Home > 전체기사

[스토리텔링으로 이해하는 AI 보안-22] 클라우드 환경과 보안 관리

  |  입력 : 2020-11-16 10:36
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
클라우드 시스템의 안전 담보하기 위해선 사이버보안 대책 확실히 마련해야

[보안뉴스=김주원 사이버보안 분야 칼럼리스트] 얼마 전까지 인간은 물리적 공간에서만 살아왔다. 그리고 물리적 공간에서 정보는 내 생명을 유지하고 가족을 지키는데 가장 필요한 요건이었다. 예를 들어, 물고기가 어디서 많이 잡히는지, 어디에 가면 바나나를 딸 수 있는지, 먹을 수 있는 버섯과 먹으면 몸을 상하게 하는 버섯을 구분할 수 있는지 등에 대한 정보가 있어야 했다. 홀로 무인도에서 살게 된다면 스스로가 먹어보면서 정보를 체득해야 하지만, 인간들이 모여 살면서 이러한 정보를 공유할 수 있게 되니 좀 더 살만해졌다.

[이미지=utoimage]


세월이 지나면서 이러한 정보를 입에서 입으로 전달하는 게 쉽지 않다는 걸 깨달았다. 예를 들어, 다양한 경험을 주변인들이나 자식들에게 모두 알려줄 수 없었다. 그래서 자신의 경험 정보를 표시하기 시작했다. 먹을 수 있는 것은 동그라미, 먹을 수 없는 것은 작대기로 표시하는 식이었다. 그러다가 숫자를 발견하고, 간단하던 기호로 문자도 만들어냈다. 이러한 문자를 땅바닥에 적어놓은들 곧 사라지므로, 비바람의 영향을 안 받는 동굴의 벽에 그을음 등으로 그렸다. 내용은 단순했지만 그렇기에 누구라도 보기만 하면 이해할 수 있었다.

울주군에 있는 반구대 암각화에는 고래․호랑이․표범․사슴 등이 그려져 있다. 그리고 고래 사냥 방법과 고래의 종류도 자세하게 묘사돼 있다. 이러한 정보는 한번 새겨지면 반영구적으로 후손들에게 전해질 수 있다. 하지만 이러한 암각화로는 많은 정보를 제공하기 어렵다. 바위벽에 정보를 새기기도 어렵거니와, 평평한 바위를 구하기도 쉽지 않다. 바위를 조각할 수 있는 단단한 도구도 갖춰야 한다. 그러니 신석기 시대나 청동기 시대에 이러한 작업은 상당히 어려웠으리라. 그렇기에 아주 대단한 권력자나 집단 전체가 기념물로서 이런 걸 만들었을 듯하다.

이 외에도 비석이나 땅속에 묻힌 유물에 정보가 될 만한 기록이 적혀 있지만 훼손이 심해 뭘 의미하는지 알아내기가 어려워 학자들이 골머리를 앓고 있다. 이렇듯 4계절이 뚜렷해 장마와 홍수마저 빈번한 한반도와는 달리, 건조한 사막이나 초원에서는 비바람이 덜하기에 땅에 새긴 정보마저 유지됐다. 페루 남부의 나스카 지상화가 대표적인데, 사막에 그린 고래․원숭이․새 등이 아직도 생생하게 남아있다. 나일강 주변을 빼면 전부 사막인 이집트에서도 피라미드 내의 벽화가 상당히 온전해서 고대 이집트에 대한 정보를 많이 제공하고 있다. 티그리스-유프라테스 강 일대 외에는 사막인 이라크에서도 고대 메소포타미아 문명이 남긴 점토판 ‘문서’들이 거의 멀쩡한 상태로 발굴되고 있으며, 그 덕분에 고대 메소포타미아 문명 사람들이 뭘 어떻게 요리해 먹고 살았는지까지 파악할 수 있다.

