천문학계의 새로운 발견, 보안으로 비유하면 뭐와 같을까?

[보안뉴스 문가용 기자] 손에 닿지도 않는 것들을 유리조각 몇 개 통해 하염없이 바라보기만 해야 하는 천문학자들에게 있어 골칫거리가 한두 가지가 아니겠지만 ‘암흑물질’이라는 존재는 그 중에서도 상위권에 속한다고 한다. 이게 존재한다고 하면 우리가 아는 과학의 이론으로 우주의 현상들을 설명하는 게 대부분 가능해지지만, 아직 실제로 관측된 적이 없다. 그래서 과학자들 사이에서도 암흑물질이라는 게 존재하는가 안 하는가, 우리가 아는 과학적 이론들이 맞는가 틀리는가의 논쟁이 도무지 결론나지 않는다고 한다.


오늘 과학 매체인 파퓰러사이언스(Popular Science)는 암흑물질이 거의 존재하지 않는 은하계를 발견했다는 소식을 보도했다. 즉 암흑존재가 없어도 성립과 설명이 가능한 현상에 맞닥트린 것인데, 이 발견이 훗날 실수나 사고로 판명되지 않는 이상, 암흑물질이라는 이 환상 같은 존재를 둘러싼 논란은 더욱 거세질 전망이다. 암흑물질이 실재한다는 측과 그 반대 측 모두 증거를 확보한 것이기 때문이다.

정보보안에 이를 빗대자면, 암흑물질이라는 건 ‘약속’이다. 보안 사고가 났을 때 혹은 페이스북 사태와 같은 대형 스캔들이 터졌을 때 ‘앞으로 잘 하겠다’라든가 ‘보안 방책을 강화하겠다’, ‘정책을 점검해 이런 일이 재발하지 않도록 하겠다’는 그 약속들 말이다. 기술은 눈부시게 발달해 점점 우주처럼 방대하고 광활하게 팽창하는 사이버 공간에서, 왜 우리는 학습능력이라는 걸 신에게 부여받지 못한 것처럼 당한 것에 또 당하기만 하는 것일까? 미스터리. 도저히 설명이 되지 않는 가운데 이 보이지 않는 ‘약속’들이 들어선다. 모든 해결책과 지혜들이 빼곡해, 이 약속만 가지고도 어지간한 명언집을 만들 수 있을 정도다. 이 약속들이 제대로 작용하기만 하면 모든 미스터리들이 해결되고 우리에게 남은 수수께끼들은 사라질 것만 같다.

하지만 문제는 이 약속들이 마치 암흑물질처럼 실제로 관측되지 않는다는 것이다. 물론 암흑물질처럼 아예 한 건도 관측되지 않는 수준은 아니지만, 우린 그런 약속 뒤에 재탕 삼탕 당하는 조직들을 숱하게 봐왔고, 공격 효율성에 목숨을 거는 사이버 공격자들도 한 번 당한 사람이나 조직을 두 번 세 번 반복해서 노린다고 한다. 한 번 당한 조직 중에는, 처음 일어난 사고로 ‘언론 통제 및 회유하는 법’부터 배우는 곳도 있다니, 공격자로선 그럴 만도 하다.

그래서 보안 업계에서도 이 보이지 않지만 있는 것 같은 존재를 둘러싼 논쟁이 도저히 결론나지 않는다. ‘한 번 당했으니 안 당하겠지. 실수를 통해 배우겠지. 계속해서 알려주고 교육하다보면 우리 조직은 안전해질 거야.’ 이런 ‘용납과 교육’파는 잘못을 시정하겠다는 약속에 진심이 있다고 믿는, 천문학으로 따지면 암흑물질의 존재를 믿는 부류다. ‘여태까지 효과가 없던 방법을 누적시킨다고 뭐가 달라지겠느냐. 교육과 회유, 용납이 아니라 보다 강제적이고 엄중한 조치를 취해야 한다’는 반대파도 있다. 천문학으로 치면 눈에 보이지 않는 존재를 믿느니 진리로 떠받들던 뉴턴과 아인슈타인을 의심하겠다는 부류다.

