“미국 정부가 보안 취약점을 구입하고 일반에 공개해야 한다.”
댄 기어(Dan Geer) 인큐텔 최고정보보호책임자(CISO)는 6일(현지시각) 미국 라스베이거스 만달레이베이 호텔서 열린 ‘블랙햇2014’ 기조연설에서 미국이 사이버 위협에 보다 적극적으로 나서야 할 때라고 지적했다. 인큐텔은 미 중앙정보국(CIA)이 만든 벤처투자회사다. 주로 정보수집 활동에 관계되는 기술에 투자한다.
그는 미국 정부가 거래 가격의 10배 이상을 주고서라도 보안 취약점을 모조리 사들여야 한다는 대담한 제안을 해 눈길을 끌었다. 사이버 무기가 될 수 있는 보안 취약점을 정부가 관리하는 체제다.
전력을 비롯해 교통, 통신 등 주요 국가기반시설을 공격할 수 있는 보안 취약점이나 주요 운용체계(OS)와 네트워크 장비, 애플리케이션 소프트웨어의 제로데이 취약점이 엄청난 가격에 거래된다.
기어 CISO는 “정부가 사이버 암시장에서 거래되는 보안 취약점을 적극 구입해 사이버 무기로 악용되는 것을 막아야 한다”며 “정부가 시장을 독점하면 큰 변화가 올 것”이라고 강조했다.
그는 제로데이 취약점에 투자하면 보안성이 함께 향상된다고 주장했다. 정부가 공식적으로 비싼 가격에 취약점을 사들이면 이용해 공격하려는 사람보다 판매하려는 수요가 늘어날 것으로 기대했다.
소프트웨어 제품 안전성도 언급했다. “대부분의 제조사는 상업적 목적으로 판매하는 제품에 문제가 발생하면 책임을 집니다. 종교와 소프트웨어 산업만이 제조물 책임에서 벗어나 있다.” 기어 CISO는 소프트웨어는 더 이상 여기서 자유로울 수 없다고 강조했다.
보안 사고나 문제를 철저히 보고하는 체계도 강조했다. “미국 질병관리센터는 전염병을 필수적으로 알리고 이에 대한 철저한 관리체계를 운영한다”며 “이와 같은 체계를 사이버 보안에도 적용할 수 있다”고 말했다.
기어 CISO는 “질병은 전문가가 치료하지만 악성코드 감염은 아마추어가 관리한다”며 “특정 지역 전염병은 세계로 확산을 막을 수 있지만 악성코드는 처음부터 전 세계를 대상으로 활동한다”고 설명했다.
블랙햇2014에는 8000명이 넘는 전문가가 참석해 최신 보안 위협과 대응 방법을 공유했다.
라스베이거스(미국)=
김인순기자 insoon@etnews.com