이렇듯 인간은 정보를 저장하기 위해 다양한 도구를 발명했다. 일단 벽화는 갖고 다닐 수 없으니 휴대가 가능한 수단부터 발명했다. 고대 메소포타미아 사람들의 점토판이 대표적이다. 즉, 강가에서 파낸 점토로 만든 판에 문자를 새기고 이를 말리는 식이다. 하지만 점토판은 무게가 상당하고 쉽게 부서졌다. 그래서 좀 더 쉽게 정보를 보관․관리할 수단을 찾았다. 고대 중국 문명의 거북이 등껍질이나 대나무를 총총히 썰어 만든 다발이 대표적이다. 나무판을 쓰기도 하고, 비단 같은 값비싼 천에 글을 쓰기도 했으며, 양의 가죽으로 만든 양피지를 개발하기도 했다.
가장 성공적인 사례가 이집트인들의 파피루스다. 파피루스라는 갈대과의 식물 줄기를 눌러 붙인 ‘최초의 종이’를 말한다. 그리고 중국의 한 제국 시대에 이르러 당시 관리였던 채륜이 오늘날의 것과 같은 종이를 발명했다. 종이에 정보를 기록하게 되면서 인간의 경험과 지식은 놀랍도록 발전하기 시작했다. 과거에는 입에서 입으로 전해져 세월이 갈수록 불확실해지던 정보들이 종이에 적히고 책으로 엮이면서 자기 지인들과 자손들은 물론 생전 본 적도 없는 이들에게마저 전할 수 있게 된 것이다.

그런데 정보를 쉽게 얻을 수 있게 되자 ‘부작용’도 발생했다. 백성들이 그때까지 특별한 존재로 여기고 숭배하던 군주나 귀족 같은 권력자들이 자신들과 별로 다를 게 없는 존재들임을 인지하기 시작한 것이다. 그래서 권력자들은 정보를 독점하여 백성들이 이를 깨우치는 걸 막으려고 했다. 이를 위해 자신과 뜻을 같이하지 않은 신하들을 책들과 함께 불태우기까지 했다. 하지만 더 많은 정보에 대한 백성들의 욕망을 차단하는 건 불가능했다. 백성들은 권력자들의 전유물이던 어려운 상형문자를 대신할 문자를 제작․보급했다. 한글이나 알파벳처럼 음성 하나하나에 대응하는 표음문자가 그것이다. 중세 말엽에는 인쇄기까지 발명하여 책을 대량 생산․보급해 만백성이 정보를 쉽게 접할 수 있게 했다.

20세기에 이르러 전자기의 원리를 파악하면서 정보를 전기적 수단으로 더 쉽고 더 많이 저장할 수단도 발명했다. 종이와 펜, 인쇄기를 대신할 수단이 등장한 것이다. 영국 정보기관은 자석의 원리를 이용해 0과 1을 구분하는 컴퓨터인 콜로서스(Colossus)가 개발했다. 하지만 콜로서스 같은 초기의 컴퓨터는 어마어마하게 컸고, 전력도 많이 소모했다. 반도체는커녕 트랜지스터조차 없던 비타민 드링크 병 크기의 진공관을 수천, 수만 개씩 사용하던 시절이라 어마어마하게 많은 전력을 소모했다. 예를 들어, 콜로서스의 후배인 미국의 에니악(ENIAC)은 당시 펜실베이니아 주 전체가 사용할 수 있을 만큼의 전력이 필요했다.

콜로서스나 에니악 같은 초기 컴퓨터에 정보를 저장하려면 마치 옷감공장에서처럼 수많은 직공이 작은 영구자석에 코일을 감는 작업을 해야 했다. 하나의 영구자석은 1비트(bit)에 해당되었으며, 이 영구자석을 8개 감으면 1바이트(byte)가 되었다. 8바이트를 한 묶음으로 해서 1,024개를 만들어야만 1킬로바이트(kbyte)가 된다. 고작 1킬로바이트로는 스마트폰으로 장문의 메시지 한 번 보낼 수 있을 뿐이지만, 불과 수십 년 전에는 1킬로바이트 정도 되는 메모리를 저장하는 데 4단 책장 높이에 맞먹는 캐비닛만한 장치가 필요했다. 따라서 초기 컴퓨터는 이러한 캐비닛을 수백 개나 설치하고, 일하면서 열 받지 말라고 에어컨도 넣고, 정전에 대비해 예비 발전기도 넣었더니 길이만 25미터가 넘었다.

