큰 역사의 흐름과 정보보안 업계 흐름이 맞물리는 한 지점

[보안뉴스 문가용] 작년 이맘때쯤 했던 상반기 결산의 골자는 ‘정보의 통합이 화두가 될 것이다’라는 것이었다. 그리고 올해 1월부터 세계의 여러 정부들은 정보를 전부 관리하고 싶어하는 마음을 내비치는 데에 망설이지 않기 시작했다. ‘안전해야 하니’ 모든 첩보를 강제로라도 공유해야 한다는 법안이 프랑스에선 이미 통과하고  미국에서도 상원까지 통과했고 심지어 암호화도 금지시켜야 한다는 말을 무려 영국 총리께서 공식석상에서 발표하기도 하셨다. 중국 정부도 질세라 이 흐름에 동참한 게 바로 이번 주다.

암암리에 국민에 대한 감시와 검열은 늘 있어왔으니 새삼스러울 것도 없다고 반문할 수도 있지만 문제는 이게 ‘안전’이라는 탈을 쓰고 아예 전면에 뻔뻔하게 등장하기 시작했다는 건 충분히 고개를 갸웃거리게 한다. ‘암암리’가 교묘한 ‘탈’로 탈바꿈했듯이, ‘탈’이 맨 얼굴 되지 말라는 법 또한 없으니 이는 심히 우려되는 상황이다. 유야무야 우리는 모든 정보를 한 군데 집약시키는 움직임에 둔해지고 있는 것인지도 모른다.

그도 그럴 것이 최근 업계 소식의 대부분을 차지하고 있는 건 산업 종류를 불문하고 ‘클라우드와 연동되거나 비슷한 기능을 가진 애플리케이션’과 클라우드와 반드시 함께 언급되는 ‘빅데이터’다. 이미 사용자들 선에서는 벌써 정보를 한 군데 모아놓고 사용하는 게 얼마나 편리한지 널리 전파되고 있고 실생활에서 이미 활용되고 있는 것이다. 누가 시키지도 않았는데 한 사람 한 사람이 정보를 모아두는 습관을 키우고 있는 이 거대한 흐름과 위에 말한 정부들의 움직임이 맞물리면 어떤 일이 벌어질까. 어렵지 않은 상상이다.

그런 가운데 또 한 가지 떠오르는 키워드가 있으니 바로 ‘자율’이다. 먼저 좀 먼 배경 이야기부터 해야 할 듯하다.

1. 유행만 돌고 도는 게 아니다

역사를 보는 다양한 시각이 존재하지만 ‘권력의 흐름’이라는 측면에서 봤을 때 순환구조가 있음을 발견할 수 있다. 즉, 어떤 시대에는 왕이 권력을 쥐고 있지만, 그 시대는 귀족들이 권력을 나눠서 쥐는 때로 대체되고, 나눠 갖는 권력을 혼자 쥐기 위해 귀족 중 누군가 들고 일어나거나 명목상만 존재하는 왕을 전략적으로 추켜세워 권력을 한 사람이 집약해 갖게 되고, 그것이 때가 되면 다시 귀족들이나 국민들에게 퍼져나가는 것의 반복이라는 것이다. 권력이 어느 한 곳에 집중되었다가 분배되고 다시 집중되었다가 분배되는 순환구조가 바로 역사라고 볼 수 있다.

그런 맥락에서 민주주의가 대세이며 정의인 현대는 권력이 표면적으로 국민 전체에게 퍼져있는 시대라고 볼 수 있다. 물론 어느 민주주의 국가에서도 대통령이나 그에 준하는 권력자들이 존재하긴 하지만, 대부분의 사람들이 ‘이상’이라고 믿고 바라고 꿈꾸는 건 국민 개개인이 주인이 되는 나라다. 그렇다면 역사가 지난 수천 년과 똑같은 방식으로 흘러갈 거라고 봤을 때 다음에 등장할 건 권력이 어느 누군가 혹은 어느 한 단체에 집약되는 시대라고 예측해볼 수 있다. 그게 언제인지야 아무도 모르겠지만 말이다. 때는 예측할 수 없으되, 큰 흐름이 그렇다는 것이다.

