개인정보유출을 포함한 각종 데이터 유출 공격에 대응하기 위해서는 공격자들이 시스템을 뚫기 위해 생각한 것보다 훨씬 비싼 비용을 치르도록 해야 합니다.
13일 서울 안암동 고려대학교에서 개최된 '카스퍼스키 아카데미 사이버 시큐리티'에서 연설을 맡은 유진 카스퍼스키 카스퍼스키랩 최고경영자(CEO)는 개인정보유출사고에 대응하기 위한 최선책은 공격을 어렵게 만드는 것임을 강조했다.
최근 미국 대형마트 타깃이 대형 개인정보 유출 사고로 휘청거리고 있는데 국내도 카드사, 이통통신회사 등을 노린 개인정보유출사고가 끊이지 않고 있다.
카스퍼스키 CEO가 들고 나온 해법은 공격자들의 공격 의지를 꺾어버리는 것이었다. 대부분 해커들이 정치적인 목표보다는 금전적인 이익을 위해 해킹을 감행하는 만큼, 수익을 내지 못하도록 근본적인 대비책을 마련해야 한다는 것이다.
그는 아무리 뛰어난 암호화 알고리즘이라도 언젠가는 해독이 가능하고, 데이터 유출 역시 마찬가지라며 암호를 풀거나 시스템을 해킹해서 얻는 혜택보다도 공격 자체에 들어가는 비용이 더 높아야만 한다는 것이 보안의 기본 원칙이라고 설명했다. 그런만큼, 투자대비효과(ROI)을 낮게 만들어 공격 자체를 비싸게 하는 것이 필요하다고 거듭 강조했다.
카스퍼스키 CEO는 공격자의 ROI를 낮추기 위한 디테일에 대해서는 많이 언급하지 않았다.그는 또 전 세계를 대상으로 한 공격을 막기위해서는 국가 간 협력이 필수라고 강조했다. 사이버 무기가 전 세계로 확산되고 있는 만큼, 핵심기반시설보호(CIP)에 대한 국제적인 협약이 필요하다는 것이었다.
스턱스넷, 샤문 등은 국가단위에서 개발한 정교하고 복잡한 악성코드들로 이뤄진 사이버 무기다.
카스퍼스키 CEO에 따르면 이런 무기들은 본래 목표로 했던 곳 이외에도 수천개 PC를 파괴하는 등 다른 피해자를 만들어낸다는 점에서 심각하다. 더구나 미사일, 생화학 무기 등 물리적인 무기와 달리 사이버 무기는 누구나 손쉽게 작동법을 알 수 있고, 복사-붙여넣기 만으로도 확산될 수 있어 파괴력이 크다.
이를 해결하기 위해 그는 화학무기를 금지하듯이 사이버 무기도 국가들 간 논의를 거쳐 확산방지조약을 마련할 필요가 있다고 강조했다.
관련기사
- 31개국 주요 기관 노린 대형 악성코드 '마스크' 발견2014.03.13
- "러시아 핵발전소도 스턱스넷 감염됐다"2014.03.13
- 국내 방산업체 노린 해킹조직 발견2014.03.13
- 美 사이버무기 개발 본격화...'플랜X' 발동2014.03.13
그러나 국제적인 공조는 이제 막 시작단계에 들어선 것으로 보인다.
카스퍼스키 CEO는 사이버 보안 위협이 전 세계적으로 확대되고 있으나 기업보다도 정부 차원에서 대응은 한참 느린 수준이라고 지적했다. 10여년 전에 국제형사경찰기구(인터폴)에 제안했던 사이버 범죄대책에 대한 논의가 최근에야 구체적인 움직임을 보이고 있다는 것을 예로 들었다.
