Top

모두를 죽이려면 여기를 클릭하세요 [TMI, 초연결 네트워크 사회의 보안과 생존 전략]

  • 원서명Click Here to Kill Everybody: Security and Survival in a Hyper-connected World (ISBN 9780393608885)
  • 지은이브루스 슈나이어(Bruce Schneier)
  • 옮긴이김상현
  • ISBN : 9791161753058
  • 25,000원
  • 2019년 05월 31일 펴냄 (절판)
  • 페이퍼백 | 452쪽 | 152*224mm
  • 시리즈 : 해킹과 보안

판매처

  • 현재 이 도서는 구매할 수 없습니다.

책 소개

요약

인터넷은 우리 일상을 더없이 편리하게 해주는 필수품이 됐다. 하지만 그만큼 더 위험해졌다. 주변의 모든 사물이 인터넷에 연결되는 ‘사물인터넷’ 시대로 진화하면서 인터넷은 누군가의 클릭 한 번으로 수백, 수천 명을 살상할 수 있는 위험한 환경으로 급진전하고 있다. 세계 최고의 보안 ‘구루’ 브루스 슈나이어가 위험한 인터넷 시대의 보안과 생존 전략을 들려준다.

무인 자율 주행 차, 스마트 온도조절장치, 자동 주식거래 시스템, 무인 드론 등은 우리의 행태를 실시간 분석하고 예측하는 AI 알고리즘과 결합해 사이버 세계뿐 아니라 현실 세계에도 큰 잠재적 위협을 제기한다. 세계 최고의 보안 전문가 브루스 슈나이어는 ‘사물인터넷’의 장밋빛 비전 뒤에 도사린 인명 살상의 위험을 생생한 사례와 시나리오로 경고하면서 어떻게 대응해야 할지 알려준다.

데이터 도난, 신상털기의 시대는 이미 낡은 옛이야기다. 첨단 해커들은 당신이 운전하는 차, 몸에 내장한 심박 조절기, 집안의 보안 시스템을 원격으로 공격한다. 브루스 슈나이어는 TMI, 초연결 네트워크 시대의 편리함 뒤에 도사린 심각한 보안 위협을 생생히 펼쳐 보이면서, 현명한 생존 전략을 들려준다.

이 책의 구성

다루는 주제가 복잡하기 때문에 두 부분으로 나눴다.
1부 ‘트렌드’는 현재의 컴퓨터 보안이 기술적, 정치적, 경제적으로 왜 지금과 같은 상태에 있는지, 더불어 여기까지 이르게 된 배경은 무엇인지 다룬다. 컴퓨터는 더 작아지고 물리적 세계를 조작하는 데 더 능숙해지지만 기본적으로는 여전히 우리가 수십 년 동안 사용해 온 것과 같은 컴퓨터다. 기술적인 보안 문제는 여전히 변하지 않았다. 정책 문제는 그간 씨름해온 내용과 동일한 문제들이다. 그리고 컴퓨터와 통신이 모든 것에 내장돼 가면서 여러 산업 분야는 하나둘 컴퓨터 산업처럼 변해 갈 것이다. 컴퓨터 보안은 모든 분야의 보안 문제가 되고, 컴퓨터 보안 문제에서 얻은 교훈은 다른 모든 분야에도 적용 가능해질 것이다.
1장에서는 왜 인터넷이 그토록 보안에 취약한지 모든 기술적 이유를 들겠다.
2장에서는 시스템에서 보안을 유지하는 주된 방법-허점이 발견되면 이를 보완하는 ‘패칭’-을 짚고, 왜 이런 방법이 ‘인터넷 플러스’ 환경에서는 실패할 수밖에 없는지 설명한다.
3장은 우리가 인터넷에서 어떻게 본인의 진짜 신원을 증명하는지 그리고 어떻게 신원을 숨길 수 있는지에 대해 논의한다.
4장은 보안의 취약성을 선호하는 정치적, 경제적 동력, 예컨대 감시 자본주의, 사이버 범죄, 사이버 전쟁 그리고 그러한 취약성을 자양분으로 삼아 기업과 정부가 자행하는 더 침입적인 행태를 설명한다.
5장에서는 ‘왜 위험이 증가하고 어떻게 재난 수준으로 확대되는지’ 설명한다. ‘모두를 죽이려면 여기를 클릭하세요(Click Here to Kill Everybody)’라는 표현은 과장이지만, 우리는 이미 컴퓨터 공격이 자동차 사고를 일으키고 발전소를 무력화할 수 있는 세상에 살고 있다.
지금까지 우리는 컴퓨터와 인터넷 보안을 대체로 시장에 맡겨 왔다. 이런 접근법은 과거에는 크게 문제가 되지 않았기 때문에 대체적으로 만족스럽게 작동했다. 보안은 대체로 프라이버시에 관한 것이었고 전적으로 비트의 문제였다. 만약 내 컴퓨터가 해킹을 당했다면 나는 중요한 데이터를 잃거나 내 신원을 도둑맞았다. 참 불행한 사태였고 손해 비용도 만만치 않았지만 그리 재난스러운 상황은 아니었다. 이제는 모든 것이 컴퓨터인 상황이기 때문에, 컴퓨터에 대한 위협은 생명과 재산의 문제나 다름없다. 해커들은 우리가 운전하는 승용차나 몸에 부착한 맥박 조정기, 또는 도시의 전력망을 교란할 수 있다. 재앙 수준이다.

