보안을 쉽게 만든다는 것에 너무 매몰되지 않기를 바라며

[보안뉴스 문가용 기자] 보안 수칙은 많은 사람들에게 있어 배척의 대상이다. 잘 따르는 사람과 그렇지 않은 사람의 비율을 정확히 파악할 수는 없겠으나 아직 많은 사고들이 부주의와 실수, 해이로 인해 발생하는 것을 보면 지키지 않는 사람의 수가 적지는 않은 것 같다. 일부 보안 전문가들은 ‘수칙이 이렇게나 어려운데 누가 지키겠냐’는 자성의 목소리를 내기 시작했고, ‘쉬운 보안’이 언젠가 반드시 이룩해야 하는 보안 분야의 과업처럼 여겨지고 있는 듯도 하다.


물론 아직 ‘쉬운 보안’이 보안 업계 전체가 앞으로 가야 할 오직 하나의 길이라고 합의된 것은 아니다. 하지만 모든 사람이 쉽게 접근할 수 있게 해 준다는데 특별히 반대할 이유가 보이지 않으며, 어떻게 보면 좋은 접근처럼 들리기도 하기 때문에 그 ‘쉬운 보안’이 뭘 더 어떻게 쉽게 해 주는 건지는 잘 몰라도 고개를 끄덕이는 경우들이 많다. 요즘은 옳고 그르고 타당하고 합리적인 걸 떠나 쉽고 편리한 게 유독 각광을 받으니 굳이 거스를 필요는 없을 것이다.

비밀번호 vs. 패스워드리스
그런 애매한 동의 속에 제일 먼저 타박을 받기 시작한 것이 비밀번호다. 비밀번호를 설정하고 기억하고 타이핑하는 것이 어려우니 지문을 슥 가져다 대면 로그인이 되는 것이 미래의 방법이라고 빅테크들부터 앞장서서 외치고 있다. 패스워드리스(passwordless)는 이제 구글과 같은 회사의 시대적 사명과 같이 취급되는 중이다. 내 얼굴을 알아보는 무언가를 바라보고, 어딘가에 지문을 가져다 대는 것만으로 망각과 오타로 점철된 비밀번호를 대신할 수 있다면 확실히 쉽긴 할 것이다.

게다가 생체 정보를 저장하는 방식도 꽤나 안전한 것으로 알려져 있다. 생체 정보 그대로를 저장하는 게 아니라 숫자와 템플릿으로 변환시켜 저장 및 처리하는데다가 이 숫자와 템플릿을 거꾸로 조작해 원 생체 정보를 알아내는 건 수학적으로 불가능하다니 말이다. 쉬운 보안의 첫 걸음으로서 이 패스워드리스는 꽤나 적합해 보인다. 그러니 많은 전문가들이 여기에 동참하려 하는 것일 테다.

하지만 생체 인증이라고 해서 완벽히 쉽고 강력한 것만은 아니다. 비밀번호가 온갖 문제의 온상이었던 것처럼, 생체 인증 역시 그 나름의 결함들을 가지고 있다. 생각해 보면 비밀번호도 한 때는 대단히 강력한 방어막이었다. 영화 속 주인공들이 임무를 수행하기 위해 반드시 뚫어내야만 하는 장애물 중 비밀번호가 높은 빈도로 등장하고, 크래킹 과정을 진땀 나게 묘사하는 장면들이 얼마나 많던가. 그런데 지금은 이런 애물단지도 없다. 지금 강력해 보이는 생체 인증이라 해도 영원할 리 없고, 언젠가 비슷한 내리막 길을 걸어갈 것이 거의 분명하다.

심지어 이미 지금도 생체 인증이 가지고 있는 중대한 문제들은 충분히 지적되고 있는 중이다. 어딘가에 기호나 숫자, 템플릿 형태로 저장된 생체 정보를 역설계하여 알아내는 건 불가능하다고 위에 썼는데, 그렇다고 해서 생체 정보라는 것 자체에 도난 위험이 없다는 건 아니다. 갈수록 화소가 높아지는 카메라들은 이미 문제가 되고 있다. 무심코 손을 내보인 채 사진에 찍혔는데, 그 때문에 지문 정보가 도난 당한 사건들이 제법 있음을 기억해보라. 유럽연합의 폰 데어 라이엔 위원장도 이런 공격의 피해자가 된 바 있다.

게다가 생체 정보라는 게 ‘내 신체에만 있는 고유의 정보’이기 때문에 ‘나만 가지고 있는 정보’라고 착각하기 쉬운데, 의외로 생체 정보는 공공 정보다. 거의 대부분의 사람들이 얼굴을 공공 장소에 드러내고 다니고 있고, 굳이 변조된 목소리로 대화하는 사람도 없으며, 필적도 여기 저기 남긴다. 수많은 사람들이 지금 이 순간에도 손으로 ‘브이’를 그리면서 수억 화소 카메라로 사진을 찍는다. 오히려 비밀번호가 이런 면에서는 더 은밀하다고 볼 수 있다.

가장 치명적인 건 생체 정보라는 게 그 정보의 주인과 도무지 뗄 수 없는 관계에 있다는 것이다. 비밀번호야 유출된 걸 알기만 하면 귀찮더라도 바꾸면 그만이다. 하지만 얼굴 정보를 누군가 가로채 나 대신 내 얼굴로 여기 저기 인증하고 다닌다면 어떨까? 내 손가락을 잘라간 듯, 내 지문을 누군가 자유롭게 활용하고 있다면? 얼굴도, 지문도, 바꿀 수 없기에 다른 대책을 마련해야 한다. 그 대책이라는 게 존재 가능한지도 모르겠지만 말이다. 게다가 죽음 이후에도 데이터는 사이버 공간 어딘가에 남아 있을 수 있고, 그것이 전혀 엉뚱한 누군가의 새로운 신원이 될 수도 있다. 그래도 할 수 있는 일이 없다.

