[TE머묾] 신원 보호, 왜 발전 없나?

해킹 사건이 갈수록 많아지는 듯해도, 사이버 보안의 발전 속도를 느리다고 할 수 없다. 성과도 대단하다. 보안 전문가들이 보이지 않는 곳에서 수없이 노력했기 때문에 이제 우리는 인공지능을 기반으로 한 위협들을 점점 잘 탐지하고 있고, 클라우드 아키텍처에서의 공격 방어도 능숙해지고 있으며, 각종 새로운 공격 전략도 실시간에 가깝게 분석할 수 있다. 그런데 왜 공격을 막지 못하는 걸까? 공격자들이 더 빠르게 발전하고 있어서? 틀린 답은 아니지만, 너무 광범위하고 추상적이다. 좀 더 구체적으로 말하면 우리가 아직 ‘신원 보호’를 제대로 하지 못하고 있어서이다.

최첨단 슈퍼컴퓨터들과 손 꼽히는 브레인들과 완벽에 가까운 솔루션들로 구성된 클라우드 생태계를 예로 들어 보자. 지구에서 첫 손에 꼽히는 기업들이 앞다투어 개발해 유지하고 있는 클라우드 인프라는, 실제로 얼마나 단단한지 뚫리는 경우가 거의 없다. AWS를 외부에서부터 뚫고 들어간 사례가 있는가? MS 애저는 어떤가? 구글 클라우드는? 적어도 이들 생태계에서 발견된 보안 구멍을 비집고 들어가 내부에 저장된 것들을 긁어가지고 나온 이는 아직 없다.

그렇다면 공공 클라우드는 안전한 환경일까? 그렇지 않다. 공격자들은 종종 이런 클라우드에 진입해 사용자 데이터를 빼돌리며, 심지어 테넌트 사이를 오가며 뚫리지도 않은 사용자들에게 피해를 입히기도 한다. 어떻게? 이런 사건들의 대부분은 사용자로부터 시작된다. 정확히는, 사용자 로그인 ID와 비밀번호를 공격자가 입수함으로써 마치 클라우드 자체를 해킹한 것과 같은 효과를 가져가는 것이다. 신원 보안 기술이 좀 더 발전했다면, 그래서 계정 탈취가 더 이상 쉽지 않았다면 공공 클라우드는 매우 안전한 환경이 될 수 있다.

최근 HYPR이라는 시장 조사 기업이 전 세계 IT 및 보안 결정권자 750명을 대상으로 진행한 설문에 의하면 절반에 가까운 기업들이 지난 한 해 사이버 보안 사고를 경험했다고 한다. 그런데 그 중 87%가 “신원 보호를 제대로 하지 못했기 때문에” 그랬던 것으로 밝혀졌다. 87%라면 어마어마한 숫자다. 단순 일부 기업들의 실수나 해이로 설명할 수 없다. 시스템 전체의 실패라고 해도 과언이 아니다. 즉, 우리는 신원을 보호하지 못하고 있다는 결론을 내려도 이상하지 않은 수치라는 것이다.

온라인 신원 보호의 핵심, 90년대부터 지금까지도 비밀번호
사실 신원 보호를 제대로 하지 못하는 건 누군가 혹은 특정 산업의 무능으로 결론 내릴 수 없는 현상이다. 아무리 좋은 기술이 있어도, 사용자들이 그것을 채택하지 않는다면 아무런 소용이 없기 때문이다. 현재 ‘신원 보호’ 즉 아이덴티티 보안이라는 분야가 겪고 있는 딜레마가 정확히 이것이다. 다중인증이나 생체 인증, 심지어 비밀번호 관리 프로그램이라는 기술이 존재함에도, 그것을 활용하는 사용자는 아직 극소수에 머물고 있다. 

대부분 사용자들은 ID와 비밀번호 입력창에 뭔가를 빠르게 타이핑 함으로써 로그인 하는 오래된 행동을 버리지 못하고 있다. 다행히 모바일 기기와 함께 지문 및 얼굴 인식 기술은 빠르게 보급되는 중이긴 하며, 기업들 사이에서 다중인증 역시 보편화 되는 중이다. 그럼에도 비밀번호를 무의식적으로 선호하는 사용자들의 습관이 사라지고 있는 건 아니다.

