|
|
자율 주행 자동차와 사물 컴퓨터 시대의 길목에서, 편리함에 앞서 사이버 해커들로 인한 원격 조종 리스크 관리가 화두로 떠오르고 있다는 이번 주 Economist, Leaders편 커버스토리 내용입니다. 특히 세계가 연결되어 있는 네트워크 세상에서 컴퓨터 보안 문제는 한 개인의 문제가 아닌 사회적 문제로 인식하고, 사고가 발생하면 숨기지 말고 공개하는 것을 의무화하여 공동 대처하랍니다. 또한 이를 관리하는 각국 정부들이 규제를 마련하고 안전 관리에 솔선수범하는 소프트 회사에게 인센티브를 줘서 위험을 무릅쓰고 합리적인 조치를 취하는 회사는 파산하지 않도록 보험금을 사용하는 법률 제정을 하는 등의 구체적이고 현실적인 방안을 제시하고, 은행 거래와 온라인 신원을 보호하기 위한 컴퓨터 보안은 모든 사람에게 강력한 암호화 기능을 제공하라고 합니다.
오늘날 컴퓨터 보안이 나쁜 한 가지 이유는 과거에는 이 문제를 심각하게 받아들이지 않았다는 것입니다. 사람이 사는 세상은 언제나 선과 악이 공존하므로 악에 대한 보안 문제를 철저히 관리하지 않으면, 아무런 잘못이 없는 불특정 다수가 희생될 수 있는 상황이 발생할 수 있음을 심각하게 인식해야겠습니다. 지금이라도 우리 모두가 컴퓨팅 공중보건으로 보다 안전한 세상을 만들어 가야 한다는 경각심을 가졌으면 좋겠습니다.
******************************************************************
Safety last
결론은 안전
How to manage the computer-security threat
컴퓨터 보안 위협을 관리하는 방법
The incentives for software firms to take security seriously are too weak
소프트웨어 회사가 보안을 신중하게 받아들이는 것에 대한 우대가 너무 약하다.
From the print edition | Leaders
Apr 8th 2017
COMPUTER security is a contradiction in terms. Consider the past year alone: cyberthieves stole $81m from the central bank of Bangladesh; the $4.8bn takeover of Yahoo, an internet firm, by Verizon, a telecoms firm, was nearly derailed by two enormous data breaches; and Russian hackers interfered in the American presidential election.
컴퓨터 보안은 명사 모순(의미상 서로 모순되는 두 단어가 들어 있는 진술)이다. 작년 한 해를 고려해보라: 사이버 도둑이 방글라데시 중앙은행에서 8천100만 달러를 훔쳤다; 텔레콤 회사인 버라이존이 인터넷 회사인 야후를 4억 7천 5백만 달러에 인수함에 따라 두 건의 방대한 데이터 유출로 거의 중단되다시피 했다; 러시아의 해커들이 미국 대통령 선거를 방해했다.
Away from the headlines, a black market in computerised extortion, hacking-for-hire and stolen digital goods is booming. The problem is about to get worse. Computers increasingly deal not just with abstract data like credit-card details and databases, but also with the real world of physical objects and vulnerable human bodies. A modern car is a computer on wheels; an aeroplane is a computer with wings. The arrival of the “Internet of Things” will see computers baked into everything from road signs and MRI scanners to prosthetics and insulin pumps. There is little evidence that these gadgets will be any more trustworthy than their desktop counterparts. Hackers have already proved that they can take remote control of connected cars and pacemakers.
표제를 장식하지 않은 채, 전산화된 강탈 암시장, 고용 해킹과 훔친 디지털 상품들이 급성장하고 있다. 문제는 점점 악화될 것이다. 컴퓨터는 신용 카드 세부 정보나 데이터베이스와 같은 추상적인 데이터뿐만 아니라 물리적인 물체와 취약한 인체의 실제 세계를 점점 더 많이 다루고 있다. 현대의 자동차는 바퀴 달린 컴퓨터이다; 비행기는 날개 달린 컴퓨터이다. “사물 인터넷”의 도래는 도로 표지판과 MRI스캐너에서부터 인공호흡기까지 모든 것이 컴퓨터에 새겨질 것이다. 이런 기기들이 데스크탑 기기들보다 더 신뢰할 수 있다는 증거는 거의 없다. 해커들은 이미 연결된 자동차와 맥박 조정기를 원격제어 할 수 있음을 입증했다.
It is tempting to believe that the security problem can be solved with yet more technical wizardry and a call for heightened vigilance. And it is certainly true that many firms still fail to take security seriously enough. That requires a kind of cultivated paranoia which does not come naturally to non-tech firms. Companies of all stripes should embrace initiatives like “bug bounty” programmes, whereby firms reward ethical hackers for discovering flaws so that they can be fixed before they are taken advantage of.