기자의 경우라면 암흑물질 논란은 천문학 지식이 1g도 없어 참여할 수 없지만, 보안 업계의 위와 같은 논란에는 마음이 복잡해 참여할 수가 없다. 차라리 우주 속에는 사람이 만드는 변수들이 하나도 없기 때문에 결론이 명확할 수 있지만, 사이버 공간은 우주처럼 넓어진다고 해도 인적 요소가 너무나 많아 대부분의 문제들이 명확한 답을 갖지 못함을 알고 있기에 어떤 주장이 맞다고 선뜻 편들 수 없는 것이다. 참아주는 교육이 효과를 발휘하는 사람도 있고, 무섭게 해야 말귀를 알아듣는 사람들도 있는 법인데 누가 명확히 답을 내릴 수 있을까.

그래서 보안의 논쟁이 어떤 면에서는 암흑물질을 논하는 과학자들의 문제보다 결론내리기에 더 어려울 수 있다. 그 어두운 뭔가가 있다고 믿는 사람이면, 그런 방면에서 증거를 계속해서 찾아 나서면 되고, 반대면 또 반대편에서 한 방향의 연구를 하면 된다. 그러나 보안은 어떤가? 매일 연구 방향이 달라진다. 한 조직 내 사람마다 유형이 다르고, 같은 사람이라고 하더라도 매일 컨디션이 다르기 때문이다. 어떤 날은 온화한 제안이 잘 통하기도 하고, 어떤 날은 강력하게 조치를 취해야 정신을 가다듬는다. 교육계에서 계속해서 강조해왔던 ‘1:1 맞춤 교육’을 실천해야 겨우 사람들의 귀를 열까 말까다.

그러니 정보보안은 사실상 IT 분야에 속하긴 해도, 사람을 더 잘 알게 해주는 분야다. 그게 굉장히 묘하다. 우주의 광활함을 접하다보면 인간사 한없이 작게 느껴지고 겸손해진다는 NASA 연구원들의 감상 수준을 넘어선다. 일반 대중을 하나로 묶어 접근해야 할 때도 있지만, 2G 핸드폰도 겨우 익히신 노모나, ‘사규 따위 집어치우라고 해!’를 온 몸으로 외치는 자유로운 막내 사원, 회사 공간에서는 스카이워커가 되어버리는 사장님들을 개인 대 개인으로 생각해야 한다. 사람을 안다는 것이, 아니, 알아간다는 것이 한 사람 단위에서 시작하고, 그래서 어느 날 돌아보면 그 앎이란 것에는 피부가 돋아난 듯한 생생함이 있다. 그래서 보안 고수들을 만나면 득도하는 느낌이 들 때마저 있다. 이 점이 그저 해킹 좀 잘 하는 사람과 보안 전문가들의 가장 큰 차이이기도 하다. 사람.

보안 기자의 흔한 보안 찬양? 노노. 다만 이것이 보안을 전문으로 파는 사람들이 지향해야 할 지점이라고 생각한다. 보안 전문가라면, 지금 보유하고 있는 IT 기술과 그 기술을 해체하는 기술을 도구 삼아, 지금 당장 모니터에서 눈을 떼면 보이는 바로 그 한 사람에게 다가가야 한다고 말이다. 사이버 공간이라는 우주에는 1과 0이 가득하고, 전류와 신호가 정신없이 오가지만, 사실은 사람이 빼곡하다. 그걸 놓치지 말아야 한다.

만능 해결책과 다름없는 말들로 약속을 하지만, 그 약속을 지키지 못해 또 당하는 건, 보안 사고를 사업 운영에 있어 한 가지 비상사태로만 이해하기 때문이다. 그 사고 뒤에 있는 사람들 – 피해자에서부터 관계자, 공격자까지 – 을 본다고 해도 총합적으로만 인식하지, 한 사람 한 사람의 얼굴을 익혀본 적이 없기 때문에 그런 암흑물질 같은 약속들만 나온다. 한 사람이 시작점이자 접근점이다. 더도 덜도 말고 딱 한 사람.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>