탑재와 순응, 장사꾼들의 뻔뻔한 말장난
정보보안 업계의 기업활동, 특히 홍보, 힘들다. 상품 특성상 고객의 정체를 밝히지 못할 때가 많다. 상도 기본에 위배된다. 여기저기 많이 팔았다고 막 자랑하고 싶은데, 그렇게 대놓고 자랑을 해야 더 잘 팔릴 텐데, 그럴 수 없다. 홍보 담당자에겐 완전 뻘밭.
사실 고객 정체를 밝힌다더라도 달라질 건 없다. 어떤 제품을 사용한다는 사실이 알려진다고 해서 더 위험해지거나 하진 않으니까. 만약 위험해진다면 그건 제대로 돼먹은 물건이 아니다. 하지만 괜히 관심 집중 당해 “그렇다면 어디 내가 한 번 뚫어 봐?” 더 많은 공격을 유발할 가능성이 아주 없진 않으니 완전히 그릇된 관행은 아니다 싶고.
그러니 이래저래 입장 난처할 때가 많다. 언젠가 어느 외국 정부의 IT 인프라 구축 사업에 정보보안 분야로 참여했다는 사실이 어쩌다 자의 반 타의 반으로 세상에 알려져 해당 국가 대사관까지 찾아가 허리 숙여 사과했던 적도 있다. 앞서 말했듯 알려졌다고 해서 뭐가 막 뚫리고 터지고 국가안보가 위협받고 그런 것도 아닌데도. 어째 좀 억울하다? 아니, 정보보안이란 게 애초에 그렇고 그런 일인 것이다. ‘보안’이란 말 자체의 엄중함. 그 뜻을 이토록 엄하고 중히 여기는데도 종종 도매금으로 가볍게 취급 당하면 사실 속이 좀 쓰리다. 뭐 어쨌거나,
고객의 정체를 비밀에 부치는, 즉 조용히 사고 조용히 파는 관행의 여파가 홍보의 곤란함 정도로만 그친다면 그냥 혼자 투덜투덜 끙끙 앓으면 그만이다. 하지만 그러한 암암리 와중에 상황이 꼬이고 꼬여 정보보안 본연의 위험성이 높아지기도 하니 강 건너 불 보듯 방관할 수는 없는 일이다. 상도상 비밀의 맹점을 노리는 편법 상술이 창궐하고 그 결과 국가적 차원의 정보보안 허점이 점점 커지는데도 이를 딱 잘라 명쾌하게 지적하기 참 애매할 때, 상당히 곤욕스럽다. 이 뻔한 문제를 도대체 어떻게 매끈하게 이야기할 것인가.. 그래도 어디 한 번, 시도해 보자.
국가 및 공공기관의 보안적합성 검증 제도
다른 모든 나라가 비슷한 제도를 운영하듯, 우리나라의 국가 및 공공기관은 전산 시스템을 구축할 때, 국가정보통신망의 보안수준을 제고하고 외부의 위협에 대응하기 위한 취지의 ‘전자정부법’에 의거해, ‘보안적합성’ 검증을 통과한 제품만을 이용해야 한다. 짧고, 명쾌하다. 룰을 잘 지키기만 하면 별 문제 없어 보인다. 보다 자세히 살펴보자.
어떤 시스템의 보안성이 충분한지 검증하는 일은 대략 아래 3단계 절차로 나눌 수 있다.
1. 안전한 장치를 도입한다.
2. 안전한 장치를 잘 엮어 안전한 시스템을 구축한다.
3. 안전한 시스템을 안전하게 잘 쓰고 있는지 점검한다.
뻔한 소리 같지만 상당한 고민에 따른 깔끔한 방법이다. 일반적인 민간 기관 및 단체에 적용하더라도 꽤 적절한 감사 절차다. 부서별 업무 특성에 따른 보안성 점검 등급 등 보안정책으로도 정리 가능하겠고. 그런데 국가 및 공공기관에겐, 이는 ‘의무’다. 관련 법에 따른 규제이므로 무조건이다. 따라서 보안적합성 검증 제도 또한 위와 같은 단계로 정리되어 있다. 1단계부터 살펴 보자.
