로부터 각종 '약관 변경 내용' 안내문을 받았다. 약관을 보다 간단하고 이해하기 쉽도록 개정해야 한다는 게 GDPR에 명시되었기 때문이다.

보안뉴스 : 유럽연합의 GDPR 담당자들은 GDPR로 인해 개인정보에 대한 일반인들의 인식도 높아질 것을 기대한다고 했다. 새로운 약관을 그렇게 많이 받았다면, 이런 기대감이 어느 정도 충족될 수 있지 않을까?

게리 브라운 : 약관을 간단하게 쓰라는 건 기업들에게 있어 딜레마다. 기업들은 고객의 정보를 관리하고 활용하는 데 있어 최대한 상세하게 알려야 할 의무가 있기 때문이다. 대충 얼버무리면 그건 그것대로 규정 위반이다. 모든 세부내용을 자세하게 공개하면서 간단하고 쉽게 쓰라니 어떻겠는가? 사실 크게 달라지지 않았다. 새로운 약관이라고 해도 여전히 길고 어렵다.

다만 GDPR이 기업들의 개인정보보호 수준을 높인 건 사실이다. 미국 기업들은 유럽연합의 규정과 미국 내 규정 두 가지를 모두 지켜야 한다는 복잡한 상황 앞에서 더 까다롭고 엄격한 규정을 지키면 두 가지 모두를 지킬 수 있다는 답을 냈다. 미국 고객과 유럽 고객을 별도의 규정으로 다루는 게 아니라, 둘 다 유럽의 규정 대로 보호하기 시작한 것이다. 아마 많은 민주주의 국가들도 이런 흐름을 타지 않을까 한다. 국민의 프라이버시에 관심이 없는 정부라면 GDPR을 고려조차 하지 않겠지만 말이다.

보안뉴스 : 이런 공방대회를 보면 공격자 팀(레드 팀)의 점수는 직관적이다. 방어자를 뚫어낼 때마다 점수를 얻고, 그것을 총합한다. 반면 방어자(블루 팀)는 뚫릴 때마다 점수를 차감당한다. 또 대응 속도, 상황 분석의 상세함과 속도, 서비스 마비 시간 및 복구 등 수많은 요소들을 통해 점수가 올라갔다 내려간다. 잔인하도록 현실을 반영하고 있다.

게리 브라운 : 실제로 공격자들은 무한대로 공격을 시도할 수 있다. 그래도 딱 한 번만 성공하면 된다. 하지만 방어자들은 모든 공격자의 모든 공격 시나리오에 대해 준비하고 있어야 하고, 한 번 뚫리는 게 곧바로 패배로 해석된다. 공평한 경쟁이라고 할 수 없다. 실제로 공격자들을 위한 해킹 대회가 방어자들을 위한 대회보다도 더 많이 부각되기도 한다. 방어자는 매 순간 이겨야 한다는 건데, 그렇기 때문에 공격자로 가장한 전문가들이 '어떻게 성공했는가?'를 파악하는 건 중요하다.

아까 한 어머니가 아이들을 데리고 대회를 참관하시며 이런 대회를 통해 해킹 범죄자가 양성될 가능성도 있지 않느냐고 물었다. 그 가능성이 ‘제로’는 아니다. 하지만 얻는 것이 더 많다. 많은 나라의 군에서도 공격 팀과 방어 팀을 나눠 물리적인 군사 훈련을 진행한다. 워게임이라는 것도 주기적으로 실시한다. 방어를 가장 효과적으로 배울 수 있는 건 공격을 통해서다.

보안뉴스 : 기술의 측면에서는 이런 대회들이 매년 열리고 공격자와 방어자의 발전이 눈에 띄는데, 법적인 면은 그렇지 않다. 법의 발전이 느리다는 지적이 많은데, 사실 법이란 게 빠르게 변해도 문제 아닌가?

게리 브라운 : 각 나라나 주 등에서 독자적으로 적용하는 법과 국제법을 따로 이야기해야 한다. 먼저 일반적으로 우리가 아는 국내법은 빠르게 변할 수 없다. 한 번 정하고 금방 바꿀 수도 없는 것이고, 모든 사람의 행위가 옳다 그르다 판단할 가치관의 기준을 정하는 건데 그게 소수 입법자의 손에서 결정된다는 것도 무서운 일이다.

그래서 요즘 ‘중간자’의 역할이 점점 중요해지고 있다. 기술적인 지식을 가진 자들과 법적인 결정권을 지닌 자들 사이에서 대화를 진행시켜주는 사람들이다. 기술적인 문제를 법적 용어로 해석해서 알려주거나, 반대로 법적 용어를 기술자들에게 번역해주는 사람들을 말한다. 아직 이런 역할을 위한 정식 명칭은 없다. 나도 그런 역할을 하는 사람 중 하나라고 생각한다. 다행히 법조계에서 기술 변화의 심각성 혹은 중요성을 인지하고 있다. 기술을 이해하려는 법 전문가들이 많아지고 있어 지금은 느리게 느껴지는 변화가 조금은 더 빨라지지 않을까 한다.