2부 ‘해법들’에서 나는 ‘인터넷 플러스’의 보안을 담보하기 위해 어떻게 정책을 바꿔야 할지 논의한다. 6장, 7장 그리고 8장은 인터넷 플러스의 보안을 개선하는 데 무엇이 필요하고, 개선 방법은 무엇이며, 누가 그런 역할을 담당해야 하는지 다룬다.
8장을 마칠 즈음 그런 역할을 담당해야 할 ‘누구’가 바로 정부라는 점을 독자들이 확신할 수 있기를 바란다. 정부에 이 역할을 맡기는 데는 상당한 위험이 따르지만 정부 외에는 유효한 대안이 없다. ‘인터넷 플러스’의 보안이 지금처럼 허술하고 취약해진 것은 비즈니스의 그릇된 동기부여, 방어보다 공격적 인터넷 사용을 부추기는 정부, 실행 과정의 여러 문제 그리고 정부 개입을 필요로 하는 시장의 실패 등이 복합적으로 작용한 결과다.
정부가 신뢰를 얻기 위해서는 공격보다 방어를 우선시해야 한다. 그 방법을 9장에서 설명하겠다.
10장에서는 좀 더 현실적으로 태도를 바꿔 어떤 일이 벌어질 가능성이 높으며, 미국과 다른 나라들에서 그에 어떻게 대응할 수 있는지 논의한다.
11장은 인터넷 플러스의 보안에 악영향을 끼칠 현재의 몇몇 정책 제안을 짚는다.
12장은 다시 일반론으로 돌아가 어떻게 하면 신뢰, 복원력 그리고 평화가 규범이 되는 인터넷 플러스를 만들 수 있는지, 그런 미래는 어떤 양상일지 논의한다.

