해커와의 싸움, 원래 질 수밖에 없는 불공평한 게임

[보안뉴스 문가용] 말이 참 듣기 싫을 때가 있다. 사회적인 위치와 책임이 쌓여가는 성인일수록 손발이 묶여 그런 듣기 싫은 소리에 꼼짝없이 귀를 열어주어야 할 때가 많은데, 그런 때는 차라리 여러 가지 방법을 동원할 수 있었던 어렸을 때가 좋았다는 생각이 든다.

그때 우리는 어떤 방법을 썼던가. 도망가거나, 귀를 막거나, 더 큰 소리를 겹쳐내서 그 소리가 안 들리게 하거나, 아예 그 소리가 안 나오도록 미리 조치를 취하거나. 혹은 이 모든 걸 다 한 번에 쓰거나. 아마 상대가 입을 여는 순간 자신의 귀를 얼싸안고 소리를 지르며 반대방향으로 뛰어가는 경험, 한 번씩은 있을 것이다. 기자의 경우, 숱한 여성분들에게 이런 기술을 사용했다. 확인할 수는 없지만 뭔가 고백이 쏟아질 거 같은 예감 때문이었다.

사회생활 하면서 상사나 클라이언트에게 진절머리 내며 도망가는 상상 대부분 해보지 않았을까 한다. 그러나 몇몇 대단한 용기를 가진 자나 머리숱이 줄어들어도 변함없는 동심을 과도히 지켜낸 자들을 제외하고는 대부분 발화자에게 얼굴만 향하게 하고 눈은 다른 곳으로 이리저리 굴리며 공상에 빠져드는 것 외에 할 수 있는 거라곤 기껏해야 짝다리 짚는 거 뿐이다. 그런데 이런 아이의 방법이 통하는 곳이 있으니 바로 미국 국회다. 다수결의 원칙에서 불리한 쪽이 정말로 국회의 의사를 방해하고 싶을 때 자신의 발언을 길게 길게 늘려 표결 절차 자체를 뒤로 미루거나 취소시키는 방법인 필리버스터(filibuster) 얘기다.

바로 미국 현지시각 기준으로 지난 금요일 대선 후보 중 하나로 유력하게 떠오르고 있는 랜드 폴(Rand Paul)이라는 의원이 장장 10시간 30분의 연설을 마치고 내려온 일이 있었다. 또 다른 애국법이라고 불리는 자유법의 통과를 막기 위해서였다. 심지어 이 사람은 자신이 대통령이 되면 NSA를 아예 없애겠다고 공공연히 말하는 사람이기도 했다. 우리나라 국회에는 발언 시간제한권이 있어 사용이 불가능한 방법이다.

먼저 미국의 이 애국법이란 것은 9.11 테러 이후에 마련된 것으로 ‘안전을 위해 정부의 정보기관이 시민들을 감시해 정보를 수집해도 된다’고 허용해주는 법이고 6월 1일이 만기일이다. 자유법은 애국법과 비슷한 내용이나 정보 수집 과정에 영장 발부 등의 추가적인 절차를 끼워넣어 정부의 감시를 보다 어렵게 만드는 내용이다. 하지만 정보수집 자체를 불법화시키지는 않는 법안인지라 또 다른 애국법이라고 불리고 있다. NSA의 존재 자체가 불편한 랜드 폴 의원입장에서는 ‘눈 가리고 아웅’으로밖에 보이지 않은 이유다.

그런데 여기에 반전이 있었으니, 그의 장장 10시간 넘은 스피치 역시 ‘눈 가리고 아웅’ 정도의 시위로 끝나게 된 것이다. 그의 진심을 함부로 속단할 수는 없지만, 그가 차기 대선후보로서 이제부터는 뭔가 획기적이고 눈에 띄는 행적을 남겨야 한다는 점, 프라이버시와 정부의 감시 문제는 국민들이 굉장히 민감하게 받아들이는 이슈라는 점, 게다가 그가 스피치를 마친 시간이 자정 10분 전이라 그가 실제로 노렸던 ‘자유법 통과 여부를 결정하는 주말 투표’의 일정에는 하등의 변화가 없었기 때문에(자정을 넘겼으면 미뤄졌을 것이다) 이런 생각이 들 수밖에 없다. 하지만 국민의 프라이버시를 위하는 마음이 진심이든 계산이든, 10시간 30분이라는 발언 시간은 그의 굳은 결의를 충분히 드러내긴 했다.