1947년에 발명된 초기형 반도체인 트랜지스터가 진공관을 대신하면서 정보를 안정적으로 저장할 수 있게 되고, 전력 소비도 최소화할 수 있게 되었다. 이로써 컴퓨터는 점차 소형화됐다. 캐비닛 하나의 크기가 손가락 만하게, 그 뒤에도 계속 더 줄어들면서 많은 정보를 한꺼번에 저장하면서도 정보를 쉽게 찾을 수 있게 되었다. 하지만 부작용도 나타났다. 지금까지 인간들은 자신의 눈으로 정보를 바로 열람할 수 있었지만, 이제는 컴퓨터가 없으면 정보를 열람할 수 없게 된 것이다. 컴퓨터라는 도구를 가진 자와 가질 수 없는 가난한 자 사이에 정보의 격차가 벌어지기 시작한 것이다. 이러한 격차는 점차 깊어지면서 사회문제로까지 떠올랐다.

반도체를 기반으로 한 IC 칩을 더욱 대용량의 저장장치인 롤테이프가 대신하고, 이후 하드디스크까지 개발되자 정보저장 능력은 기하급수적으로 높아졌다. 하지만 롤테이프나 하드디스크는 수명이 짧고, 유지하는 데 어려움이 많았다. 롤테이프의 주 원료는 비닐이라 시간이 흐를수록 변형된다. 하드디스크는 자성을 띠는 알루미늄 원판에 데이터를 기록하고, 헤드가 움직이면서 정보를 읽는다. 기계식 메커니즘으로 작동하는 것이다. 그런데 헤드가 정보를 읽는 과정에서 충격이 가해지면 그 지점의 데이터가 손실되고, 심지어 하드디스크 전체가 망가지기도 한다. 이러한 위험성 때문에 주기적으로 백업해야 했다. 이러한 문제를 해결하기 위해 메모리 반도체를 도입하기 시작했다. 메모리 반도체를 도입하면서 저장장치는 어지간한 외부의 충격도 이겨내고 속도도 월등히 빨라졌다. 반도체 가격도 저렴해지면서 오늘날에는 일반 PC에도 사용할 수 있는 SSD(Solid State Disk)도 등장했다.

그런데 정보의 저장과는 상관이 없어 보이는 분야에서 혁신적인 방법이 나타났다. 바로 정보통신기술(IT)이다. 인터넷 시대 초기에 사용된 전화모뎀의 속도는 일반적으로 1,200bps(bits per second, 1초에 보낼 수 있는 비트 수), 아무리 빨라도 2,400bps 수준이었다. 그러니까 일반적으로 2기가바이트(Gbyte) 정도인 영화 파일 1개를 다운로드할 경우 전화모뎀으로 다운로드한다면 약 154일(5개월 정도)이 걸리는 것이다. 중간에 에러가 발생하는 건 고려하지 않더라도 말이다. 필자도 예전에 파일 1개를 다운로드하려고 밤새 전화모뎀을 연결한 채 옆에서 책을 읽었던 적이 있다.

그런데 지금은 정보통신기술이 어마무시하게 발전하다 보니 PC에 파일을 저장한 후, 다른 이들에게 메일의 첨부 파일로 보내는 것이 더 불편하다는 생각마저 들기 시작했다. 이는 작업 내용을 사이버공간의 클라우드(Cloud)에 저장하여 언제 어디서나 공유할 수 있게 되어서다. 이러한 환경이 계속 발전하면서 이제는 각종 소프트웨어나 응용 프로그램도 비싸게 구매할 필요가 없어졌다. 즉, 클라우드 서버에 접속해 필요한 도구나 애플리케이션을 다운로드한 뒤 작업 후 결과물을 클라우드에 저장하면 된다. 결국 내 PC가 고장 나도 PC방 같은 데서 계속 작업할 수 있게 된 것이다.

하지만 다른 PC로 계속 작업할 수 있다는 이야기는 결국 누군가도 나처럼 할 수 있다는 이야기이기도 하다. 예를 들어, 지금까지는 내 PC에 정보를 저장․보관하면서 남들이 열지 못하도록 인증․암호 시스템을 사용했다. 하지만 클라우드 서비스에 접속할 때 사용하는 보안 메커니즘은 ID와 패스워드 정도다. 물론 클라우드 서비스 제공 회사는 보안통신 프로그램을 제공한다.

