• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[기자수첩] 차라리 고스톱을 치자 2017.10.14

보안사고, 정말 불가항력적인 걸까? 침해는 막을 수 없을까?

[보안뉴스 문가용 기자] 사람 놀라게 하는 말들이 있다. 어딘가로 소포를 보낸 직장 동료가 옆에서 ‘송장 번호’를 이야기 할 때마다 난 무더기로 쌓인 시체들이 떠올라 흠칫 놀란다. 들어온 지 6개월 된 신입 기자가 입사 선배들의 첫 인상을 이야기 하는 회식 자리에서 나를 두고 ‘늘 불어있는 男友(남우)’를 줄인 ‘늘 뿐 남우’라고 했을 때부터 난 ‘늘 푸른 나무’라든지 ‘상록수’와 같은 말을 들을 때마다 배에 흠칫 힘을 주게 된다.

[이미지 = iclickart]


취재 자리에서든 편집회의 중에서든, 보안과 관련된 이야기를 듣는 와중에도 많은 표현들을 만나는데, 이 중에서도 흠칫거리게 만드는 것들이 있다. 가장 대표적인 건 ‘침해’다. 어느 웹사이트가 침해를 당했다거나, 누군가 특정 조직을 침해했다는 식으로 이야기가 진행되면 그나마 괜찮은데 ‘침해 사고’라든가 ‘침해대응센터’라고 붙여서 발음을 해버리면 난 영락없이 ‘치매’가 떠오른다. 치매로 인해 어떤 노인 분께서 사고를 당하신 걸까. 치매를 앓고 계신 분들을 위한 국가운영기관인 걸까. 이런 의문들이 항상 바람처럼 스치고 지나갔다.

물론 이제 막 보안 분야로 들어왔을 때의 이야기다. 지금도 ‘침해대응센터’를 들을 때마다 두 단어의 미묘한 발음 유사성이 떠오르긴 하지만 흠칫하지는 않는다. 대신, 차라리 치매대응센터를 마련하는 게 보안에 더 도움이 될 거 같아 씁쓸하다. 지난 수년 간 취재하고 분석해온 보안사고 대부분은 보안 담당자나 일반 임직원의 치매 걸린 것 같은 행동 때문에 벌어졌기 때문이다.

클라우드 설정을 ‘전체 공개’로 해놓는 바람에 온갖 개인정보가 버젓이 노출되는 사고가 하루도 빠짐없이 일어나고, password는 역대 최고의 인기를 누리고 있는 만인의 비밀번호이며, 수년 째 가장 흔한 웹 취약점은 그 오래된 SQL 인젝션과 XSS다. 사물인터넷 시장은 그 확장 속도의 측면에서도 놀랍지만 아무리 ‘안전한 설계’를 외쳐도 아무도 듣지 않는다는 측면에서도 경악스럽고, 블록체인은 “충분한 검증도 해보지 않고 현장 도입부터 되는, 매우 이례적인 기술 사례”라는 별명까지 붙었다.

어디 블록체인뿐인가. 인공지능 열풍이 온 지구를 휩쓰는 가운데 벌써부터 봇이 기사를 작성하고 배포하는 사업 모델까지 등장했다. 하필이면 비슷한 시기에 가짜뉴스로 인해 사회가 시름시름 질병을 앓기 시작하기도 했다. 개인적으로는 전략적이든 감정적이든, 트럼프와 김정은이 날 세운 말들을 각종 매체를 통해 주고받는 이 상황 속에서 정말로 전쟁이 일어난다면, 가짜뉴스 때문일 것이라고 예상한다. 아랍 6개국이 카타르와 외교를 단절한 것도 뉴스 한 꼭지 때문이었다.

블록체인까지는 아니지만, 인공지능이라는 기술도 검증보다 도입이 지나치게 성급하다는 느낌을 지울 수가 없다. 인공지능 알고리즘을 만든 당사자도 기계가 어떤 과정을 거쳐 결과를 내는지 알 수도 볼 수도 없다 해서 “블랙박스”라고도 하는데, 그런 건 다 잊기로 어디선가 협약이라도 한 모양이다. 그 봇이 “구글이 애플을 인수했다”고 보도하니, 애플 주가가 치솟기도 했는데, 이런 건 한낱 해프닝일 뿐인 모양이다. 다 짜고 치매에 걸려주는 것 같다.

이 집단 치매가 더 무서운 건 반성조차 없기 때문이다. 진짜 치매는 치료법이 연구라도 되고 있지, 이 침해인지 치매인지는 치료의 의지조차 없어 보인다. 대신 CISO라는 훌륭한 방패들이 1회용품처럼 갈려나간다. 치매인지 침해를 당한 업체는 ‘피해자가 있긴 한가?’라고 반문하면서 책임부터 축소해가고, 그나마 공개적으로 발표가 되는 상황에서도 작은 숫자를 댄다. 그리고 그 숫자는 수사가 진행되면서 점점 불어난다. 혀를 차던 우린 일상으로 복귀하고, 그 업체는 얼마 지나지 않아 다시 평소처럼 사업을 한다. 한두 번이 아니고, 우리나라만의 문제도 아니다.

보안의 가장 궁극적인 목적은 온 세상 해커를 다 잡아들이는 것도 아니고, 절대로 뚫리지 않는 시스템을 만들어내는 것도 아니다. “두 번째 사고를 막는 것”이다. 치매에 걸리지 않도록 흔들어 깨우는 것이라는 뜻이다. 그러니 정말 보안교육이 먹히지 않고, 아무리 칼럼을 쓰고 연구를 하고 설문조사를 통해 충격적인 결과를 발표하는데도 변화의 씨앗조차 심기지 않는다면 – 그리고 그것이 지금까지의 현실이니 – 차라리 모두 모여 고스톱이라도 치자. 치매에 그렇게 효과가 좋다니 말이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>