건국 설화는 역사적인 사실 혹은 상징 가득 내포

보안업계의 공공연한 이야기가 단순 뒷담화가 되지 않으려면

[보안뉴스 문가용] 역사 좀 깊다 싶은 나라치고 건국 설화 하나 없는 나라는 없다. 늑대가 키운 로물루스와 레무스는 로마를 일으켰고, 알에서 나온 반고는 중국(뿐 아니라 세상 전부)의 시초가 되었다. 이자나기는 창끝으로 일본 열도의 기초가 되는 덩어리를 뭉쳐냈고, 한국이라는 나라의 뿌리에는 단군이라는 인물이 - 실존했던 안 했던 - 항상 거론된다.

이런 설화들은 대부분 너무 오래 전의 상황을 묘사한 것들이라 고증을 한다는 게 불가능하고 사실 대부분의 사람들은 역사 전문가가 아니더라도 설화를 실제 일어났던 역사가 아니라 상징성을 가지고 있는 이야기로 받아들이고 있다. 개천절의 주인공인 단군의 이야기만 하더라도 곰이 사람으로 변한다는 식의 ‘실제로는 절대 일어나지 않았을 가능성이 다분한’ 부분이 있어 ‘사실’로 받아들이긴 힘든 게 맞다. 대신 역사가들은 한국과 비슷한 지역의 고대 역사를 파헤쳐 ‘곰’을 숭배하던 지역이나 민족을 찾아내고 거기서부터 좀 더 이성적이고 과학적인 연결성을 구축하는 등의 탐구를 지속할 수는 있었다.

그러나 그것이 좀 더 이성적이고 과학적이라도 하더라도 ‘고대’라고 불리는 시대의 역사는 그 누구도 100% 확언할 수 없다. 딱 한 가지, 인간은 이야기 만들기를 굉장히 좋아한다는 것만 빼놓고는 말이다. 인터넷이나 LTE 망은커녕 비둘기 날리는 방법도 모르던 시절의 인간들이 약속한 것처럼 서로의 설화나 신화를 만들어냈다는 것도 그렇지만, 아직까지도 산업별로 구전되는 각종 ‘도시 전설’만 봐도 이를 알 수 있다.

보안업계와 사용자 사이에도 이런 얘기들(myths)이 가십처럼, 혹은 하소연처럼, 혹은 신앙처럼 돌아다니고 있어서 몇 가지 모아 보았다.

1. 나는 아닐 거야. 누가 나를 공격하겠어?

믿어버리는 순간 곧바로 취약점으로 이어지는 내용이고, 특히 보안과 상관없는 사람들 사이에서는 암암리에 가장 널리 퍼진 것처럼 보이는 이야기다. 해커들은 사람을 가리지 않는다. 그것은 세상 모든 사람의 고유한 가치를 존중하는 박애주의자라서 그렇다기보다 그 사람의 정보를 통해 다른 사람을 우회공격하는 것이 가능하기 때문이다. 요즘 내가 내 정보를 지키는 건 내 주변인의 정보를 지키는 것과 똑같은 무게감을 가지고 있다.

2. 이 툴(솔루션)이 있으니 만사 OK

요즘 반복되는 사고를 통해 긍정과 희망이 과도할 때 얼마나 위험할 수 있는지 보여주는 예시가 되는 사고방식이다. 최신 보안제품 하나 구입해 설치한 것으로 완벽한 방비를 하고 있다는 믿음은 안일함에 기반을 둔다. 혹은 ‘레이어드 시큐리티’에 대한 개념을 잘 모르고 있다는 뜻도 된다. 솔루션은 여러 개 안전장치 중 하나일 뿐이다.

