추가 적립 안내

인터넷은 우리 일상을 더없이 편리하게 해주는 필수품이 됐다. 하지만 그만큼 더 위험해졌다. 주변의 모든 사물이 인터넷에 연결되는 ‘사물인터넷’ 시대로 진화하면서 인터넷은 누군가의 클릭 한 번으로 수백, 수천 명을 살상할 수 있는 위험한 환경으로 급진전하고 있다. 세계 최고의 보안 ‘구루’ 브루스 슈나이어가 위험한 인터넷 시대의 보안과 생존 전략을 들려준다.

무인 자율 주행 차, 스마트 온도조절장치, 자동 주식거래 시스템, 무인 드론 등은 우리의 행태를 실시간 분석하고 예측하는 AI 알고리즘과 결합해 사이버 세계뿐 아니라 현실 세계에도 큰 잠재적 위협을 제기한다. 세계 최고의 보안 전문가 브루스 슈나이어는 ‘사물인터넷’의 장밋빛 비전 뒤에 도사린 인명 살상의 위험을 생생한 사례와 시나리오로 경고하면서 어떻게 대응해야 할지 알려준다.

데이터 도난, 신상털기의 시대는 이미 낡은 옛이야기다. 첨단 해커들은 당신이 운전하는 차, 몸에 내장한 심박 조절기, 집안의 보안 시스템을 원격으로 공격한다. 브루스 슈나이어는 TMI, 초연결 네트워크 시대의 편리함 뒤에 도사린 심각한 보안 위협을 생생히 펼쳐 보이면서, 현명한 생존 전략을 들려준다.

★ 이 책의 구성 ★

다루는 주제가 복잡하기 때문에 두 부분으로 나눴다.
1부 ‘트렌드’는 현재의 컴퓨터 보안이 기술적, 정치적, 경제적으로 왜 지금과 같은 상태에 있는지, 더불어 여기까지 이르게 된 배경은 무엇인지 다룬다. 컴퓨터는 더 작아지고 물리적 세계를 조작하는 데 더 능숙해지지만 기본적으로는 여전히 우리가 수십 년 동안 사용해 온 것과 같은 컴퓨터다. 기술적인 보안 문제는 여전히 변하지 않았다. 정책 문제는 그간 씨름해온 내용과 동일한 문제들이다. 그리고 컴퓨터와 통신이 모든 것에 내장돼 가면서 여러 산업 분야는 하나둘 컴퓨터 산업처럼 변해 갈 것이다. 컴퓨터 보안은 모든 분야의 보안 문제가 되고, 컴퓨터 보안 문제에서 얻은 교훈은 다른 모든 분야에도 적용 가능해질 것이다.
1장에서는 왜 인터넷이 그토록 보안에 취약한지 모든 기술적 이유를 들겠다.
2장에서는 시스템에서 보안을 유지하는 주된 방법-허점이 발견되면 이를 보완하는 ‘패칭’-을 짚고, 왜 이런 방법이 ‘인터넷 플러스’ 환경에서는 실패할 수밖에 없는지 설명한다.
3장은 우리가 인터넷에서 어떻게 본인의 진짜 신원을 증명하는지 그리고 어떻게 신원을 숨길 수 있는지에 대해 논의한다.
4장은 보안의 취약성을 선호하는 정치적, 경제적 동력, 예컨대 감시 자본주의, 사이버 범죄, 사이버 전쟁 그리고 그러한 취약성을 자양분으로 삼아 기업과 정부가 자행하는 더 침입적인 행태를 설명한다.
5장에서는 ‘왜 위험이 증가하고 어떻게 재난 수준으로 확대되는지’ 설명한다. ‘모두를 죽이려면 여기를 클릭하세요(Click Here to Kill Everybody)’라는 표현은 과장이지만, 우리는 이미 컴퓨터 공격이 자동차 사고를 일으키고 발전소를 무력화할 수 있는 세상에 살고 있다.
지금까지 우리는 컴퓨터와 인터넷 보안을 대체로 시장에 맡겨 왔다. 이런 접근법은 과거에는 크게 문제가 되지 않았기 때문에 대체적으로 만족스럽게 작동했다. 보안은 대체로 프라이버시에 관한 것이었고 전적으로 비트의 문제였다. 만약 내 컴퓨터가 해킹을 당했다면 나는 중요한 데이터를 잃거나 내 신원을 도둑맞았다. 참 불행한 사태였고 손해 비용도 만만치 않았지만 그리 재난스러운 상황은 아니었다. 이제는 모든 것이 컴퓨터인 상황이기 때문에, 컴퓨터에 대한 위협은 생명과 재산의 문제나 다름없다. 해커들은 우리가 운전하는 승용차나 몸에 부착한 맥박 조정기, 또는 도시의 전력망을 교란할 수 있다. 재앙 수준이다.

