다음 키워드 : 추석 특선 영화

[보안뉴스 문가용] 현재 시각(18일 17시 기준)으로 네이버에서는 ‘고속도로 현재 상황’이 실시간 급상승 검색어 1위를 기록하고 있으며 다음에서는 ‘추석 특선 영화’가 가장 윗자리를 차지하고 있다. 사회 현상의 일부일 수밖에 없고, 또 그래야 하는 정보보안이라는 분야는 해당 소식과 얼마나 상관이 있을까?

네이버 키워드 ‘고속도로 현재 상황’과 디도스 공격

귀경길 정체가 시작되고 있다. 누구나 예상했던 일이고 누구나 알고 있는 현상이며 곧 있으면 다가오는 퇴근 시간과 겹쳐 더 심해지고, 한동안 해소되지 않을 것으로 보인다. 민족대이동이란 말이 무색하지 않을 정도다.

도로와 자동차의 이동은 종종 네트워크와 데이터의 흐름에 비교된다. 그래서 트래픽이란 용어는 두 분야에서 모두 똑같이 사용되고 있기도 하다. 오늘날과 같은 고속도로는 마치 디도스 공격이 이뤄진 네트워크에, 평소 쌩쌩 달릴 수 있는 고속도로는 정상 네트워크에 비할 수 있겠다.

막힌 고속도로에서 시골로 내려가 본 사람은 알겠지만 몇 미터 움직이는 데 수십 분에서 수 시간이 걸리기도 한다. 옴짝달싹 하는 것 자체가 불가능에 가까워진다. 디도스 공격이 바로 이런 것이다. 평소보다 트래픽을 높여 네트워크 안에서 데이터의 움직임을 한없이 느리게 하는 것. 디도스는 명절 귀경길의 고속도로와 굉장히 흡사하다.

공격의 효과도 비슷하다. 귀경길 고속도로에 갇히면 어떤가? 아무리 예상했다 하더라도 짜증이 난다. 하지만 아무 것도 할 수가 없어 포기하고 무기력하게 앞만 응시한다. 지겨움을 어떻게든 이겨보려고 책을 보거나 음악을 듣거나 영화를 보기도 한다. 운전대를 잡았으나 사실 운전은 할 수 없고 다른 것에 투자할 수밖에 없다. 지치고 피곤해진다. 이걸 왜 하나 싶기도 하다.

디도스에 걸리면 첫째로 원래 이루어져야 할 서비스, 즉 본업을 할 수 없게 된다. 짜증이 나는데 할 수 있는 게 없다. 그래서 매일 하던 것을 접고 전문가의 도움을 청한다. 어떻게든 빨리 정상 서비스를 시작해야 하는데 그 시간까지가 너무나 길고 무력하다. 그 시간이 너무 길어지면 내가 뭐 좋다고 이런 사업을 하고 있나, 내가 평소에 누구의 원한을 그렇게 샀는가, 하며 회의감에 빠져들기도 한다. 사람에 따라 이는 분노로 대체되기도 한다.

디도스의 위험성은 사업주의 이런 ‘멘탈 붕괴’에만 있지 않다. 바로 서비스를 필요로 하는 고객들에게도 비슷한 짜증을 유발시키는 것이다. 하지만 고객의 경우 짜증의 대상은 디도스 공격을 당한 업체가 된다. 고속도로로 따지면 기껏 10시간을 달려 부산에 도착했더니 기다리다 지친 부모님이 왜 그렇게 운전을 못하냐고 혀를 끌끌 차면서 역정을 내는 것과도 같다. 다른 점이 있다면 화 내는 부모님보다 거래처 바꿔버리는 고객들이 훨씬 많다는 것 정도랄까.

최근 들어 디도스 공격과 고속도로의 또 다른 유사성이 발견되고 있는데 이는 피할 여건이 점점 없어진다는 것이다. 왜 귀경길마다 고속도로는 주차장이 되는 걸까? 미리 출발하거나 나중에 출발하거나 비행기를 타고 갈 여건이 되는 사람보다 이렇게 막힐 걸 알면서도 차를 타고 출발해야 하는 사람이 훨씬 많기 때문이다. 즉 막힌다는 게 거의 예고되어 있으면서도 대처가 불가능하다는 것.

디도스도 요즘 공격방법이 고차원화 되어서 알고도 막기 힘든 경우가 많다. 정보보안의 가장 큰 걱정거리가 결국 이 ‘기술이 부족한 것도 아닌데 알고도 막을 수 없다’는 걸로 귀결되고 있는 분위기다. 그건 보안에 투자할 자원이 부족해서이기도 하고, 사람이 없어서이기도 하고, 직원 중 일부가 꼼꼼하지 않아서이기도 하다. 알고도 못 막는 걸 어떻게 해결해야 하는가, 그에 대한 갑론을박이 매일처럼 쏟아진다.

다음 키워드 ‘추석 특선 영화’와 문화

추석에 볼 영화를 검색해보는 사람이 아직도 많다는 게 의외다. 영화관 가는 건 이제 대중적이다 못해 흔하디흔한 취미거리가 되어버렸고, 영화사와 웹하드 등의 P2P 서비스 업체가 손을 잡아 영화를 구하는 것도 쉬운 일이 되어버렸는데 말이다. 예전처럼 ‘주말의 명화’를 기다리며 두근거리며 광고를 쳐다보는 시대가 아님에도 추석 특선 영화를 기다리는 이들이 많다는 건 어떻게 해석해야 할까.

음악과 영화의 소비가 늘어나면서 문화가 소모품처럼 변해버린 경향이 있다. 덩달아 문화라는 말 자체도 널리 사용되기 시작했다. 본지만 해도 ‘보안의 문화화’라는 주제를 담은 기사 및 기고문을 많이 싣고 있다. 보안은 전문가만 해야 하는 게 아니라 모두가 참여해야 한다는 취지에서 주로 ‘보안을 문화로 정착시키자’고 주장하는데 이는 굉장히 어려운 일임을 고백할 수밖에 없다.

왜냐하면 ‘문화화’시켜서 대중들이 자발적으로 참여하도록 하려면 1) 돌아오는 대가가 작더라도 하기가 쉽거나 2) 하기 다소 어렵더라도 돌아오는 대가가 커야 하는데 보안은 그 고유의 성질상 이 두 가지 조건에 정확히 대치되기 때문이다. 매주 암호를 여러 가지 문자와 패턴을 섞어서 바꿔가거나 매일 사용하는 모든 프로그램의 업데이트를 확인하고 적용한다든지 하는 것들은 쉽지도 않고 무척 귀찮다. 또한 잘 해봐야 돌아오는 이득은 ‘무사고’일 뿐이다. 이는 성과가 눈에 전혀 들어오지 않는다는 큰 단점을 가지고 있는 이득이다.

인터스텔라라는 영화를 보고 그 어려운 상대성 이론을 들춰보는 이들은 많았는데 왜 암호 하나 매달 바꿔주는 건 그렇게 힘든 것일까? 상대성 이론 좀 아는 척 하면 굉장히 지적으로 보이고 해박해 보이는데, 보안 좀 안다고 해봐야 시시콜콜 캐묻고 점검하는 시어머니처럼만 보이기 일쑤이기 때문이다. 돌아오는 게 없다.

보안을 정말 문화화하고 싶다면 돌아오는 이득이 크다는 걸 어떻게든 설득시키던가 아니면 큰 보상을 마련해야 한다. 괜히 지금 버그바운티라는 보안 문화의 한 부분만 성장하고 있는 게 아니다. 세상엔 공짜가 없다는 그 흔한 말을 정보보안도 기억해야 할 듯 하다.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>