브루스 슈나이어 "인터넷은 보안 고려 안하고 설계돼 제대로된 보안 정책 필요"

브루스 슈나이어 "인터넷은 보안 고려 안하고 설계돼 제대로된 보안 정책 필요"

“인터넷은 애초 보안을 고려하지 않고 만들어졌지만, 현대사회는 냉장고에서도 스팸을 보낼 수 있는 연결성이 극대화된 시대로 발전했습니다. 많은 연결은 취약점을 가져오고, 이는 위험으로 이어집니다.”

보안업계 대부, 그루(Guru), 락스타 등 다양한 호칭을 보유한 브루스 슈나이어 IBM 리질리언트사업부 최고기술책임자(CTO)는 인터넷, 소프트웨어(SW) 취약점과 복잡성을 경고하며 제대로 된 보안정책을 세워야 한다며 이처럼 말했다.

슈나이어 CTO는 보안 업계 최고 권위자다. BT매니지드 시큐리티 솔루션 창립자이자 CTO를 역임했다. '당신은 데이터의 주인이 아니다: 데이터와 골리앗' '디지털 보안의 비밀과 거짓말' 등 다양한 보안 관련 저서를 집필, 강연했다.

브루스는 컴퓨팅 기술과 인터넷 세상 중심으로 사회가 발전하면서 인터넷 보안이 중요해지고 있지만 현실은 보안 위협에 제대로 대처하지 못한다고 지적했다.

실제 IBM과 포네몬연구소의 '2019년 기업 사이버 공격 대응 실태' 보고서에 따르면 조직 가운데 절반 이상이 사이버보안사고에 대응할 역량을 갖추지 못하고 있는 것으로 드러났다. 응답자 77%는 조직 전반에 걸친 사이버 보안사고대응계획(CSIRP)을 보유하지 않았다. 대응계획을 갖추고 있다고 답한 23%도 절반이상(54%)은 사고대응계획에 대한 테스트를 정기적으로 실시하지 않는다고 답했다.

슈나이어 CTO는 “컴퓨팅 시스템 확장을 막을 수 없는 시대가 왔고 SW가 냉장고 등 모든 기기의 기능, 역할마저 변화시켰다”면서 “어떤 보안전문가도 이들 기기가 공격에 사용될 것이라고는 예측할 수 없다”고 설명했다.

이어 “공격자는 취약점 하나만 찾으면 되지만 방어하는 입장에서는 수많은 공격을 막아내야 하기 때문에 보안점검 자체가 어렵다”면서 “공격자는 항상 우위를 갖게 된다”고 설명했다.

기술로 모든 보안을 담보하기 어렵다. 정책과 함께 가야 한다. 브루스는 러시아 대선개입 관련 사이버 공격, 페이스북 선거 개입을 경험하며 정책이 나서야 할 시점이라고 설명했다.

슈나이어 CTO는 “실리콘밸리에서조차 정책과 기술을 다르며, 별개 문제라고 생각하지만 이제는 기술자가 정책을 이해하려고 애쓰고, 정책가도 기술을 이해하려는 노력이 필요하다”면서 “기술자가 어떻게 정책입안에 기여할 수 있는지에 대해 고민하고 글을 쓴다”고 말했다.

인공지능(AI)에 대한 낙관론도 내비쳤다. AI가 공격자에 단기적으로 유리하게 적용될 수 있으나 장기적으로 방어자에게 AI가 유리하게 작용 가능하다는 입장이다.

슈나이어 CTO는 “AI가 시스템화 돼 자동으로 보안 취약점을 찾아낼 것이며 이는 빠르게 발전하는 컴퓨팅에 대한 방어가 될 것”이라면서 “궁극적으로 AI보안을 통해 취약점 없는 SW를 개발하는 날이 올 것”이라고 덧붙였다.

정영일기자 jung01@etnews.com