저자/역자 소개

지은이의 말

IoT 또는 사이버 스페이스와 물리적 세계의 조합인 ‘사이버 물리(cyberphysical)’ 시스템으로 시작하자. 소형화된 센서, 제어기, 송신기를 더하자. 그리고 자동화된 알고리즘, 머신 러닝, 인공지능을 더한다. 이를 클라우드 컴퓨팅에 던져 넣으면 그에 부응해 저장과 처리 용량이 증가할 것이다. 인터넷 연결, 어디에서나 가능한 보편적 컴퓨팅과 널리 사용 가능한 고속 무선 접속 환경도 빼놓을 수 없다. 마지막으로 로봇공학 기술도 첨가한다. 그 결과 우리가 얻는 것은 세계에 직접적이고 물리적인 방식으로 영향을 끼칠 수 있는 단일한 글로벌 인터넷이다. 감지하고, 생각하고 행동하는 인터넷이다.
우리는 이 새로운 ‘시스템들의 시스템’에 붙일 이름이 필요하다. 이것은 인터넷 이상이고, 사물인터넷 이상이다. 실상은 인터넷과 사물의 결합, 즉 ‘인터넷+사물’이다. 더 정확하게는 ‘인터넷+사물+우리’다. 혹은 줄여서 ‘인터넷 플러스(Internet+)’이다. 솔직히 나는 새로운 용어를 지어낼 필요가 없기를 바라지만 앞에 설명한 모든 흐름을 묘사할 수 있는 기존 용어를 찾아낼 수가 없다. 그래서 적어도 이 책에서는 ‘인터넷 플러스’라고 부르고자 한다.
인터넷 플러스는 우리가 구축하는 모든 인터넷 연결망을 통해 더욱 강력해진다. 그리고 보안상 점점 더 취약해진다. 이 책을 통해 왜 그것이 사실인지 그리고 어떻게 그것을 보완할 수 있는지 논의하고자 한다.
나는 이 문제들을 다소 거리를 둔 ‘메타(meta)’ 수준에서 바라본다. 나는 기본적으로 공학자다. 정책 입안자도, 정치 분석가도 아니다. 나는 우리의 보안 문제에 대한 기술적 해법을 설명할 수 있다. 그러한 기술적 해법을 판별하고, 생성하고, 구현하는 데 필요한 새로운 정책 유형까지도 설명할 수 있다. 하지만 그러한 정책 변화를 가능케 하는 정치 역학에 대해 쓰지는 않는다. 정책 변화에 대한 지지를 어떻게 끌어낼지, 어떻게 실제 변화를 일궈 낼지, 혹은 그런 변화의 적실성을 어떻게 논의할지에 대해 말할 수 없다. 이것은 이 책의 가장 큰 허점이다. 나는 그런 점을 인정한다.
또한 나는 미국의 시각에서 글을 쓴다. 대다수 사례는 미국에서 나온 것이며, 그에 따른 권장 내용 역시 대부분 미국의 상황에 적용된다. 그것이 내가 가장 잘 아는 내용이기 때문이다. 하지만 미국은 사안이 어떻게 잘못될 수 있는지를 보여주는 대표적인 사례일 수 있고, 무엇보다 그 방대한 규모와 시장에서의 지위로 인해 문제를 개선할 수 있는 중요한 위치에 있기 때문이기도 하다. 이 책이 국제 문제와 인터넷 보안의 지정학에 관한 저술은 아니지만 그런 측면들이 여러 장에 산재해 있다.
인터넷 플러스에 대한 보안의 미래, 혹은 군대식 용어를 선호한다면 ‘사이버 보안의 미래’는 방대한 주제이고 이 책을 구성하는 장들 대부분은 그 자체만으로도 단행본으로 엮어낼 수 있을 만큼 큰 주제다. 특정 주제를 깊이 파기보다 보안과 연관된 다양한 분야를 폭넓게 다룸으로써 나는 독자들에게 현재 상황을 알려주고, 문제의 성격을 짚어주며, 이를 개선하기 위한 로드맵을 보여줄 수 있다고 생각한다. 내 목표는 가능한 한 많은 독자들이 이 중요한 논의에 참여하도록 유도하는 한편, 충분한 기반 지식을 갖추고 그러한 논의에 참여할 수 있도록 정보를 제공하는 것이다. 우리는 향후 몇 년에 걸쳐 중요한 결정을 -설령 그런 결정이 아무 일도 하지 않는 것이 될지라도- 내리게 될 것이다.
이런 위험 요소들은 저절로 사라지지 않는다. 상대적으로 인프라가 취약한 나라나 전체주의 정부가 지배하는 나라에만 나타나는 문제도 아니다. 마비 상태인 미국의 정치 체제 탓으로 돌린다고 해서 문제가 줄어들지도 않는다.
시장의 힘을 통해 마법처럼 스스로 문제를 해결하지도 못한다. 우리가 문제를 해결하는 수준이나 범위는, 그 해법에 요구되는 정치적, 경제적, 사회적 비용을 어느 수준이나 범위만큼 수용할 것인지와 직결된다.
세계는 컴퓨터들로 구성되고, 우리는 이들의 보안을 확보하지 않으면 안 된다. 그러자면 사고방식을 바꿔야 한다. 2017년에 열린 한 인터넷 보안 콘퍼런스에서, 전직 연방통신위원회(FCC) 의장 톰 휠러(Tom Wheeler)는 “우리는 21세기의 문제에 대해 20세기의 언어로 논의하고 19세기의 해법을 제안하고 있다”라고 꼬집은 매들린 올브라이트(Madeleine Albright) 전 국무장관의 발언을 인용했다. 그의 지적은 맞다. 우리는 더 잘 대응해야 한다. 우리의 미래가 거기에 달려 있다.

