“이것만 지키면 더 이상 내 책임이 아니야” 규정보안의 위험성
슬로우뉴스에 김기창 오픈넷 이사의 “보안카드가 뚫린 이유: 공격을 도와주는 전자금융감독규정“라는 글이 실렸다. 악성코드와 전자금융감독규정의 빈틈을 이용해서 보안카드를 뚫고 은행 계좌의 돈을 탈취해간 사고에 관한 내용이다.
보안카드 견본이라고 합니다
전자금융감독규정 제34조 제2항 제6호에 아래와 같은 내용이 있다.
6. 비밀번호 개수가 한정된 일회용 비밀번호 사용 시에 비밀번호 입력 오류가 발생하거나 일회용 비밀번호를 입력하지 않고 비정상적으로 거래를 종료하면, 다음 거래 시 동일한 비밀번호를 요구할 것
이 규정은 예전에 PG(Payment Gateway)에 있을 때 본 적이 있는데, 그때도 ‘으응? 왜?’ 했었다. 이리저리 전해 들은 이 규정의 의의(?)는 이렇다. 해커들이 보안카드의 일부 번호를 알고 있을 때, 알고 있는 번호가 나올 때까지 계속 시도할 수도 있기 때문이라는 것이다. 그때는 PG업 특성상 크게 연관이 없는데다 그게 이유라고 하니 그런가 보다 했었다.
하지만 결국 이런 규정의 빈틈으로 결국 사고가 나고 보니, 보안에 관해서 어떤 규정으로 상세하게 지정하는 것이 얼마나 위험한 것인가를 새삼 깨닫게 된다.
규정이 왜 문제일까
슬로우뉴스 기사의 이런 반응들이 있다. “악성코드가 문제지 규정이 무슨 상관?”이라거나 “규정의 변경으로 해결되는 문제가 아니”라는 얘기들. 이런 반응들이 나오는 이유가 바로 ‘규정’이라는 것에 얽매어 있기 때문이다.
관치보안, 규정보안에 대해 내 의견과 가장 가까운 슬로우뉴스 기사의 댓글이 있어서 소개해 본다.
위에 달린 댓글을 보면 현재의 우리나라 보안 논의가 어떻게 이루어지고 만들어져 왔는지를 여실히 드러낸다고 생각합니다.
바로 관치 보안인 것이죠. 정부와 감독기관이 기술의 상세 적용 방법을 법으로 명시해놓은 것입니다. 저런 규정을 가만히 둔 채 저 규정의 논리가 맞다 그르다, 공인인증서 기반의 시스템이 기술적으로 안전하다 불안하다 등과 같은 토론을 해봐야 진짜 논의는 산으로 갈 수 밖에 없는 것이지요.
즉, 법과 규정이 너무 상세한 방법까지 저렇게 규정으로 만들어 두고 있으니 시간이 가면 갈수록 문제가 붉어지는 것이지요. 공격 기술과 환경은 날로 발전 및 다양화 되고 있어서 생각하지 못했던 변수가 생기는 것입니다. 반면 지켜야 하는 쪽은 규정을 어겨서도 안되고, 규정을 지키면 보안을 뚫려도 면피할 수 있는 것이지요.
과연 “어쩌고 저쩌고 상황시 동일한 비밀번호를 요구해야 한다는 것”을 법으로 규정할 필요가 있을까요? 예를 들어 두번 실패할 때까지는 다른 비밀번호를 요구하면서 이메일이나 문자, 전화로 그 실패 시도를 알려주면 안되나요? 세번까지는 다른 비밀번호를 요구하다가 실패하면 방법을 바꿔서 미리 이용자가 입력해둔 그림으로 물어보면 안되나요?
물론 저렇게 규정한 것에는 이유가 있을 것입니다. 추측해 보건데, 공격자가 실패를 하면서 계속해서 보안카드의 나머지 비밀번호를 습득하는 것을 막고자 한 것일 수도 있습니다. 저 규정을 만든 사람은 나름 선의를 가지고 여러 상황을 시뮬레이션 해보고 더 안전한 상황으로 유도하려고 한 것일 수도 있습니다.
