암진단의 혁신과 IT보안의 문제

암진단보다는 쉬운데 해결되지 못하는 문제에 대해

이 이미지를 보면서 정말 많은 생각이 들었다.

과거부터 내가 있는 IT보안 분야에 대해 예를 들던 이야기가 실제로 나오니 여러 생각이 교차한다.

암 검사를 받기 위해 일정을 잡고 조직을 떼내어 검사를 하고 그 결과를 알기까지 또 며칠을 기다려야 한다. 즉 일상적인 업무는 불가능한 상태가 된다. 그런 불가능의 영역을 이젠 간단히 지나다가 들러서 판단할 수 있는 상태가 되었다.

보안 분야에서 암이라고 하면 취약성을 들 수 있다. 서비스에 존재하는 취약성이 곧 암이라고 할 수 있다. 지금껏 이 암을 찾기 위해 해 오던 일들은 암 검사와 다를 바가 없다. 일정을 잡고 전문가가 대기하며 서비스가 한가한 시간에 며칠이고 하나하나 분석을 해서 문제가 있는 지를 체크한다. 이런 게 지금까지 암과 같은 취약성을 찾아내는 진단 서비스였다. 물론 더 오랜 기간의 수정 확인과 반복된 이행 점검은 덤이다.

정상적인 서비스 운영을 할 수가 없기에 그 운영과 장애, 인력, 비용의 손실은 더 물을 필요가 없다. 서비스는 자주 변경되고 개편되는데 그때마다 하는 것은 더더욱 불가능한 영역이 된다. 그렇기에 일 년에 1~2회 정도 심사 일정에나 정해진 서비스 몇 개를 대상으로 하여 진단하는 것이 기본이 된 지 오래다.

비용도 비싸고 시간도 오래 걸리는데 장애 발생 가능성까지 있는 위험을 감당할 곳은 많지 않다. 그래서 대부분의 암과 같은 취약성은 걸러지지 않은 채 여기저기 누적이 되고 만다. 인간의 신체를 대상으로 본다면 서비스의 범위는 개별 서비스로 한정될 수도 있지만 기업이라면 DMZ zone에 연결된 모든 서비스가 하나의 신체가 된다. 이 많은 서비스들 중에 하나의 암과 같은 취약성이 존재한다면 확산되어 전체를 못쓰게 만들기도 한다. 랜섬웨어에 왜 걸리겠는가? 개인 PC가 걸리는 것을 넘어서 기업의 서비스 전체가 중단되는 상황은 다른 관점에서 보아야 한다.

공개적으로 서비스 중인 모든 서비스에 대해 항상 암과 같은 취약점이 없도록 신체를 점검하고 수정해야 하지만 실상은 불가능한 영역이다. 취약점을 노리는 공격은 초 단위로 쏟아져 들어온다. 통계에 의하면 하나의 서비스가 받는 공격은 한 달에 260억 건 이상의 공격이 발생된다 한다. 방치된 취약점은 그 즉시 도구로 이용되는 상황이다. 본질은 암을 제거하여 신체를 건강하게 만들어야 하지만 보조 도구를 덕지덕지 붙여서 연명하는 상태라 해야 하고 또 새로운 공격이 나오게 되면 또다시 제로가 된다. 악순환이 계속 반복되는 상황이 현재 웹 애플리케이션 서비스의 상황이라 할 수 있다. 본 서비스 보다 더 많은 보조 도구를 착용한 것을 상상해 보라. 지금 서비스들이 그렇다. 근본을 해결하지 못하니 자꾸 새로운 도구들을 더 착용하라 하는 상태는 오래가지 못한다.

웹은 공공의 서비스를 위해 오픈되는 영역이다. 암과 같은 취약점은 해결이 되어야만 안심할 수 있는 영역이기도 하다. 이 것은 방문자를 위해서도 필요한 것이며, 이젠 기업 전체의 문제이기도 하다. 문제는 오래전부터 계속되어 왔지만 신체의 문제가 생기기 전에는 쉬쉬 하고 외면하는 것이 일상이었다. 방문자들에게 문제가 생기는 것은 모른 척하는 것도 그랬고. 서비스 방문자들에게 문제를 일으켜 수익을 창출하는 단계가 2010년대의 트렌드였다면 2020년대에는 신체 전체를 감염시켜 서비스를 위협하는 형태가 대세로 자리 잡고 있다.

이젠 서비스 내부에 존재하는 암과 같은 취약점을 무시할 수 없는 상황에 이르고 있다. AI와 Data를 이야기하고 서비스하는 모든 곳들도 동일한 상황에 직면해 있다. 왜 해외 기업들이 천문학적인 비용을 들여 보안 기업들을 인수하고 서비스로 이용하거나 내부 보안에 비용을 들이는가? 그만큼 하나의 틈이 모든 것을 무너뜨릴 수 있다는 것을 알기에 그런 것이다. 해외도 거대 기업들이나 그걸 할 수 있는 것이고 그 이외의 기업이나 기관들도 국내와 별반 다를 바가 없다.

자 정리하면 보안 산업은 기술의 발전을 따라가지 못했고, 시대는 기다려 주지 않았다. 문제는 계속 누적되고 발전되어 전체를 위협하는 상황에 이른 것이 현재라고 할 수 있다.

그동안의 암 진단 기술처럼 일상을 멈추고 입원해서 검사를 하고 수술을 해야 하는 상황은 절대로 서비스 산업에서는 받아들일 수 없는 일이다. 더군다나 하루에도 몇 번이나 변화하는 서비스 영역에서는 암과 같은 취약점을 전통적인 방식으로는 절대로 해결할 수 없다. 이 것은 전 세계 모든 서비스가 동일하다. 그래서 아주 극소수만 엄청난 비용과 노력을 들여 해결하고 있고 그 이외 99%에 해당하는 대부분의 서비스들은 방치된다.

적은 비용에 장애 없이 , 매우 짧은 시간 내에 암과 같은 취약점을 찾아내지 못한다면 현재의 문제는 계속될 것이다. 혁신이란 그런 것이다. 아래 피 몇 방울로 암을 진단하는 기술이 대 변혁이듯이 기술의 혁신은 현재의 문제를 변화에 맞게 해결해 주는 것이 혁신이다.

혹자는 말한다. EASM으로 대응하면 되지 않느냐고 핵심은 EASM은 노출된 자산을 찾는 것이고 DAST는 기존과 같이 정밀하게 자산의 문제점을 찾는 것이다. 둘 다 한계가 명확하고 현재의 서비스가 안고 있는 문제 해결에는 부족함이 있다. 이건 조만간 정리하겠다.

무려 20년 전부터 이 문제의 본질에 대해 이해하고 지금껏 개선을 위해 노력을 해왔지만 이젠 정말 차원이 다른 길을 고민해야 할 때라고 생각한다. 지금까지 이런 고민을 하는 사람들이 남아 있는지는 모르겠지만 세상 그 누구보다 치열하게 많이 고민한 사람으로서 내는 의견이라 생각하면 좋겠다.

이 문제의 심각성을 알고 있었기에 과거 창업한 회사를 통해 국. 내외 400만 개 이상의 웹 서비스를 모니터링하고 구조 분석을 통해 대량 감염을 모니터링하는 PCDS ( Pre Crime Detect Svc) 서비스를 만들기도 했다. 그리고 오랜 기간 운영해 보았기에 그 누구보다 현실의 위험에 대해서 알고 있다고 자부한다.

-이상 30년을 방망이 다듬는 노인이 바다란 곳을 바라보며..