해외 정보보안 관련 기사들을 읽다보면 굳은 결의 혹은 ‘determination’이라는 단어를 참 많이 본다. 특히 타깃형 공격, 소셜 엔지니어링, APT 공격 등을 다룬 기사에서 많이 나오는데, 이는 그 모든 공격이 시간이 많이 걸리거나, 공격 목표가 된 사람에 대해서 더 잘 알아야 하는 등 ‘마음을 단단히 먹고’ 해야만 성공할 확률이 높은 유형이기 때문이다. 다시 말하면 요즘 해킹하려면 기술력뿐만 아니라 동기부여도 충분해야만 한다는 것이다.

그런데 바로 이 지점이 흔히들 사실로 받아들이는 ‘해커가 아직은 보안전문가보다 앞서 가는’, 혹은 좀 더 거슬러 올라가 ‘열 포졸이 도둑 하나 못 막는’ 중요한 이유이기도 하다. 이상하게 사람이라는 건 나쁜 짓을 할 때 더 높은 동기를 스스로에게 부여하기 때문이다. 시골 놀러가는 재미라고 하면 ‘서리’라고 했던 게 불과 십수 년 전의 일이다. 솔직히 말해 ‘해킹’과 ‘보안’이라는 단어만 놓고 봤을 때 어떤 단어가 더 매력적으로 느껴지는가? 해커스라는 영화도 있고 영어교제도 있지만 보안인과 연관된 상품명은 아직 보지 못했다.

영화 얘기가 나와서 말인데, 도둑이나 스파이 등을 주인공 삼은 영화를 보면 러닝타임의 대부분이 사전계획에 할애된다. 주인공이 굳이 나쁜 짓을 해야만 하는 동기와 이유를 드러내야 하고 이는 영화가 전개되어야 하는 대의명분에 대한 공감을 끌어내는 데에 중요한 요소이기 때문이다. 이때 나쁘긴 하지만 아무튼 절실한 주인공의 마음과 동기를 어떻게 표현하느냐? 대사를 칠 수도 있지만 간단하게는 주인공이 사전계획을 꼼꼼하게 한다는 걸 그려주면 된다. 계획이 꼼꼼하면 꼼꼼할수록 관람객들은 주인공의 절실함에 끌려들어가기 때문이다. 

절실하면 꼼꼼할 수밖에 없다. 게다가 법이나 규칙을 어기고자 하는 측은 구체적인 계획과 목표를 가지고 있기 때문에 굳은 결심을 불러일으킨 후에 다지는 것 마저도 용이할 수밖에 없다. 평소에 일할 때도 하고 싶은 일은 누가 시키지 않아도 꼼꼼하게 잘 하지 않는가? 동기부여도 잘 돼, 심지어 그걸 유지하는 것도 편해 기술력 문제 이전에 ‘해커 vs. 보안’의 싸움은 불공평하기 짝이 없다.

보안전문가들이 이래저래 취약점을 먼저 찾아내고 그걸 발빠르게 패치하는 걸 보면, 해커에게 자꾸만 뚫리고 지는 이유는 기술력에 있는 거 같지는 않다. 모르긴 해도 발견한 취약점의 양을 보면 보안산업 쪽이 해커들보다 훨씬 많을 것 같기도 하다. 사실 어디서 그런 통계자료를 본 거 같은데, 귀찮아서 귀 막고 소리치며(요란한 마우스 클릭) 도망갔던(창 닫기 버튼 누름) 기억을 자백한다. 지금은 찾을 수가 없다.

아무튼 우리는 다 알고 있다. 특정 대상도 없는 상태에서 내 가족이나 친구도 아닌 그저 금전관계에 놓인 누군가를 보호한다는 건 어지간해서는 불타오르는 동기유발거리가 안 된다는 걸. 게다가 선입금이면 더더욱. 여기에 게으름이라는 이기기 힘든 본성까지 합해놓으면 결심이 단단하고 그래서 부지런하기까지 한 상대에게 질 수밖에 없는 그림이 완성된다. 그렇다고 동기부여라는 게 노력한다고 되는 것도 아닌데, ‘자 좀 더 마음을 쏟아 열심을 냅시다’라고 기사를 끝낸다면 그것은 그것대로의 게으름일 것이다.

어떻게 하면 보호하고자 하는 강한 동기를 끌어낼 수 있을까? 어떻게 하면 국회에서 10시간 넘게 연설을 할 정도로 단단한 결심을 할 수 있을까? 해킹과의 싸움에서 먼저 고민해야 할 건 기술 이전에 사람의 본성일지도 모르겠다. 그것도 해커 그들의 본성이 아니라 지키는 자 나 자신에 대한 본성부터 말이다. 어차피 세상에서 바꿀 수 있는 건 자신뿐이다.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>