The Sentientist.

과격한 제목인가?

"...(중략)이 법률은 우리나라 인터넷 사업자들에게 정말 엄청난 규모의 제제를 가하는 행위입니다. 정보보호진흥원을 해체하고 정통부 장관이 직접 사과를 하실 의향이 있으신지 질문드립니다(하략)..."

이 문장은 실제로 지난주 금요일에 있었던 설명회의 QA 시간에 던져진 질문이다. 우습지도 않은 이런 말이 나오게 된 배경이 무엇일까, 자세히 한 번 알아보도록 하자.

지난 주 금요일, 그러니까 3월 9일. 목요일의 회식때 새벽까지 퍼마신 술이 제대로 깨지도 않은 상황에 팀장님이 점심먹고 후딱 삼성동으로 출동하라는 지시가 떨어졌다-_-;
무슨 설명회인지도 모르고 일단 가긴 갔다만, 설명회 등록하자마자 던져주는 두꺼운 책 두 권은 도대체 뭔지;

설명회 개요
제목 : 07년 정보보호 안전진단 지원을 위한 설명회
목적 : 안전진단대상자와 안전진단수행기관에 대한 안전진단 절차, 방법 등
         원활한 수검지원을 위함
일시 : '07년 3월 9일(금) 14:00 ~ 17:00
참석자 : '07년 예정진단대상자, 안전진단수행기관 담당자
장소 : 코엑스 3층 장보고홀

뭔가 심상치 않은 느낌의 설명회라 들어가서 졸지도 못하고 눈에 핏발세워가며 설명회를 들어야 했다.(참석자가 우리회사에서 나 혼자 뿐이라 돌아가서 할 이야기가 궁색했다.) 본인의 세미나/설명회 참석사상 처음으로 졸지 않은 설명회가 되었는데(사실 잠깐 졸긴 했다...입벌리고 옆사람 재킷에 기대서-_-;;), 설명회를 간단히 요약하면 다음과 같다.

지난 1.25 인터넷대란 사고 이후 취약한 보안이 사회적 문제로 지적됨에 따라 다음 중 한가지라도 해당하는 회사의 경우 "정보보호 안전진단 제도" 의 대상 기업에 포함된다.

1. ISP 업체
2. IDC 업체
3. 지난해 매출 기준 연매출 100억이 넘는 기업
4. 지난해 연말 기준 최근 3개월의 일 방문자수가 100만명이 넘는 기업

안전진단이라는 것을 간단한게 요약하면, 건축업체들이 건설할때 제대로 건축법에 맞춰서 건물을 짓고 있는지를 감리업체를 통해서 체크하는것과 비슷하다고 생각하면 된다. 즉, 위의 조건 중 한 가지라도 속하는 업체일 경우 한국정보보호진흥원에서 객관적(?)으로 엄선한 18개 업체로부터 자사의 서버가 안전진단의 스펙 기준치를 허용하는지 인증을 받아야 한다.

어느정도 수긍은 할 수 있다. 저런 4가지 경우에 해당하는 업체라면 국내 인터넷의 상당부분을 차지하고 있는 업체들일테고, 저들 사이트가 관리실수로 인해서 해킹을 당하거나 웜을 퍼트리게 될 경우, IT 의존적인 많은 업체들이 덤으로 함께 고통을 짊어지게 될 테니. 하지만 여기서 가장 궁금한 것은 바로 이 말이다.

Q. 왜 18개 선정업체로부터 안전진단 검증을 받아야 하는가?

설명회측의 답변은 다음과 같다.

"자동차를 예로 들어 봅시다. 자동차의 경우 자동차 소유주가 자신의 차가 제대로 정비가 되고 있는지, 만약에 정상적이지 않다면 스스로 자동차를 수리하고 정비할 수 있는 능력이 되지 않지 않습니까? 그런것과 비슷하다고 생각하시면 됩니다."

이건 정말 웃기지도 않은 비유라고 생각한다. 자동차는 자동차 학과를 나오지 않아도 자동차를 몰 수 있다. 그렇기 때문에 자동차에 이상이 생길경우 차에 대해 잘 모르니까 정비업체를 찾아가서 정비 진단을 받는 것이다. 하지만 서버의 안전진단은 그 상황이 명백이 다르다. 어느정도 예외는 있지만, 대부분의 경우 그 회사의 시스템 메니져의 경우 서버관리와 자사의 서버 안전에 대해서 어느정도 객관성 있는 조사를 스스로 실시할 수 있다. 그럼에도 불구하고 추가적인 비용을 들여서까지 외부 감리업체로부터 감리를 받아야 하는 것은 도저히 납득할 수 없다. 만일, 정말 시스템 메니지먼트를 하는 사람들이 서버에 대해 문외한인 사람들로 구성되어 있을 경우에 문제가 발생한다면, 아주 당연히 단속해서 벌금을 왕창 물리면 그만이다. 어차피 대상자는 연 매출 100억 이상이거나 일 방문자수 100만명을 넘어가는 큰 규모의 업체들일텐데, 그런 업체가 우리나라에 몇개나 있겠는가? 그런 업체들 단속하는게 규모상의 문제이기 때문에 감리를 부르는 것은 그야말로 배보다 배꼽이 더 큰 논리일 것이다.