비밀번호는 안전하지 않다. 우리가 익숙해서 그렇지, 사실 대단히 불편한 것도 사실이다. 사용 시간이 길어질수록 가만히 둬도 약해지는 특성을 가진 보안 장치이며, 이 때문에 사용자는 주기적으로 새로운 문자열을 굳이 생성해 암기해야만 한다. 그 틈을 비집고 온갖 해킹 공격들이 성공을 거두고 있다. 어쩌면 ‘익숙하니 변하기 싫다’는 인간의 본성이 뚫리고 있는 것일 수도 있다. MS나 구글 등 내로라 하는 IT 기업의 수장들이 비밀번호 없는 로그인 방식을 전도하려는 것에는 이유가 있다. 

비밀번호, 대체되기는 할까?
비밀번호가 안전하지 않고 불편하다는 메시지는 이미 수년 째 나오고 있다. 하지만 사용자들은 요지부동이다. 얼마나 변화가 없는지, 비밀번호를 없애자는 말을 없애자는 캠페인도 한참 전부터 등장했을 정도다. 비밀번호를 사용자들로부터 빼앗을 수 없어 보이니, 차라리 비밀번호를 상정한 채 신원 보호를 강화하는 방법을 마련해야 한다는 게 그런 캠페인을 벌이는 사람들의 주장이다.

그러면서 한 단계 더 발전한 접근법이 등장했는데, “신뢰를 재정의해야 한다”는 것이다. 한 번 로그인 한 것만으로 옳다구나 신뢰하여 접근 권한을 부여하는 방식 자체를 되돌아봐야 한다는 주장으로, 로그인, 즉 신원 검증을 지속적으로 통과시켜야 한다는 내용을 담고 있다. “한 번 로그인으로 만사해결” 대신 “꾸준한 논스톱 로그인”이 신뢰의 기본 요소가 되어야 한다는 의미다.

이러한 개념을 어려운 말로 ‘제로트러스트(Zero Trust)’라고 한다. 최초 로그인으로 획득한 신뢰를 다음 단계에서는 무효화 한다는 의미, 즉 필요할 때마다 확인과 검증 과정을 거쳐 신뢰를 재획득 하도록 한다는 뜻을 담고 있다. 그러므로 제로트러스트는 특정 기술이나 제품을 뜻하는 게 아니라, 신뢰에 관한 새로운 사고방식이라고 봐야 한다. 한국어로 해석하면 ‘매번 검증’에 가깝다고 할 수 있다. 이를 기반으로 로그인 체제를 바꾸지 않는다면, 클라우드니 인공지능이니 아무리 새로운 기술이 등장한다 하더라도 매번 같은 패턴(즉, 계정 탈취)으로 침해될 수밖에 없다.

기존 신뢰를 위협하는 것들
이렇듯 ‘비밀번호는 안전한 보안 도구가 아니다’라는 문제의식은 ‘기존 신뢰 체제를 대체해야 한다’는 주장에까지 이른다. 그것은 결국 ‘신뢰 체제를 보호해야 한다’는 문제의 본질에 이르게도 한다. 그러한 관점에서 현재 상황을 보면, 우리가 가진 신뢰 체제를 위협하는 것들이 꽤나 많음을 알 수 있다. 비밀번호만이 유일한 위협거리가 아니라는 것이다.

기존 신뢰 체제를 가장 요란하게 뒤흔드는 건 요즘 기준으로 인공지능이다. 딥페이크라고 하는 기술 덕분에 누구나 얼굴과 움직임과 음성을 복사할 수 있게 됐고, 이를 통해 복제된 인물의 표정, 몸짓, 목소리를 가지고 인위적인 발언과 행동들을 만들어낼 수도 있게 됐다. 특정 정치인이 하지도 않은 연설의 영상 녹화본이 돌아다닌 것이 이미 수년 전의 일이다. 누군가 가짜로 정치인의 연설 영상을 만들어낸 것으로, 처음에는 다소 어색해 누구나 합성된 것임을 간파할 수 있었지만 지금은 점점 더 진짜와 같아지고 있으며 위화감이 빠르게 사라지는 중이다. 

이미 사이버 공격자들은 유명 브랜드들이 가지고 있는 신뢰도를 공격에 적극 활용하기도 한다. 유명 기업의 로고를 그대로 가져다 쓴 피싱 이메일이, 해당 기업의 공식 이메일 도메인으로부터 날아온다면, 심지어 그 메일을 받은 사람이 평소 그 기업의 고객이었다면, 속을 확률이 높다. 해당 기업에 대한 신뢰를 악용하는 것이라 할 수 있다. 유명하다는 것, 내가 이미 신뢰하고 있다는 것 자체가 신뢰를 위협한다.