2부 ‘해법들’에서 나는 ‘인터넷 플러스’의 보안을 담보하기 위해 어떻게 정책을 바꿔야 할지 논의한다. 6장, 7장 그리고 8장은 인터넷 플러스의 보안을 개선하는 데 무엇이 필요하고, 개선 방법은 무엇이며, 누가 그런 역할을 담당해야 하는지 다룬다.
8장을 마칠 즈음 그런 역할을 담당해야 할 ‘누구’가 바로 정부라는 점을 독자들이 확신할 수 있기를 바란다. 정부에 이 역할을 맡기는 데는 상당한 위험이 따르지만 정부 외에는 유효한 대안이 없다. ‘인터넷 플러스’의 보안이 지금처럼 허술하고 취약해진 것은 비즈니스의 그릇된 동기부여, 방어보다 공격적 인터넷 사용을 부추기는 정부, 실행 과정의 여러 문제 그리고 정부 개입을 필요로 하는 시장의 실패 등이 복합적으로 작용한 결과다.
정부가 신뢰를 얻기 위해서는 공격보다 방어를 우선시해야 한다. 그 방법을 9장에서 설명하겠다.
10장에서는 좀 더 현실적으로 태도를 바꿔 어떤 일이 벌어질 가능성이 높으며, 미국과 다른 나라들에서 그에 어떻게 대응할 수 있는지 논의한다.
11장은 인터넷 플러스의 보안에 악영향을 끼칠 현재의 몇몇 정책 제안을 짚는다.
12장은 다시 일반론으로 돌아가 어떻게 하면 신뢰, 복원력 그리고 평화가 규범이 되는 인터넷 플러스를 만들 수 있는지, 그런 미래는 어떤 양상일지 논의한다

