암호화 대책의 딜레마
전 세계에 걸쳐 많은 보안업체들이 있고 그보다 더욱 많은 수의 다양한 보안설루션들이 개발되어 판매되고 있는 요즘이다. PC, 서버, 네트워크, DB, 무선 등 IT기기가 활용되는 거의 모든 영역에 보안제품이 도입되어 있다. 쉽게 말해 IT가 있는 곳이면 반드시 보안도 존재한다.
혹시 그 많고도 많은 보안설루션 중에 가장 강력한 보안제품이 무엇이냐고 물어본다면 많은 수의 보안담당자들은 암호화 제품을 꼽지 않을까 생각된다. 암호화라는 것의 특성이 그렇다. 원본 그대로가 아닌 알아볼 수 없도록 기술적으로 가공된 형태로 존재하도록 함을 의미하기 때문이다. 따라서 암호화가 적용되었다면 왠지 안전할 것이라는 믿음을 주는 것이다. 암호화가 적용되었다면 설사 해커가 훔쳐가더라도 무용지물이라고, 설사 해커가 훔쳐보더라도 그 내용을 알 수 없다고 생각하는 것이다. 오랫동안 IT분야와 보안분야에서 근무해 온 나도 그렇게 생각했다.
하지만 언제부터인가 생각이 조금씩 바뀌기 시작했다. 아마도 컨설팅을 그만두고 보안책임자로서 기업의 현장업무에 대한 보안을 직접 책임지게 되면서 시작됐던 것으로 기억된다. 대부분의 기업들이 DB암호화를 적용했음에도 고객정보는 계속 유출되고 있고, 문서 암호화를 적용했음에도 문서 역시 지속적으로 유출되고 있고, 암호화 통신을 함에도 고객의 ID/Password 역시 계속 노출되고 있다는 사뭇 기대와는 다른 상황을 현장에서 직접 몸으로 체감하면서 말이다.
무언가 문제가 있었다. 큰돈을 들여서 기업들이 구축한 보안설루션들이 효과를 발휘하지 못하고 있음에는 뭔가 근본적인 문제가 있음이 틀림없었다. 관련 법들도, 관련 인증체계들도 간과하고 놓치고 있거나 알아도 손을 대지 못하고 있는 그 무언가가. 그 무언가가 보안설루션들이 효과를 발휘하지 못하게 만들고 해커가 지속적으로 침해시도를 할 수 있도록 만들고 있는 것이다.
그것이 무엇인지 깨닫는 데는 그리 오랜 시간이 필요하지 않았다. 모든 것들이 바로 눈앞에 존재하고 있었기 때문이다. 알면서도 눈 감고 간과하고 있었던 불편한 진실들이 거기 바로 눈앞에 있었다.
힘들게 DB를 암호화해도 해커에게는 무용지물이었다. 사실 해커는 거대한 크기의 DB를 힘들게 가져갈 생각이 애초부터 없었다. 작게는 수기가에서 수백 기가 때로는 수테라까지도 이르는 크기의 DB를 빼내는 건 애당초 불가능한 일에 가까웠기 때문이다. 대신 해커는 영리하게 개인정보 처리시스템에 접속하는 개인정보 취급자를 공략해 정보를 빼내는 방법을 선택했다. 제 아무리 DB에 암호화되어 있어도 처리시스템을 통해 정보를 취급하는 취급자에게 보일 때는 복호화되어 보일 수밖에 없다는 맹점을 노린 것이다. 취급자의 PC를 통해 원문으로 복호화된 정보들을 캡처하거나 다운로드해 외부로 빼내는 것은 DB서버를 공략해 외부로 빼내는 작업에 비하면 너무나도 쉬운 일이었다. 이 경우 DB 암호화는 무용지물이다.
힘들게 문서 암호화를 적용해도 해커에게는 무용지물이었다. 사실 기업이 보유하고 있는 많고도 많은 디지털 문서 중 암호화를 통한 보호가 필요할 정도로 중요한 문서는 아주 소수에 불과하다. 하지만 그 소수를 식별하기 어렵다는 문제로 인해 많고도 많은 전체 문서에 암호화를 적용하고 있는 것이 현실이다. 그렇다 보니 외부업체와의 미팅을 위해, 메일로 외부에 전송하기 위해, 회의를 위한 출력의 목적으로 등등 문서 암호화가 무기력해지는 다양한 상황들이 발생한다. 이 경우 문서 암호화는 무용지물이다.
힘들게 고객의 ID/Password를 암호화해도 해커에게는 무용지물이었다. 현재 인터넷 통신선을 타고 흐르는 ID/Password를 암호화하고, DB에 저장되는 Password를 암호화해 해커로부터 보호하고 있다. 하지만 해커는 힘들게 통신선을 타고 흐르는 내용을 훔쳐보고 복호화하고자 애쓰지도 않았고, DB에 저장된 암호화된 Password는 힘써서 훔쳐봐야 쓸모가 없음을 알고 있었다. 해커는 손쉽게 기업의 보안이 닿지 못하는 영역인 고객의 PC를 장악하는 방법을 선택하면 그만이었다. PC에서는 고객의 ID/Password가 암호화되지 않은 채로 키보드를 통해 날것으로 입력되고 있었고, 이 정보를 훔쳐 고객인양 대신 로그인하면 그만이었다. 이 경우 ID/Password 암호화는 무용지물이다.
실제 보안조직이 직면하고 있는 기업 현장에서 대표적 3대 암호화 정책이라고 볼 수 있는 DB암호화, 문서암호화, 통신암호화는 기대했던 것만큼 해커의 정보유출 시도에 대한 예방효과를 발휘하지 못하고 있다. 암호화 자체를 무용지물로 만들 수 있는 우회방안들이 존재하고 있기 때문이다. 해커가 어떤 방식을 더 선호할지, 어떻게 생각하고 행동할지를 고민하고 예측한 내용을 토대로 정책을 만들고 설루션을 개발한 것이 아니기 때문에 나온 딜레마들이다.
혹자는 말한다. 안 하는 것보다는 낫지 않겠냐고. 하나마나한 소리다. 기업은 돈을 벌기 위한 조직이고 보안 투자 역시 기업에게는 비용 투자다. 도입으로 인한 충분한 효과성이 검증되지 않는다면 과잉투자이자 낭비가 된다. 어쩌면 기업의 최고 경영진들이 지금까지의 보안투자를 과잉투자요 낭비로 인식하고 있을지도 모르는 일이다.
아직도 암호화를 하면 안전하다고 생각하는가? 잊지 마라. 암호화는 만능이 아니다.