정부가 정책을 마련할 때 시장 주체들의 입장을 듣는 것은 너무나 당연한 일이다. 의견을 수렴한 경우에도 막상 정책이 시행될 때 예기치 않은 문제가 발생하는 경우도 다반사다. 그럼 소통을 안했을 때는? 정부가 마련하는 정책이 모두를 만족시킬 수는 없겠지만 최소한 해당 이해 당사자들의 말에는 귀를 기울여야 되지 않겠냐고 김병철 한국호스팅도메인협회장(스마일서브 사장)은 말한다. 그는 어떤 부분에서 정부의 보안 정책에 유감을 표명하고 있을까? 김병철 회장이 관련 글을 보내왔다.

기업은 열심히 뛰어 국가 경제에 이바지 하는게 당연한 도리이고, 그러다 보면 정부 정책에 대해서는 특별한 일이 없는 한 무관심 할 수밖에 없는 것은 당연한 이치가 아닐까? 그러나 요즘은 지속적으로 상당한 관심을 유발시키는 정부 정책들이 줄줄이 입안되고 있는 듯한 느낌이다. 현 정부가 출범하면서 내놓은 주요 과제 중 하나가 규제 철폐로 알고 있다. 정부 출범 이후 다른 부분은 잘 모르겠지만 방송 통신분야의 규제에 대한 체감은 오히려 커지면 커졌지 규제가 줄어든다는 느낌은 들지 않는 것은 어인 일일까?

얼마 전 개인의 아이패드 수입 문제가 전자파 인증때문에 불거졌다. 몇 년 전만 하더라도 샘플로 수입하는 부품에 대해서 전자파 인증은 그리 큰 문제가 되지 않았다.  그러나 올해 우리 회사에서 20만원짜리 샘플 부품 두 개를 수입해서 테스트 하는데, 물품 수입 단가보다 전자파 인증에 소요되는 비용이 거의 열배 정도였다. 전자파라는 것이 오남용으로 인하여 독극물 혹은 향 정신성 의약품만큼의 폐해를 주는 정도는 아닐 터인데 그렇게 까다로운 규정을 만든 이유는 아무래도 이해가 가지 않는다.

자칭 정보통신 강국이라는 대한민국에서 일어나고 있는 현상이다. 보통 회사들 중 상당수가 해외 경쟁사의 제품들을 샘플로 수입해서 테스트 해보고 벤치 마킹도 해보고 그러는 과정속에서 좀 더 나은 상품을 개발할 수 있는데, 과연 이런 규제가 국가 경쟁력에 얼마나 도움이 되는지 심히 우려스럽다.

정부의 인터넷 보안 정책에서도 그러한 일들이 손쉽게 눈에 띈다. 보안은 불편을 감수해야 하는 규제를 수반한다. 그래서 보안 수준의 유지는 실질적이고 실효적이어야 하며 정책을 수립할 때 실효성에 대한 충분한 검토를 필요로 하고, 정책을 실행하면서도 그 정책의 유효성에 대한 검증 작업을 필수적으로 수반해야 한다.

한국인터넷진흥원(NIDA)와 한국정보보호진 흥원(KISA)가 통합해서 한국인터넷진흥원(KISA)으로 출범한 지 몇 개월이 되었다. 출범 당시 보안과 진흥 이라는 두가지 상충되는 과제를 잘 조율하는 기관으로 출범할 것이라 기대해 마지 않았다. 그러나 요즘 추진되는 정책을 보면 보안과 관련한 규제만 있을 뿐 보안 위협으로부터 인터넷 진흥을 하겠다는 구체적인 대안은 거의 보이지 않는다는 점이 매우 아쉬울 뿐이다.

중국의 호스팅 도메인 정책과 한국의 호스팅 도메인 정책

구글이 중국에서 철수했다는 것은 언론보도로 누구나 아는 사실이고 최근에는 미국계 도메인 업체 고대디도 더 이상 CN 도메인을 등록 않기로 했다고 한다.  데이타 센터에 대한 정부 조사도 강화되고 홈페이지나 서버 운영자에 대한 정보 조회가 심화되고 있는 관계로 요즘 심심치 않게 중국 홈페이지들이 한국으로 이전해 오는 현상이 발생하고 있다. 한마디로 중국에서는 더 이상 개인이 홈페이지를 운영할 수 없는 국가가 되어가고 있다.

