정보 보안 부문에 있어서 온라인 상 의 위협과 해커들에 대한 광범위한 정보 공유를 통해 모든 인터넷 사 용자들의 보안이 강화될 것으로 생각하는 전문가들이 많다. 그러나 실제로는, 주요 공 격 목표의 대상이기도 하면서 또한 온라인 상의 위협과 해커들에 대한 정보를 수집하 는 국가 정부와 민간 부문 기업의 목표는 서 로 상충되는 경우가 많다.
미국 퍼듀 대학교의 컴퓨터 공학과 교수인 유진 스패포드(Eugene Spafford)는 정부와 기업 모두 자신들이 만든 장애물 때문에 곤 경에 처하게 된다고 말했다. "정부는 (정보) 공개를 원하지 않는 경우가 많습니다. 정보 출처와 수집 방법이 노출될 것을 우려하기 때문이지요. 따라서 기업에 대한 해커의 공 격을 정부가 감지했다고 하더라도 몇 달 또 는 몇 년 동안 그대로 두는 경우가 많은데, 이것은 공격 방법에 대한 정보를 수집하기 위한 것입니다. 이후 해당 기업에 피해 사실 을 통보합니다."
“ 공공 부문과 민간 부문 사이의 정보 공유를 어렵게 하는 가장 일반적인 문제는 기대 수준 조율입니다.”
에릭 데 용
FOXCERT, 사이버 범죄 전문가
입법 활동
이러한 장애물을 해결하기 위해 미국의 입 법가들은 "사이버 정보 공유법" 도입을 둘러 싼 논쟁을 벌이고 있다. 이 법안에서는 사이 버 공격에 대한 정보를 정부와 기업이 쉽게 공유할 수 있도록 하고 있다. 그러나 사이버 정보 공유법은 미국 국가안보국(NSA)의 감 시 프로그램의 범위에 대해 폭로한 내부고 발자로 인해 입법에 어려움을 겪고 있다.
스패포드 교수는 "사이버 정보 공유법을 통 해 많은 정보를 수집할 수는 있지만, 결과적 으로 범죄자와 사이버스파이의 좋은 먹잇감 이 될 가능성이 있습니다"라고 지적했다. 또 한 중요한 개인정보보호 원칙 가운데 하나 는 수집된 정보의 범위와 보관 기한을 제한 하는 것입니다. 그러나 사이버 정보 공유법 에는 이런 내용이 빠져 있습니다.
네덜란드의 보안서비스회사 FoxCERT의 사 이버범죄 전문가인 에릭 데 용(Erik de Jong)은 공공 부문과 민간 부문 사이의 정 보 공유를 어렵게 하는 가장 일반적인 문제 는 기대 수준 조율이라고 말했다. 그는 네덜 란드 정부가 정보 공유의 중요성에 대해 강 조하고는 있지만 실제로 민간 부문과 공유 하는 사이버 관련 정보는 제한적이라고 꼬 집었다.
"의지가 없어서 이런 결과가 나왔다고 생각 하지는 않습니다. 오히려 관련 법이 불분명 한 탓이라고 봅니다. 정부에서는 정보를 공 유해야 한다고 주장하지만, 정작 필요한 시 점에 정부가 제공한 정보는 민간 기업의 기 대에 못 미치는 경우가 많습니다.
에릭 데 용은 "보다 안전한 인터넷," 그리고 " 보다 안전한 디지털 사회"를 만들기 위해 정 보를 공유하자고 말하는 것은 쉽다고 했다. 그는 이것이 정부의 일차적인 관심일 수는 있어도 대부분의 민간 기업의 입장에서는 기껏해야 이차적인 관심에 불과하다고 생각 한다.
에릭 데 용은 "민간 기업이 일차적인 관심사 에 대해 명백하게 밝히는 경우도 드물고, 정 부 또한 여기에 대해 진지하게 고려하지 않 는 것 같습니다"라고 말한다. "양측 모두가 서로 일차적인 관심사가 다르다는 것을 인 정하는 것이 한층 공정하고 효과적일 것이 라고 생각합니다. 그래야 각자가 할 수 있는 일이 무엇인지, 그리고 서로에게 기대해서는 안 되는 것이 무엇인지 알게 될 것입니다".
얼마나 많이 공유할 것인가?
공공 부문과 민간 부문의 정보 공유를 활성 화하려는 입법안이 계류되고 있다는 사실과 더불어, 주먹구구식 사이버 정보 공급 업체 들 때문에 더 큰 문제가 가려져 있다고 주장 하는 사람들도 있다. 바로 '어떤 정보를 누구 와 언제 공유할 것인지 어떻게 알 수 있는 가'의 문제인 것이다.
미국 메릴랜드주에 위치한 보안 연구 및 교 육 단체 SANS Institute의 연구 책임자인 앨 런 팔러(Alan Paller)의 말을 들어보자. "법적 책임 보호, 데이터 익명성, 그리고 비밀 보장 에 대해 지금까지 해왔던 논의의 대부분은 실제로는 정보를 공유하고 싶지 않은 사람 들의 주의를 돌리려는 내용들 뿐입니다. 정 보를 더 많이 공유함으로써 혜택이 돌아간 다거나 정보를 더 많이 공유할 의지가 있다 고 해도, 정말 정보 공유가 필요한 사람들에 게는 별다른 도움이 되지 못할 것입니다. 공 격을 당하는 동안에는 무슨 일이 일어나고 있는지 알기 어렵습니다. 공격이 끝나고 나 서야 사람들이 파묻힐 정도로 데이터가 엄 청나게 많다는 사실을 깨닫게 됩니다.
앨런 팔러는 정부가 사이버 정보 공급업체, 그 중에서도 특히 납세자들이 낸 세금으로 운영되는 정부 계약 건을 통해 막대한 수익 을 올리고 있는 업체들로 하여금 피해 기업 으로부터 핵심 공격 데이터를 많이 찾아내 정부와 공유하도록 강제하는 방법을 동원해 야 한다고 제안한다.
"적어도 미국에서는 여러 기업들이 자사의 데이터 침해에 대응할 수 있도록 수 많은 사 이버-보안 업체들과 계약을 맺고 있습니다. 대부분의 경우, 피해 기업들은 법적으로 이 러한 사이버 보안 업체를 고용해야 합니다. 정부는 피해 기업들에게 보안 서비스를 제 공하는 업체들이 조사한 내용에서 더 많은 메타 데이터를 확보할 권리가 있습니다.
앨런 팔러는 감영성 질환의 확산을 막기 위 해 병원과 의사로부터 정보를 수집하는 미 국 질병통제센터가 사이버보안 협력 부문에 있어서 참고해볼 만한 유용한 모델이 될 수 있다고 말했다. 이런 시스템에서는 특정 업 체에게 사이버 사고를 처리할 수 있는 자격 을 부여해 해당 업무를 맡기는 형태를 띠게 될 것이다. 보안을 침해 당할 위험성이 높은 기업은 반드시 자격을 갖춘 업체를 활용해 보안을 강화하도록 법적으로 규제하고, 이들 이 수집한 세부 정보를 정부와 공유하도록 규제한다면 개별 데이터의 유출 위험 없이 보안 문제를 해결할 수 있을 것이다. ◆
