지난 3월 미국 상원에서는 2016년 9월 발생한 대형 사이버 보안사고인 미국 신용평가사 에퀴팩스의 약 1억4,000만명 개인정보 해킹 사건에 대한 조사 보고서를 발표했다. 조사 결과 ‘아파치 스트러츠’라는 널리 알려진 취약점에 대해 에퀴팩스가 2년 동안 제대로 예방 조치를 하지 않은 사실이 드러났다.
지난해 2월에는 미국 증권거래위원회(SEC)가 투자자 보호를 위해 상장기업들이 사이버 보안 취약점을 공개하도록 하는 가이드라인을 발표했다. 사이버 보안 취약점을 이용한 내부자 거래를 금지하고 이러한 취약점 정보를 늦지 않도록 공개해야 한다는 것을 제안한 것이다. 우리가 이용하는 소프트웨어·하드웨어나 정보기술(IT) 서비스 등에는 이미 알려졌거나 아직도 알려지지 않은 수많은 보안 취약점이 존재한다. IT 서비스 개발업체 등이 외부 침입을 아예 차단하는 완벽한 제품이나 서비스를 만드는 것은 불가능한 일이다. 보안 취약점은 서비스 이용자나 화이트해커 등 다양한 이해관계자에 의해 발견될 수 있으며 지속적으로 증가하고 있다. 또한 취약점에 대한 보완 조치인 패치가 공개되기 이전에 취약점이 범죄자에게 넘어갈 경우 그 피해가 크게 증가할 수 있으며 일반적으로 취약점에 대응하는 비용이 이를 악용하는 비용보다 크다는 특징이 있다.
사이버 해킹은 공격 대상의 보안 취약점을 알아내는 데서 시작된다. 공격자들은 직접 보안 취약점을 찾아내기도 하고 블랙마켓에서 비싼 비용을 지불하고 이를 구입하기도 한다. 사이버 공격 방어자 입장에서는 보안 취약점 정보가 범죄자의 손에 넘어가기 전에 이를 파악해서 패치 조치를 하는 것이 무엇보다 중요하다. 유럽연합(EU), 미국을 비롯한 많은 국가에서는 침해사고 대응기관을 중심으로 보안 취약점 제보에서 조치까지 일련의 절차를 다루는 보안 취약점 공개제도를 운영하고 있다. 국내에는 2006년부터 한국인터넷진흥원(KISA)과 일부 기업에서 버그바운티로 알려진 보안 취약점 신고포상제도를 운영하고 있으나 체계화된 보안 취약점 공개제도는 없다.
발견된 보안 취약점은 이를 악용하지 못하도록 공개할 필요가 있다. 그러나 패치가 이뤄지지 않은 상태에서 공개를 하게 되면 오히려 범죄자들이 취약점을 이용해 공격을 하게 돼 큰 혼란과 피해가 초래될 수 있다. 따라서 취약점이 범죄자의 손에 넘어가기 전에 이를 파악하고 패치 개발업체나 서비스 이용자에게 알려줘 적절한 조치가 이뤄진 뒤 이를 공개하는 보안 취약점 책임공개제도를 도입하자. 여기에는 취약점 제보자에 대한 보상 등을 포함해 다양한 관계자들이 관심을 갖고 참여할 수 있도록 설계돼야 한다. 사슬은 약한 고리부터 끊어진다. 사이버상에는 늘 공격자들이 존재하고 어딘가에는 약한 고리인 취약점이 있다는 사실을 인정하는 것이 보안의 또 다른 출발점이다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