한국을 중국과 비교하는 것은 무의미 하다고 생각하는 사람이 많을 것이다. 한국에서는 중국같은 노골적인 인터넷 통제 정책은 시행하지 않는다. 그러나 한국에서는 홈페이지 운영에 들어가는 부대 비용이 개인이 감당할 수 없는 수준으로 오를 예정이라 더 이상 개인의 홈페이지 운영은 불가능해지는 시기가 곳 도래할 것이다.

과거에는 개인이 홈페이지를 운영하는데 호스팅 비용과 도 메인 비용을 합해서 1년에 2만원 정도가 소요되었다. 그러나 지금은 보안서버 도입이 점점 의무사항으로 정착되어 가면서 년 10만원 정도의 보안서버 비용이 추가로 소요되고, 앞으로 인터넷 실명제와 개인정보보호를 앞세운 아이핀(i-PIN) 정책으로 인하여 이 제도가 완전히 정착된다면 현재 가격 기준으로 1년에 60만원정도의 비용이 추가로 소요될 예정이다.

한국은 중국의 경우처럼 개인이 제도적으로 홈페이지를 갖지 못하게 강요하는 국가는 아니지만, 비용 문제로 인하여 극히 일부의 개인을 제외하고는 자신의 홈페이지 보유를 포기하는 상황이 아마도 몇 년 내에 도래할 것으로 예측되어 진다. 그러나 아직까지 이에 대한 눈에 띄는 대안은 보이지 않고 있다.

빈대 잡겠다고 초가 삼 간 불 사르는 스팸 메일 정책

한국이 세계 3위의 스팸메일 발송 국가라는 모 보안 솔루션 회사의 자료가 발표되었다고 한다. 이 때문에 정부에서 무언가 대응을 해야 하겠다고 정책이 나왔다.  우리나라 가정용 인터넷에서는 메일 발송을 표준 포트로는 보내지 못하게 하겠다고 한다. 현업에서 일하고 있는 나로서는 빈대 잡겠다고 초가삼간에 불지르는 행위로 밖에 보이지 않는 정책이다.

담당자들의 논지는 일본과 호주 등에서 그러한 정책이 있는 데 우리나라도 도입하면 효과가 있을 것이라고 한다. 그러나 우리 협회 회원사 중 일본에 호스팅 사업을 진출한 회사의 경우도 기술적인 혼선으로 인하여 초반기 시도했다 실패했다고 전하고 있다. 다시 말해 일본의 경우도 흐지 부지가 된 사업을 대통령에게 올 해 사업 계획으로 보고했기 때문에 한국에서는 꼭 해야 한다는 논리가 이해가 안된다. 담당자들은 외국계 보안 회사의 막연한 리포트에만 의존하지 말고, 이 정책을 수립하면서 과연 대한민국에 이 정책을 적용했을 때 어느 정도 효과가 있고, 어느 정도 피해 사례가 있을 지에 대한 검토가 있었는지에 대해 묻고 싶다.

인터넷 표준과 동떨어진 액티브엑스(Active-X) 문제가 언젠가는 소멸할 것이라는 예측이 나오듯이, 표준을 거스를 경우 혼돈과 혼란이 따르고 결국은 원위치 되 고 말 것임은 자명한 이야기이다. 인터넷 메일은 표준을 따라야 하고 표준은 언제 어디서나 동일해야 함에도 불구하고, 국제화 시대에 한국에 와 있는 외국 회사나 외국 출장자들이 본국으로 메일을 보내지 못하는 문제점이나, 스마트폰 시대에 사람은 모바일 기기를 들고 지속적으로 이동할 수 밖에 없는데 와이파이망에서 설정이 다르고,  3G 망의 설정이 제 각각 달라지는 문제점 등 표준을 따르지 않기 때문에 엄청난 불편과 혼란 그리고 국제적인 위신 추락등이 따를 것이 분명한데, 이에 대한 아무런 대비책이 없다면 그 문제점에 대해선 과연 누가 책임질 것인가?