3. 보안? 그거 기술자들만 하는 거잖아

사용자들이 잘못 생각한다는 면도 있지만 보안업계의 잘못도 적지 않다. 보안업계에서 사용하는 용어가 너무 어렵고 전문적이기 때문에 일반인들이 알아들을 수가 없다. 특히 한국에서는 해외에서 새로 생긴 용어를 그대로 가져와 사용하는 회수가 늘고 있기 때문에(위에서 언급한 레이어드 시큐리티와 같은) 이는 점점 더 심해질 것이라 본다. 이러면서 ‘보안은 누구나의 몫이다’라고 외치는 건 자기모순 아닌가. 네이버의 이준호 CISO도 ISEC 2014에서 “보안업계 용어, 이대로는 안 된다”는 의견을 피력한 바 있다.

4. 암호를 자주 바꾸고 복잡하게 만들면 리스크가 줄어

암호의 유효성에 대해 말이 많다. 이제는 소용이 없는 보안 장치라고 이야기하기도 하고 아직은 암호만의 장점을 살릴 수 있다고 주장하기도 한다. 그러나 암호가 대체되어야 한다는 주장이 조금씩 힘을 받고 있는 것이 사실이다. 그런 결론이 나게 된다면 암호를 자주 바꾸거나 복잡하게 만든다는 건 의미가 없는 행위가 된다.

5. 결국 사람이 문제야

보안 전문가들 사이에서 가장 많이 나오는 말 중 하나다. 하지만 사피언트(Sapient)의 톰 랑포드(Thom Langford)는 이 말이 ‘교만한 책임회피’라고 한다. 사람들이 아무 것도 하지 않는다는 핑계를 대고 있는데, 교육을 해서 이해만 잘 시키면 보안담당자들이 시키는 대로 다 한다는 것이다. 즉, 교육 방법에 대해 스스로의 반성이 있어야 하는데, 오히려 배우는 사람에게 책임을 돌린다는 건 결코 생산적일 수 없다는 게 그의 의견이다.

6. 암호화가 궁극의 암호 보호책

가트너의 제이 하이저(Jay Heiser)는 “암호화는 잘 쓰면 강력하지만 어설프게 쓰면 오히려 더 큰 피해를 불러옵니다”라고 설명한다. 그래서 누군가 암호화를 전문적으로 해본 사람이나 충분히 경험해본 사람이 꼭 필요하다고 한다. 또한 암호화를 하는 게 불가능한 경우가 생기는데, 그럴 때의 보안책 또한 미리미리 마련하는 것도 중요하다. 암호화에 너무 기대면 이런 경우에 대한 대비가 소홀해진다.

7. 해킹 당한 적이 없으니 우린 튼튼해

테너블의 딕 부시에(Dick Busiere)는 “우리가 모르는 물밑 활동들이 상상 이상으로 일어나고 있습니다”라고 자신의 경험을 바탕으로 이야기한다. 해킹 당한 적이 없다는 건 오히려 해킹당할 가능성이 더 높다는 뜻이 되는 때다.

8. 보안을 강조하면 불편해

일견 맞는 말이다. 그런데 보안을 소홀히 해서 사건이 발생했을 때 그 뒤치다꺼리가 훨씬 귀찮고 불편할 가능성이 높다.

그러나 단군 신화가 단순히 재미있는 옛날 이야기라면 우리가 개천절마다 듣고 듣고 또 듣는 일은 없을 것이다. 의미가 있기 때문에 가르치고 배우는 건데, 건국 설화가 가지고 있는 의미란 무엇인가? 크게 두 가지를 꼽을 수 있다.

1. 단합의 구심체가 된다.

‘단군의 자손’, ‘배달의 민족’, ‘홍익인간’ 등의 용어를 써서 뭔가 국가적인 행사가 있을 때 애국심을 고취하려는 여러 시도들을 우리는 숱하게 봐왔다. 이것은 비단 최근뿐 아니라 이전부터 나라가 여러 가지 부침에 시달렸을 때 국민을 하나로 모으기 위해 일어났던 여러 움직임들 중 하나가 되어왔다. 그만큼 효과가 있었다는 것이고, 그렇기 때문에 악용된 사례도 많다. 건국 설화는 결과나 사용의도야 어쨌든 효과에 있어서는 꽤나 괜찮은 아교다.

