보안 교육의 목표는 완전무결한 인간이 아니야
기능은 살리고 약점은 죽이는 게 패치의 미덕... 교육도 마찬가지

[보안뉴스 문가용] 보안 쪽에 있다 보니 이쪽으론 문외한인 주변 사람들의 ‘보안 문제’ 상담에 동원될 때가 많다. 아니, 심지어 여러 가지 결정을 대신 내려줘야 할 때도 많다. 여기엔 집에서 혼자 사용하는 게임용 컴퓨터에 대한 보안 결정뿐 아니라 기업의 중추가 되는 시스템이나 정책에 대한 내용도 있어 결코 가볍게 접근할 수 없다. 그러다보니 보안에 대해 문외한인 사람이 결정권자 자리에 있는 것이 얼마나 큰 피해가 되는지도 자연스럽게 볼 수 있게 되었다.

최근 열린 세계적인 보안 행사인 블랙햇 2016에서의 몇몇 강연자들도 비슷한 경험을 했던 듯하다. 특히 ‘호기심과 맥락의 익스플로잇’이란 강연을 진행한 지나이다 베넨슨(Zinaida Benenson)과 ‘설계 단계에서부터의 보안’을 설파한 젤르 니에만츠베르드라이어트(Jelle Niemantsverdriet), ‘전화 사기 범죄단들의 언어적 특성’에 대해 파헤친 주디스 태브론(Judith Tabron)이 눈에 띄었다.

제목만 가지고는 그 공통점이 눈에 잘 안 들어오겠지만, 결국엔 ‘인간’에 대한 이야기였다. 여러 맥락적인 정보들을 통해 인간을 어떻게 파악하고 속이는지, 인간의 설계에 얼마나 허점이 많은지, 또 그 허점이 고스란히 구현될 때의 피해규모가 어떻게 되는지, 그럼에도 인간만이 가지고 있는 인간적 특성이 알고 보면 얼마나 눈에 잘 띄는지를 설명한 것이다.

먼저 베넨슨은 수십 명의 일반인들을 대상으로 피싱 실험을 진행했다고 강연을 통해 밝혔다. “대부분의 피실험자들은 자기가 피싱 메일을 열었는지, 악성 코드를 클릭했다든지 하는 사실을 인지조차 못하고 있습니다. 알고 있어도 아주 짧은 기간 내에 잊어버리고요. 알고 기억하는 사람 소수를 조사한 결과, 대부분 안전한 메일인 것으로 확신했다거나, 위험하지만 궁금증을 참지 못해 클릭했다고 말했습니다.”

니에만츠베르드라이어트는 사람들의 사용 방식 및 습관을 ‘설계’할 수 있으며 이를 통해 보안을 도모하는 것이 옳다고 주장했다. 그냥 주장만 한 것이 아니라 여러 가지 기술 및 제품들을 예로 들며 보안 전문가가 설계에 개입함으로써 일으킬 수 있는 변화에 대해 구체적으로 설명했다. “사용자 인터페이스만 ‘보안의 입장’에서 바꿔주고, 전문용어만 쉽게 풀어줘도 보안 사고를 크게 줄이는 게 가능합니다.”

타브론은 실제 전화 사기를 녹음, 분석한 자신의 연구 결과를 들고 나왔다. 그리고 사기꾼과 일반인이 보여주는 언어적 차이를 설명했다. “불규칙적인 특성을 발견하는 게 중요합니다. 말하는 속도가 대체적으로 일정하다든가, 사용자 동의를 구하는 질문을 말끝마다 붙인다든가, 질문에 정확한 답 대신 주제 바꾸기를 시도한다든가, 굉장히 급하다는 분위기를 만들어낸다든가 하는 ‘규칙성’을 사기꾼들은 대부분 갖추고 있거든요.”

인간에 대한 내용이라는 것 외에, 이 세 강연자의 강연 내용에는 공통점이 하나 더 숨어 있었다. 바로 지나친 조심성에 대한 경고다. “조심하자고 마음먹으면 24시간 내내 의심의 눈초리를 거두지 않으면 됩니다. 불가능한 것도 아니죠. 다만 이렇게 살다보면 또 다른 측면에서 잃는 게 많다는 걸 잊으면 안 됩니다. 개인에게도 그렇고, 조화로운 협업을 해나간다는 면에서도 그렇습니다.”

보안 교육의 목표는 첩보영화 주인공 수준의 빈틈없는 사람들을 길러내는 게 목적이 아니다. “그렇게 하면 결국에 아무도 신뢰할 수 없는 사람을 만들어내는 것밖에 되지 않아요. 보안의 모든 측면에서 항상 성공할 수는 없습니다. 전문가라는 사람들도 당하는데요. 보안이 무엇인지 보다 쉽게 이해하고, 보안과 관련된 결정들을 지금보다 쉽게 내리도록 돕는 것이 보안 교육이 지향해야 할 목적이라고 봅니다.”

또한 교육 방식에 있어서도 지적이 있었다. “숙지해야 할 내용을 쭉 읊어주는 게 교육이 아니죠. 사용자와 끊임없이 소통을 해야 합니다. 실제로 보안을 ‘하는 것’에 대해 가이드를 제시해주고, 경험을 쌓게 해야 하는 것입니다. 즉, 보안 교육은 현장학습이어야 합니다. 실제적이고 즉시적이어야 하기도 하고요.”

현재 보안 전문가들은 조금 지쳐있는 상태고, 냉소적이다. 아무리 노력을 해도 일반 사용자들이 망쳐놓는다는 느낌이 업계 안에서 알게 모르게 공유되고 있다. 사실 사용자들의 행동들을 보면 교육 효과가 전혀 없다고 결론을 내려도 무리가 없을 정도이기도 하다. 그러므로 교육에 대한 동기부여가 하는 자나 받는 자나 제대로 되고 있지 않다.

그러나 다시 한 번 마음을 다잡아야 한다. 분명 우리 편에서도 ‘사용자가 이렇게 저렇게 안전하게 사용해 줄 거야’라고 확신하다시피 해서 제품이나 서비스를 만든 적이 있으며, 대화 톤을 설정하기도 했고, 보안 전략과 정책을 수립하기도 했다. 그리고 그런 시도들이 실패로 돌아갔을 때 사용자 탓만 하기도 했다. “바보는 패치도 안 돼”라고 비웃으면서 말이다.

패치는 기술적으로 매우 까다로운 작업이다. 기존 기능은 그대로 유지하면서, 심지어 솔루션 및 제품이 대부분 켜져 있는 상태 그대로 유지된 상태로 약점만 싹 제거해야 하기 때문이다. 이런 기술적인 어려움은 이해하면서 왜 사람에 대한 패치는 별 다른 고민 없이 뚝딱 해결하려고 할까? 솔루션 및 소프트웨어 패치를 만들어내듯, 사용자 패치 역시 쉽지 않은 일이며 실패할 수 있고, 그러므로 패치의 패치의 패치도 개발해낼 생각을 미리 해야 할 때다. 소프트웨어 고유의 기능을 죽이지 않는 패치를 세상에 내놓듯, 사용자 개개인 고유의 기능을 살리는 교육 패치를 고민해야 할 때다.

글 : 리사 마이어스(Lysa Myers)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>