어떤 장치가 안전한가? 우선 정보보안 모든 분야에 걸쳐 가장 중요한 핵심본질 요소인 ‘암호모듈’은 국정원 암호모듈 검증제도를 통과한 제품들의 목록이 이미 있다. 해당하는 제품을 사용하면 된다. 여타 분야에 대해서도 각 분야마다 ‘CC인증’ 등 정부가 인정한 검증제도를 통과한 제품들의 목록이 또 따로 있다. 역시 해당하는 제품을 사용하면 된다. 그리고 그러한 제품을 도입했다는 ‘도입확인서’를 제출하고 관장기관인 ‘국가사이버안전센터’로부터 검증을 받거나, 인증 종류에 따라 검증 절차를 면제받고 통과되는 경우도 있다.
안전한 장치를 도입했는지 체크, 문제 없음, 통과! 여기까지는 모든 기관에 해당한다. 이후 그 안전한 장치를 서로 잘 엮어 안전한 시스템을 구축했는지, 이어서 그 안전한 시스템을 일상적으로 안전하게 운용하고 관리하는지에 대한, 그러니까 ‘도입확인서’ 검증 단계 이후 2.와 3.단계에 대한 점검의 엄격성은 해당 기관의 국가적 중요성이나 취급하는 정보의 치명성 등에 따른 체계에 따라 차등적으로 적용되는데,
장사꾼들은 바로 이 점을 노린다. “이걸로 1.단계만 대충 통과하면 됩니다!” 물론 그렇게 대충 넘어갈 리가 없다. 기관의 전산관리자와 보안관리자가 특히 유의해야 할 지점이다. 살펴보자.
‘탑재’와 ‘순응’
“이 제품은 국가기관의 암호모듈 검증제도를 통과한 모듈을 탑재하여 관련 규제에 순응합니다.”
주로 외국산 데이터베이스 장사꾼들의 흔한 주장이다. 결론부터 말하자면, ‘탑재’했다고 볼 수 없고 규제에 ‘순응’하지 않는다.
사전적 의미로 ‘탑재’란 배, 비행기, 차 따위에 물건을 싣는 일을 말한다. 그렇다면 탑재했다고 우길 수 있다. 하지만 어떤 시스템에 어떤 모듈을 삽입하고 해당 함수 한두 개 심어 두는 일을 가리켜 ‘탑재’라 우기는 건 무리한 말장난이다. 대개 대학교 연구실에서 만들어 파는 모듈을 ‘탑재’하는데, 산학협력의 명분 내세워 공익성 협업인 척하지만 실은 비용절감 목적이다. 학교가 파는 모듈이 싸니까. 해당 모듈을 살펴보면 장착한 데이터베이스의 암호화 방식에 부합하지도 않고, 심지어 특정 운영체제에서만 돌아가는 모듈인 경우도 있어 아예 동작이 불가능한 상황도 발생한다. 물론 그런 불리한 말은 절대 안 한다.
설령 좋은 뜻으로 기업과 학교가 “우리 함께 힘을 합쳐 보다 안전해져 볼까?” 그랬다고 치자. 그리고 규제 따위는 속된 말로 ‘어른의 사정’일 뿐이라 실제 안전함과는 무관하다고 치자. 자 그럼 그런 데이터베이스는 안전한가? 아니, 전혀 그렇지 않다.
어떤 데이터베이스에 외부 암호모듈을 탑재해 연동하기란 결코 쉬운 일이 아니다. 대량의 소스 수정이 필연적이라 시간과 노력이 많이 들고 숱한 오류와 그에 따른 시행착오의 비용이 매우 큰데, 그 부담스러운 작업을 해당 데이터베이스 해외 본사에서 허락했을지부터 의문이다. 그랬다 하더라도 외부 모듈은 그 회사의 정식 제품이 아니므로 문제가 발생한 경우의 대처, 아니 일상적 유지보수부터 제대로 이루어질 수가 없다.