거저가 어디 있나
비밀번호가 낫다거나 생체 인증이 낫다거나, 그런 말을 하려는 게 아니다. 이 두 가지를 예로 들어 ‘쉬운 보안’이라는 듣기 좋은 말 속에 어딘가 찜찜한 구석이 있을 수밖에 없다는 걸 짚고 싶을 뿐이다. 세상에 공짜가 없음을 우리는 익히 알고 있다. 뭔가를 얻었다면 반드시 대가를 치러야 한다. 아이를 통해 기쁨을 얻으려면 해산과 양육의 고통을 감내해야 하고, 시험을 쉽게 보려면 잠을 희생해야 하며, 강인함을 얻으려면 단련의 시간을 지내야 한다. 비밀번호 대신 쉽고 강력한 걸 이용할 수 있으려면, 새로운 리스크를 해결해야 한다. ‘보안이 쉬워진다’는 표현도, ‘보안이 쉬워지는 대신 다른 뭔가를 지불해야 할 수 있다’로 가감없이 바뀌어야 한다.

보안이 그 동안 어려웠던 건 일부 미숙한 기술과 접근법의 문제였을 수도 있었겠지만 기본적으로는 안전하기 위해 지불해야 하는 것들을 착실히 지불했기 때문이다. 우리는 안전을 얻고 불편함을 지불하는 거래를 해왔던 것이다. 그 값이 너무 높으면 안 되겠지만(즉 불편함이 도를 넘으면 안 되겠지만), 반대로 그 안전함이라는 것을 헐값으로만 얻으려 하는 것도 그리 건강한 태도는 아닐 것이다. 왜냐하면 그런 건 없기 때문이다.

세상에 공짜는 없다는 건 우스갯소리가 아니다. 당연히 치러야 할 것들을 치러서 더 떳떳하고 대담하게 살아가라는, 울림이 깊은 조언이다. 일이 너무 쉽게 풀릴 때, 갑자기 바라던 것들이 이뤄질 때, 양심이 바로 잡힌 사람이라면 마냥 기쁘기만 할 수 없다. 본능처럼 ‘왜?’라는 의문이 먼저 든다. 하지만 내가 치른 대가들이 생각나면 그 의문과 의심은 사라지고 드디어 기쁨이 찾아온다. 그 기쁨은 의심의 실오라기 하나 없는, 온전한 내 것이다. 누군가의 미심쩍은 호의나 미래로 미뤄진 채무감으로부터 해방된 기쁨이다. 신혼집 마련하느라 은행에 진 빚을 다 갚았을 때의 기쁨과 비슷하다 할 수 있을까.

안전 혹은 보안이라는 것도 비슷하다. 보다 안전하기 위해 직접 몸으로 부딪혀 치르는 대가들이 있을 때, 그리고 그것을 다 지불했을 때 비로소 느껴지는 안도감이나 평안이 있다. 시골 외딴 곳에 사는 아빠로서 매일 밤 문과 창문을 직접 단속했을 때 느껴지는 든든함과, 문 따고 들어오면 경보가 울리고 경비원이든 경찰이든 출동할 테니까 괜찮다고 그냥 잠드는 아빠의 안도감은 질이 다르다. 남에게 맡긴 안전이 내가 움직임으로써 지불한 ‘나의 안전’과 어찌 같을 수 있을까.

물론 아빠가 직접 문단속 했을 때 강도들이 100% 차단되는 건 아니다. 경우에 따라서는 전문가에게 맡기는 게 훨씬 안전할 수도 있다. 하지만 그 외부의 전문가가 사라질 때 안전이라는 것은 덩달아 소멸되며, 따라서 아빠 자신은 물론 가족들의 삶은 외부의 출동 경비 업체 등에 종속된 것이 된다. 종속된 안전, 즉 스스로 도모할 수 없는 안전은 임시방편일 뿐이며, 삶의 많은 부분들을 어딘가에 묶이게 만든다. 쉬운 안전을 얻고 보다 반경이 좁은, 그러므로 옥죄는, 삶을 살게 되는 것이다.

사용자들이 보안 수칙을 잘 따르지 않는다. 혹은 보안 장치들을 불편해 한다. ‘그러므로 보안이 더 쉬워져야 한다’,가 아니라 내 데이터와 프라이버시를 안전하게 하려면 불편함이라는 것을 지불할 수밖에 없다는 걸 계속 알려줘야 한다. 그게 안전이나 보안이라는 것이 가진 본연의 메커니즘이라고, 스스로 불편하면서 얻은 보안성이야말로 당신을 더 자유롭게 해주고 더 지속적인 안전을 추구할 수 있게 해주는 것이라고 말해줘야 한다. 결국 사용자들 개개인이 자립할 수 있도록 하는 것이 보안의 몫이다. 특히나 기후와 지정학적 갈등들이 거시적인 차원에서 위험을 열심히 생산하고 있고, 그것이 개개인의 삶까지 온갖 리스크의 형태로 전해져 내려오는 시대에 한 사람 한 사람의 자립은 아무리 강조해도 지나치지 않다.
[문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>