케빈 라우, 무대 위에서보다 아래서 보여준 “보안 재밌게 하기”
알리페이, 기존 기술 모두 합리적으로 수용하는 플랫폼 되고파

[시큐리티월드 문가용] 애초에 약속된 키노트가 끝난 지 수 시간이 지났는데도 알리페이의 케빈 라우(Kevin Lau)는 여전히 ISEC 현장에 머물러 있다. 더 배워야 하기 때문이란다. “알리페이는 결국 하나의 지갑일 뿐이에요. 결국 돈으로 연결된 모든 기술의 플랫폼인 거죠. 그러니 다른 사람들의 기술을 죄다 들어야 합니다.”

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n

	▲ 키노트 강연 중인 케빈 라우

그가 오전 열시 키노트 때 강조한 ‘협력의 보안’이다. “보안은 팀 게임입니다. 우린 모두 하나의 공통된 적과 싸우고 있죠. 아니면 하나의 공통된 목표를 가지고 있다고 해야 더 맞을까요?” 그 협력 전선 안에는 당연히 각종 기술 업체 및 보안 파트너들이 포함되어 있지만, 최종 사용자들도 포함되어 있다. 키노트 시간 동안 그는 이것을 계속해서 강조했다.

“최종 사용자가 보안의 가장 약한 지점이라고들 하는데요, 이건 깨져야 하는 사고방식입니다. 사용자들도 이 보안의 거대한 테두리 안으로 끌어들이지 않으면 안 됩니다. 특히나 IT 기술과 전혀 상관없는 일반인들을 대상으로 한다면, 더 그렇죠.”

그래서 알리페이의 사실상 CISO로서 케빈 라우는 ‘소비자의 보안 능력을 계발’하는 것을 회사 보안 전략의 으뜸으로 꼽는다. 그의 말을 빌리면 empowerment다. “대중들을 무시하거나 외면할 수 없습니다. 그게 플랫폼 사업자들의 현실입니다. 그러나 대중들이 쉽게 변하는 것도 아니고, 보안을 알아서 척척 해내기를 바랄 수도 없습니다. 그것 또한 알리페이 및 유사 서비스 제공업체들의 현실입니다.”

일반인들도 보안의 현장으로 초대해야 한다는 거다. “보안 분야에 사용자 참여를 유도한다는 게 새롭게 들리긴 하지만 그렇지 않습니다. 위키리스크를 보십시오. 사용자들이 자발적으로 정보를 제공해 ‘온라인 백과사전’을 완성했죠? 사용자들은 이미 충분한 정보 제공자들이에요. 게다가 온라인 생활에 대한 참여도도 높죠. 잘만 유도할 수 있다면 사용자의 능력을 강화(empowerment)하는 것이 꿈만은 아닐 수 있다는 겁니다.”

최근 일반인들치고 모바일 기기 없는 사람이 없다는 사실도 이 이야기가 허무맹랑한 것이 아니게 만든다. 그뿐인가. 기기를 통해 지문정보도 제공하고 홍채 스캔한 정보도 제공한다. “또한 중요한 결제 단계에서 보안 위협에 대해 설명해주는 팝업을 띄우고 메시지를 잘 작성하면 어떨까요? 그것이 쌓이고 쌓이면 머릿속에 박힙니다. 말 그대로 반복교육이 되는 거죠. 장황하게 늘어놓는 것이 아니라 정말 필요한 요소요소에 보안 메시지를 숨겨놓는 것, 그것이 사용자 능력 강화의 첫 단계입니다.”

결국 사용자 교육이란 ‘인문계 계통의 고민’을 가지고 ‘이공계적 구현’을 해야 하는 건데, 알리페이의 리스크 관리자인 자신은 이에 대한 고민을 끊임없이 한다고 한다. 그래서 ISEC과 같은 현장에서 최대한 많은 사람과 이야기를 나누려고 하고 많은 강연을 들으려고 한다고. “보안의 트렌드도 알아야 하지만, 사람들이 어떤 방식으로 이해하고 새로운 걸 받아들이는지도 알아야 하죠. 사실 제가 사람들 사귀는 걸 좋아해서 굉장히 즐겁습니다.”

