사이버공격이 미국 기업들에 지속적인 위협이 되고 있다. 그렇다면 ‘보복 해킹’은 가능한 해결책일까? 아니면 (이사회 의장에게) 전화를 거는 것이 기업 보안을 지키는 비결일까? by Robert Hackett

사이버보안 콘퍼런스에 참가하면 다음과 같은 이야기들을 쉽게 들을 것이다. ‘이 세계에는 두 가지 종류의 기업이 있다. 바로 해킹을 당하는 기업과 아직 해킹을 당했는지도 모르는 기업이다.’

수천 가지 표현방식으로 변용되는 이 문구를 처음 사용한 주인공은 바로 드미트리 알퍼로비체크 Dmitri Alperovitchek다. 모스크바 태생의 이 기업가는 세계 최고의 해커 탐정 중 한 명이다. 그는 2011년 안티 바이러스 선도기업 맥아피 McAfee의 수석 해킹연구원 시절, 이 분류를 처음 했다. 당시 그는 약 5년 간 70여 곳 이상의 조직에서 발생한 사이버 해킹(중국 소행일 가능성이 높다)을 연구했다. 그리고 그 결과를 모두 공개했다. 피해 기관에는 군수업체, 테크 기업, 유엔 등이 포함돼 있었다.

그러나 이런 체념조의 표현도 이제 업데이트 할 때가 됐다. 알퍼로비체크는 포춘과의 인터뷰에서 “그 이후로 문구를 수정했다”며 “해킹을 당하는 기업과 당했는지도 모르는 기업은 여전히 존재하지만, 이제 새로운 세 번째 유형이 등장했다. 바로 침입에 대비해 스스로를 성공적으로 방어할 수 있는 기업”이라고 설명한다. 다행히 아직 희망은 있다!

누군가는 그가 덧붙인 새로운 유형에 대해 현명한 영업용 멘트라고 치부할 수도 있을 것이다. 그가 현재 크라우드 스트라이크 CrowdStrike의 공동 창업자 겸 최고기술책임자를 맡고 있기 때문이다. 이 사이버 보안회사는 지난 6월 IPO에서 주가가 급등하며 투자자들을 깜짝 놀라게 했다. 이런 상황에서 당연히 그는 기분이 들떠있을 것이다.

하지만 그의 수정된 표현에는 중요한 의미가 있다. 부시 및 클린턴 행정부에서 안보 자문을 맡았던 리처드 A. 클라크 Richard A. Clarke는 새로운 3분법의 표현에 동의하고 있다. 그는 최근 오바마 행정부의 사이버 전문가 로버트 K. 나케 Robert K. Knake와 공동 저술한 ‘제 5의 영역’이라는 신간을 출간했다. 그는 이 책에서 알퍼로비체크와 비슷한 논조를 견지하고 있다. 영토와 영해, 영공, 우주에 이어 사이버 공간에서 새로운 전쟁이 벌어지고 있다고 표현한 것이다.

변종 랜섬웨어 낫페트야 NotPetya의 사례를 보자. 2017년 당시 전 세계는 러시아가 감행한 해킹 공격으로 끔찍한 피해를 입혔다. 페덱스와 머스크, 머크 같은 기업들은 수 십억 달러의 손실을 봤다.

그러나 모든 기업들이 당한 것은 아니었다. 클라크는 “우크라이나(해당 해킹 공격의 진원지)에서 사업을 하던 미국 기업들은 무사했다”고 말한다. 그는 이어 “보잉과 다우듀폰, 존슨 앤드 존슨 같은 기업들도 피해를 호소하지 않았는데, 이번 신간에서 그 이유를 파악하기 위해 노력했다”고 설명한다.

그렇다면 해킹과 해킹이 아닌 것을 구분하는 기준은 무엇일까? 기술적인 측면에서 보면, 피해를 입지 않은 기업들은 낫페트야가 공략한 취약성을 보완하기 위해, 패치 프로그램을 기계에 깔았다. 하지만 조금 더 근본적인 질문이 있다. 왜 일부 회사들은 보호조치를 취했고, 다른 회사들은 이를 무시했을까?