굳이 이 정책을 시행하지 않더라도 동일한 효과를 누릴 수 있다면 굳이 표준을 거슬러 가면서 혼돈을 초례할 일은 없다고 생각한다. 표준을 무효화 하는 정책을 무조건 시행하려 하지 말고 그 이전에 다른 대안을 먼저 찾아 보기를 바랄 따름이다.

한발 늦은 DDOS 긴급 대피 서비스

한국인터넷진흥원이 분산서비스거부(DDOS) 긴급 대피 서비스를 제공하기 위해, 시스템 구축을 위한 입찰을 진행한다는 공고가 얼마 전에 나왔다고 한다. DDOS 대응 체계를 구축해서 국민들에게 서비스를 하겠다는 취지에는 어느 정도 공감을 하는 바이다. 그러나 이미 인터넷 회선 사업자와 호스팅 업체 그리고 보안 서비스 업체들이 이미 상당한 비용을 발 빠르게 투자하여 긴급 대피 서비스를 운영중에 있고 경쟁을 통해서 서비스 이용 비용이 충분히 낮아졌다는 판단이 든다. 따라서 민간의 비용투자가 이미 이루어지고 서비스가 제공되고 있는 상태라면 현재 시점에서 국민의 세금이 투입되어 동일한 서비스를 시행해야 할 정책적 의미가 많이 퇴색되었다고 할 수밖에 없다.

민간이 하는 서비스에 정부가 참여해서 잘 되었던 사례 도 있겠지만, 세금을 낭비한 사례도 많이 있다. 우리 업계와 밀접한 사업으로는 지자체와 정부기관의 무료 홈페이지 보급사업이나 무료 메일 계정 서비스였다. 서비스는 유료일 때 고객은 비용에 맞는 요구사항을 지속적으로 발생시키고, 서비스는 그래서 계속 진일보 하는 것이 자명한 일이다. 그러나 무료서비스인 정부 기관의 서비스가 기술력이나 경쟁력에서 계속 뒤쳐질 수밖에 없었고, 몇 년이 흐른 지금 정부 세금만 낭비한 대표적인 사례 중 하나가 되었다.

DDOS 긴급 대피 서비스를 정부에서 꼭 필요한 정책이라 판단되어 시행해야 할 충분한 이유가 있다면, 지속적인 기술 발전을 통해서 앞으로의 보안 위협에 충분히 대응할 수 있어야 하고, 일회성 서비스 제공보다는 서비스 이용 대상자가 사업을 영 위함에 있어서 정말로 안정적인 대피처가 될 수 있도록 했으면 하는 바램이다.

그리고 한가지 더 한 바램은 민간 사업이 이미 존재하고 있는 만큼, 투입된 혈세에 상응하는 최소한의 원가라도 산출하여 서비스 이용자에게 청구하는 것이, 서비스 이용자들이 지출한 비용에 대한 합당한 개선 사항을 지속적으로 요구하게 되어 정부 기관의 서비스 수준도 올라가게 될 것이고, 이에 상응하는 경쟁을 통해 민간 사업자도 더욱 더 좋은 서비스를 제공할 수 있을 것으로 판단이 된다.

보안 장비에만 의존할 경우 언젠가는 당할 수밖에 없다

인터넷 보안 위협은 가히 상상을 초월한다. 보안 헛점이 발표 될 때마다 몇 일이면 그 방법이 공격자들 사이에 순식간에 퍼져서 공격을 하고 있는 것을 종종 목격하게 된다. 공격자는 사람이고 공격 방법은 늘 진화한다. 한 번의 공격이 실패할 경우 그들은 능동적으로 새로운 공격 방법을 모색해서 공격을 한다.

