우회 공격, 외주 업체 통한 해킹 늘어나는 건 보안범위 넓어지는 것
확장, 발전, 증대, 대기업에 초점을 맞춘 전략...보안에서도 정답일까?

[보안뉴스 문가용] 5~6년 전이었나, 동남아 여행 중에 한 식당에서 젊은 싱가포르 커플과 동석한 적이 있었다. 각자의 나라에 대해 이야기를 주고받다 영어란 말글에 초점이 맞춰졌다. 영어가 국민 콤플렉스인 한국에서 온 기자와 영어가 공용어로 채택된 덕분에 현재 아시아의 허브가 되어버린 싱가포르 청년이 서로의 나라를 바라보는 시점은 ‘부러움’이란 곳에서 묘하게 겹쳤다.


“한국에 와보라. 영어 몇 마디만 시키면 스포츠 강국답게 육상선수처럼 뛰기 시작하는 사람들을 쉽게 볼 수 있을 것이다”라는 ‘아재 개그’에 섞인 부러움을 이해하지 못한 싱가포르 청년은 “싱가포르 언어 정책은 실패”라고 못 박았다. 여러 이유들을 말했는데, 그 결국은 ‘싱가포르의 뿌리가 없어지고 있다’는 거였다.

또, 보안뉴스의 자매지인 시큐리티월드의 특집기사에 참여하면서 싱가포르의 중소기업 지원정책에 대해 조사할 기회가 있었다. 여러 가지가 있었지만 그 중에서도 ‘싱가포르 고유의 가치를 살리는 사업’에 대해 지원하는 항목이 눈에 들어왔다. 아시아 금융의 허브, 글로벌 기업들의 아시아 진출을 위한 게이트웨이로서 굳건히 자리 잡은 적도 부근의 이 작은 고추가 남모를 고민을 앓고 있었던 것이다.

그런 식으로만 알고 있다가 이번 CA 아태지역 서밋에 초대된 덕분에 처음 가본 싱가포르에 대한 첫 느낌은 ‘음식이 허전하다’는 거였다. 그 맛있다는 중국식과 인도식에 밀접한 영향이 있어 맛이 없지는 않은데, 그것과는 별개로 뭔가 빈 느낌이었다. 평생 복권 비슷한 거라고는 단 한 번도 당첨 안 되어본 운 지지리도 없는 이 손이 하필 그런 음식들만 집어든 것일 수도 있고, 싱가포르가 뿌리를 고민하고 있다는 개념을 기자 혼자 의식하고 있던 것일 수도 있다.

하지만 같이 간 기자들끼리 마지막 날 호텔 근처 먹자골목에서 싱가포르를 대표하는 음식이라는 칠리크랩이란 걸 먹어보고 나서의 느낌을 종합해 보건데, 누군가 ‘맛있는 여행’을 하러 여러 나라를 돌아다닌다고 했을 때 싱가포르 가는 경비는 아껴두라고 충고해줘도 크게 원망 듣지 않을 것으로 보인다.

불평을 할 만큼은 아니지만, 아쉬움이 매 끼니를 채우고 있는 가운데 진행됐던 CA 아태서밋. 보안기자의 관점에서도 기대감 반, 뭔지 모를 아쉬움 반이었다. 소프트웨어와 앱이 지배할 디지털 경제 체제를 앞두고 있는 미래, 소프트웨어 제작에 있어 남부러울 것 없는 CA가 보안과 효율 모두를 잡겠다는 대목에선 기대감이, 아쉬움의 실체는 한국시장에 대한 그 다음 언급에서 찾을 수 있었다.

마켓 사이즈가 작긴 해도 삼성과 LG 등 세계적인 브랜드들이 포진해있기 때문에 매우 중요한 시장이라는 내용이었다. 세계로 가기 위해 한국의 삼성이나 LG와 같은 곳을 발판 삼는 것이 전략 중 하나라는 것. 과거 일본의 소니나 파나소닉도 다른 기업들의 글로벌 진출을 위한 전략적인 발판이 되기도 했으니 가장 효과적인 시장공략법이기도 하다.

다만 이는 당분간 대기업에 초점을 맞춘 전략을 고수할 거라는 뜻이 되는데, 이 부분이 못내 마음에 걸렸던 것이다. 이처럼 확장이란 것에 가치를 두는 건 소프트웨어 제작, 더 나아가 생산에 뿌리를 둔 업체들이 갖는 대표적인 전략이다. 확대, 글로벌, 시장 점유 등의 개념을 통해 시장에 대한 영향력을 더욱 확대하는 것이다.

생산에 뿌리를 내리고 있으니, 살아남으려면 더 많이 만들어 더 많이 팔아야 하는 건 당연하다. 그러나 보안 솔루션들도 소프트웨어의 일종이니 그런 것들에 가치를 두어야 할까? 보안 솔루션 만큼은 좀더 다른 가치가 필요하진 않을까? 보안의 경우는 회사의 난방을 담당하던 외주 시스템을 통해 들어온 해커 때문에 CEO가 해임당하고 해킹으로 무너진 회사의 대명사가 되어버린 타깃(Target)을 잊지 말아야 하기 때문이다.

무슨 말이냐면, 결국 기자는 ‘글로벌 기업인 삼성을 통해 우리의 여러 보안 솔루션 및 애플리케이션들의 글로벌 진출을 꾀할 것이다’라는 말과 함께 ‘결국 모든 게 안전해야 우리의 중요한 고객사인 삼성이 안전해지니, 삼성도 공략하면서 동시에 삼성과 관련이 있는 중소기업들도 안전하게 보호할 수 있는 보다 저렴하고 라이트한 솔루션도 제공할 것이다’라는 소리도 함께 듣고 싶었던 건 아닐까?

현대의 정보보안은 그 특성상 일반 소프트웨어 제작 사업과는 달리 주변의 영향을 지대하게 받는다. 싫든 좋든 모두가 이제 한 몸처럼 연결되어 있기 때문이다. 특히 한국 시장처럼 인터넷망과 모바일망이 압도적인 1위인 곳에서는 더 그렇다. 초연결시대의 그늘인 ‘외주업체를 통한 해킹’ 혹은 워터링홀과 같은 우회공격 가능성이 환경적인 관점에서 가장 높은 게 한국일 수밖에 없다.

앞으로 계속해서 등장할 CA 및 여러 외산 업체 혹은 국내 보안업체들의 시장 전략이 좀 더 공익적인 색채를 띠고 작은 기관들의 보안까지도 담당할 수 있기를 기대해본다. 윤리의 차원이나 골목경제 활성화 차원에서 하는 기대가 아니다. 연결성이 높은 시대, 연결망 보급률과 속도 모두 세계 1위인 나라에서 정보보안을 해결해준다고 했을 때 당연히 짚고 넘어가야 하는 부분이다. 보안은 가장 약한 곳만큼 강하다고 하지 않는가(network is only as secure as the weakest part). 중소기업 및 사용자 개인을 위한 대책은, 큰 고객사들을 겨냥하고 있는 보안업체들일수록 언젠가 반드시 맞닥트려야 할 숙제다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>