2014년 11월 30일 일요일

금융보안과 한국 소프트웨어 미래의 심각성





아래 기사는 필자가 안철수연구소의 부사장/CTO 였던 거의 9년전인 2006년에 연두기자회견때 기자들과 인터뷰했던 내용이었다. 필자도 금융권을 해킹할 수 있다는 내용일 만큼 파격적이어서 그 당시에는 여러군데 기사가 나왔었다. 당시에 잠깐 큰 이슈가 되었었지만 내용의 심각성때문인지 곧 덮어졌다. 아마도 이해관계가 얽힌 다양한 기득권층에게 이익이 되지 않기 때문이었으리라고 추측한다.

요새 농협의 증발해 버린 돈 사건에서 처럼 중국 해커들이 돈을 인출해 가는 것은 필자가 기자회견에서 예견했듯이 너무 뻔한 인과의 결과이기 때문에 앞으로도 계속 발생할 것이며 억울한 피해자가 속출할 것이다. 금융보안의 문제는 고객의 편리함을 제공한다는 명분아래 필연적인 보안의 취약점이기에 피하기도 어렵다. 시작이 잘못된 것이다.

금융권에서의 보안 불감증의 문제보더도 더 중요한 것이 소프트웨어 산업의 멸망이다. 사회에 만연된 불감증으로 지금대로 가다가는 한국 소프트웨어 산업도 금융 문제와 같이 깊은 늪에 빠질 것이다. 필자가 그동안 여러 저서를 통해 얘기해 왔지만 8년 전의 금융 보안에 대한 경고와 같이 미래 10년 후의 한국 소프트웨어가 암울해 보이는 것은 사실이다. 근본적인 변화는 없이 얼굴화장이나 하는 정도의 소극적인 변화로는 현재 처한 한국 소프트웨어의 문제는 해결되지 않는다.

아인슈타인이 다음과 같이 말했다.
"같은 일을 반복해서 되풀이하면서 다른 기대를 소망하는 것은 미친 짓이다."
"Insanity: doing the same thing over and over again and expecting different results."

이제 탁상공론은 그만하고 기득권도 내려놓고 근원적인 개혁을 시작하지 않으면 한국 소프트웨어는 없다.



아래는 8년전 기사이다.

안철수 연구소 “대한민국은 사이버전쟁 전야…중국해커에 노출 무방비” [기사원본가기]
기사입력 2006-03-20 21:28 | 최종수정 2006-03-20 21:28 0




[쿠키인터넷] “대한민국은 사이버전쟁 전야같다.”

안철수연구소의 김익환 최고기술책임자(CTO) 겸 부사장은 20일 서울 세종로 프레스센터에서 열린 ‘안철수연구소 창립 11주년 기념’ 기자간담회에서 “보안불감증이 심각하다”며 이같이 말했다.

김 부사장은 “기업이나 은행,기관 모두 마음만 먹으면 공격할 수 있고 막을 방법은 없다”며 “나 역시도 지금 당장 해킹할 수 있을 만큼 보안이 취약하다”고 덧붙였다.

그는 중국 해커들이 가장 두려운 대상이라고 언급한 뒤 “한국은 아직까지 폐쇄적인 구조라 금전적 이득을 얻기 힘들기 때문에 공격을 감행하지 않고 있는 것 같다”고 설명했다. 인터넷뱅킹을 예로 들면 미국은 외화의 송금 및 반입이 자유로운 오픈타입인 반면 한국은 외화 거래가 자유롭지 않은 폐쇄타입이라는 것.

공개키기반구조(PKI)와 관련해서도 의문을 제시했다. 일각에서 PKI는 공격할 수 없는 최상의 장치라고 얘길 하지만 실제로는 ‘뚫린다’는 게 김부사장의 얘기다. 그는 “PKI는 숫자 두개를 곱해서 나온 조합으로 얼마든지 해킹할 수 있다”며 “다만 시간이 오래 걸려 못 뚫는다는 얘기가 나오는 것”이라고 덧붙였다.

그는 또 “10년전만 해도 재미로 해킹하던 ‘매시브 어택(massive attack)’이 주를 이룬 반면 현재는 금전적 이득을 얻기 위한 피싱 등 무작위 공격이 기승을 부리고 있다”며 “미래에는 특정대상을 겨냥한 전세계 어떤 업체도 못 막는 공격이 자행될 것”이라고 경고했다.

2004년 3월 안철수 연구소에 영입된 김 부사장은 서울대 공대를 나와 미국 산호세주립 대학에서 전산학을 공부한뒤 실리콘밸리의 모체인 스탠포드 대학에서 컴퓨터공학 석사 학위를 받았다. 그는 GE를 거쳐 선마이크로시스템즈에서 현재 구글의 최고경영자인 에릭 슈미트와 함께 근무하는 등 쟁쟁한 IT전문가들과 함께 실무 경력을 쌓았으며 1995년부터 9년간 실리콘밸리에 소프트웨어 회사인 스탠포드 소프트웨어사를 설립해 운영했다. 저서로는 ‘대한민국에는 소프트웨어가 없다’가 있다.