★ 옮긴이의 말 ★

“모두를 죽이려면 여기를 클릭하세요.(Click Here to Kill Everybody)”
책 제목으로 이만큼 강렬한 낚시성 제목도 드물 듯싶다. 저자인 브루스 슈나이어도 이를 인정했다. 하지만 그런 센세이셔널한 제목에도 불구하고, 그것이 경고하는 내용의 핵심은 여전히 유효하다. 머지않아 제목과 같은 상황이 발생할 위험성도 충분히 존재한다는 것이다. 우리의 컴퓨터와 인터넷 환경은 클릭 한 번으로 수많은 인명을 -‘모두’는 아니더라도- 살상할 수 있는 세계로 나가고 있다.
그런 흐름의 중심에 ‘모든 것의 컴퓨터화’가 자리 잡고 있으며, 더 구체적으로는 ‘인터넷에 연결된 컴퓨터화’이다. 우리 삶의 질과 편의성을 더 높이기 위해 이런 흐름에 이른 것이지만 그 이면의 부작용도 만만찮다. 모든 것이 인터넷에 연결돼 원격 조종이 가능한 만큼 악의적인 해커나 정부의 스파이가 이를 악용할 위험성도 그에 비례해 증폭된다. 브루스 슈나이어가 주목하는 것은 바로 이런 이면이다. 인터넷에서 클릭 한 번이면 수많은 인명이 살상될 수 있는 위험이다. 이 위험은 온갖 기기의 컴퓨터화 속도를 미처 따라잡지 못하는 보안의 취약성 때문에 더욱 높아진다. 설상가상으로 기업이나 정부는 무엇이든 컴퓨터화하고 인터넷에 연결하려 계획하는 초기 단계에서 ‘보안’이라는 중대 변수를 경시하거나 아예 무시해버리기 일쑤다. 때로는 의도적으로 보안에 허점을 만들기까지 한다.
슈나이어는 우리의 인터넷과 컴퓨터가 이제는 자동차업계나 항공업계, 제약업계처럼 인명 살상의 잠재적 위험성을 갖게 됐다고 지적한다. 이처럼 새롭게 발전되고 확장된 소위 ‘인터넷 플러스(Internet+)’ 환경은 더 이상 방임 상태로 내버려 둘 수 없다고 강조한다. 3D 프린터를 통해 간단히 권총을 제조하고, 자율 주행 차를 해킹해 사고를 유발하고, 생체 프린터로 치명적인 바이러스를 유포하는 등 책 제목과 직결되는 몇 가지 사례는 그런 주장의 적실성을 잘 보여준다.
슈나이어는 ‘모든 것의 컴퓨터화’는 보안 패러다임에도 결정적인 변화를 몰고 올 것으로 전망한다. (1) 먼저 소프트웨어나 시스템의 취약점이 발견되면 온라인으로 패칭(patching)하던 방식은 사물인터넷 환경에서 제대로 통하지 않을 것이다. 패치 과정이 해킹 채널로 악용되는 상황을 막기도 더 어려워질 것이다. (2) 내가 다른 서비스나 객체를 인증하는 방식도 근본적으로 바뀔 것이다. IoT는 ‘나(사람)’의 개입 없이 기계와 기계, 장비와 장비끼리, 이를테면 자동차와 도로 신호등이 서로를 인증하는 상황이다. 이 과정에 어떤 위험이 도사리고 있는지 제때 파악해 해결하기는 더욱더 어려울 수밖에 없다. (3) 최초 디자인부터 제조, 조립, 운송, 판매, 유통의 출처가 모두 다른 상황, 더욱이 부품 하나하나까지 그 출처가 각기 다른 나라인 상황에서 ‘공급망’ 관리는 더욱 어려워질 것이다. 러시아의 보안회사 카스퍼스키(Kaspersky), 중국의 화웨이(Huawei)와 ZTE를 과연 어느 정도까지 믿을 수 있을까?
이렇게 보면 ‘인터넷 플러스’의 신세계는 결코 장밋빛만은 아니다. 혜택이 큰 만큼 부작용도 커 보인다. 부작용을 최소화할 수 있는 해법은 무엇일까? 슈나이어는 표준, 규제, 국제 협약, 국가 단위의 법률 같은 ‘정책’으로 풀 수밖에 없다고 주장한다. 그리고 그런 정책 수립의 기반으로 ‘방어 우선’ 원칙을 강조한다. 지금의 사이버 전쟁과 사이버 스파이 활동은 의심할 바 없이 공격 우선이다. 방어보다 공격이 훨씬 더 쉬운 사이버 스페이스의 특성도 한몫한다. 그 때문에 시스템이나 소프트웨어의 보안 취약점이 발견되면 정부기관이나 해커들은 이를 공개해 패치를 유도하기보다 발견 사실을 숨기고 공격 무기로 활용한다. 이런 흐름은 공격의 악순환으로 이어진다.
슈나이어는 ‘모두를 죽이려면 여기를 클릭하세요’의 시나리오가 더 이상 허황하게 보이지 않는 요즘 상황에서 정부의 관여 여부는 이미 논란거리가 아니라고 강조한다. 인명 살상의 위험이 있는 것은 정부가 규제할 수밖에 없고, 인터넷 플러스는 바야흐로 이 범주에 들어가고 있기 때문이다. 이제 정부의 규제는 불가피해 보이고 중요한 것은 규제 대책을 얼마나 영리하게, 혹은 어리석게 내놓느냐에 달려 있다고 저자는 말한다.
브루스 슈나이어는 IT 보안 분야에서 최고의 ‘공공 지식인’이라고 할 만하다. 복잡하고 자칫 지루할 수 있는 컴퓨터 보안 문제를 평이하면서도 흥미진진하게 풀어내는 솜씨가 대가 급이다. 이 책 또한 예외가 아니다. ‘스마트’ 기기, ‘머신 러닝’, AI, IoT 같은 신조어가 봇물 터지듯 나오는 요즘 상황에서 대체 뭐가 어떻게 된다는 것인지 갈피를 잡기가 쉽지 않다. 이 책은 독자로 하여금 제대로 방향을 잡을 수 있게 해줄 뿐 아니라, 낙관적이고 멋지게만 보이는 일방적 미래상 대신 현실에 발을 딛고 그런 장밋빛 미래를 만들기 위해 각자가 어떻게 일익을 담당할 수 있는지 친절하게 일러준다.

1부. 트렌드

1장. 컴퓨터의 보안을 확보하기는 여전히 어렵다
2장. 패치는 실패한 ‘보안 패러다임’이다
3장. 인터넷에서 누가 누구인지 알기가 점점 더 어려워진다
4장. 누구나 비보안을 선호한다
5장. 위험은 재난 수준으로 확대된다

2부. 해법들

6장. 보안이 확보된 인터넷 플러스는 이런 양상일 것이다
7장. 어떻게 인터넷 플러스의 보안을 확보할 것인가
8장. 보안을 앞서 강화해야 할 주체는 정부다
9장. 어떻게 정부는 방어를 공격보다 우선시할 수 있는가
10장. 플랜 B: 어떤 일이 벌어질까?
11장. 정책이 산으로 가는 경우
12장. 신뢰와 복원력을 갖춘 평화 지향의 인터넷 플러스를 향해