기술을 얘기한다 2007. 2. 4. 12:49

/* 몇년 전에 썼던 글이 생각나서 다시 올려봅니다. */

한 알의 불씨가 광야를 불사르기전에

고양우

2003년 12월 11일

들어가며

가끔씩 뉴스를 통하여 어디 어디의 닭이 (또는 다른 어떤 가축이래도 상관이 없다. 심지어는 가축이 아니라 다른 작물이어도 된다.) 집단으로 폐사했다는 소식을 듣곤 한다. 닭이 특별히 병에 더 약한 것도 아닐텐데 어째서 사람들은 그렇게 갑자기 집단으로 죽지 않는데 닭이나 다른 가축들은 그럴까? 이를 설명할 수 있는 한 가지 방법은 품종이 같아서라는 것이다. 가축을 대량으로 키우는 농민의 처지에서는 같은 품질을 보장하는 같은 품종의 가축을 대량으로 키워야 관리도 간단하고 생산물의 품질도 유지할 수 있어서 불가피한 선택이라는 생각도 든다. 하지만, 같은 품종의 가축을 같은 환경에서 대량으로 키우다 보면 전염병에 하나만 걸려도 줄줄이 걸려서 집단으로 폐사하여 안그래도 답답한 농심을 태우곤 한다. 생산의 효율이라는 점에서 보면 어떨지 몰라도 많은 가축이 살아남는다는 것을 목표로 본다면 최대한 다양한 품종의 가축을 키우는 것이 당연히 더 나을 것이다. 이러한 생각을 오늘날의 인터넷이 처해있는 위협에 적용해보면 어떨까?

거대한 위협에 노출되어 있는 인터넷

인터넷에 연결되는 컴퓨터의 증가 추세는 아직도 전혀 누그러들 기미가 보이지 않는다. 게다가, 연결되는 컴퓨터의 처리 능력이나 연결하는 회선의 속도도 증가 추세에 있다. 따라서, 인터넷에 연결된 모든 컴퓨터의 처리 능력을 합해서 본다면 양적인 증가와 질적인 증가를 곱한 것 만큼 증가하고 있는 셈이다. 어떤 보고서에 따르면 인터넷에 연결된 컴퓨터의 총 처리 능력은 열 달마다 두배씩 증가하고 있다고 한다. 따라서, 이들 컴퓨터를 서로 엮어서 어떤 일을 처리하도록 한다면 그 능력은 우리가 이때까지 알고 있던 어떤 슈퍼 컴퓨터와도 비교할 수 없을 것이다. 물론 좋은 의도로 잘 활용될 수도 있고 (최근 몇년 사이에 정보통신 기술 분야에서 각광을 받고 있는 그리드 컴퓨팅은 이러한 점에 착안하고 있다. 하지만 이번 글의 주제와는 상관이 없으므로 다음 기회에 다루기로 한다.) 아주 나쁘게 활용될 수도 있을 것이다.

예를 들어, 내가 사회에 불만을 가지고 있는 놈이라 하자. 그래서, 우리 사회의 안전을 위해 꼭 필요한 어떤 전산망을 공격하고자 한다. 공격의 가장 간단한 형태는 수 많은 사람들이 동시에 접속하도록 하여 과부하가 걸리게 하는 것이다. 하지만, 수많은 사람들을 동원할 방법은 없다. 그렇다면? 인터넷으로 눈을 돌려보자. 거기에는 수많은 컴퓨터가 있다. 그 컴퓨터들을 시켜서 내가 공격하고자 하는 전산망에 접속하도록 하면 어떨까? 딩동댕!

그런데, 그 많은 컴퓨터의 주인들이 `그래 내 컴퓨터를 활용해서 나쁜 일 잘 하시요'하고 도와줄 리는 없고 하니 내가 직접 그 컴퓨터들을 뚫고 들어가서 공격 프로그램을 설치해서 동시에 공격을 시도하도록 하여야 한다. 그런데 이러한 계획이 성공하기 위해서는 두 가지 조건이 만족되어야 한다. 첫번째, 많은 컴퓨터를 단시간에 뚫기 위해서는 컴퓨터들이 서로 비슷해야 한다. 두번째, 일단 뚫린 컴퓨터의 주인들이 그 사실을 모르거나 알더라도 대처하지 못해야 한다.

