수많은 전문가들의 각종 예측들을 정리하다가 문득

[보안뉴스 문가용 기자] 연말에는 다음 해에 대한 각종 예측과 전망들이 쏟아져 나온다. 보안이라는 분야는 이게 더 심할 수밖에 없는 게, 방어의 궁극적인 목표가 공격을 예측해 미리 막아서는 것이기 때문이다. 예측이 보안이고, 보안이 곧 예측이다. 그래서 인공지능이라는 것이 판타지의 영역에서 손에 잡히는 것이 되었을 때, 보안 업계가 ‘드디어 예측 분석을 할 수 있게 되었다’며 환호한 것이다.


비극은 여기에 있다. 우리가 원하는 건, 사실 우리 능력 밖에 있다는 사실이다. 사주나 점을 믿는 게 아니라면, 인간에게 예측이라는 기능이 없다는 걸 우린 다 알고 있다. 고작 해봐야 지나온 자취들 속에서 일정한 패턴을 찾아내 공식화 하고, 여기에 시간이라는 변수의 값을 높여 대입해보는 것이다. 아무리 논리적이어도, 아무리 차가운 지성으로 계산기를 두드려도 인간의 예측이라는 건 확률 게임의 굴레에서 벗어날 수가 없다.

그래서 나이가 들고, 사람의 어쩔 수 없는 한계를 알아갈수록 나와 같은 사람일 수밖에 없는 누군가의 예측에 대해 - 그 사람이 대단한 전문가라고 할지라도 - 별다른 기대를 하지 않게 된다. 오히려 예측의 근거를 제시하기 위해 꼼꼼하게 수집하고, 영리하게 정리하고, 날카롭게 해석한 과거 데이터가 더 높은 가치를 가지고 있다는 걸 알게 된다. 예측 기사 잘 읽는 고수들은 초밥 뷔페에 가서 밥은 남기고 회만 싹 들어서 먹는 것처럼 근거가 되는 데이터만 읽고 결론 부분은 넘겨 버리기도 한다.

그러나 잘 찾아보면 인간에게 주어진 능력 중 예측과 비슷한 것을 하나 발견할 수 있다. 바로 ‘약속’이다. 약속은 1초 앞도 못 보는 우리가 할 수 있는 유일한 예언이다. 물론 둘은 다르다. 예측은 처음부터 사람의 능력 밖에 있는 일이라 틀려도 어느 정도는 관대하게 받아들여지지만, 약속은 그렇지 않다는 게 가장 큰 차이점이다. 그래서 전자는 어느 정도 가볍게 할 수 있지만, 후자는 그렇지 않다. 그럼에도 반복된 오류는 말한 사람의 신뢰도에 똑같이 악영향을 준다. 이건 닮은 점이다. 예측과 약속 둘 다 미래를 말하고, 신뢰를 흔들거나 굳힌다는 점에서 같다. 그러니 신중히 해야 하고, 잘 해야 한다.

일례로 보안 업계는 그 동안 많은 약속과 예측을 해왔다. 앞으로 공격자들은 이러이러한 공격 기법을 사용할 것이고(예측), 그런 공격은 이런 솔루션으로 막을 수 있다(약속)는 메시지가 바로 그것이다. 그러나 공격자들은 예측을 벗어나는 기법과 전략을 사용하면서 약속된 방어막을 뚫어왔다. 한 번만 성공하면 되는 공격자가 한 번도 실패하면 안 되는 방어자보다 유리한 입장에 있으니 예측이 실패하는 건 어쩔 수 없는 일이라고 설명하고 납득시켰어도 당하는 게 반복되니 보안 업계는 신뢰를 잃었다. 이미 2016년부터 보험 산업이 보안 산업의 중요한 라이벌로 떠오른 것은 이 때문이다. 적어도 보험 업계는 ‘돈으로 보상한다’는 약속은 잘 지켰다.

이에 놀란 보안 업계는 ‘예측이라도 잘 하자’라는 쪽으로 방향을 틀었다. 2014~15년만 해도 아예 공격이 성공하지 못하도록 예방하는 게 진짜 보안이라는 주장이 나왔었는데, 어느 사이 이 말이 쏙 들어갔다. 예측을 잘 하기 위해서 혹은 잘 하는 것처럼 보이기 위해서는 ‘공격당하는 건 어쩔 수 없다’라고 말해야 했다. 중론은 ‘공격은 이미 당했다 치고, 빠른 대처를 하는 게 보안이다’로 굳어졌다. 한 대도 안 맞는 꿈의 방어는 아무도 바라지 않게 되었다. 고객에게 ‘일단 맞고 시작합시다’를 설파했다.