그렇다면 그런 ‘권력 집약 시도자’가 뚜렷하게 등장할 때까지 민주주의의 가장 큰 덕목 중 하나인 ‘자유’가 계속 강조될 것이라는 걸 예상할 수 있다. 물론 여러 정부들이 정보의 장악을 위해 국민을 감시하고 다른 나라를 견제하고 해킹하는 사태가 계속해서 벌어지고 있지만 적어도 아직은 ‘몰래’하고 있고, 다른 좋은 말과 구실을 들어 돌려 말하고 있는 걸 봤을 때 권력을 집약시키려는 시도가 가까운 미래에 나타날 거 같지는 않다. 그러니 아직은 ‘자유’가 좀 더 많은 곳에서 강조될 가능성이 높다. 갑자기 동성애가 이슈화 되는 것도 이를 ‘자유’의 영역으로 이해하고 있기 때문인 것처럼 말이다. 자율을 키워드로 꼽는 한 가지 이유다.

2. 점점 더 거세지는 공격, 명쾌한 해결책 없어

2014년 말엔 취약점 네이밍 시스템 중 하나인 CVE 시스템이 바뀌어야 한다는 주장이 나왔을 정도로 전에 없이 많은 취약점이 등장한 해였다. 그런데 취약점과 해킹 사건의 문제는 2015년 들어서도 전혀 개선될 조짐이 보이지 않고 있다. 심지어 대대적인 테러 사건까지 전 지구를 함께 들쑤시고 있어 ‘악성’이라고 판단할 수 있는 행위들을 막기 위하여 우리가 구현해왔던 방법들 자체에 대한 회의론이 등장하기 시작했다. 실제 ‘보안조치 해서 뭐해’라는 반응이 최종사용자들을 대상으로 한 다수 설문에서 눈에 띄게 늘어났었다.

그렇다면 우리가 사용해왔던 방법들이란 무엇인가? 백신, 안티멀웨어, 방화벽 등의 솔루션과 컴플라이언스나 거버넌스 등의 거대한 외래어로 치장된 ‘법과 제도 장치’였다. 한 마디로 나라나 협회 등 거대 단체에서 시킨 걸 시킨 대로 하고, 사람들이 많이 쓰고 효과 좋다고 입소문난 솔루션을 컴퓨터에 설치하는 것이었다. 각자가 시장에 나온 많은 제품 중 하나를 자유롭게 골라 쓴다고 하지만 결국엔 컴플라이언스나 각자의 주머니 사정, 시장 정서라는 것에 알게 모르게 제한을 받았으니 ‘자율적’으로 보안조치를 강구할 수 있는 상황이었다고 말하기는 어렵다.

그래서 그런지 요즘 들어 각자에게 더 많은 자율성을 부여하겠다는 발표나 뉘앙스가 심심찮게 등장하고 있다. 멀리 갈 것도 없다. 당장 상반기의 마지막 날 열린 PIS FAIR 2015에서 한국정보화진흥원의 김두현 부장은 사이버 세상이 안전해지려면 보안감사를 조직별로 자율적으로 실시하는 문화가 뒷받침되어야 한다며, 자율점검 혹은 자체점검을 강조한 바 있다. 또 같은 상반기 마지막 날로 미국에서 종료된 PCI SSC는 업자들 개개인의 자율성을 강조하는 새 버전으로 바뀌었다. 업자가 스스로 암호화 방식을 결정하고 적용할 수 있게 해준다는 것이다. 한국 금융권에서도 자율보안시대라는 말이 나오고 있다.

3. 자율, 탈인가 맨 얼굴인가?