지은이 소개

브루스 슈나이어(Bruce Schneier)

‘세계 최고 권위의 보안 전문가 중 한 사람(「와이어드(Wired)」)’이자 ‘보안 분야의 구루(「이코노미스트(Economist)」)’로 꼽히며 지금까지 13권의 보안 관련 서적을 출간한 베스트셀러 저자이기도 하다. 세계 유수의 보안 관련 콘퍼런스와 이벤트에 기조 연설자로 초대받으며, 보안 전문 블로그 ‘Schneier on Security(https://www.schneier.com/)’와 관련 뉴스레터는 전 세계적으로 25만 명 이상의 구독자를 갖고 있다. 하버드대학교의 케네디스쿨과 버크만 클라인 인터넷 소사이어티 센터의 연구원이자 강사로 활동하며 IBM 시큐리티의 특별 고문이자 전자프론티어재단(EFF), 액세스나우(AccessNow), 토르(Tor) 프로젝트의 이사회 멤버다.

옮긴이의 말

“모두를 죽이려면 여기를 클릭하세요.(Click Here to Kill Everybody)”
책 제목으로 이만큼 강렬한 낚시성 제목도 드물 듯싶다. 저자인 브루스 슈나이어도 이를 인정했다. 하지만 그런 센세이셔널한 제목에도 불구하고, 그것이 경고하는 내용의 핵심은 여전히 유효하다. 머지않아 제목과 같은 상황이 발생할 위험성도 충분히 존재한다는 것이다. 우리의 컴퓨터와 인터넷 환경은 클릭 한 번으로 수많은 인명을 -‘모두’는 아니더라도- 살상할 수 있는 세계로 나가고 있다.
그런 흐름의 중심에 ‘모든 것의 컴퓨터화’가 자리 잡고 있으며, 더 구체적으로는 ‘인터넷에 연결된 컴퓨터화’이다. 우리 삶의 질과 편의성을 더 높이기 위해 이런 흐름에 이른 것이지만 그 이면의 부작용도 만만찮다. 모든 것이 인터넷에 연결돼 원격 조종이 가능한 만큼 악의적인 해커나 정부의 스파이가 이를 악용할 위험성도 그에 비례해 증폭된다. 브루스 슈나이어가 주목하는 것은 바로 이런 이면이다. 인터넷에서 클릭 한 번이면 수많은 인명이 살상될 수 있는 위험이다. 이 위험은 온갖 기기의 컴퓨터화 속도를 미처 따라잡지 못하는 보안의 취약성 때문에 더욱 높아진다. 설상가상으로 기업이나 정부는 무엇이든 컴퓨터화하고 인터넷에 연결하려 계획하는 초기 단계에서 ‘보안’이라는 중대 변수를 경시하거나 아예 무시해버리기 일쑤다. 때로는 의도적으로 보안에 허점을 만들기까지 한다.
슈나이어는 우리의 인터넷과 컴퓨터가 이제는 자동차업계나 항공업계, 제약업계처럼 인명 살상의 잠재적 위험성을 갖게 됐다고 지적한다. 이처럼 새롭게 발전되고 확장된 소위 ‘인터넷 플러스(Internet+)’ 환경은 더 이상 방임 상태로 내버려 둘 수 없다고 강조한다. 3D 프린터를 통해 간단히 권총을 제조하고, 자율 주행 차를 해킹해 사고를 유발하고, 생체 프린터로 치명적인 바이러스를 유포하는 등 책 제목과 직결되는 몇 가지 사례는 그런 주장의 적실성을 잘 보여준다.
