[현장클릭]아파도 미워할 수 없는…'보안'의 역설

임종철 디자이너

시장 우위를 선점하기 위한 ICT(정보통신기술) 기업 간 경쟁이 치열해지고 다양한 사물이 연결되는 환경에 놓여 있다 보니 보안상 허점이 경쟁사에 의해 발견되는 일이 빈번히 발생하고 있습니다. 최근 사상 초유의 '중앙처리장치(CPU) 게이트' 사건 주인공인 인텔의 결함을 찾아낸 장본인은 인텔 직원이 아닌 구글과 오스트리아 그라츠 공대 연구팀이었습니다. 지난 연말 중국 인터넷 기업 텐센트는 구글의 인공지능(AI) 학습 시스템의 결함을 발견, 구글에 관련 사안을 전달했고 구글은 텐센트에게 '고맙다'는 말을 건넸다고 합니다.


'개인 데이터=프라이버시'라는 공식이 성립되는 세상에서 데이터가 유실되는 것은 이용자 입장에서 아주 불쾌한 일 중 하나입니다. 기업이라면 수익에도 직접적인 영향을 미친다는 점에서 더욱 치명적이죠. 라이벌로부터 약점을 지적 받는 기업은 평판에 치명타를 입지만 다른 한편으로 공격으로 인해 발생할 수 있는 손실을 미리 막을 수 있는 기회를 얻게 된다는 점에서 마냥 싫지만도 않은 모순적인 순간을 맞이하게 됩니다.

기업들이 버그바운티(Bug Bounty) 참여에 적극적인 이유도 이 때문입니다. 버그바운티는 주로 모바일 기기의 소프트웨어나 하드웨어 등에서 취약점을 찾은 화이트 해커에게 포상금을 주는 제도로 1995년 넷스케이프가 처음으로 기획해 시도하면서 IT업계로 확산됐습니다. 구글, 애플, 페이스북, 삼성, 마이크로소프트(MS), 인텔 등 글로벌 기업들은 버그바운티를 적극적으로 실시하고 있습니다. 국내에서는 한국인터넷진흥원(KISA) 주도로 네이버, 한글과컴퓨터, 카카오, 이스트시큐리티, 지니언스, 안랩 등이 참여하고 있는데 지난해까지 버그바운티로 찾은 버그 수는 1000건을 돌파했습니다.

버그바운티를 활용하는 기업은 아무래도 자사 서비스와 제품에 대한 안전성 강화에 신경을 더 많이 쓸 수밖에 없습니다. 버그바운티는 화이트 해커들이 보안전문가로 활약하면서 제품 보안성을 강화하게 되는 일종의 선순환 구조를 만들어주게 됩니다. 아무리 취약점 포상제도라는 이름을 달고 있는 제도이지만 남에게 약점을 들키는 일은 결코 자랑거리가 아니기 때문입니다.

이번에 발견된 버그는 커널 메모리 정보를 사용자 공간에 유출시킨다는 점에서 몇 세대에 걸쳐 영향을 미칠 수 있을만큼 위협적인 것이었습니다. 인텔은 이번 사태로 수십 년간 쌓아온 브랜드 이미지에 큰 타격을 입었습니다. 다만, 지금에서나마 취약점을 찾아 빠르게 보안 패치를 적용하면서 더 큰 피해를 막을 수 있었다는 점에서는 내심 안도할 지도 모를 일입니다. 어떤 서비스나 제품이든 취약점이 완전무결한 것은 없습니다. 문제는 기업이 취약점을 발견한 뒤 얼마나 빠른 속도로 보안 패치를 적용해 이용자가 당면한 위협을 막아주느냐일 겁니다.