지난 9월 본지에서는 ‘정보보안에서 한글은 과연 무슨 의미인가?’를 독자분들에게 물었습니다. 한 달 동안 총 369명이 참여해주셨고, 절반 이상이 ‘한글과 보안은 별 상관이 없는 것’이라고 답해주셨습니다. 더 정확히 말씀드리자면 ‘언어장벽보다 기술력 차이를 극복하는 게 더 먼저’라고 답해주신 분이 33.6%, ‘한글과 정보보안이 무슨 상관인가’라고 답하신 분이 19.5%였지요. 둘이 나란히 1, 2위이기도 합니다.

세 번째로 꼽힌 답은 ‘그래도 업무하다보면 영어가 아쉽긴 하다’였는데, 12.5%가 이 부분을 선택해주셨습니다. 아무래도 기본적인 코딩 언어에서부터 저희의 모든 디지털 환경 밑바탕이 1과 0, 라틴 계열의 알파벳으로 이루어졌기 때문이겠죠. 후발주자인 한국 시장이 보고 배워야 할 기술의 출처가 서양이라는 어쩔 수 없는 현실이 현장에서의 외국어 압박으로 다가오긴 하나 봅니다. ‘언어장벽’이라고 하신 분들도 5.7%지만 계셨고요. 합하면 18.2%네요.

다음은 제 예상 순위 1위였지만 4위에 그친 것으로, 한글을 ‘해외로부터 오는 사이버 공격의 1차 방어막’으로 보는 시각이었습니다. 물론 같은 한글을 사용할 줄 아는 북한은 예외입니다. 제가 국제부 담당이라서 그런지, 사건사고만 모아보는 기자라서 그런지, 외국에서는 별별 기상천외한 사건들이 ‘전 세계 80억 인구가 눈을 크게 뜨고 지켜봐야 할’ 수준으로 생기거든요? 정말 정글이 따로 없어요.

그런데 그런 세계적인 공격 대부분이 이상하게 한국은 잘 비껴간단 말이죠. 그래서, 아, 위대하신 세종대왕께서, 먼 훗날 인터넷이란 게 생길 걸 예견하시어 장영실은 다른 실무에 바쁘니 직접 훈민정음이라는 천연(?)백신을 만드셨구나, 라고 생각했었습니다. 지금도 옆에 원병철 기자가 하데스 랜섬웨어가 떴다고 하는데, 그 특징이 매우 친절하다는 거랍니다. 고객(피해자)이 언제나 돈을 낼 수 있게 안내를 해준다는데, 솔직히 하데스 랜섬웨어 운영자들이 한글화시켜서 한국에 상륙했을까요? 아닐 겁니다.

비슷하게 ‘필터링 역할을 하긴 하지만 대단치는 않다’고 답하신 분들이 8.4%였습니다. 이걸 하데스 랜섬웨어로 풀이하면, 하데스의 친절한 고객상담 서비스가 한글화 되지 않는다고 해서, 우리가 하데스에 ‘면역’이 된다는 건 아니다, 정도 되겠습니다. 즉 한글이 그들의 특정 기능을 막을 수 있긴 하지만, 그래서 공격자들이 ‘작전상 한국 시장에서는 후퇴’를 결정할 수는 있지만, 병원체 자체가 한글을 만나서 죽어버리는 건 아니라는 거죠. 아무튼, 한글의 필터링 역할 자체에 대해 고개를 끄덕여주신 분들은 총 18.9%였습니다.

결국 한글을 방해막이라고 느끼신 분(18.2%)과 방어막이라고 느끼신 분들(18.9%)이 비슷하다는 점에 눈길이 갑니다. 한글이 한국이라는 곳을 둘러싸고 있는 거대한 울타리이긴 한 모양입니다. 더 넓은 바깥세상을 탐험해보고 싶은 사람들에게나, 바깥에서 이 안으로 들어오고 싶은 사람들에게나 똑같이 건재한 존재로서 우뚝 서 있는 거죠. 입장에 따라 ‘방해’냐 ‘방어’냐 표현의 방법만 바뀔 뿐이겠죠. 비단 사이버 보안에서만 한글이 이런 양면을 가지고 있겠습니까. 당장 유학을 꿈꾸는 사람들에게도, 한국의 기막힌 IT 인프라에서 상품을 시험해보고 싶은 꿈 많은 업체 입장에도 한글은 방어막 아니면 방해막일 겁니다.

최근 한 통신사와 방통위 사이에서 한 프로그램을 두고 논란이 일어났습니다. 이 프로그램은 어떤 종류의 정보를 삭제하는 기능을 가졌을 뿐인데, 한쪽에서는 조사를 방해하려는 거라고 손가락질하고 있고, 다른 한쪽은 고객들의 개인정보를 지키려고 한 것이라고 합니다. 둘 다 이 말 자체는 틀리지 않을 겁니다. 삭제란 기능은 활용에 따라 방해가 될 수도, 보호가 될 수 있으니까요. 진짜 의중이야 궁예만 알겠죠^^.