‘매번 검증’의 제로트러스트 도입 위해서는
단지 이메일 로그인을 위해서가 아니라, 지인들을 통해 공유되는 영상과 뉴스거리들을 열람할 때조차 우리는 ‘함부로 신뢰하지 않는다’는 개념을 견지해야 하는 시대다. 속이고 공격하는 자가 가장 나쁜 놈이라는 건 변하지 않지만, 이제는 속아주고 공격 당해주는 쪽에도 어느 정도 책임을 묻는 때라는 것을 기억해야 한다. 해커들이 대기업을 털어 고객 정보가 새나갔을 때, 우리는 해커만 욕하는가? 해당 기업도 시장에서 적잖은 불평을 듣기 마련이다. 심지어 피해 보상과 벌금으로까지 사태가 이어지기도 한다.

이런 현상이 심화될 것이 분명해 보이기 때문에 제로트러스트라는 사고방식이 필수 불가결의 요소가 될 것임 역시 분명하다. 의심병이 도져서 ‘국민병’이 되어야 한다는 것이다. 그렇다고 사회 전체가 온갖 불신으로 가득차야 한다는 건 아니다. 해커 잡자고 불신 사회를 만들 수는 없는 노릇이다.

이 대목에서 보안 업계의 진정한 미션이 정해진다. 이런 ‘매번 검증’의 단계가 물밑에서 자연스럽게, 사용자의 별 다른 개입을 요구하지 않은 채 진행되도록 기술을 고안해야 하기 때문이다.  매번 로그인 창을 띄우면서 비밀번호를 입력해야 한다면, 사용자들은 ‘차라리 해킹 당하고 만다’고 생각하기 마련이다. 보안이 불편해지기 시작한 순간 사용자들은 보안을 포기한다. 

얼굴 한 번 보인 것으로, 음성 한 번 들은 것으로, 비밀번호 한 번 잘 맞춘 것으로 신뢰해버리는 시대는 빠르게 저물고 있다. 대화하면서 상대의 얼굴을 계속 들여다보고 음성을 지속적으로 듣는 것처럼, 온라인 상에서도 로그인이 지속적으로 이어지도록 해야 한다. 다만 그 과정이 불친절해서는 안 된다. 사용자는 자신이 페이지를 넘기고, 특정 데이터를 열람하고, 복사하고, 어디론가 전송할 때마다 자신이 로그인하는 줄도 모른 채 권한을 부여 받을 수 있어야 한다. 신원 보호 기술의 진정한 혁신은 이러한 ‘편리한 매번 검증’의 바탕 위에서야 가시적으로 이뤄질 수 있을 것이다.

Related Materials

• The progress of identity security — a three-year review - SailPoint, 2024년
• The State of Identity Security for 2024: Identity-Based Threats, Breaches & Security Best Practices - BeyondTrust, 2024년
• The Future of Digital Identity: How We'll Find Authenticity and Privacy in the Online Space - The Recursive, 2023년
• Top Trends in Identity for 2024 - RSA, 2024년

[TE머묾] 세일즈포스 사건의 전말이 궁금하다

💡Editor’s Pick - 뭔가 커다란 사건이 일어난 것 같긴 한데... - 매체마다 조금씩 다른 정보 보도...무슨 일 있던 걸까? - 사건 전말 알 수 없는 사이, 공격자의 일방적 주장만 계속돼 콴타스항공의 고객 데이터가 공개됐다. 협상 기한이 지나자 항공사를 공격한 해커인 스캐터드랩서스헌터스(Scattered Lapsus$ Hunters)가 500만 명의 개인정보를 고스란히

The Tech Edge문가용 기자

[TE머묾] 캐나다 통신사 해킹사고 및 대응 그리고 대한민국 통신사 침해사고

캐나다와 한국의 주요 통신사들이 사이버 공격에 노출되고 있다. 캐나다 사이버보안 센터와 미국 FBI는 2025년 초부터 캐나다 통신사 네트워크 장비가 ‘설트타이푼’(Salt Typhoon)으로 추정되는 그룹에 의해 침해됐다고 경고했다. 반면 한국 통신사 해킹 배후는 현재까지 특정 국가와 명확히 연결되지 않았다. SK텔레콤과 KT는 각각 유심 정보 유출과 내부 시스템 침해 사고를 겪으며

The Tech EdgeDonghwi Shin