한 마디로 우선순위의 문제다. 가장 회복력이 뛰어난 조직들은 말 그대로 (이사회에서) 공감대를 형성한다. 즉, 최고정보책임자의 경고를 가로 막으려는 임원이 있다면 분명한 이유를 밝혀야 한다. 그리고 CEO는 분명 귀 기울여 들을 것이다.

지금까지는 제대로 된 방어 조치에 대해 이야기해봤다. 하지만 반대로 기업들이 보복 공격을 한다면 어떠할까? 현재 일부 미 의원들이 발의 중에 있는 이른바 ‘보복 해킹’ 법안이다. 이를 통해, 기업들은 해커 컴퓨터를 색출해 약탈당한 데이터를 파괴할 수 있다.

애틀랜타 소재 로펌 트라우트먼 샌더스 Troutman Sanders에서 개인정보보호 문제를 총괄하는 마크 마오 Mark Mao 변호사는 이 법안을 조심스럽게 지지한다. 그는 “개인적으로 나쁜 아이디어라고 생각하지 않는다”라며 “내게는 마치 헌법 수정 제2조의 사이버 버전 같다”고 표현한다(그는 해당 법안이 “제한적”이어야 하며, “세부사항들을 많이 보완할 필요가 있다”라고 덧붙였다).

마오는 핵 이슈의 교착상태를 비유로 들었다. 그는 “아무도 핵에 노출되는 것을 원하지 않기 때문에 핵 억지력이 작동한다”며 “아무 처벌도 없기 때문에 대부분 해커들은 하고 싶은 대로 하는 것”이라고 설명한다.

그러나 대부분의 사이버 보안업계 관계자들은 “보복 해킹 법안이 제정된다면 그 결과는 패착이 될 것”이라고 입을 모은다. 사이버 보안기업 파이어아이 FireEye의 정보 최고담당자이자 미 공군 예비역인 샌드라 조이스 Sandra Joyce도 같은 의견이다. 그녀는 “좋은 의도를 가진 초보 해커들을 포함시키는 일은 절대 피해야 한다”고 말한다. 그녀는 공격자를 오인하는 데 따르는 위험성과 보복의 상승작용이 일으키는 위협에 대해 경고한다. “리스크로 가득한 자경주의의 발현이 될 것이다.”

그녀는 해당 법안이 “그 동안 크게 경시됐던 상업 분야의 목소리”를 반영하는 것이지만, “무력감을 드러내는 것에 불과하다”라고 지적한다.

이런 신경질적인 대응은 이해할 만 하다. 시장조사기관 가트너 Gartner에 따르면, 올해 전 세계에 걸쳐 사이버 보안 지출액은 약 9% 늘어난 1,240억 달러에 달할 전망이다. 그리고 보안상의 결함은 계속 증가할 것으로 예상된다.

기업들이 해커들 때문에 사업이 파산하는 걸 막기 위해, 금고를 스스로 바닥낼 필요는 없다. 클라크는 “기업들이 IT 예산 중 8~10%를 사이버 보안에 지출하는 게 업계에서는 가장 적절하다”고 설명한다.

그러나 가상의 적(해커)에 한발 앞서 대응하기 위해, 이 정도 금액도 꼭 써야 하는 건 아니다. 알퍼로비체크는 “포춘 500대 기업에 포함된 환대서비스 부문의 한 고객사가 보안을 위해 연간 1,100만 달러 정도만 쓴다”며 “하지만 내가 본 기업 중에 가장 안전하다고 확신한다”라고 전했다.

이 해당 기업에서는, 의사회 의장이 정보보안책임자에게 휴대폰 번호를 건네며 다음과 같은 메시지를 전했다. “누군가 당신에게 ‘안 된다’고 하면, 밤낮을 가리지 말고 아무 때나 전화 하라.”

알퍼로비체크의 표현을 빌리면, “그 조직에서 이사회 의장에게 ‘안 된다’고 말할 수 있는 사람은 없다”.

번역 최명인