정보보호진흥원, 즉 KISA 측에서 선정한 18개 업체는 상당히 논란거리가 될 수 있는 부분이다. 이 부분에 대해서 설명회 QA 시간에 많은 사람들이 의구심을 가진 부분이기도 하다. 일단 정확한 수수료 책정이 이루어지지 않았다. 단순히 지난해 기준 IT 업계의 평균연봉을 토대로 이 작업의 감리 수수료를 지정하였을 뿐이다. 이들 감리업체들이 진정 건축현장의 감리처럼 이 콘크리트에 올바른 모래가 사용되었나, 시멘트와 모래의 비율이 적절한가등의 체크를 한다면 어느정도 수긍하겠으나, 이들이 하는 일은 겨우 회사에 들어와서 회사 서버의 패치가 최신 패치로 되어 있는지, 어드민의 비밀번호가 허용하는 복잡도를 충족하는지 등의 간단한 체크를 할 뿐이다.

간단한 예를 들어도 마찬가지이다. 내가 우리회사 서버에 서버-클라이언트 데몬을 하나 얹어두었다고 하자. 하지만 이 데몬은 나만 알고 있는 백도어 포트가 하나 허용되어 있으며, 이 백도어 포트를 이용하여 발생할 수 있는 서버 취약점이 존재할 수 있다고 가정하자. 물론 이 취약점은 나만 알고 있을 수 있을 것이다. 그런 상황에서 외부 감리업체가 이 취약점을 알아챌 수 있을까? 이 취약점의 경우 감리업체에서 수만줄에 달하는 내가 만들어낸 데몬 소스를 보기 전까지는 절대 알아챌 수 없을 것이다. 이런 취약점에 대한 검출 가능성은 애시당초 안전진단의 법률에서 자유로울 수 밖에 없다.

상용으로 서비스되고 있는 서버에 대해서 포트 취약점을 노린 공격을 해볼 수도 없는 노릇이요, 스트레스 테스트나 기타 웜바이러스를 직접 심어볼 수도 없는 노릇일텐데, 이들이 와서 서버의 안전진단을 도대체 어떻게 하겠는가? 이들이 테스트를 한 후에 우리에게 해주는 것은 달랑 "이 회사는 안전진단의 기준치를 충족합니다." 라는 짤막한 내용의 결과 보고서 한 장을 넘겨줄 뿐이다.

당연히 많은 업체의 사람들은 이런 의구심을 가진다. 감리 수행업체와 KISA 의 모종의 관계가 새로운 시장을 창출해 내는것 아닌가? 라는 것인데, 여기에 대한 답변은 그야말로 공무원 스러운, 그러니까,

"우리는 아주 객관적으로 18개 업체를 선정하였으며,
어떤 부정적인 관계가 없습니다."

라는 문장을 아주 동음반복적으로 3개 세션내내 읊어대었을 뿐이다. 게다가 수수료라는 부분도 아주 재미있는게, 감리 수수료의 경우 위에 잠깐 언급한 것 처럼 어떤 정확한 기준선이 없다. 즉, 18개 업체가 상호 협의하에 웃돈을 불러버리면, 그 웃돈을 내고 울며 겨자먹기로 안전진단을 받아야 하는 상황이 되는 것이다.

이상한 점은 여기서 그치지 않는다. 위의 4개 조항에 해당하는 업체 리스트가 없다. 이 리스트가 발표되지 않은 이상, 우리회사가 과연 여기에 해당하는지 확인할 방법도 없다. 이유는, 업체가 자발적으로 나서서 스스로의 안전성을 체크하도록 하기 위함이란다. 이것도 웃긴게, 그럼 기왕 스스로 할거 굳이 감리업체를 끼고 진단을 받아야 하는 의미가 사라진다. 스스로 일을 처리해야 한다면, 스스로 모든걸 할 수 있지 않겠는가? 거기에 대한 책임도 스스로 질 수 있을 것이고 말이지.

마지막으로 당시 QA 시간에 등장했던 명질문, 명답변을 간략하게 소개하고자 한다. 그중 베스트 질문은 이 글의 서두에 적어뒀으니 생략하겠다.

질문자1 : 저희 업체의 경우에도 중국이나 기타 외국에서 들어오는 해킹 공격에 골머리를 앓고 있습니다. 그리고 저희는 언젠가 증거 포착등을 통해 항의를 하기 위해 해당 공격에 대한 증거를 모두 쌓아두고 있습니다. 만일 KISA 측에 해당 공격 증거 로그들을 제출하였을 경우, KISA 는 중국등에게 국가 차원에서의 항의를 해 줄 수 있으십니까?

KISA : 그건 잘 모르겠구요.

질문자2 : 안전진단에 대한 결과 보고서를 스스로 작성해서 내면 안됩니까?

KISA : 안됩니다.

질문자3 : 안전진단 수행업체와 KISA 의 관계를 통해 새로운 시장을 창출하고자 하는 게 아닌
             가 하는 의심이 듭니다.
KISA : 절대 아니구요, 우리가 선정한 18개 업체는 그야말로 정당하게 뽑힌 업체들입니다.

마지막 답변 GG. 그 정당한 기준좀 알려주세효 님드라. 제발. 시발.