또 미국이나 한국 모두 자본주의 사회라는 것도 희망적인 부분이다. 결국 이런 문제는 사회적이든 사적이든 비용을 발생시키고, 어떻게든 돈과 연결될 수밖에 없다. 그러면 아무리 느린 입법 기관이라도 움직이게 된다. 그들이 돈을 밝힌다는 게 아니라 사회 시스템 자체가 그렇다. 자본주의 사회에서는 돈이 움직이면 모든 게 움직이지 않나.

보안뉴스 : 국제법도 비슷하지 않을까?

게리 브라운 : 국제법은 완전히 다른 분야다. 각 나라들의 이해관계와 힘의 균형 문제가 얽혀있기 때문이다. 그러므로 사이버 보안과 관련이 있지 않더라도 국제법은 대체적으로 '회색빛'이다. 국내법에 비해 유연하고, 해석도 다양하게 이뤄질 수 있다. 그렇기 때문에 각종 가이드라인이 나오는 것이고, 그 중 하나가 탈린 매뉴얼이다.

게다가 사이버 공간에서 각 나라가 하는 일이 드러나지 않는다. 그리고 인정하지도 않는다. 행위가 드러나야 그에 대한 규정 비슷한 거라도 생기는 건데, 아무도 자기가 한 걸 내비치지도 인정하지도 않으니 규정이 생길 수가 없다. 또한 국제적으로 영향력이 강한 나라인 미국, 중국, 러시아 모두 사이버 공간에서 뛰어난 기술을 발휘한다. 굳이 국제법으로 자기들이 잘하는 걸 제어하고 싶지 않은 게 이들의 입장이다. 사이버 보안과 관련된 국제 규정이 생기려면 아직 더 많은 시간이 필요하다. 아니면 역사를 바꿀만한 대대적인 국제적 사이버 공격이 펼쳐지면 되는데, 이는 누구도 원하지 않는 시나리오다.

보안뉴스 : 그래서 윤리 문제가 자꾸만 보안 관련 분야에서 언급되고 있다.

게리 브라운 : 논의해야 할 문제가 한두 개가 아니다. 기술을 가진 개인이, 사이버 범죄 시장에서 더 많은 돈을 벌 수 있는데 왜 굳이 보안 분야로 오겠는가? 이걸 해결하려고 대형 조직들이 버그바운티 같은 제도도 시행하고 각종 장학금도 부여한다. 하지만 궁극적인 대책이 되고 있진 않다. 개인의 선택을 강제할 수도 없는 노릇이다. 더 잘 방어하고, 윤리적인 교육을 지속하는 게 본질적인 답이다.

또 하나 중요한 건 국가의 정보 기관이 민간 소프트웨어에서 발견한 취약점을 공개하느냐 마느냐의 문제다. 공개해서 공공연하게 해결하면, 이 정보가 다른 나라에 들어간다. 그 나라도 자신들이 찾은 취약점을 공개하면야 문제가 되지 않지만 그렇지 않은 나라가 대부분이다. 중국 정부가 중국 소프트웨어에서 찾은 취약점을 서방 세계에 공개할까? 이란이? 러시아가? 이 문제는 국제법 제정을 요원하게 만들기도 한다. 그렇다고 국가 기관만이 중요한 정보를 가지고 꼭꼭 감추는 것에 부작용이 없는 것도 아니다.

보안뉴스 : 그렇다면 보복 해킹(hacking back)에 대해서는 어떻게 생각하는가?

게리 브라운 : 공식적으로는 불법이고, 당분간 불법으로 남아있을 것이다. 다만 ‘최근 미국의 사이버 사령부는 국가 시스템을 해킹하려는 공격자에게 미국이 당신의 행위를 지켜보고 있다‘는 식의 경고 메시지를 보냈다는 보도가 있었다. 미국 정부를 적으로 돌리면 여행 다니기 힘들고, 거래도 어려워진다. 최근 미국과 유럽 국가들은 수사 공조를 통해 여러 사이버 범죄자들을 잡아들이는 데 성과를 올리고 있다. 이런 ‘경고’의 효과를 좀 더 지켜볼 필요는 있다. 하지만 일단 현재 보복 해킹 자체는 거의 모든 나라에서 이유를 막론하고 불법이다.

3줄 요약
1. 법과 기술의 간극, 자본주의 시스템이 해결할 것이다.
2. 하지만 둘 사이의 소통을 원활하게 해줄 ‘중간자’의 역할이 중요한 것도 사실이다.
3. 국제법은 아직 갈 길이 멀다.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)