먼저, 두번째 조건부터 살펴보자. 시계를 15년이나 20년쯤 전으로 돌려보자. 컴퓨터는 전산실이라고 불리는 유리방 안에 있는 냉장고 같이 생긴 물건이었고 짙푸른 점퍼를 입은 아저씨들이 테이프 같은 것을 들고 왔다갔다 하면서 뭔가를 처리를 한다고들 했다. 컴퓨터는 제한된 공간에 있었고 제한된 목적으로 사용되었으며 `미리 교육받은' 제한된 사람들만이 사용하였다. 그러던 것이 개인용컴퓨터 (음, 개인이 쓴 다는 얘기지요. 어떤 기업이나 기관이 쓰는 것이 아니라.) 가 등장하면서 관련 전공자들이나 자료를 많이 처리하는 연구자들이 쓰기 시작하였다. 물론 그들도 직업적인 컴퓨터 관리자는 아니지만 어느 정도는 컴퓨터에 대하여 공부를 하고 사용하는 사람들이었다. 다시 시간이 흘러흘러 인터넷이 소개되고 한바탕 스타크래프트의 열풍이 지나간 한국의 오늘에는 말 그대로 남녀노소 할 것 없이 컴퓨터를 사용하게 되었다. 물론, 그들 대부분은 컴퓨터에 대한 제대로된 관리 교육을 받아본 적이 없다. 자기 컴퓨터가 바이러스에 걸렸는지, 이상한 프로그램이 돌아가는지 알 지도 못하고, 알 수도 없도, 알고 싶어하지도 않고, 알게 되더라도 어떻게 해야 되는지 모른다. 그렇다면 두번째 조건은 만족!

이번에는 첫번째 조건을 살펴보자. 인터넷에 연결된 대부분의 컴퓨터는 약간의 예외를 제외하고는 소위 아이비엠피씨호환 기종이다. 하지만, 그 위에서 돌아가는 기본 프로그램이 다르면 똑같은 방법으로 공략하기는 쉽지 않다. 하지만, 나를 도와주려고 그러는 것은 아니겠지만 대부분의 컴퓨터가 단 하나의 독점기업(즉, 마이크로소프트사)에서 나온 운영체제 프로그램(즉, 윈도)을 사용하고 있다. 따라서, 그 한가지만 뚫을 수 있다면 수백 수천만대의 컴퓨터를 같은 방법으로 뚫을 수 있다. 그렇다면 첫번째 조건도 만족!

위의 상황을 정리해 보자면, 오늘날의 인터넷은 악성 프로그램이 널리 번져갈 수 있는 좋은 환경을 제공하고 있는 셈이다. 그런데, 이미 악성 프로그램은 그냥 사용자를 속상하게 하거나 번거롭게 하는 정도를 넘어서서 경제적인 손실을 끼치고 있다. 한 연구 기관의 발표에 따르면 악성 프로그램이 세계 경제에 끼친 손실은 올 한해에만 1,070 억 달러 (120 조 원) 에 이른다고 한다. 하지만, 굳이 돈으로 따지지 않는다고 하더라도 사회를 안전하게 지탱하기 위하여 필요한 부분 (예컨대, 금융 거래, 재난 대비, 국가 행정 등) 에 이러한 공격이 가해진다면 매우 심각한 사태가 벌어질 것이다.

그래서 어쩌라고

심각한 사태가 벌어지기 전에 방지하려면 어떤 노력이 필요할까? 이론적으로 얘기하자면, 답은 간단하다. 위의 두 가지 조건 중에서 최소한 하나라도 만족되지 않게 하면 된다.

