마침 그 당시에 여러가지 정보유출 사고가 있어서, 각 회사 CEO나 연구소장 등이 정보보호에 촉각을 곤두세우던 터라 그 프로그램의 파급 효과는 더 컸다.
다큐멘터리에서 실제 해커가 어느 기업의 전산망에 침투해 데이터를 뽑아내는 장면도 놀라웠지만(그건 기업이 간단한 정보보호 지침만 지켰어도 예방할 수 있는 정도 수준의 해킹이었다), 그보다 더 놀라웠던 것은 모니터에서 나오는 전자파를 상당히 떨어진 거리에서 재현해내는 기술이었다.
아마도 영국 BBC에서 제작한 화면을 보여준 것으로 기억하고 있는데, 특수 장비가 갖춰진 건물 밖 차 안에서 건물 안에 있는 인물이 보고 있는 화면을 그대로 재현해내는 장면이 그 다큐멘터리에 생생하게 방영됐다.
첩보영화에서나 봄직한 이 기술을 선진 각국에서는 오래 전부터 연구하고 조사해왔으며, 미국에서는 이를 방지하는 사업에 연 10억달러나 쓴다고 한다.
이것이 바로 ‘템페스트’(TEMPEST)다.
그럼 이 단어의 뜻부터 살펴보자. 템페스트는 보통 ‘Transient Electromagnetic Pulse Emanation Standard’의 줄임말이라고 알려져 있다.
하지만 이것은 확실한 근거가 없고, 미국 정부에서는 단지 ‘코드 워드’(code word)라고 표현하면서 어떤 말의 약어라고 공식적으로 발표하지는 않고 있다.
이 때문에 템페스트를 처음 접한 사람은 이 말이 전자파 발산에 대한 이야기인지, 발산을 막기 위한 것인지 혼동할 수밖에 없다.
인터넷을 뒤져봐도 어느 말이 정확한지 확신하기 어렵다.
오죽하면 템페스트는 국가 기밀이기 때문에 인터넷에서는 제대로 된 정보를 찾을 수 없다는 말까지 나돌 정도일까. 하지만 잘 찾아보면 인터넷 안에도 꽤 많은 정보가 있으니, 관심있는 독자들은 한번 찾아보기 바란다.
템페스트는 “전기적인 장비들로부터 나오는 전기적, 전자기적 복사파를 차단하는 규격들”이라고 정의하면 무난하다.
모든 전기적 장치(예를 들어 모니터, 프린터, 심지어 LAN 케이블까지도)는 전자기파를 내뿜고 있으며, 어느 정도의 거리 안에서 이 전자기파를 모으고 재현하면 실제의 데이터가 무엇인지 알아낼 수 있다는 것이 템페스트의 기본 가정이다.
정말 놀라운 일이 아닌가? 그렇다면 경쟁사 정보를 알기 위해 경쟁사 쓰레기통을 뒤질 필요도 없고, 경쟁사 핵심인물의 친구를 수배하거나 기자를 사칭해 전화를 할 필요도 없을 것이다.
경쟁사 직원을 매수하거나 스카우트할 필요도 없다.
현대 사회에서 대부분의 정보는 전자적으로 저장되고, 핵심 임원에게 메일로 보고되며, 보고되는 내용도 항상 파일로 저장되고, 그것을 모니터에 띄워놓곤 한다.
이제 전자파를 모으고 재현하는 장비만 구하면 경쟁사가 무얼 하는지 앉아서 알아낼 수 있는 것이다.
정말일까? 관련 장비 두 배 이상 비싸 하지만 여기서 ‘템페스트가 실질적으로 정보보호에 중요한가?’라는 의문을 한번 던져봄직하다.
혹시 전자파를 재현하는 장비를 쉽게 구할 수 없거나 혹은 너무 비싸서 냉전시대의 스파이들이나 쓸 수 있었던 것은 아닌지 말이다.
