길게 써서 송구스럽지만, 아무튼 새해 인사

[보안뉴스 문가용 기자] 옛날 옛적에 프랑스어권 지역 어딘가 아를 사로(Arles Sarou)라는 백작이 살고 있었다. 그는 염려가 좀 많은 성격인지라 스트레스가 많았다. 그리고 그 스트레스는 위산 과다 증상으로 이어져, 이따금씩 배를 움켜쥐고 가던 길을 멈춰야 했는데, 그 때문에 마차가 아슬아슬하게 지나쳐 살아남기도 하고 누군가 집어던진 돌멩이를 피하게 되는 등 아무튼 운이 억세게 좋은 사람이었다.

행운이 누적되자 그의 성격은 조금씩 변하기 시작했다. 염려와 스트레스를 자급자족하던 성격이 누그러지며 편안해지기 시작했고, 애초에 스트레스성이었던 위산 과다도 스리슬쩍 나아버렸다. 그러자 – 사람 본성 못 버린다 – 기다렸다는 듯이 새로운 걱정거리가 찾아왔는데 위산 과다와 함께했던 운들이 덩달아 사라질까 염려되기 시작했던 것이다. 그는 밖에도 못 나갈 지경이 되었고, 그 스트레스로 인해 위산 과다는 다시 찾아왔다. 비로소 그는 안심하고 밖을 다니며 자신의 운을 확인할 수 있었다.

배가 깨끗이 나으면 불안해지고, 속이 쓰리면 안심이 되는 그런 이상한 순환이 거듭됐다. 이 순환이 한 5번 반복되자 아를 사로 백작 역시 자기가 이상한 쳇바퀴에 얹혀 있음을 깨달았다. 또한 그 덕분에 백작이라는 타이틀이 부끄럽게도 가계가 휘청거리고 있음 역시 알게 되었다. 식솔들이 아사할 지경에 이르자 그는 탈출을 계획했다.

그래서 아를 사로 백작은 자기가 어떤 주기로 아프고, 어떤 때에 걸음을 멈추는지, 어떨 때 더 아프고 덜 아픈지, 집계했다. 그 자료를 토대로 어떤 일들이 자기 주위에서 벌어지는지 실험하고 산정했다. 단순 ‘운이 좋다’는 느낌이 구체적인 패턴으로 익혀지자, 이번엔 진짜로 편안하고 대범한 성격이 되었다. 위산 과다는 평생 찾아오지 않았다. 그는 이러한 경험을 바탕으로 책을 저술했는데, 그걸 요약 발췌하면 다음과 같다. 예스러운 문장의 느낌을 최대한 살려본다. 그리고 정보보안에 적용한 재해석본도 덧붙였다.

안정 대신 산정
“...철저하게 기록했다. 어떤 거리에 어떤 일이 벌어지는지, 뭐가 나의 속 쓰림을 증폭시키고 소멸시키는지도 알아야만 했다...(중략)... 기록이 쌓이니 패턴이 되었다. 무작위의 운과 같던 일들에도 최소한의 규칙성이 있었다. 규칙까지 아니더라도 원리가 존재했다. ‘운’에 기댄 안정감이 얼마나 부질없던 것이었나 깨닫기 시작했다. 나의 안정은 산정 행위를 통해 굳건해졌다. 배후에서 벌어지는 일들을 알 때, 현상에 휘둘리지 않을 수 있었다.”

현대 정보보안 최고 인기 전략은 ‘희망’이다. 해킹이 매일 발생하거나, 해킹에 준하는 보안 실수가 매일 자행되는 게 현실인데, 보안 담당자나 CISO, 언제고 다가올 인공지능에 모든 꿈과 희망을 걸고 있다. 그것이 ‘오늘은 뭔가 일이 터지지나 않을까’ 하는 만연한 불안감의 근원이다.

