암호학자이자 작가인 미국의 브루스 슈나이어는 9·11 테러 사고 2년 후에 출간한 'Beyond Fear'에서 '보안 극장'(Security Theater)이라는 새 용어를 정의했다. 실제 공격으로부터 안전함을 제공하는 대신 안전하다는 느낌을 주는 보안 정책을 일컫는다. 슈나이어는 9·11 테러 이후 강화된 공항 검색 정책을 '보안 극장'의 대표적 사례로 설명한다. 이때 미국 정부는 새로운 전신 엑스레이 스캐너를 도입하는 등 공항 검색을 강화했다. 검색 강화 이후 여행객이 6% 감소했고, 이로 인해 미국 항공산업은 경제적 손실을 입었다. 이때 도입된 많은 기술 정책은 실질적 보안 강화로 이어지지 않는다는 게 밝혀졌고, 많은 정책이 취소되기에 이른다. 이때 실행된 다양한 정책보다 비행기 조종석에 디지털 자물쇠를 설치하는 게 훨씬 적은 예산으로 보안 목적을 더욱 효과 높게 달성할 수 있다고 밝혀지기도 했다.
보안 극장은 특별히 더 안전하지도 않을 뿐만 아니라 효과가 더 좋은 해결책에 비해 비용은 더 많이 투입된다. 사용자를 귀찮게 하며, 보안 기술을 바라보는 전반적 신뢰를 떨어뜨린다. 9·11 테러가 일어난 지 20년이 지난 현재 대한민국의 보안은 보안 극장으로부터 자유로울까. 국내 많은 홈페이지와 기관은 패스워드와 관련한 정책이 복잡하다. 대문자·소문자·숫자·특수기호를 포함하고, 8자 이상이어야 하며, 3개월에 한 번씩 바꿔야 하고, 기존에 썼던 패스워드는 사용할 수 없다. 어떤 특수문자는 사용할 수 없고, 몇 글자 이상은 안 된다는 더 이상한 규칙도 보인다.
미국 국립표준기술연구소(NIST)가 2017년에 제정한 '디지털ID 가이드라인'(NIST Special Publication 800-63B Digital Identity Guidelines: Authentication and Lifecycle Management)은 다음과 같이 패스워드 보안 정책을 정의한다. 주기적으로 패스워드 변경을 요구하지 말고 패스워드 유출 사건이 있을 때만 변경할 것. 숫자·특수문자 등 패스워드 조합 규칙을 없애고, 패스프레이즈(비밀문장)의 사용을 권장하며, 패스워드에 대한 복사 붙여넣기를 허용할 것. 이 규칙이 생기게 된 데는 사용자가 불편한 규칙을 우회하기 위해 훨씬 더 안전하지 않은 선택을 한다는 연구 결과가 큰 역할을 했다. 비싸고 귀찮고 효과적이지 않은 복잡한 패스워드 정책은 보안 극장의 가장 대표적인 예라 할 수 있다.
또 다른 예도 있다. 2012년부터 시행되고 있는 인터넷진흥원의 '보안 취약점 신고포상제'는 취약점을 줄일 수 있는 매우 효과적인 방법이다. 하지만 일부 기업은 취약점을 가르쳐 주더라도 패치를 거부하는 경우가 있다는 충격적 이야기를 들었다. 공급망 소프트웨어와 하드웨어에 존재하는 취약점이 랜섬웨어에 이용되는 현실을 고려했을 때 패치를 거부하는 정책은 정책 효과를 반감시킬 수 있다.
조 바이든 미국 행정부는 2021년 5월 행정 명령을 통하여 연방 정부의 보안을 강화하는 다양한 정책을 발표했다. 눈길을 끄는 부분은 정부의 소프트웨어 조달 정책에 최소한의 보안 표준을 강제하는 부분으로, 제조사는 SBOM(Software Bill of Materials, 어떤 요소로 소프트웨어가 구성되는가에 대한 설명)을 제공해야 한다. 구현까지 많은 어려움이 예상되지만 체크리스트 위주의 국내 소프트웨어 보안 평가와 대비되는 매우 좋은 정책이라고 평가한다.
소프트웨어와 하드웨어는 변하고 보안 기술, 해커의 공격도 끊임없이 진화한다. 빠른 변화의 세계 속에서 보안 극장을 찾아내고 이를 개선하는 작업은 대한민국을 해커로부터 보호할 수 있는 첫 발자국이 될 것이다.
그렇다면 어떻게 보안 정책의 함정에 빠지지 않을 수 있을까. 먼저 보안 취약점 등 전체 시스템에 대한 세밀한 분석을 통해 문제의 근원을 정확하게 이해하는 게 필수다. 현재 보안 정책의 정확한 분석도 동반돼야 한다. 특정한 보안 정책이 원래 의도대로 주어진 문제를 잘 풀고 있는지, 사용자의 우회 가능성을 높이고 있진 않은지, 더 경제적이고 효과적인 정책은 없는지 등에 대한 분석이 필수다. 시스템은 끊임없이 바뀌고 기존 보안 정책은 새로운 분석이 이뤄진다. 이를 기반으로 새로운 보안정책이 만들어지기 때문에 이런 두 가지 분석은 반복적으로 꾸준히 일어나야 한다.
김용대 KAIST 전자공학부/정보보호대학원 교수 yongdaek@kaist.ac.kr
〈필자〉 김용대 교수는 30여년간 보안 연구를 수행했다. 국가보안기술연구소 전신인 한국전자통신연구원(ETRI) 부호기술부를 거쳐 미국 미네소타대 교수를 지냈다. 2012년에 귀국해 KAIST 전자공학부 및 정보보호대학원에서 보안 연구를 이어 가고 있다. 주요 연구 분야는 자율주행차, 드론, 이동통신, 블록체인 등 미래에 각광 받을 신기술 보안 취약점이다. 김 교수는 세계 보안 최우수 학회 중 하나인 ACM CCS를 한국에 유치하는 등 세계와 한국의 보안 연구 연결에 노력하고 있다. 산업에 직접적 영향을 미칠 수 있는 보안 연구에 집중해 국내 대기업, 스타트업 등에 활발한 자문역 활동을 하고 있다.