'역사상 가장 정교하고도 대규모의 사이버 공격.' 5년 전 시스템이나 네트워크 등 IT(정보기술) 인프라 관리 소프트웨어를 만드는 미국 솔라윈즈의 소프트웨어를 사용 중인 미국 연방정부 등 1만8000여곳에서 대규모 정보유출이 발생했다. 러시아 배후 해커가 솔라윈즈의 소프트웨어를 감염시키고 이 소프트웨어를 업데이트한 연방정부 등이 대거 감염된 사건이다.
2017년엔 미국 3대 소비자 신용평가사 에퀴팩스(Equifax)에서 1억4800만명에 이르는 개인정보가 털렸다. 미국 전체 인구의 절반에 이르는 이의 이름, 주소, 사회보장번호 등 개인정보가 유출됐다. 이미 잘 알려진 취약점에 대한 패치를 적용하지 않고 암호화 조치도 미흡했으며 기존 공격을 장기간 탐지하지 못했다는 등의 이유 때문이었다.
두 사건 모두 역대급 규모의 공격이라는 점에서 주목받았지만 미국 내에서 해법은 다소 달랐다. 솔라윈즈 사태를 계기로 미국에선 제로트러스트(Zero Trust) 보안모델의 중요성이 한층 부각됐다. 네트워크 내외부를 가르는 경계를 두고 외부로부터의 침입을 단순히 방어하는데 급급하던 정적 보안이 아닌 모든 사용자의 액세스(접속) 요청에 대해 인증강화와 권한부여, 검증을 지속적으로 수행하는 동적 보안으로의 전환이 가속화한 것이다.
하청·재하청으로 이어지는 소프트웨어 개발·배포방식에서 보안 취약점을 막기 위한 공급망 소프트웨어 보안의 중요성도 커졌다. 2021년 당시 미국 조 바이든 행정부가 사이버보안 행정명령을 통해 전부처에 제로트러스트 모델 수립을 지시한 것도 솔라윈즈 사태의 여파였다.
반면 에퀴팩스 사태는 기업이 기본적인 보안조치를 소홀히 했다는 이유로 지탄받았고 에퀴팩스도 7억달러에 이르는 배상을 해야만 했다. 솔라윈즈 역시 다수의 소송에 직면했지만 규모는 에퀴팩스에 비해 미미했다. 이들 두 사건은 보안사고가 일어났을 때 사고의 양상에 따라 기업에 책임을 묻는 방식은 물론 대안을 모색하는 방식도 달라져야 함을 보여준다.
지난 4월 하순 SK텔레콤 해킹사태가 알려진 지 이제 1개월여가 지났다. 수십만 명의 고객이 이탈하고 당국은 SK텔레콤에 대한 중징계를 벼른다. 그러나 개별 기업에 대한 비판의 수위에 비해 기존 보안 프레임워크의 유효성에 대한 반성과 대안체계 수립을 서둘러야 한다는 목소리는 상대적으로 적다는 게 못내 아쉽다.
기업의 잘못과 제도적 환경의 미흡 사이에서 책임을 어떻게 배분해야 하는지에 대한 논의도 전무하다. 민간·공공의 각급 조직이 내부 침투형 공격에 대한 대응체계를 어떻게 강화토록 할지에 대한 논의는 눈에 띄지 않는다.
독자들의 PICK!
당장 4일 새 정부의 임기가 시작됐다. 새 정부에서도 'AI G3'(인공지능 3대강국) 도약 비전을 구현하기 위한 정책을 대거 추진할 것으로 기대된다. 정부 초기의 추진력으로 새로운 보안체계를 논의하기엔 최적의 시점이다. 그러나 보안이 뒷받침되지 않은 거대 인프라는 해커들에게 좋은 먹잇감일 뿐이다. 정부 초기의 강한 리더십으로 더 안전한 대한민국의 밑그림을 제시하는 정부이길 기대해본다.
