“Wind of Change”, “변화가 제일 쉬웠어요”, 노마디즘(Nomadism)

1991년 스콜피온스는 소련 및 동구권이 공산주의를 벗어나는 과정을 보고 “Wind of Change”라는 음악을 발표하였습니다. 국내에 최근 방영되는 모 업체의 광고에서 “변화가 제일 쉬웠어요” 라는 카피를 보여주면서 신용카드업계에서 2위를 하고 있음을 보이고 있습니다. 소련의 몰락은 국민들의 자유민주주의에 대한 갈망을 해소할 수밖에 없었던 역사적인 변화이며, 국내 이 카드업계는 경제, 사회질서의 혼돈 속에서 영업의 변화, 마케팅의 변화를 잘 맞춘 기업의 변신이었습니다. 정말 놀라운 일입니다. 변화를 통하여 소련의 위상이 틀려지고, 변화를 통하여 매출의 엄청난 신장을 이룰 수 있다니. “변화” 정말 놀라운 단어가 아닐까요? 저는 이 글을 통하여 왜 대한민국 보안이 변화하지 않았는지, 왜 변화 발전을 하지 않았는지, 왜 가끔 큰 사고로 피해가 발생하는지, 왜 금융사고와 산업스파이 등이 심한지 밝히고자 합니다.

삼성전자는 글로벌 전자업계 1위를 초읽기 중입니다. 러시아를 비롯한 유럽에서는 삼성전자를 중세에 유럽을 침략한 몽골제국에 비유한 바 있습니다. 이를 언론에서는 황무지에서 새로운 것을 창조해내는 노마디즘(Nomadism) 철학이 삼성전자의 기업문화에 반영된 것이라고 합니다. 

삼성, LG, 현대 등은 IT업계, 중공업 등은 세계 1위를 달려가고 있는데 이들을 지원할 보안은 왜 이럴까요? 한국인터넷진흥원에서 밝힌 한국보안 세계 5위는 단순 기술표준 출품에 관한 얘기이며, 행정안전부가 밝힌 WEF, 국제 정보보호 순위 16위가 더 적합한 데이터일 것입니다.

왜 IT는 세계 1위를 넘보고 있는데, 왜 IT와 가장 밀접한 부분에 있는 보안은 16위에 머물고 있습니까? 사실 이제 대한민국은 선진국 보안을 해야 하지 않을까요? 사실 16위라는 지수도 단순 보안서버 보급률로 따진 것이어서 무의미할 수 있습니다만, 발전적 변화, 변신 등이 부족한 것은 아닐까요? 부족함을 알면서도 왜 바꾸지 않는 것일까요? 저를 비롯한 많은 보안 관련 사람들은 반성을 하고 새로운 변화된 모습을 모색하여야 되지 않을까요? 러시아처럼, 현대카드처럼, 삼성전자처럼.

“The Change”, 변화

“변화(The Change)”, 동양의 철학서인 주역(周易)의 영문 번역 이름이 “The Change”입니다. 모든 자연, 사회, 인간 사물은 변화하고 있으며, 변하지 않는 것이 건(乾), 즉 시간이며 시간을 거스를 수 있는 것은 이 세상 아무도 없다는 것이 주된 철학입니다. “제1장, 건(乾), 모든 것에는 때가 있다.” 에서는 “건(乾)”은 불변의 절대성, 우주와 시간을, “원(元)”은 생성되기 전 혼돈과 카오스 시절, “형(亨)”은 창조, 음양구분과 태극의 시절, “리(利)”는 왕성한 활동과 결실, “정(貞)”은 소멸과 종말의 시기이라고 합니다. 사람의 인생을 표현한 내용입니다. 아마 이런 내용은 하나의 기업에도, 하나의 조직에도, 나아가 한 나라에도 해당되는 내용일 것입니다. 나라에서는 항상 결실과 발전이 있고 소멸은 있을 수 없지만, 변화를 게을리 한 많은 기업들은 실제 사라지기도 하였습니다.

주역의 책에서 변화의 시간을 4단계로 나눕니다. 미국 NIST SP-55(Security Performance Measurement Guide) 에서도 보안 성숙도를 4단계로 나눕니다. 여기에서도 보안을 식물로도 같이 표현을 하고 있습니다. 세계 어디서나 보는 시각은 비슷한 셈이지요. SP-55는 어느 조직의 보안 성능을 평가하기 위하여 20가지 기준(Measure)을 가지고 평가를 합니다. 가능한 실제 Fact 데이터를 가공하여 결과를 추출하는데 Management, Technical, Operation을 기준으로 관리, 기술, 물리적 보안 모든 보안 요소로서 평가를 합니다. 이 데이터를 종합하면 어떤 조직의 보안 역량이 지수(Index)화 되어 관리하게 되고, 하부 수준의 현재 데이터를 직접 관리하므로, 책임추적성(Accountability)을 제공하고, 구현증거 자료가 필수적이므로 법적 준수사항(Compliance) 이행여부 확인이 가능합니다. 대한민국의 보안, 지금 어디에 있을까요?