우선 두번째 조건부터. 자, 오늘부터 컴퓨터 관리 자격을 인정받지 못하는 사람들은 컴퓨터 사용 금지다. 될까? 안될껄? 이미 컴퓨터는 우리의 일상에 너무 깊이 들어와 있어서 지금에 와서 이래라 저래라 할 수가 없다. 물론, 정부가 나서서 `계도'나 `홍보'를 할 수는 있겠지만 그 한계는 뚜렷하다.

그렇다면 첫번째 조건은? 결국 하나의 공격이 인터넷 전체를 싹쓸이 할 수 있는 것은 대부분의 컴퓨터가 윈도를 쓰고 있기 때문이라면 다양한 운영체제가 쓰이도록 하면 될 것이다. 예컨대, 독점을 제한 하는 방법을 적용할 수 있을 것이다. 하지만, 현실을 보자. 이미 윈도가 시장을 완전히 장악하고 있으므로 새로운 프로그램도 모두 거기에 맞춰있다. 또한, 사용자들도 이미 익숙해진 것을 버리고 다른 것으로 바꾸기를 꺼린다. 말하자면, 사람들은 이미 발목이 잡혀있는 상태이다. 이를 끊으려면 정책적인 배려가 불가피하다. 그렇다면 `산업화에는 뒤처졌지만 정보화에는 앞서가자는' 정부 쪽은 어떤가? 윈도를 쓰지 않는 컴퓨터에서는 전자정부 홈 페이지에서 본인 확인을 필요로 하는 주요한 기능은 쓸 수 없다. 물론, 금융 거래도 안된다.

이것도 안되고 저것도 안된다면 혹시 마이크로소프트사가 답을 줄 수도 있을까? 물론, 그들로 노력을 하고는 있을 것이다. 하지만, 쏟아져 나오는 문제점에 비하여 마이크로소프트사의 대응은 느리거나 무책임하다. 윈도의 안전성에 투자하는 것 보다는 겉 치장이나 마케팅에 투자하는 것이 더 많은 돈을 벌어주기 때문일 것이다. 그럼에도 불구하고 사용자들에게 윈도 외에 대안이 (거의) 없다는 것은 명백한 시장의 실패이며 이는 정책적인 개입이 필요하다는 것을 의미한다. 하지만, 아직 우리 정부는 사태의 심각성을 깨닫지 못하거나 아니면 다른 경제 논리에 휘말려 손을 대고 있지 못하고 있는 것으로 보인다. 안타깝게도 엊그제 남극 세종기지에서 불상사가 있었다. 오늘 뉴스를 보니 안전을 강화하기 위한 조처를 정부에서 한단다. 꼭, 사람이 죽어야 위험성을 알 수 있는가 우리는?

글을 닫기 전에

계란을 한 바구니에 담지 말라는 격언은 주로 증권투자하는 사람들 입에 많이 오르내리는 얘기이지만 사회의 다른 측면에도 잘 적용되는 말이다. 우리 사회를 포함하여 많은 체계를 지켜내는 중요한 힘 중의 하나가 다양성이다. 한 사회가 하나의 깃발아래 매달려 있을 때 그 깃발아래 서지 않는 사람들은 불편을 겪는 차원을 넘어서 차별받고 심지어는 제거의 위험에 노출된다. `돈-경쟁-효율-국가'로 이어지는 깃발 아래에서 사람들이 차가운 길거리로 내몰리고 있다. 한발짝 뒤로 물러서서 다른 각도에서 보면서 다른 사회, 다른 방식, 다른 생각을 받아들일 수는 없는 것일까 하는 생각을 해본다. 이럴 때 일 수록 기존의 질서를 완전히 초월하는 다양성을 제공하는 사람들이 아쉽게 느껴진다.

이 글을 쓰면서 지난 9월에 발간된 ``CyberInsecurity'' 라는 보고서를 많이 참조하였다. 보고서의 전문은 http://www.ccianet.org/papers/cyberinsecurity.pdf 에서 볼 수 있다.

posted by 신묘군

댓글을 달아 주세요