보안 문제가 더욱 기술적인 마법과 고조된 경계심에 대한 요구로 해결될 수 있다고 믿기 쉽다. 많은 기업들이 보안을 충분히 진지하게 다루지 못하는 것은 사실이다. 그것은 비기술 회사에게는 자연스럽게 오지 않는 일종의 기술이 함양된 편집증을 필요로 한다. 모든 기업들은 "버그 보상"프로그램 같은 시책을 받아들여야 하고, 그에 따라 기업들은 그들이 악용되기 전에 고칠 수 있는 결함을 발견하기 위해 윤리적인 해커들에게 보상한다.
But there is no way to make computers completely safe. Software is hugely complex. Across its products, Google must manage around 2bn lines of source code—errors are inevitable. The average program has 14 separate vulnerabilities, each of them a potential point of illicit entry. Such weaknesses are compounded by the history of the internet, in which security was an afterthought (see article).
그러나 컴퓨터를 완전히 안전하게 하는 방법은 없다. 소프트웨어는 대단히 복잡하다. 구글 제품 전반에 걸쳐 약 20억개 라인의 소스 코드를 관리해야 하므로, 오류는 불가피하다. 평균적인 프로그램에는 14가지의 개별 취약성이 있으며, 각 취약점은 잠재적인 불법 침입 지점이다. 이런 약점은 인터넷 역사로 더해지는데, 보안은 사후에 고려해야한다는 것이다(기사 참조).
Leaving the windows open
창을 열어 두는 것
This is not a counsel of despair. The risk from fraud, car accidents and the weather can never be eliminated completely either. But societies have developed ways of managing such risk—from government regulation to the use of legal liability and insurance to create incentives for safer behaviour.
이것은 절망의 조언이 아니다. 사기, 자동차 사고 및 날씨로 인한 위험을 완전히 없앨 수는 없다. 그러나 사회는 보다 안전한 행동을 위한 장려책을 만들어내기 위해, 법적 책임을 지는 정부 규제에서 보험사용에 이르기까지 위험을 관리하는 방법을 개발했다.
Start with regulation. Governments’ first priority is to refrain from making the situation worse. Terrorist attacks, like the recent ones in St Petersburg and London, often spark calls for encryption to be weakened so that the security services can better monitor what individuals are up to. But it is impossible to weaken encryption for terrorists alone. The same protection that guards messaging programs like WhatsApp also guards bank transactions and online identities. Computer security is best served by encryption that is strong for everyone.
규제부터 시작하라. 정부의 최우선 과제는 상황을 더 악화시키는 것을 막는 것이다. 최근 세인트 피터스버그와 런던에서 벌어진 테러 공격같은 테러리스트들의 공격은, 종종 암호화를 약화시켜서 보안 서비스로 하여금 개인이 무엇을 할 수 있는지 감시할 수 있다. 그러나 테러 분자들만을 위한 암호화를 약화시키는 것은 불가능하다. WhatsApp과 같은 메시징 프로그램을 보호하는 것도 은행 거래와 온라인 신원을 보호하는 것이다. 컴퓨터 보안은 모든 사람에게 강력한 암호화 기능을 제공하는 것이 가장 좋다.
The next priority is setting basic product regulations. A lack of expertise will always hamper the ability of users of computers to protect themselves. So governments should promote “public health” for computing. They could insist that internet-connected gizmos be updated with fixes when flaws are found. They could force users to change default usernames and passwords. Reporting laws, already in force in some American states, can oblige companies to disclose when they or their products are hacked. That encourages them to fix a problem instead of burying it.
다음 우선순위는 기본 제품 규정을 설정하는 것이다. 전문 지식이 부족하면 컴퓨터 사용자는 항상 스스로를 보호할 수 있는 능력이 떨어진다. 그래서 각국 정부는 컴퓨팅을 위한 "공중 보건"을 장려해야 한다. 정부는 결함이 발견되면 인터넷 연결 장치에 수정 프로그램을 업데이트하도록 주장할 수 있으며, 사용자가 기본 사용자 이름과 암호를 변경하도록 할 수 있다. 이미 일부 미국 주에서 시행되고 있는 ‘보고하기 법’은 기업들이 자신들의 제품을 해킹 당했을 때 공개하도록 의무화할 수 있다.
Go a bit slower and fix things
좀 더 천천히 가서 고쳐라.
But setting minimum standards still gets you only so far. Users’ failure to protect themselves is just one instance of the general problem with computer security—that the incentives to take it seriously are too weak. Often, the harm from hackers is not to the owner of a compromised device. Think of botnets, networks of computers, from desktops to routers to “smart” light bulbs, that are infected with malware and attack other targets.
그러나 최소한의 표준을 세우는 것만으로도 여전히 당신은 얻을 수 있다. 사용자가 스스로를 보호하지 못하는 것은 컴퓨터 보안과 관련된 일반적인 문제 중 하나에 불과하다-그것을 심각하게 받아들이는 장려책이 너무 미약하다. 종종 해커로 인한 피해는 손상된 기기의 소유자가 아니다. 데스크탑에서 라우터(네트워크에서 데이터의 전달을 촉진하는 중계 장치)나 “스마트”한 백열전구까지, 컴퓨터 네트워크를 악성 코드에 감염시키고 다른 대상을 공격하는 봇넷 프로그램을 생각해 보라.
