타룬 툼바 샌디스크 부사장, "지금은 통합 암호화가 필요한 시기"

정보 보안을 개선하는 첫 걸음은 무엇인가? 더 이상 사람들의 실수를 탓할 것이 아니라 암호화와 같은 강력한 기술을 도입해야 할 때다. 보안 전문가에게 사이버 보안에 있어 가장 약한 연결고리가 무엇이냐고 묻는다면 이구동성으로 ‘사람’이라고 대답할 것이다.

사람들은 열어서는 안 되는 이메일을 열어보기도 하고 회사의 기기에서는 접속해서는 안 되는 웹사이트나 서비스에 접속하기도 한다. 또한 보안 기준이 상대적으로 느슨한 파트너사의 직원을 사내 네트워크에 초대하기도 한다.

사람들이 보안에서 가장 약한 연결 고리라는 것을 부인할 수는 없지만 원래 인간은 누구나 실수를 하는 법이다. 특히 중요한 점은 최근 범죄들은 신중하고 집요하며 복잡한 기술을 구사한다는 점이다.

막아피(McAfee)의 후원으로 국제전략문제연구소(CSIS, Center for Strategic and International Studies)에서 진행한 한 연구에 따르면 해커들로 인해 소비자와 기업에 발생하는 피해 액수는 연간 3750억달러에서 5750억달러에 달한다. 핵심 기술 또한 위협받을 수 있다. 2014년의 경우 FBI는 해커들이 지적 자산을 노리고 의료 기기 또는 의료 관련 기업들을 공격하려 한다고 경고하기도 했다.

그렇다면 우리는 무엇을 할 수 있을 것인가? 보안이란 결코 끝이 없고 완벽의 경지에 도달할 수가 없다. 이것이 현실이다. 그렇지만 보안을 개선하는 것은 가능하다. 이러한 개선이 이뤄질 수 있는 부분 중 하나가 자동 암호화 기술의 도입을 늘이는 것이다.
암호화는 현재 시장에서 유통되고 있는 보안 기술 중 가장 뛰어나지만 활용도가 가장 낮은 기술이기도 하다.

생각해 보라. 여러분의 세금 신고 서류는 가정 내 컴퓨터의 하드 드라이브에 보관돼 있을 것이다. 여기에 암호화를 걸었는가? 아마 그렇지 않을 것이다. 만일 누군가가 여러분의 노트북을 훔쳐서 암호를 푼다면 이 파일을 읽을 수 있는가? 물론이다.

다른 모든 기술과 마찬가지로 암호화도 해킹이 가능하다. 그러나 이를 위해서는 돈과 시간 뿐 아니라 엄청난 컴퓨터 연산 능력이 소모된다. 암호화가 최근 이어진 일련의 대규모 공격을 막지는 못했지만 갑작스럽게 몰아닥치는 스팸 메일이나 사용자명, 기타 정보 유출을 방지해 줄 수는 있었을 것이다.

만일 유출이 됐다고 하더라도 해커들은 아마 지금까지도 암호화돼 무슨 말인지 알 수 없는 문자열들을 가지고 씨름을 하고 있을 것이다.

보안 전문가 브루스 쉬네이어(Bruce Schneier)가 자신의 블로그에 “암호화는 뭔가 중요한 자료라고 생각되는 것에 대해 선택적으로 활성화시키는 것이 아니라 기본으로 모든 시스템에서 활성화돼 있어야 한다”고 밝혔다.

그러나 비교적 최근까지도 암호화는 비용과 번거로움 때문에 대부분의 사람들에게서는 외면을 받고 있다. 그리고 암호화 과정의 번거로움을 들기 위해 다른 사람에게 암호화 작업을 대행시키는 일은 안전하지 않은 것으로 여겨지고 있다.

하지만 컴퓨터 성능이 날로 향상됨에 따라 성능과 가격의 장벽이 낮아지면서 이러한 환경에도 변화가 찾아오고 있다. 예를 들어 SSD의 속도와 성능은 암호화가 이러한 번거로움 없이 이뤄지게 한다.

코글린 어소시에이츠(Coughlin Associates)는 올해 말까지 대부분의 SSD 가 자체적인 문서 암호화 기능을 구현할 수 있을 것이라고 전망했다. 척추 진료 기술 분야의 전문기업인 누베이시브(Nuvasive)는 최근 SSD를 통한 자체 암호화 프로그램을 도입하기도 했다.

사베인-옥슬리(Sarbanes-Oxley)법, HIPAA법(Healthcare Information Portability and Accountability Act), HITECH법(Health Information Technology for Economic and Clinical Health ACT) 등과 같은 법률에 따라 규제 상에도 변화가 일어나고 있어 암호화 도입을 촉진하고 있다.

2009년 테네시 블루 크로스 블루실드(Blue Cross BlueShield of Tennessee)는 150만달러의 벌금을 부과 받고 보상 소송 과정에서 1700만달러를 지출했다. 거의 100만에 달하는 환자들의 개인 정보가 담긴 57개의 암호화되지 않은 하드 드라이브를 도난당한 것이다.

프라이버시 권리 정보센터(PRC, Privacy Rights Clearinghouse)의 추산에 따르면 지난 한 해 동안 노트북의 분실로 인해 부득이하게 노출된 기록 건수만 약 24만9000건에 달하는 것으로 추정되고 있다.

암호화 관리 또는 정책 설정 관련 애플리케이션 또한 점차 사용자 편의성이 높아져 가고 있다. 머지않아 ‘원터치’ 방식의 암호화를 구현할 수 있는 각종 기능이 없는 시스템을 찾기는 매우 어려워 질 것이다.

웨이브(Wave)와 같은 기업들은 노트북에 자동으로 또는 클라우드를 통해 암호화를 지원하고 있다. 더불어 관리의 편의를 위해 특정한 폴더에 대해서만 암호화를 적용하는 것 역시 가능하다.

대형 웹서비스 기업들은 자동 암호화 기술을 도입하고 있다. 구글은 지메일에 대해 암호화 접속 기능을 제공하고 있으며 최종적으로는 메일에서 의도하고 있는 수신자가 이를 해제하기 전까지는 메일이 항상 암호화돼 있는 상태를 유지하는 종단간 암호화 기술로 이행하고 있다. 모바일 시장에서도 암호화, 그리고 진보된 보안 기술이 점자 적용되고 있다. 중국의 치쿠(Qiku)는 보안 기능을 강조한 휴대폰을 출시했다. 올해 초 구글은 실험 프로젝트인 프로젝트 볼트(Project Vault)를 선보였는데 이것은 마이크로SD 크기의 카드로 모바일 데이터 및 메시지의 보안을 유지해 주는 역할을 한다.

이에 대해 회의적이거나 비판적인 진영에서는 암호화 기능을 무상으로 그리고 상시 작동하는 것으로는 부족하다고 지적하고 있다. 그러나 이러한 상황은 언제든 바뀔 수가 있다. 아이콘만 클릭하는 것으로 암호화가 되거나 아예 완전히 자동화하는 경우 암호화에 대한 태도는 바뀌게 될 것이다. 거의 20년에 가까운 기간 동안 수많은 기업들이 지문 인식기를 암호의 대용으로 도입하고자 시도해 왔다.

그러나 이를 실제로 도입한 곳은 거의 없었다. 그러다 애플이 아이폰5에 지문 인식 시스템을 도입하자 사용자들도 이 기술을 수용하기 시작하면서 왜 이런 것을 이제야 내 놓았냐고 반문하기 시작했다.