이런 ‘양면성’이 저 먼 나라 미국의 보안업계에서도 작년에 한창 논란이 되었습니다. 이른바 바세나르 조약이라는 무기 수출입 협약 때문입니다. 무기는 위험한 거니까 수출할 때나 수입할 때나 조심하자는 건데, 왜 보안업계가 이를 거세게 반대했을까요? 이 조약이 침투용 소프트웨어도 포함했기 때문입니다. “침투용=위험”이라고 행정가들이 단순 도식화한 건데, 보안을 강화하기 위한 솔루션들 중에도 ‘침투 기능’을 가진 게 많다는 걸 간과한 것이죠. 졸지에 보안 회사들의 수출길이 막히게 된 것입니다. 지금은 이 조약, 개정 논란 중에 있습니다.

2018년부터 유럽연합 내에 적용될 그들의 개인정보보호법인 GDPR도 데이터 활용의 양면성에 대한 고민으로 가득합니다. 유럽 고객들의 개인정보가 사업 운영에 꼭 필요하다면, 고객들에게 활용 목적과 방법을 투명하게 고지하고 서로 동의해서 약속한 대로만 하라는 내용이 주요 골자죠. 다른 면으로는 활용하지 말라는 겁니다. 맞는 방향입니다. 남의 개인정보, 서로가 합의한 범위 내에서만 활용해야죠. 그런데 이게 기존의 사업 생태계를 근간부터 흔드는 거라고 전문가들은 분석하고 있습니다. 얼마간 무시 못 할 부작용이 예상된다는 것과 동일한 말입니다. 그 부작용이 예측 불가능한 거라 두려움을 동반하고 있는 것도 당장에는 사실이고요. 일단 사회적 비용이 만만치 않게 들 건 거의 확실합니다.

즉, ‘양면성’이란 특징을 정책이나 법으로 다루고자 하면 반드시 소란이 생긴다는 걸 알 수 있습니다. 법이란 의외로 얇은 잣대라서 한쪽의 손을 들어줄 수밖에 없기 때문이지요. 법이라는 규칙 위에 사회 공동체를 지어가는 건 질서를 정립한다는 측면에서는 장점이 되지만, 잣대라는 좁디좁은 면적 위에서는 양면을 모두 아우를 수 없기 때문에 억울한 자들이 생긴다는 단점이 있죠. 이 역시 법의 양면성이겠네요.

정보보안은 이런 법과 매우 친한 분야입니다. 또한 그 스스로 ‘나쁜 것’을 규정해 ‘우리 편’을 지켜내야 하는 잣대 역할을 해야 하기도 합니다. ‘정보보안’이라는 렌즈를 통해 세상을 보면 편 가르기가 매우 쉬워진다는 겁니다. ‘패치 열심히 해야 하는데 사용자가 안 해? 나빠. 이 정도 보안 인식은 있어야 하는데 예산 없다고 회사가 그냥 손 놓고 있어? 나빠. 아니, 우리 정부는 왜 이런 간단한 정책 마련에 몇 개월씩 걸리는 거야? 나빠.’ 자칫 투덜이가 된 자신을 발견하기 십상이라는 거죠. 이건 직업병으로 미화될 게 아니라 성질을 버린 겁니다.

다시 방어막이자 방해막인 한글을 봅니다. 우린 모두 한글 전문가입니다. 하지만 한글 오래 썼다고 성질 버렸다는 경우가 있었던가요? 한글은 자기를 방어막으로 보든 방해막으로 보든 모두 자기 안에 담았습니다. 욕한다고 입을 막거나, 찬양한다고 시인의 말을 선물로 주지 않았습니다. 묵묵하고 넓은 그릇이었습니다.

여러분들이 가지고 있는 남다른 보안 지식, 잣대가 아니라 그릇으로 활용하는 건 어떨까요? 패치를 유독 안 하는 사람에게는 무사안일주의나 건망증, 게으름 같은 게 있을 수 있는데 보안 지식을 가지고 접근해 이런 나쁜 습관 자체를 서서히 보듬어 주는 게 불가능하기만 할까요? 예산이 늘 없다는 회사에 근무한다면, 예산을 집행하는 사람과 ‘보안’으로 연결고리를 만들어 더 나은 소비문화를 서서히 이뤄갈 수는 없을까요? 정부의 정책이 모자란 곳에서 자라나는 다양한 사연들을, 보안 지식으로 발굴해 세상에 알리는 것은 우리 할 일이 아닌 걸까요?

설사 이런 이상론에 가까운, 뚜렷한 결과가 없더라도 ‘그릇’으로서 현상을 담아내는 보안의 습관은 우리를 넉넉한 사람으로 만들어 갈 거라고 봅니다. 적어도 보안 오래 했더니 성질만 버렸더라,는 그다지 바람직하지 않은 결산은 면할 수 있지 않을까 싶네요.

내년엔 한글날이 평일에 있기를 바라며, 펜을 눕힙니다.
좋은 주말 보내소서.
[문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>