Most important, the software industry has for decades disclaimed liability for the harm when its products go wrong. Such an approach has its benefits. Silicon Valley’s fruitful “go fast and break things” style of innovation is possible only if firms have relatively free rein to put out new products while they still need perfecting. But this point will soon be moot. As computers spread to products covered by established liability arrangements, such as cars or domestic goods, the industry’s disclaimers will increasingly butt up against existing laws.
가장 중요하게, 소프트웨어 업계는 제품이 잘못될 경우 수십 년 동안 피해를 입을 책임을 지지 않는다. 이런 접근은 잇점이 있다. 결실을 맺은 실리콘 밸리의 " 빠르고 파손된 "기술 혁신 스타일은 혁신적인 스타일을 유지하면서도 새로운 제품을 내놓기 위해 상대적으로 자유로운 고삐를 가졌을 때 가능하다. 그러나 이 점은 곧 논쟁거리가 될 것이다. 확정된 채무 약정 적용을 받는 컴퓨터 장착 자동차나 가정용 제품들이 보급됨에 따라, 산업계의 면책 조항은 기존 법률에 비해 더욱 까다로워 질 것이다.
Firms should recognise that, if the courts do not force the liability issue, public opinion will. Many computer-security experts draw comparisons to the American car industry in the 1960s, which had ignored safety for decades. In 1965 Ralph Nader published “Unsafe at Any Speed”, a bestselling book that exposed and excoriated the industry’s lax attitude. The following year the government came down hard with rules on seat belts, headrests and the like. Now imagine the clamour for legislation after the first child fatality involving self-driving cars.
기업은 법원이 책임 문제를 강요하지 않는다면, 여론이 뭉칠 것임을 인식해야 한다. 많은 컴퓨터 보안 전문가들은 수십 년 동안 안전을 무시한 1960년대 미국 자동차 업계와 비교한다. 1965년 랄프 네이더는 업계의 느슨한 태도를 드러내고 자극한 베스트셀러 책 "어떤 속도에도 불안전"을 발표했다. 이듬해 정부는 안전띠, 머리 받침대 등의 규정을 엄격히 결정했다. 지금 자가 운전 자동차와 관련된 첫 번째 아동 사망 이후, 법안을 요구하는 군중들의 시끄러운 외침을 상상해보라.
Fortunately, the small but growing market in cyber-security insurance offers a way to protect consumers while preserving the computing industry’s ability to innovate. A firm whose products do not work properly, or are repeatedly hacked, will find its premiums rising, prodding it to solve the problem. A firm that takes reasonable steps to make things safe, but which is compromised nevertheless, will have recourse to an insurance payout that will stop it from going bankrupt. It is here that some carve-outs from liability could perhaps be negotiated. Once again, there are precedents: when excessive claims against American light-aircraft firms threatened to bankrupt the industry in the 1980s, the government changed the law, limiting their liability for old products.
다행히도, 작지만 성장하는 사이버-보안 보험업 시장은 컴퓨팅 산업의 혁신 역량을 보존하면서 소비자를 보호할 수 있는 방법을 제공한다. 제품이 제대로 작동하지 않거나 반복적으로 해킹 당하는 회사는 보험료를 인상하여 문제를 해결하도록 할 수 있다. 그럼에도 불구하고 위험을 무릅쓰고 합리적인 조치를 취하는 회사는 파산하지 않도록 보험금을 사용하게 될 것이다. 여기서 책임질 수 있는 약간의 책임은 아마도 협상될 수 있을 것이다. 다시 한 번, 전례가 있다: 1980년대 미국 경비행기 회사들에 대한 과도한 청구가 산업을 파산시킬 것이라고 위협 할 때, 미국 정부는 법률을 변경하여 기존 제품에 대한 책임을 제한했다.
One reason computer security is so bad today is that few people were taking it seriously yesterday. When the internet was new, that was forgivable. Now that the consequences are known, and the risks posed by bugs and hacking are large and growing, there is no excuse for repeating the mistake. But changing attitudes and behaviour will require economic tools, not just technical ones.
오늘날 컴퓨터 보안이 매우 나쁜 한 가지 이유는 이 문제를 심각하게 받아들이는 사람들이 과거에는 거의 없었다는 것이다. 과거에는 인터넷이 새 것이면 용서받을 수 있었다. 지금은 결과가 알려져 있고, 버그와 해킹에 의해 야기되는 위험이 엄청나게 크고 성장하고 있으며, 그 실수를 반복할 이유가 없다. 그러나 태도와 행동을 변화시키려면 단지 기술적인 것만이 아니라 경제적인 도구가 필요할 것이다.
This article appeared in the Leaders section of the print edition under the headline "The myth of cyber-security"