슈나이어는 ‘모든 것의 컴퓨터화’는 보안 패러다임에도 결정적인 변화를 몰고 올 것으로 전망한다. (1) 먼저 소프트웨어나 시스템의 취약점이 발견되면 온라인으로 패칭(patching)하던 방식은 사물인터넷 환경에서 제대로 통하지 않을 것이다. 패치 과정이 해킹 채널로 악용되는 상황을 막기도 더 어려워질 것이다. (2) 내가 다른 서비스나 객체를 인증하는 방식도 근본적으로 바뀔 것이다. IoT는 ‘나(사람)’의 개입 없이 기계와 기계, 장비와 장비끼리, 이를테면 자동차와 도로 신호등이 서로를 인증하는 상황이다. 이 과정에 어떤 위험이 도사리고 있는지 제때 파악해 해결하기는 더욱더 어려울 수밖에 없다. (3) 최초 디자인부터 제조, 조립, 운송, 판매, 유통의 출처가 모두 다른 상황, 더욱이 부품 하나하나까지 그 출처가 각기 다른 나라인 상황에서 ‘공급망’ 관리는 더욱 어려워질 것이다. 러시아의 보안회사 카스퍼스키(Kaspersky), 중국의 화웨이(Huawei)와 ZTE를 과연 어느 정도까지 믿을 수 있을까?
이렇게 보면 ‘인터넷 플러스’의 신세계는 결코 장밋빛만은 아니다. 혜택이 큰 만큼 부작용도 커 보인다. 부작용을 최소화할 수 있는 해법은 무엇일까? 슈나이어는 표준, 규제, 국제 협약, 국가 단위의 법률 같은 ‘정책’으로 풀 수밖에 없다고 주장한다. 그리고 그런 정책 수립의 기반으로 ‘방어 우선’ 원칙을 강조한다. 지금의 사이버 전쟁과 사이버 스파이 활동은 의심할 바 없이 공격 우선이다. 방어보다 공격이 훨씬 더 쉬운 사이버 스페이스의 특성도 한몫한다. 그 때문에 시스템이나 소프트웨어의 보안 취약점이 발견되면 정부기관이나 해커들은 이를 공개해 패치를 유도하기보다 발견 사실을 숨기고 공격 무기로 활용한다. 이런 흐름은 공격의 악순환으로 이어진다.
슈나이어는 ‘모두를 죽이려면 여기를 클릭하세요’의 시나리오가 더 이상 허황하게 보이지 않는 요즘 상황에서 정부의 관여 여부는 이미 논란거리가 아니라고 강조한다. 인명 살상의 위험이 있는 것은 정부가 규제할 수밖에 없고, 인터넷 플러스는 바야흐로 이 범주에 들어가고 있기 때문이다. 이제 정부의 규제는 불가피해 보이고 중요한 것은 규제 대책을 얼마나 영리하게, 혹은 어리석게 내놓느냐에 달려 있다고 저자는 말한다.
브루스 슈나이어는 IT 보안 분야에서 최고의 ‘공공 지식인’이라고 할 만하다. 복잡하고 자칫 지루할 수 있는 컴퓨터 보안 문제를 평이하면서도 흥미진진하게 풀어내는 솜씨가 대가 급이다. 이 책 또한 예외가 아니다. ‘스마트’ 기기, ‘머신 러닝’, AI, IoT 같은 신조어가 봇물 터지듯 나오는 요즘 상황에서 대체 뭐가 어떻게 된다는 것인지 갈피를 잡기가 쉽지 않다. 이 책은 독자로 하여금 제대로 방향을 잡을 수 있게 해줄 뿐 아니라, 낙관적이고 멋지게만 보이는 일방적 미래상 대신 현실에 발을 딛고 그런 장밋빛 미래를 만들기 위해 각자가 어떻게 일익을 담당할 수 있는지 친절하게 일러준다.

