복잡한 인터넷 보안, ISP만의 책임인가?

ISP, 고객, 인터넷 보안 3자간 관계를 둘러싼 논란에는 분명 복합적인 요소가 존재한다. 그러나 핵심은 하나다. "인터넷 보안을 누가 책임져야 하는가"이다.최근 CIO닷컴(CIO.com)을 읽다가 특히 관심을 끄는 기사를 하나 발견했다. ‘적은 어디에도 보이지 않는다’는 제목의 이 기사는 ISP들이 보안을 어떻게 책임져야 하는가에 관한 내용을 다루고 있다. 기사에서는 DDoS(Distributed Denial of Service) 공격의 피해자인 기업에 대한 가상의 ISP를 설정해 모의실험을 했던 가트너 IT 보안 서밋의 최근 실험을 사례로 언급했다.ISP, 고객, 인터넷 보안 3자간의 관계를 둘러싼 논쟁에는 분명 복합적인 요소가 존재한다. 그러나 CIO닷컴의 기사는 몇 가지 세세한 사항을 놓치고 있다.먼저 ISP들이 고객을 보호하기 위해 더 많은 조치를 취하지 않고 있다고 지적하며, 이에 대한 수많은 이유를 열거했다. 그러나 중요한 전제가 빠져 있다. 인터넷은 세계적인 네트워크라는 사실이다. 즉 인터넷에 대해 책임을 지는 당사자는 ISP만이 아니라는 말이다.보안 문제는 양방향 책임이 있다예를 들면, 기업은 고객과 계약을 할 때 이용 동의서에 서명할 것을 요구하고, 모든 고객이 이 동의서에 서명한다. 동의서에 따르면 고객은 회사와 계약을 할 때 자신의 시스템을 안전하게 유지하는데 대해 스스로 책임을 져야 한다. 이에 대해 회사는 ISP에 영향을 미치는 보안 문제가 발생할 경우 해당 사용자의 인터넷 접속을 중지시킬 수 있는 권리를 갖고 있다. 이 조항을 삽입한 뒤 대부분의 회사는 상당수의 잠재 고객을 잃었다. ISP 혹은 다른 인터넷 사용자들에 대해 문제를 일으킬 경우 ISP가 인터넷 접속을 차단하는 권리를 갖는다는 데 대해 많은 사람들이 서명을 거절했기 때문이다.CIO닷컴의 기사는 CIO들이 ISP에게 보안 문제 강화를 당당히 요구하라는 메시지를 전달하기 위해 작성된 것으로 보이지만, 보안 문제는 일방이 아닌 양방향이 돼야 한다는 점은 지적하지 않고 있다. 인터넷 보안에 소요되는 비용은 모든 당사자가 분담해야 한다. 여러분 기업에서 인터넷 보안을 유지하는 데 필요한 비용을 생각해보라. 그리고 나서 수천만 명을 대상으로 인터넷 접속 서비스를 제공하는 ISP들이 보안을 유지하는 데 필요한 비용은 얼마나 될지 생각해보라. 월정액 모델로 서비스를 제공하는 대부분의 ISP들은 보안 서비스를 기업 고객보다는 개인 사용자들을 위한 영업툴로 제공한다. 그러나 필자가 15년여 동안 ISP 업체에서 일해 본 경험에 따르면 ‘고객 책임’과 ‘문제발생에 대한 서비스 중지’ 등의 이슈는 단지 언급만 하는 것으로도 ISP들의 영업툴을 한 방에 날려버릴 수 있을 정도로 위력적이다.ISP들은 보이지 않는 부분에서 수많은 보안 서비스를 제공하기 위해 다양한 노력을 하고 있다. 그러나 이런 노력이 영업과 직접 연관되는 경우는 거의 없다. 고객들이 일반적으로 알고 싶어하는 사항은 2가지다. 보안 서비스를 위해 지불해야 하는 비용이 얼마나 되느냐와 서비스가 신뢰할만한 것인가다.하지만 ISP들이 보이지 않는 곳에서 얼마나 많은 필터링과 보안 서비스를 제공하는지에 상관없이 ISP들이 고객의 행동에 대해 취할 수 있는 조치는 상당히 제한적이다. ISP는 고객에게 보안문제에 더 신경을 쓰라고 요구할 수 있는 입장에 있지 않다.기업 네트워크를 대상으로 인터넷 서비스를 제공하는 측면에서 본다면 ISP가 서비스를 이용하는 기업 고객들에게 ISP의 서비스를 어떻게 사용하는지에 대해서까지 일일이 간섭할 수는 없다. 또 고객에게 인터넷 보안 문제가 발생하면 ISP는 해당 고객의 인터넷 접속을 즉각 중단할 수 있는 권리를 행사해야 하는 불편한 입장에 놓이게 된다. 문제 가능성 줄이려는 3자간의 노력 절실그러나 기업에 대해서는 고객 기업이 이를 허락하고, 여기에 대해 비용을 지불하지 않는 한 ISP가 관련 조치를 취할 수는 없다. 따라서 필자는 ISP들이 인터넷 보안 수준을 향상시키기 위해 더 많은 노력을 할 수 있다는 지적에는 동의하지만 세계 곳곳의 CIO들이 과연 ISP들이 그렇게 하기를 원하는지는 한번 물어보고 싶다.필자는 매일 인터넷상에서 업무를 처리하고, 인터넷 보안 이슈를 즉각 중지하기 위해 필자에게 신속한 행동을 요구하는 상황에도 종종 부딪친다. 이는 보안 문제가 발생한 고객에 대한 인터넷 서비스를 때로는 중단해야 한다는 것을 의미하기도 한다. 회사는 이용 동의서 정책을 통해 사전 경고 없이도 문제가 발생한 서비스를 중지시킬 수 있는 권리를 갖고 있지만 해당 문제를 고객에게 알려주려는 노력은 계속하고 있다.예를 들어보자. 최근 소버(Sober) 이메일 웜이 대량으로 유포되면서 네트워크와 장비에 대한 적절한 보안대책을 수립하지 못한 고객들이 서비스 중단 사태를 겪어야 했다. 문제가 발생하자 우리는 고객들과 연락을 취했다. 하지만 자신의 시스템에 문제가 있다는 사실을 원격으로 인지했거나 문제 발생으로 인해 자신들의 인터넷 접속이 중단된데 대해 만족하는 고객은 아무도 없었다. 필자의 눈에는 수많은 ‘적(evil)’이 보인다. 이런 ‘적(evil)’은 자신의 인터넷 보안에 대해 책임을 지는 것이 아니라 문제 발생 가능성은 무시한 채 손가락질만 할 뿐이다.@