하지만, 저런 상세한 규정 때문에 전문가들이 더 나은 기술과 방법을 논의하는 게 아니라 오히려 이 규정하에서는 어쩔 수 없다, 이 규정을 지키면서 다른 방법을 생각해야 한다….는 식의 족쇄가 되는 것 같습니다.
저 위의 다양한 피해 사례들도 업체의 자율적인 적용에서 문제가 생겨서 뚫린 게 아니라 법 규정을 지킬 건 다 지키면서 뚫린 것이니 계속해서 피해사례만 기사화될 뿐 아무도 그 책임을 지지 않겠죠. 실제로 누구도 별다른 책임을 지지 않고 있죠.
규정이라는 것은 달리 말하면 ‘면죄부’다. 이것을 지켰기 때문에 사고가 나도 책임이 없다는 식이 되어 버리는 것이다. 이것이 관치 보안, 규정 보안의 가장 큰 문제다.
규정을 지킨다는 것 = 면죄부를 받는다는 것
보안은 규정이 중요한 것이 아니라, 결과에 관해서 책임을 (많이) 지게 하는 게 중요하다. 그렇게 해야 책임을 면하기 위해서 새로운 기술과 방법을 끊임없이 고민하고 적용하는 시도를 하게 되는 것이다. 보안카드를 이러이러하게 적용하라는 규정이 아니라, 보안카드를 사용하되 그럼에도 사고가 생기면 은행이 전액 배상한다는 규정을 만들어 봐라. 그럼 과연 은행들이 그냥 손 놓고 있을까?
규정만 지키면 되는 보안 때문에 우리나라 금융권에서는 ‘이상 거래 패턴 감지’나, ‘신뢰성 있는 거래에 대한 절차 단순화’에 대한 연구나 논의가 거의 이뤄지지 않(거나 늦어지)는 것이다. 보안카드의 예를 들면 원하는 비밀번호를 요구받기 위해 계속 거래를 도중에 취소하면 이상하다고 판단해야 하는 거 아닌가? 한 달에도 수십 번씩 이체가 이뤄지는 계좌에 대해서도 절차를 단순화하고 처음 이체가 이뤄지는 계좌에 대해서는 추가적인 절차를 적용하는 게 필요하지 않은가? 등등.
신용카드는 판례 등으로 분실 사고 등에서도 카드사 책임을 많이 지우는 결과들이 나오니까 이제는 대다수가 이상 거래 패턴을 탐지한다. 평소 안 쓰던 업종이나 평소 안 쓰던 시간대에 쓰면 전화해서 본인이 쓴 거 맞느냐고 물어보고.
그러니까 사고에 관해서 책임을 강하게 지우고, 방법은 자율에 맡기는 것, 그것이 보안을 실질적으로 향상시키는 지름길이라고 본다.
뱀발: 자율성에 대한 환상
뭐, 사실 “책임은 규정하되 방식은 자유롭게”라는 생각이 환상일 수도 있다. 사실 규정이 구체적이지 않으면 당사자들은 무척 불안해한다. 보안 컨설팅을 하는 업체 분들과 얘기를 해보면, 컨설팅이나 현장조사를 나가면 제일 많이 하는 얘기들이 “그러니까 구체적으로 어떻게 해야 하나요.”란다.
예를 들어, “패스워드 관리 대장을 작성하여 보관해야 한다”는 규정이 있으면, 표준 양식은 없느냐, 파일로만 보관해도 되느냐, 출력해서 보관하면 금고에 넣어야 하느냐 등, 이런 질문이 나온단다. 또 “침입을 막을 방안을 갖추어야 한다”고만 되어 있으면, 방화벽만 설치하면 되느냐, IDS(침입 탐지 시스템)도 있어야 하냐, 윈도우 서버인데 윈도우 방화벽만 써도 되는 거냐 같은 질문이 나오고…
어차피 이런 상황인데 규정마저 없으면 혼란이 올 것이라는 생각을 할 수도 있을 것이다. 하지만 이게 다 규정으로 옭아매고 면죄부 획득에만 치중하게 환경을 만들어 왔기 때문이 아닐까 싶다. 그러니 어렵더라도 규정보안과 관치보안으로 이룰 수 있는 것은 이제 한계에 도달했다는 것을 인정하는 것부터 시작해야겠다.