그렇다고 약속이 잘 지켜진 건 아니다. 범죄 산업은 계속해서 성장 중에 있고, 유출된 데이터의 양은 해마다 기록을 갱신 중에 있으며, 해킹 사고 역시 점점 더 참혹한 결과를 낳고 있다. 당하고 보자 보자 하니까, 정말 신나게 당하고 있는 게 현주소다. 틀린 적 없는 슬픈 예감에 ‘왜?’라고 묻기만 하는 가수와 다를 바가 없다. 이제 그 슬픈 예감들에 대한 구체적이고 실행 가능한 것들을 약속해야 할 때다. 보안 기자로서, 그런 약속들이 2019년에 대한 전문가들의 예측에 등장하길 바랐지만, 사실 아직까지 발견할 수 없었다. 방어 수위를 한 꺼풀 내리는 대신(즉, 공격을 당하는 걸 전제로 함으로써) 과거보다 정확해진 예측만 가득했고, 약속은 없었다.

예측을 더 잘 하게 되었다는 것도 성과이긴 하다. ‘그래도 잘 내다보고 있긴 하다’는 인식을 심을 수 있고, ‘그렇다면 잘 막을 수도 있겠다’는 기대감을 주니까. 하지만 보안 업계의 보호를 바라는 사용자들의 입장에서는 약속이 잘 지켜지는 걸 바라는 마음이 더 클 것은 자명하다. 그들은 당하기 싫고, 손해 보기 싫고, 중단 되는 게 싫다. 그 마음을 알아줘야 한다. 공급망 공격이 성행하는 때에, 한 사람이라도 더 우리 편으로 만들어야 하는 상황에서 소통의 중요성이 다시 부각되고 있는데, 소통은 결국 마음과 마음이 통하는 것을 말하기 때문이다.

그렇다면 우린 어떤 약속을 해야 할까? 일단 틀리지 말아야 한다. 그렇다면 ‘당신을 위해 슈퍼맨이 되어줄게’라는 약속은 절대 금물이다. 이건 결혼이 뭔지도 모르는 단계의 남녀가 주고받는, 아무도 지킬 수 없고 내용도 없으며, 따라서 약속 아닌 약속일뿐이다. 정치인들의 선거 전 공약과 다를 게 없다. 보안 인식 수준이 올라가고 있다는 건 좋은 현상이긴 하나, ‘우리 솔루션으로 100% 방어 가능’과 같은 약속들은 설 자리가 없어진다는 소리이기도 하다. 그러니 이런 홍보 문구를 사용하고 싶었다면 당신 회사와 보안 업계 전체의 이미지를 위해서 삼가주시길 바란다.

‘나중에’, ‘최대한 빨리’, ‘요 바쁜 것만 끝나면’과 같은 약속도 위험하다. 이런 말을 붙인 약속은 아이들도 믿지 않는다. ‘인공지능 솔루션을 개발 중에 있어 곧 해결이 될 것’이라거나 ‘우리 회사도 지금 연구 중에 있는 기술’이라거나 ‘어느 정도는 커버가 가능하다’는 식의 약속들이 이런 느낌을 준다. 이런 약속들을 하지 않으려면, ‘1시간 뒤에 해줄게’나 ‘다음 주 화요일’처럼 구체적인 시간을 잡거나, ‘안 될 거 같아’라고 완곡히 거절하는 방법을 익혀야 한다. 기면 기고, 아니면 아니다를 명확히 말해주는 게 사용자들의 마음을 알아주는 소통법이다.

지금은 보안 업계가 사용자들의 신뢰를 얻어야 할 시기다. 보험이 보안 대신 뜨고 있다는 목소리가 나온 게 불과 2년 전이니 말이다. 외국에서는 보안 솔루션과 서비스에 대한 수요가 올라가고 시장이 커진다고 하는데, 그렇다 한들 사용자들이 울며 겨자 먹기 식으로 돈을 쓰고 있는 거라면 그럴듯한 대체제의 등장 한 번에 업계가 주저앉을 수 있다. 심지어 그들은 보안 무기력증을 앓고 있기도 해서 어지간한 보안 사고에 눈도 꿈쩍하지 않는다. 이게 심해지면 보안에 대한 노력 자체를 포기할 수도 있다. ‘내 정보는 이미 공공재’라는 자조적인 말이 나오는 것에서 이미 낌새가 보이기 시작한다.

우리가 지켜줘야 할 대상들과의 신뢰 관계는 아직까지 살얼음판이다. 이럴 땐 최대한 살금살금 걸어야 한다. 먼 곳을 보고 성큼성큼 걷다가는 무게가 불균형하게 실려 균열 가능성이 더 커진다. 잰걸음의 약속들로 이 구간을 지나야 한다. 꽝꽝 굳어버린 판이 나올 때까지 얕고 예측 가능한 걸음으로 살금살금 가야 한다. 2019년에는 예측만이 아니라 약속에도 능한 보안 업계가 되길 기원한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>