한번 차근차근 따져보자. 정보보호를 할 때에는 우선 지켜야 할 자산을 조사하고, 그 자산의 취약성을 분석한 뒤, 생길 수 있는 위협을 조사·분석해 이를 합쳐 얼마나 위험한가를 추론하고, 그에 대한 대책을 고안해내야 한다.
전자기적으로 저장된 모든 자산은 템페스트를 고려할 때 취약한 것이 사실이다.
그럼 그에 대한 위협은 얼마나 될까? 정말로 우리 경쟁회사는 이런 장비를 구해 내가 일하는 본사건물 앞에 주차해놓고 그 건물에서 나오는 모든 전자파 가운데 회사의 가장 중요한 기밀을 꼭 짚어내 살펴볼 수 있는 걸까? 그 많은 전자파 가운데서 말이다.
다시 말하면 템페스트를 고려하지 않았다고 해서 얼마나 더 위험하다고 말할 수 있을까? 템페스트를 대비한 장비는 그것을 고려하지 않은 장비에 비해 두배 이상 비싸다.
요즘 기업 랜을 구축할 때 많이 사용하는 ‘카테고리 5 UTP 케이블’만 해도 템페스트의 관점에서 보면 불안한 장비다.
만약 템페스트를 고려한다면 랜을 구축할 때 모든 선을 광케이블로 바꿔야 한다.
또 일반 CRT 모니터보다는 LCD 모니터가 내보내는 전자파 양이 더 적다.
그럼 템페스트에 대비하기 위해 모든 모니터를 LCD 모니터로 바꾸어야 하는 것일까? 각 장비를 모두 일일이 바꾸는 게 문제라면, 완전히 전자파가 차폐된 방을 만들고 민감한 장비들은 모두 그 방에 넣어두며, 그 정보를 볼 때는 반드시 그 방에서만 보게 하면 된다.
CEO에게 보고할 때에도 물론 그 방에서만 하면 된다.
과연 템페스트는 그만한 비용을 지출할 만한 가치가 있는 건지 이제 궁금해진다.
이는 그 기밀정보의 주인이 냉정하게 생각해볼 문제인 것이다.
VPN도 완벽한 해결책 못 돼 100% 안전한 정보보호란 없다.
만약 그런 걸 원한다면 정보를 네트워크에 연결해놓는 것조차 금지해야 하고, 다른 사람과 공유해서도 안 된다.
하지만 아무리 중요한 정보라도 그 정보의 가치는 기밀성, 무결성, 가용성 등 정보보호의 3요소를 갖춰야 의미가 있다.
정보보호를 위해 그 정보가 필요한 시점에서 이용할 수 없다면 아무리 기밀성이 잘 지켜진다 해도 소용이 없다.
기밀을 유지하는 것도 중요하지만 제때에 편리하게 쓸 수 있는가 하는 것도 정보보호 측면에서는 매우 중요하다는 말이다.
시대는 점점 기술 위주로 변해 나날이 새로운 기술이 등장하고 있다.
하지만 아직까지도 대부분의 보안사고는 사회공학적인 방법으로만 이뤄진다.
즉 전자파를 잡아서 분석하는 것보다는 여전히 한사람을 미행하는 방법이 훨씬 쉽고, 실제로 사건들도 매우 기본적인 정보지침도 없는 허술한 틈을 이용하는 사람들에 의해 일어난다.
물론 가끔은 이용할 수 없다 하더라도 허가받지 않은 사람에겐 절대 노출하지 말아야 할 정보들도 있다.
이미 직원들의 보안의식이 잘 정립돼 있어서 사회공학적 방법, 즉 사람을 미행하거나 매수하는 방법이 통하지 않는 정보도 있다.
국가 안전보장에 대한 정보가 그런 경우다.
그래서 템페스트에 대한 비관적 견해에도 불구하고 템페스트는 1950년대에 연구가 시작된 이래 계속 발전해왔다.
미국은 NSA(National Security Agency)에서 템페스트에 대한 연구를 진행하고 있고, 수십개의 관련 업체들이 관련 장비를 생산·판매하고 있다.
