[미래포럼]망분리 보안의 한계

2014년 1월부터 4월까지 카드사와 은행의 개인신용정보 유출이 날마다 계속됐다. 주민번호는 물론이고 결제계좌와 결제일, 이용실적 금액, 신용한도까지 고스란히 노출됐다고 친절히 알려주는 사이트를 보고 격분했고, 해당 기관 임원들의 머리를 조아리는 사과를 받아야 했다.

1년이 지난 2015년, 우리는 원자력발전소 해킹사건으로 다시 불안에 떨어야했다. 이러한 사건을 통해 인터넷과 업무 환경을 완벽하게 분리했다는 것만 강조하고 이것이 보안의 최후 보루인 것처럼 주장하는 사람이 늘었다.

망분리의 핵심 목적은 내부 자료 유출을 방지하고, 외부 공격으로부터 내부 지식자산을 보호하는 것인데 과연 ‘물리적 망분리’는 이 역할을 해내고 있는 것일까? 물리적 망분리를 도입했던 수많은 금융기관과 정부 핵심 기관이 작금의 수많은 고통스러운 사건들을 겪으면서 결론적으로 그렇지 않다는 것을 대변한다. 망을 분리했으니 그것으로 목적을 달성했다고 착각하고 있는 것인데, ‘분리’는 수단이며 그 목적이 아니라는 것이다. 목적 달성을 위해선 내부 정보를 보호하고 외부 공격으로부터 내부망을 지켜냈어야 하는데, 이른바 휴먼에러(Human Error)라고 하는 조직윤리를 계획적으로 위반하려는 조직원 혹은 출입자에 대해 속수무책으로 당하고 있는 것이 현실이다.

PC본체나 외부 연결된 매체 제어에 대해 지나친 자신감으로 표명하고 있으나 이는 컴퓨터에 관한 전문가적인 지식이 없더라도 이를 무력화하는 것이 크게 어렵지 않다는 것이다.

한때 시끌시끌했던 우정사업본부는 실제 OS는 하나인데 두 개로 구매해서 사용하지도 않는 OS에 대한 유지보수 비용을 갑절로 치렀다. 클라우드와 모바일로 대두되는 시절에 우리는 1인당 OS를 수회씩 중복 구매해가며 대만 PC보드 중계상의 배만 불리고 있다.

보안의 주요한 핵심 중 하나는 방어거점 축소에 있다. 물리적 망분리는 사용자 PC마다 방어를 해야 한다. 그만큼 내부통제에 어려움을 겪을 수밖에 없다. 우리의 분단 현실을 감안할 때 역시 유사시 정보 보안을 위해선 단일구역방어체계가 더욱 시급하다.

우리가 망분리에 발목이 잡혀 있는 동안 세계 IT는 클라우드와 모바일 산업을 괄목상대하게 발전시켰다. 교육부문에서도 일본은 12개 교과서 회사들이 디지털교과서 컨소시엄(CoNETS)을 결성해 가상화 보안을 기반으로 서비스를 개시했으며, 대기업뿐 아니라 중소기업(SMB)시장에서도 클라우드 서비스가 일반화돼가고 있다.

보안을 위해 클라우드를 사용하는 나라와 PC 두 대(하드웨어)를 이용해서 단절을 하고 다시 통합(소프트웨어, 망연계)을 하고도 개인 정보 유출이 들끓고 있는 우리와 비교했을 때 과연 미래 IT 헤게모니는 누가 쥐게 될지 뻔한 일이다. 다소 개혁적으로 보일 수 있겠으나 ‘망분리’라는 용어나 개념 자체가 사라져야 한다고 주장하고 싶다.

세계 IT 전문가들의 지탄은 차치하더라도 한때 세계적 국가 전산망을 기반으로 전자정부 수출을 천명하던 우리였는데 이제는 PC와 OS를 수차례 중복 구매하라는 현상을 어느 나라에 권할 수 있는지 돌이켜 봐야 한다.

스프링 벅(Spring Buck)이라는 아프리카 영양은 이유와 방향을 모르는 채 한 마리가 더 좋은 풀을 위해 달리기 시작해서 운 나쁘게 절벽에 다다르면 속도에 못 이겨 추락하는 것을 집단 자살하는 것으로 오인하게 만든다. 우리의 모습이 이와 흡사하지 않다고 누가 장담할 수 있을까.

우리가 보안이라는 거대 담론에 대해 ‘분리’라는 소박한 잣대를 들이대지 않았다면 피해자를 조금이라도 덜 양산하지 않았을지 반성해야 할 시점이다.

최백준 틸론 대표 kjun@tilon.co.kr