만약 사고가 터졌다고 치자. 그럼 그 문제는 암호모듈의 문제인가 아니면 데이터베이스의 문제인가? 지속가능성까지 고려해 이 관계를 제대로 정의하려면 유지보수 및 고객지원 계약서의 두께가 어마어마할 것이다. 따라서, 암호모듈을 삽입했다 하나 실제로는 이 모듈을 사용하지 않을 가능성이 높고, 만약 사용한다고 하더라도 문제발생 가능성이 높고 유지보수를 어떻게 할 건지 엄두가 안 나는 일이다.
게다가 이는 위 2번 ‘안전한 시스템 여부’와는 완전히 별개의 문제다. 하지만 외국산 데이터베이스 장사꾼들은 1.에 대해서만 이야기하고 2.와 3.은 아예 언급하지도 않고 물론 책임지지도 않는다.
근데 궁금한 건, 도대체 이런 짓을 왜 하는가?
자기네들 제품으로는 한국 정부의 보안적합성 검사를 통과할 수 없기 때문이다. 그러니 검사를 통과한 모듈을 슬쩍 삽입해 규제에 ‘순응’한다고 주장하는 것. 실제로 암호모듈을 구입한 영수증을 마치 인증서인 것처럼 내밀기도 한다. 물론 이는 소비자 기만행위다. 그리고,
‘순응’이란 환경이나 변화에 적응하여 익숙하여지거나 체계, 명령 따위에 적응하여 따른다는 뜻이다. 과연 그런가? 검사 받은 모듈을 삽입한 제품은 덩달아 검사를 통과한 게 되는가? 사실 너무나 뻔뻔한 주장이라 뭐라 길게 풀어 쓰기도 민망하니까 그냥 IT 보안인증을 담당하는 기관의 입장을 들어보자.
“해당 대학교가 받은 인증은 라이브러리형 암호모듈로서, 정보보호 제품에 사용할 경우 별도의 정합시험이 필요하다. 외산 벤더가 국내 대학교와 암호모듈 사용계약을 하는 것은 민간 차원의 협력이기에 인증사무국 소관이 아니지만, 해당 협력이 인증에 대한 소유권 이전을 의미한다고 주장한다면 이는 재검증을 받아야 하는 대상이 된다.”
..라고 말한다. 간단히 말해, 인증 받은 모듈을 삽입했다고 해서 그 제품까지 덩달아 검사를 통과한 게 되는 건 아니라는 뜻이다. 그 제품이 진짜 안전하게 동작하는지는 새로 검증을 받아야 한다. 해당 암호모듈의 인증 명세서를 문장 그대로 Ctrl+C/Ctrl+V 해 봐도 “라이브러리형 암호모듈로 정보보호제품에 사용시 별도 정합시험 필요”라고 뻔히 적혀 있다. 당연하잖
아,, 그런데도 왜 이런 꼼수가 횡행하는가?
앞서 말했듯 ‘공공기관’의 정의에 다소 애매한 영역이 있다. 개인정보를 많이 취급한다고 해서 엄격한 보안 감사가 필수인 기관으로 분류되는 것도 아니고, 원론적으로는 공공기관이지만 서류상으로는 공공기관이 아닌 경우도 있다.
그런데 만약 해당 기관에서 정보보안 사고가 발생하게 되면? 그땐 “원론적”으로 따지게 되어 있다. 원론적이라 함은, 지금은 업자들의 허위과장 눈속임에 자칫 속아 넘어가더라도, 이후 상황에 따라 2. 그리고 3.단계로 넘어가는 상황이 벌어지면, 즉 사고 터지면 싹 다 털린다는 뜻이다. 그리고 앞서 말했든 애초에 1.단계도 통과할 수 없고.
아니, 사고발생과 책임추궁까지 거론한 것도 없이 “원론적”으로, 위기관리의 목적은 절차 귀찮고 복잡해서 대충 미봉책 동원해 상황을 모면하기 위한 게 아니라,
위기를 관리하기 위함이다.