템페스트가 너무 허황된 이야기라고 그저 모른체할 수는 없다.
실현 가능한 위협을 모두 나열하고, 그 위험 정도를 분석한 후 가능성과 비용, 정보 가치 등을 고려해 적용 여부를 결정해야 한다.
아주 불필요한 기술은 아니지만, 그 기술이 적용될 분야를 면밀히 고민해봐야 한다는 이야기다.
정보보호는 보통 기술적, 관리적, 물리적 부문 세가지가 있다고 말한다.
이 세가지를 모두 갖추어야 어느 정도 방패가 될 수 있다.
열사람이 지켜도 한 도둑 못 막는다고, 막는 것이 훔치는 것보다 훨씬 힘들기 때문이다.
최근 드러나는 많은 정보보호 침해 사고는 기술적 지침을 잘 운용해 관리했다면 대부분 일어나지 않았을 사고들이다.
이제 다시 생각해볼 때가 됐다.
실제로 우리는 뭘 지켜야 하고 어떻게 지켜야 하는지 말이다.
그에 따른 여러 기술적 방책은 이미 많이 나와 있다.
우선 순위나 원칙을 생각하지 않고 기술적 방책만 먼저 고려하면 오히려 여러가지 문제가 더 생기곤 한다.
비슷한 경우는 많다.
요즘 대부분의 정보보호 진단을 받으면 꼭 나오는 이야기가 VPN(가상사설망)을 구축하라는 것이다.
신뢰할 수 없는 공공 네트워크인 인터넷을 이용해 접속하는 대신, 가상적으로 사설 네트워크로 만들어 기밀성을 확보하고자 하는 게 VPN의 목적이다.
많은 사람들이 IPSec 프로토콜을 사용하는 VPN은 ‘안전’하다고 인정한다.
하지만 이것도 다시 한번 생각해야 한다.
VPN으로 대비할 수 있는 ‘위협’은 인터넷에서 ‘스니핑’(Sniffing:네트워크에서 자료의 송신자와 수신자 사이에 끼어들어 자료를 도청하는 기법)이다.
스니핑의 위협을 피해 세계 어디서나 사내 시스템에 접속할 수 있도록 해주는 것이 VPN이다.
그러나 VPN도 그것을 사용하는 ‘사람’에 대한 신뢰를 보장하지는 못한다.
발전된 기술인 VPN을 사용해도 그것이 해결책은 되지 못한다는 것이다.
냉정히 생각하고, 가능한 위협과 취약성을 종합해 위험을 분석하고, 자신이 감당할 수 있을 만한 규모로 대책을 세우는 것이 자신이 가지고 있는 정보를 조금이나마 더 보호할 수 있는 지름길이다.
그 대책에는 기술적 내용뿐 아니라 그 정보를 공유하는 사람의 마음가짐까지도 제어할 수 있는 관리적 내용이 포함돼야 한다.
정보보호는 유행따라 변화하는 것이 아니기 때문에 새로운 기술을 적용하는 것보다는 기본적인 관리, 지침을 얼마나 잘 지키느냐에 달려 있다.
하지만 이미 정보전은 시작됐고, 적군의 새로운 기술을 몰라서도 안 된다.
템페스트는 그런 차원에서 주목해야 하는 기술 가운데 하나다.
나날이 발전하는 기술을 숙지해 기본적 관리 지침과 평행선을 이루면서 계속 노력해야 정보전쟁에서 이길 수 있다는 것을 명심해야 한다.
[용어설명] VPN(Virtual Private Network) 가상사설망. 인터넷과 같이 공개되어 있는 네트워크에서 터널링, 암호화 등의 기술을 사용해 마치 전용 네트워크를 구성한 효과를 얻을 수 있다.
IPSec 터널링, 암호화를 지원하는 IP 통신의 VPN 표준 프로토콜. UTP(Unshielded twisted pair) 최근 LAN을 구축하는 데 가장 많이 사용하는 케이블.
저작권자 © 이코노미21 무단전재 및 재배포 금지