옮긴이 소개

김상현

개인정보보호와 프라이버시 전문가로, 캐나다 온타리오 주정부와 알버타 주정부 등 여러 부처에서 정보공개 담당관, 개인정보 보호 책임자, 프라이버시 관리자 등으로 일했다. 2013년부터 브리티시콜럼비아주의 공공 의료서비스 기관 중 하나인 퍼스트네이션 보건국(First Nations Health Authority, FNHA)의 정보공개 담당관 겸 프라이버시 관리자로 일했고, 최근 캐네디언 웨스턴 뱅크(CWB)의 최고프라이버시책임자(CPO)로 이직했다. 개인정보보호와 프라이버시 분야의 자격증인 CIPP/C(캐나다), CIPT(IT 분야), CIPM(관리), FIP(정보 프라이버시 펠로) 등을 취득했고, 현재 요크대학교 오스굿홀 로스쿨 대학원에서 프라이버시와 사이버 보안을 공부하고 있다.
2001년 캐나다로 이주하기 전까지 10여 년 동안 「시사저널」, 「주간동아」, 「동아닷컴」, 「한경닷컴」 등에서 기자로 일했다. 저서로 『인터넷의 거품을 걷어라』(미래M&B, 2000), 『디지털 프라이버시』(커뮤니케이션북스, 2018), 『유럽연합의 개인정보보호법 GDPR』(커뮤니케이션북스, 2018)이 있고, 번역서로 『디지털 휴머니즘』(에이콘, 2011), 『통제하거나 통제되거나』(민음사, 2011), 『불편한 인터넷』(에이콘, 2012), 『똑똑한 정보 밥상 Information Diet』(에이콘, 2012), 『디지털 파괴』(문예출판사, 2014), 『보안의 미학 Beautiful Security』(에이콘, 2015), 『공개 사과의 기술』(문예출판사, 2016), 『에브리데이 크립토그래피』(에이콘, 2018) 등이 있다.

목차

목차
  • 1부. 트렌드
  • 1장. 컴퓨터의 보안을 확보하기는 여전히 어렵다
  • 2장. 패치는 실패한 ‘보안 패러다임’이다
  • 3장. 인터넷에서 누가 누구인지 알기가 점점 더 어려워진다
  • 4장. 누구나 비보안을 선호한다
  • 5장. 위험은 재난 수준으로 확대된다
  • 2부. 해법들

  • 6장. 보안이 확보된 인터넷 플러스는 이런 양상일 것이다
  • 7장. 어떻게 인터넷 플러스의 보안을 확보할 것인가
  • 8장. 보안을 앞서 강화해야 할 주체는 정부다
  • 9장. 어떻게 정부는 방어를 공격보다 우선시할 수 있는가
  • 10장. 플랜 B: 어떤 일이 벌어질까?
  • 11장. 정책이 산으로 가는 경우
  • 12장. 신뢰와 복원력을 갖춘 평화 지향의 인터넷 플러스를 향해

도서 오류 신고

도서 오류 신고

에이콘출판사에 관심을 가져 주셔서 고맙습니다. 도서의 오탈자 정보를 알려주시면 다음 개정판 인쇄 시 반영하겠습니다.

오탈자 정보는 다음과 같이 입력해 주시면 됩니다.

(예시) p.100 아래에서 3행 : '몇일'동안 -> 며칠동안