그런데 이러한 보안통신 프로그램을 사용하려면 매번 세션 키(session key)를 만들어야 하고, 그러려면 인증서가 필요하다. 하지만 인증서도 결국 내가 가지고 다니는 스마트폰 또는 USB에 저장되니, 공인인증서를 동작시키는 핀 번호나 패스워드가 유출되면 내 정보는 도용․해킹을 당한다. 결국 우리는 더욱 편리한 세상에서 살게 되었지만, 반대로 더욱 불안한 세상에서 살고 있는 셈이다.

2020년 10월 말경 강원도 최전방과 수도권의 군단급 부대에서 군 지휘․통제 통신 시스템(C4I)이 동시에 작동 중단됐다. 사안은 간단했다. 프로그램 접근용 인증서의 유효기간이 만료되어 사용자들이 로그인을 시도해도 작업이 불가능했던 것이다. 이러한 사태가 무려 3일간 지속되었고, 그 기간 내내 해당 부대의 지휘 체계는 식물인간처럼 마비되었다. 그래서 옛날 군대처럼 유선전화나 무전기로 작전을 수행했다는 것이다.

왜 이런 사태가 발생했을까? 먼저 시스템 관리자가 인증서의 유효기간 만료 시점을 사전에 파악하고 사용자들에게 갱신하라고 안내했어야 하는 데, 이를 간과한 듯하다. 사실 시스템 관리자에게는 사용자 개개인에게 인증서의 유효기간을 갱신하라고 지시할 권한이 없다. 그러니 사용자들 스스로 인증서의 유효기간을 파악하고, 유효기간이 끝나기 전에 갱신 절차를 밟는 게 옳다. 하지만 군대의 특성상 각 사용자가 개별적으로 인증서를 신청․갱신하는 건 어려웠으리라. 군대에서 사용하는 인증서는 민간인들이 사용하는 인증서와는 달리 취급할 것 같다. 즉, 인증서의 유효기간이 만료되기 전에 절차에 따라 처리되었어야 했다. 결국 해킹이나 사이버공격이 아닌 보안 관리상의 문제로도 시스템이 마비될 수 있다. 그러나 인증서의 유효기간 갱신이 어렵지 않은데도 3일간이나 불통되고, 일부 예비 장비마저 제대로 작동하지 않았다면 갱신에 따른 소프트웨어 결함을 의심해봐야 한다. 즉, C4I 개발 초기에 인증서의 유효기간 만료 이후에도 유효기간이 갱신되지 않았을 상황까지 고려해 설계하지 않은 것이 문제 인 듯싶다.

필자의 이야기의 요지는, 결국 C41 같은 핵심 국방 자산도 설계 과정에서 이런 착오가 발생하는 것에서 보듯이, 우리가 사용하는 클라우드 시스템이 완벽하지 않다. C4I가 민간의 클라우드 시스템과 비슷한 건 아니겠지만, 서버-클라이언트 환경으로 이루어졌다고 한다면 동작 방식이 비슷하다. 따라서 클라우드 시스템에도 결함이 존재할 수 있기에 이런 사건에서 보듯이 안전을 담보할 수 없다. 아주 사소한 결함이나 장애로 인해 한순간에 시스템을 사용하지 못하거니와 내 정보가 사라지거나 다른 이가 도용할 수 있는 것이다. 따라서 클라우드 시스템을 전적으로 믿지 말아야 한다. 중요 자산은 자신의 PC에 백업해놓고, 저장된 파일을 암호화해야 한다. 아울러 통신상에서 반드시 보안 상태를 확인해야 할 것이다. 그리고 클라우드 시스템 설계자도 예외 사항을 자세히 분석해 장애가 발생하는 경우를 최소화하는 작업을 계속해야 한다.

정보를 손쉽게 저장하고 사용하는 시대가 왔지만, 그렇다고 해서 모든 것이 편리해진 건 아니다. 앞서 소개한 작동 중단 같은 예외 상황이 발생하더라도 업무의 연속성이 보장될 수 있도록 해야 한다. 그래야 클라우드 시스템이 계속 발전할 수 있다. 물론, 이를 위한 사이버보안 대책도 확실하게 마련해야 클라우드 시스템의 안전을 100% 담보할 수 있을 것이다.
[글_ 김주원 사이버보안 분야 칼럼리스트]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)