사용자의 참여와 연대를 강조한 보안이라면 당연히 신뢰가 중요한 개념이 된다. 신뢰가 없으면 아무리 많은 사람들이 모여도 그 수는 허수일 뿐이다. 케빈 라우도 이를 보안이라는 측면에서 강조한다. “복잡하면 위험해지고, 단순해지면 안전해집니다. 그런데 시스템이 단순해지려면 반드시 신뢰가 필요해요. 신뢰가 있기 때문에 뭐든 간단하고 안전해지는 것이죠. 신뢰가 바탕이 되니 블록체인이라는 기술이 뜨는 거 아니겠습니까?” 블록체인이란 비트코인의 기반이 되는 기술로 ‘중앙통제 장치를 거치지 않고 신뢰하는 사용자들끼리 필요한 걸 주고받는’ 걸 가능하게 해준다.

재미있는 건 비트코인 역시 최근 뜨고 있는 ‘결제 기술’ 중 하나라는 것이다. “알리페이도 비트코인을 관찰 중에 있습니다. 지불 산업에서 같이 경쟁할 것 같지는 않습니다. 알리페이가 하나의 독립적인 체제이기보다 지갑으로서 삶의 모든 부분과 연결되어 기능하는 걸 목표로 하기 때문입니다. 다만, 아직 비트코인에 대한 부정적인 인식이 많고(정부와 민간인들 사이에서), 무엇보다 사용 시나리오(use case)가 불충분해서 공부를 더 해야 합니다. 하지만 3~4년 내에 비트코인과 관련된 변화가 있으리라고 보고 있습니다.”

하지만 사용자들을 교육 시키는 건 말 그대로 ‘백년대계’다. 당장의 보안과 위험에 맞서야 한다. “홍채나 안면인식 등의 기술을 접목시킨 인증기술을 도입하고 강력한 암호화를 도입해 데이터를 해커들에게 전혀 쓸모가 없는 것으로 만드는 것도 접목하고 있습니다. 보안은 다계층으로 접근해야 하죠. 모든 것을 한 번에 해주는 신기술이라는 건 없습니다. 자동화, 인공지능 등 떠오르고 있는 기술들은 많고 약속들도 많지만, 우린 이미 충분히 경험해왔죠. 그 많은 약속들이 하나하나만으로는 전부 거짓말이라는 걸요. 플랫폼으로서 다양한 기술을 배우고 접목해가듯, 보안도 여러 가지를 시도하고 적용해봐야 합니다.”

이스라엘의 다양한 스타트업 문화 및 정부의 장려 프로그램에 대한 설명과 이스라엘 보안 시장에 대한 소개를 허리 꼿꼿이 세우고 듣던 케빈 라우는 일본 라인의 CISO가 하는 강연을 슬라이드 하나하나 사진을 찍어가면서 듣고 있다. 라인 역시 게임, 메시징, 결제 등의 기능을 갖춘 플랫폼인지라, 그는 많이 궁금하다. 이미 교환할 명함을 품속에서 여몄다. 그러면서 눈으로는 다음 강연 목록들을 주욱 훑고 펜으로 체크한다. 보안, 되게 재미있게 한다, 이 사람.

하지만 안타깝게도 공식 인터뷰는 조금 미뤄져야 했다. 명실 공히 대기업이 된 알리페이의 정책 때문이다. “알리페이가 작았을 때는 자유롭게 인터뷰 할 수 있었고, 어떤 커뮤니티에 가더라도 대담하게 발언할 수 있었는데, 사업이 커지니 말 한 마디로 예측 못한 일들이 생기더라고요. 그래서 지금은 조심하고 있습니다. 제가 회사로 돌아가서 필요한 절차를 밟고 있을 테니, 그때 다시 보안뉴스 독자들을 찾아뵐 수 있을 겁니다.” 그래서 이 기사는 본의 아니게 후속 인터뷰를 위한 예고편도 겸하게 되었다.
[글 시큐리티월드 국제부 문가용 기자(sw@infothe.com)]

<저작권자 : 시큐리티월드(http://www.securityworldmag.co.kr) 무단전재-재배포금지>