위안 대신 위산
“행운이라는 게 아무리 연속해서 일어나도, 그것은 위안의 근거가 될 수가 없다. 난 배가 멀쩡해져도 다시 위산 과다 속 쓰림을 그리워하곤 했는데 그건 내가 그 찌릿한 느낌에 중독된 게 아니라 그로 인해 찾아오는 행운들이 나의 위안거리였다고 믿었기 때문이다. 하지만 진짜 위안은 그 행운의 패턴들을 분석하고 이해하면서 찾아왔다. 어느 거리가 위험하고, 어느 날씨에 안 좋은 일들이 높은 확률로 발생하는지 등을 알게 되니 위산은 필요 없는 것이 되었다. 요행수에 기댄 위안은 백작을 거지로 만든다. 그런 위안에 중독되어 있다면 차라리 위산이 훨씬 나은 축복이다.”

아직까지도 정보보안의 중요성을 가장 크게 절감하게 해주는 약은 사고에 당해보는 것이다. 해킹을 당하거나 사건에 연루되어 큰 벌금을 내고, 신문을 통해 망신을 당하고 나서야 보안 투자를 확대하는 CEO들의 이야기는 도시 전설처럼 여기 저기 떠다닌다. 그래서 더 안전해졌다면, 그 사고는 차라리 축복이다.

아사 대신 사사
“아사할 뻔한 건 가족과 식솔들이 아니라 생명의 주체로서의 권리와 책임을 가지고 있는 나 자신이었다...(중략)... 우연을 믿지 않는 것, 그럼으로써 삶의 여러 상황들이 나에게 가르쳐주려 하는 걸 겸손하게 배우는 것, 그것이 바로 내가 가진 권리이며 책임이었다. 모든 걸 우연과 운으로 치부해버리면 건질 게 없다. 듬성한 그물을 가지고 바다로 나가는 낚시꾼의 허무함을 이에 비할까. ‘우연’을 진심으로부터 배척할 때 삶은 우리에게 진리를 사사해준다. 아무리 우연처럼 보여도, 난 속지 않을 것이다.”

정보보안에서는 정말로 우연히 일어나는 사고는 없다. “하필 우리 회사가 당하다니, 운이 없었어”라고 말하는 건 전문가 자격이 의심되는 발언이다. “그 직원이 그런 실수를 하다니, 운이 없었어”라거나 “우리 백신이 하필 그 멀웨어 못 잡는 거였다니, 운이 없었어”라고 말하는 것도 마찬가지다. ‘우연’을 믿는 것만큼 혹은 ‘우연’에 기대는 것만큼 보안 담당자들에게 위험한 태도도 없다.

앎 대신 삶
“살아내지 않으면 알지 못하는 것이다. 백작으로서의 위상을 아무리 외쳐봐야, 그 앎대로 살 수 없었을 때 난 가족들조차 설득할 수 없었다. 아니, 나조차 내가 하는 말에 설득될 수 없었다...(중략)... 요행수로부터 박차고 나오고자 했던 그 시점부터 결심이 굳었던 게 아니라, 직접 움직이기 시작하고 현장에서만 알 수 있는 정보들을 쌓아가면서 자연스럽게 단단해졌다. 살아낸다는 것에 진짜 앎이 있다.”

자기 스스로가 비밀번호도 어렵게 만들고, 주기적으로 바꾸면서, 회사 네트워크로 이상한 사이트 접속하지 않고, 개인 메일은 철저히 LTE로만 사용하는 ‘보안 습관’을 가진 보안 담당자들의 보안 교육은 훨씬 강력하고 설득력이 있다. 그런 담당자가 보안을 맡고 있을 때 조직 분위기부터 달라진다. 직원들이나 임원들이 말을 듣지 않는다면, 보안 설파자로서 내가 혹시 삶으로 설득하고 있지 못하는 건 아닌지 점검해야 할지도 모른다.

‘아’를 ‘사’로
소제목들에서 이미 눈치 챈 독자들이 있었을지 모르지만, 사실 ‘아를 사로’는 가공의 인물이다. 저런 옛날이야기도 없다. 다만 일부 단어들에서 ‘아’자를 ‘사’자로 바꾸는 것만으로 기자가 ‘정보보안’을 알아가면서(아니, 살아가면서) 느꼈던 진리들이 정리되기에 지면을 통해 나눠본 것이다. 2017년도 부족한 기사 많이 읽어주시거나 낚여주신 독자들에게 깊은 감사를 전하며, 조금은 다른 새해 인사를 전한다. ‘아를 사로!’
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>