2009년 7.7 DDOS 때 얼마나 대단한 공격이었나를 짚어 보자. 그 당시에 현장에서 원래 DDOS 공격은 막지 못한다는 손쉬운 변명을 이곳 저곳에서 정말 많 이 들을 수 있었다. 그러나 동시 다발적 공격이라 실제 공격 받은 웹사이트에서 받은 공격량은 네트워크가 버티지 못할 만큼 많지 않았다. 보안 장비의 원리는 공격 패턴에 대해서 대응하다 보니, 지금까지의 공격 패턴과 다른 경우에는 효과적으로 대응할 수가 없다는 문제점을 내포하고 있다. 다시 말해 장비에 의한 방어 체계는 아무리 비싼 보안 장비라 해도 보안 장비회사에서 패턴을 분석해서 새로운 방어 룰을 적시에 만들어 주지 못하면 무용지물일 수 밖에 없는 문제점을 늘 내포한다. 그것이 동시 다발적인 DDOS 공격으로부터 대한민국 전체가 백기를 들 수 밖에 없었던 가장 큰 원인이었다. 다시 말해 공격자는 늘 진화하고 늘 능동적이지만 방어자가 수동적인 구조에서는 언젠가는 당할 수 밖에 없게 된다.

오픈 소스 보안 솔루션이 대한민국 인터넷을 튼튼하게 한다.

악의적인 공격자로부터 서버를 보호하기는 기술적으로 어렵고 또한 장비에 의존할 경우 엄청난 비용이 소요된다. 사이트의 운영 비용은 10이라 하면 보안 비용은 100이 드는게 현실이다. 이러한 고 비용 구조에서는 인터넷 사이트의 부익부 빈익빈 구조는 필연적으로 발생할 수 밖에 없고, 결국 영세 사이트 운영자의 서버는 비용 문제로 인해 무방비로 보안 헛점에 노출될 수 밖에 없는 구조가 되고, 그래서 영세 인터넷 사이트에서 침해 사고가 지속적으로 일어날 수 밖에 없게 된다.

그러나 지금까지의 인터넷 보안 정책 중 하나인 보안 솔루션 업체의 육성과 발전이라는 과제만으로는 보안의 고비용의 문제를 쉽게 해결할 수가 없고, 영세 인터넷 사이트는 그러한 정책으로부터 아무런 도움을 받을 수 없다. 따라서 정부 정책의 핵심 포인트 중 하나를 영세 인터넷 사이트의 보안 비용을 어떻게 하면 줄일 수 있도록 하는 지에 도움을 주도록 맞추어야 할 것이다.

중점적으로 추진해야 할 과제가 오픈소스 솔루션의 제작 배포와 노하우의 공유다. 물론 한국인터넷진 흥원이 오픈소스 솔루션의 배포를 안하는 것은 아니다. 기억나는 정책 중의 하나가 공개 웹방화벽 배포가 아닌가 한다. 그러나 이 정책은 1회성 배포만으로 끝난 아쉬움이 남는다. 오히려 이 웹방화벽을 설치했던 서버 담당자들의 경우 설치 해놓고 보니 오작동 문제가 발생하거나 공격자의 봇(bot) 공격에 결국 뚫리고, 결국은 공개 웹방화벽에 불신만 쌓이는 경우가 되었다. 그러나 지속적인 스터디와 노하우 축적을 통해 이 웹방화벽을 이용해서 보안 서비스를 제공하는 업체도 있고 적절한 방어 시스템을 구축하는 사례도 있다.

다시 말해 단순한 배포가 아니라 지속적인 업그레이드와 룰셋의 튜닝 노하우 그리고 하드웨어 튜닝 기술 등의 노하우 공유가 지속적으로 이루어지지 않는다면 1회성 배포는 현업에서 그리 우대 받지 못한다는 사실이다.

오픈소스 보안 프로젝트는 전 세계 인터넷 보안 분야 모든 영역에서 광범위하게 이루어지고 있다. 중요한 것은 그것을 현업에서 이용하기 위해서는 광범위한 테스트와 그 결과에 대한 노하우 공유를 필요로 하게 된다. 쉬운 일례로 DDOS SYNFLOOD 공격에 대해서 일반적인 매뉴얼로는 초당 1만번의 공격을 막기 힘들다. 그러나 우리 협회 회원사중 하나는 별도의 전용 보안 장비없이 초당 20만번 이상의 공격을 막아 낸다고 한다. 그러한 수준까지 가능하게 하려면 전담팀에 의한 연구와 지속적인 테스트와 튜닝 그리고 그 결과에 대한 오픈된 노하우 공개를 통해서 가능할 것이다. 그러한 일을 수행해야 할 주체는 개인이나 기업이 아니라 정부의 몫이 아닐까 한다.