국민일보 쿠키뉴스 이경선 기자 bokyung@kmib.co.kr



댓글 2개:

ohyounggeun :

1.
선생님께서 인터뷰하신 기사가 올라온지 어느덧 10년 다되가는 15년 이시점에
대한민국의 인터넷 뱅킹을 포함한 금융보안은 아직도 건재하면 수많은 위험의 노출속에서도
그 영역은 은행, 증권, 보험 등 상호 연계 및 통합되어 구축되고 있는 추세임은 부인할 수 없겠지요.

2.
10년 정도 보안쪽에 종사해오며 느낀점입니다.
완벽한 SW도, 기술도 이세상에는 없다는 것에 어느 누구도 부인하진 못할 것입니다.
수많은 보안 알고리즘조차도 완벽함을 당시에는 보장하지만,
시간이 흐르면 점차 보안강도는 낮아지고 이를 대비해 기술 또한 점차 발전하고 있구요.
분명한건 완벽하고 보안이 잘 갖춰진 SW도 분명히 허점은 있습니다.
최소한 그 SW가 완벽하다고 하더라도 HW가 취약하면 뚫리는 것이고,
NW가 보안에 취약하면 뚫리고 장애가 나기 마련이지요.
자사 구축한 시스템이 완벽하다 하더라도 자사와 제휴한 기업 시스템이, NW구간이 취약하여 해당 채널을 통해 뚫리기도 하고,
자사 시스템을 이용하는 고객의 PC, 스마트폰이 해킹되어 뚫기기도 합니다.
즉 클린룸같은 완벽한 것은 이 세상 어디에도 없을 것이고, 항상 위험은 있지만,
그래도 인터넷이 점차 PC, 모바일을 넘어 M2M, IoT를 넘어 IoE로 넘어가며 점차 확대될 것은 자명하다할 수 있습니다.
또다른 보안위협이 존재할 것이고, 그에 대한 다소 부족하지만, 보안 SW는 계속해서 대응해나갈것입니다.

3.
다만 아쉬운 게 있다면 SW에 종사하는 사람들에 대한 처우입니다.
야근도 잦고 업무강도에 비해 수당이 작다라는 금액적 보상에 대한 처우가 아니라...
나이를 50을 먹고, 60을 먹어도 개발하고 싶은 사람은 개발을 할 수 있는 문화가 조성되고,
영업이 아닌, 최고급 경력의 SE, 개발자들이 시장을 선도할 비전을 제시할 수 있고,
SW개발, SE들이 다양한 분야에 지속적으로 관심을 갖고 다양한 분야에서 전문가가 될 수 있는 문화가 조성되어야 할 것입니다.
아침부터 퇴근할때까지 주구장창 컴퓨터 앞에서 코드만 보고, 관리자가 불러서 업무회의에 끌려다니며 시간보내는게
현업에선 50%이상이 될거라 생각합니다.
개선된 개발방법론을 적용하여 프로세스를 도입하고 관리한다고 하더라도 개발자들에게 KPI로 그들을 평가한다면,
정말 좋은 SW를 누가 생각하고 만들고 획기적이고 혁신적인 SW가 어떻게 날 수 있을까요.

미국은 유럽은 일본은, 다른 국가는 어떻게 개발하고 관리하고 SW를 만드는지 많이 궁금합니다. ^^;

김익환 :

고객의 편리성과 보안의 위험성은 상충되는 요구사항이기 때문에 선택의 문제인데 미국은 보안쪽에 치우쳐 있고 한국은 편리성에 치우쳐 있기 때문에 보안의 위험이 현재 기술에 비해 취약할 수 밖에 없습니다. 이 선택이 과연 원했던 선택인가 아니면 하다 보니까 이런 선택이 되었는가는 다릅니다. 미리 전략적으로 준비하느냐 아니면 문제가 생길때마다 뒤따라 대응하느냐의 차이겠지요.

SW 개발자의 처우는 보안업계 뿐만이 아닌 전체 SW 업계의 문제인데 이는 기업의 책임이 가장 크다고 할 수 있습니다. glassdoor.com에서 글로벌 회사와 한국회사의 평가를 읽어보면 개발자가 아닌 기업의 경영자들의 문제가 더 크다는 것을 알 수 있습니다. 물론 개발자들의 사고방식이나 문화도 변화가 필요한 것도 사실입니다. 이 문제에 대해선 제 저서나 기사에서 너무 많은 언급을 했기 때문에 중복 내용을 적지는 않지만 많은 분들이 노력을 하고 있는 것도 사실이고 그 노력만큼 기업이나 개발자의 문화가 빨리 변하지 않는 것도 사실입니다.