                                       <보안성숙도>

“형(亨)”, 대한민국 보안은 배우고 구현하는 시기

저는 감히 대한민국의 보안을 아직 배워가고 있는 청년의 시기라고 생각합니다. 아직은 대한민국 보안이 3단계이며, 대한민국 보안이 효율적이고 효과적인 결실을 만들어내고, 안전한 인터넷으로 인하여 경제와 안보가 원활한 상태는 아니라고 생각합니다.

만약 3단계라고 한다면 보안이 나름대로 역할을 담당하여 나머지 사회안정, 국가 안보 및 경제 부분이 안심하고 보안을 활용하게 되겠지요. 하지만 어느 누구도 보안을 충분히 신뢰할 수 없다고 보는 것이 맞을 것입니다. 사회공학적 사기에 의한 악성코드의 범람과 좀비 컴퓨터들의 출연은 기술적으로 막기 불가능한 일이며, 법 제도, 정책으로 줄일 순 있겠지만 완벽할 수 없습니다. 기술적으로나 관리적으로, 그리고 민주적으로 실시간에 가깝게 보안을 하고 있습니까? 아직 그런 상태가 아니므로 포털이, 온라인 쇼핑몰이, 증권회사가, 정부의 국민 서비스가, 방산업체가 안심하지 못하고 있는 것입니다. 또 사이버범죄는 국가간 스파이들은 활동이 끊이지 않습니다.

사실 3단계를 충분히 거쳐야만 4단계로 넘어 가지요. 사실 4단계인 완성시기로 전환하게 된다면 보안의 완성과 자연스러운 경제, 안보 사회가 만들어지지요. 모든 애플리케이션들은 완벽에 가까운 보안을 스스로 가지게 되어 자동화된 실시간 보안관리, 실제 보안 데이터들을 관리 운영하게 되어 보안이 충분히 스며든 사회를 이루게 됩니다. 사실상 4단계는 요원한 열망일 뿐 획득하기는 어렵습니다. 다만 모든 것이 자동화 처리되는 수준이 된다면 4단계라고 할 수 있겠지요. 하지만 4단계는 어렵습니다. 왜냐하면 외부의 공격방법의 변화 발전을 따라가기 어렵고 내부의 취약성은 피할 수 없기 때문입니다.

보통 한국정보보호진흥원(현 한국인터넷 진흥원)이 설립된 것이 우리나라가 진정한 보안을 시작한 것이라고 보고 있습니다. 1996년도 설립되어 14년이 다 되었는데 왜 아직 공부를 하고 있을까요? 한 세대가 지나면 질적인 효과를 기대하여야 할 3단계로 갔어야 맞을 것입니다. 왜 반복되고 있을까요? 변화를 수용하지 못하진 않았을까요? 변화와 혁신의 필요성을 깨닫지 못한 것은 아닐까요? 사실 저도 진흥원 출신이기는 하지만, 스스로 변해야 한다는 사실을 알기는 쉽지 않습니다. 시각을 바꾸기는 더욱 어렵습니다. 외부에서의 조언이 중요하고 방향제시가 중요합니다.

 롱테일의 법칙을 아십니까? “Long Tail”!, 20%만이 중요한 것이 아닙니다. 보안뉴스는 80%가 더 중요하다고 생각합니다. 여러 기존의 전문가님들은 80%의 목소리에 제발 귀 기울이시기 바랍니다.

(롱테일:

보안뉴스에서 “한국의 보안, 변화가 필요하다”는 내용으로 다음과 같은 순서로 글을 연재할 예정입니다.

<연재 순서>

1. 대한민국 보안, 무엇을 바꾸어야 할까요?

2. 보안뉴스 TSRC의 보안 개념과 10개의 이슈

3. 보안은 한 사람이 아닌 대중이 만들어 가야 한다.

4. 보안 전문가는 국가의 소중한 자산이 되어야 한다.

5. 기술보다 실천 경험이 더 중요하게 여겨져야 한다.

6. 한 사람의 지식이 아닌 집단적인 지식이 필요하다.

7. 지식의 문서화, 전략정보화가 중요함을 알아야 한다.

8. 사용자들에게 단순 명료하면서도 풍부한 보안을 제공하여야 한다

9. 절대적 보안 아닌 객관상대적 보안을 이루어야 한다.

10. 보안 기술만이 보안의 필수 요소라고 믿지 말아야 한다.

11. 개방적이며 비용 효율적 보안이 중요함을 알아야 한다

12. 선진국 보안을 위하여 과학적, 민주적인 보안접근이 필요하다.

[글 · 임채호 보안뉴스 TSRC(Trusted Security Research Center) 센터장(chlim@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>