역사의 큰 흐름을 봤을 때나 업계의 분위기를 봤을 때나 자율이 앞으로도 더 강조될 것이라는 건 충분히 예측할만하다. 중요한 건 이것이 과연 정말로 사용자 혹은 국민 개개인에게 자율성을 보장할 것인가, 하는 것이다. 즉, 여러 정부들이 ‘안전’을 말하며 정보장악을 꾀하는 것처럼, ‘국가 안보’를 위해 여러 나라가 핵을 비축하는 것처럼, 중국이 ‘날씨문제’를 말하며 남중국해에 대한 불법 영역 확대를 끝내 이뤄가는 것처럼 이 ‘자율’이라는 것 뒤에서도 전혀 다른 일들이 발생하고 있지는 않겠느냐는 의심을 해볼 수밖에 없다는 것이다.

의심이 되는 이유가 여러 가지다. 먼저 자율 혹은 자유가 강해지면 강해질수록 같이 힘을 받는 게 있는데, 아이러니하게도 그건 법과 규율이다. 내 자유가 상대의 자유와 충돌할 때 그것을 중재할 수 있는 게 법이라는 공통의 합의사항이기 때문이다. 마치 쥐를 잡으려고 고양이를 들였더니 그 고양이의 똥 때문에 쥐가 더 끓게 되는 현상과 같달까. 개인적으로는 이 법 강화 현상을 굉장히 흥미롭게 지켜보고 있다. 이러다가 조지 오웰의 1984에서처럼 단어 하나하나까지도 쓰임새가 정해지는 시대가 올지도 모르겠다는 두려움과 함께.

또 다른 이유는 갑자기 주어진 자율을 온전히 활용할 여건이 되는 사람이 의외로 적다는 것이다. 아무것도 가르쳐주지 않은 채 다짜고짜 자유주제로 연구하라고 하면, 주제를 잡는 것조차 힘들어하는 게 사람이다. 기자들에게 기획회의가 어려운 건 아무런 가이드라인 없이 백지를 자유롭게 메워야 하기 때문이다. 그래서 먼 옛날 누군가는 공간에 대한 공포를 못 이겨 동서남북 경계선부터 그은 것이리라. 또한 자율적으로 암호화를 구축하라는 새 PCI SSC가 ‘결국 대기업을 위한 제도냐’라는 비판을 받는 것만 봐도 알 수 있다. 어찌된 영문인지 자율은 비싼 것이 되어버렸다는 걸.

4. 그럼에도 추진력은 강력할 듯

하지만 자율이라는 표현은 너무나 달콤하다. 하고 싶은 걸 마음대로 할 수 있다는 건 어떤 것과도 바꾸기 힘든 유혹이다. 또한 별 이유 없이 역사가 패턴을 갑자기 바꿀 리도 없고, 별 계기 없이 법 없는 자율이 보장되는 원시사회가 도래할 리도 없다. 1년 전에 했던 예측이 가시화되어가고 있다는 것까지 이 ‘자율’에 대한 예측에 더해보면 시간의 흐름을 두 가지로 정리할 수 있다. 겉에서 흐르는 ‘자율’의 흐름과, 속에서 흐르는 ‘정보통합’의 흐름.

여기에 어떻게 하면 빠져죽지 않고 항해할 수 있을까? 고민을 해봐야 한다. 먼저는 ‘자율’에 대한 나름의 기준을 고민해보고, 자율을 활용할 수 있는 나 혹은 우리 기업의 한계를 알아두는 것부터 시작하는 걸 제안한다. 닻을 내리고 흐름을 거부하는 것도 살아남는 방식일 수 있고 덮쳐오는 파도를 타고 오히려 날아오르는 것도 방식일 수 있으니, 어떤 방식이 가장 적합할 것인지를 결정하는 게 그 다음일 것이다.

종이 쳤다. 다음 시간은 자유과제를 내줄 확률이 아주 높은 교수의 수업시간이다. 교수의 입을 틀어막을 수 없다면 미리 해보고 싶은 주제를 결정해 시간을 아끼는 것이 차선책이다. 기자는 훈수를 뒀으니 이제 흥미진진하게 구경하겠다. 같은 교실이긴 하겠지만.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>