2. 어느 정도 역사적 사실이나 정황을 유추해볼 수 있다.

위에서 잠깐 말했지만 단군 설화에 나오는 ‘곰’의 존재를 가지고 역사가들은 우리나라의 역사가 시베리아 지역 및 고아시아족이라는 민족과 관련이 있음을 유추해낼 수 있었다. 곰과 호랑이가 한 동굴에서 살았다는 건 - 그것이 생태학적으로 불가능한 이야기이므로 - 곰과 호랑이를 섬기던 두 부족의 결합이라는 해석도 가능하게 하며, 실제 압록강 동북 지역에는 에벤키라는 곰 종족과 아크스크라는 범 종족이 있기도 했다. 또한 단군의 개국연대가 중국의 요임금과 연결되어 있다는 주장도 제기되어 연구 중에 있다. 일부는 이 설화가 한국 국민의 자긍심을 주기 위한 장치일 뿐이라고 주장하기도 한다. 한 나라가 서기까지 일일이 헤아릴 수 없는 일들이 다변적으로 동시에 혹은 순차적으로 일어났을 텐데 후세의 연구가 단순히 끝날 리가 없다.

그렇다면 보안업계에 전해지는 저 설화들은 우리에게 어떤 의미를 주는 것일까? 개천절을 맞아 단군설화에 대입해 보았다.

1. 구심체로서의 담화

이 부분은 더 생각해볼 것도 없다. “사람들이 말을 듣질 않아”라던가 “보안은 너무 빠르게 변해”라는 이야기를 해가며 동종 업계 사람들끼리 만나 의기투합해본 적 누구나 한번쯤은 있을 것이다. 사용자는 또 사용자대로 “우리 회사 보안이 너무 빡빡해”라던가 “새로 CISO가 왔는데 호랑이 같아”라며 사석에서 정보 아닌 정보를 공유하고 있다. 약간은 술자리 뒷담화처럼 우리는 이런 이야기들을 아교 삼아 잠깐이나마 ‘뭉쳐’본 적이 있다. 어쩌면 그런 자리에서 이런 이야기들이 대부분 탄생했을 수도 있다.

2. 정황 유추의 근거

나는 아닐 거라는 믿음, 이거 하나면 다 해결된다는 믿음 등은 아직 보안을 1순위로 두고 있는 시대가 아니라는 걸 보여준다. 그렇다는 건 아직도 많은 보안사고가 터질 것이라는 의미도 된다. 또한 사람이 제일 취약하다느니, 보안은 전문가들만의 영역이라는 생각은 그런 와중에 전문가와 사용자가 서로에게 책임을 전가하는 모습을 드러낸다. 이 역시 앞으로 발생할 사고들의 전조가 될 수 있다. 데이터의 암호화나 사용자의 암호 설정에 대한 의문이 여기저기서 제기된다는 건 현시대에 맞는 보호 방법에 대한 확고한 이론이 정립되지 않았다는 뜻이고, 이 역시 불안한 구석이다.

하지만 장난이 심한 아이의 마음은 ‘나 좀 사랑해주세요’를 외치고 있고, 불안을 얘기하는 사람의 마음엔 항상 희망에 대한 기대가 숨어있기 마련이다. 이런 이야기가 불길하나마 슬슬 표면으로 올라오고 있다는 건 서서히 이런 징조를 불길하게 받아들이는 사람이 늘어난다는 뜻이기도 하며, 문제의식이 퍼지고 있다는 걸 반영하기도 한다. 문제의식은 얼마큼이나 문제해결로 이어질까. 그 과정은 어떤 모양일까. 5년 후, 10년 후, 보안산업에는 어떤 이야기가 떠돌아다니고 있을까.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>