RSAC 2020에서 슈나이어, 해커의 눈이 사회를 보강해야 한다고 주장했지만
위기 하나하나에 급급한 것이 아니라 큰 방향설정부터 해야

[보안뉴스 문가용 기자] 오래 전에 읽었던 한 수필인지 산문에서, 작가는 비가 온 뒤 웅덩이가 여기 저기 만들어진 운동장을 가로지르는 아이 한 명을 물끄러미 관찰한 내용을 적어 내려갔다. 신발을 젖지 않게 하려고 그 아이는 웅덩이를 요리 조리 피하면서 걸었는데 좀처럼 목적지인 교문에 도착하지 못하더란다. 눈 앞에 보이는 것들을 피하기에 바빴던 나머지 방향 설정을 할 수 없었던 것이다. 작가는 ‘그 아이가 좀 더 멀리 보는 법을 알고 있었더면’이라고 안타까운 마음을 표현했다.


보안은 남들이 신나고 재미나고 희망차다고 하는 곳에서 ‘이렇게 저렇게 하면 오히려 위험해지겠는걸?’이라고 찬물을 끼얹는 분야다. 지난 주 RSAC 2020에서 브루스 슈나이어는 보안 전문가들의 이러한 전문성을 사회 전반으로 돌려야 한다고 주장했다. 해커의 눈으로 사회 구석구석을 살펴 취약한 부분을 찾고 보완함으로써 모두의 미래를 탄탄히 다지는 역할을 담당해야 한다는 내용이었다. 역사는 그 때 그 때 가장 힘 세고 영향력 높은 분야의 주도 하에 구축되어 왔다며, 이제는 IT의 차례이니 보안 전문가들도 약점을 잘 짚어낸다는 그 얄미운 강점을 의미 있는 곳에 발휘하라는 그의 말은 벅차기까지 했다.

실제로 보안 전문가들은 다가오는 새 기술들에 대한 새로운 제안들을 사회와 법 시스템에 던지곤 한다. 신기술들이 빠르게 등장하지만 입법 시스템 속도를 맞추지 못하기 때문에 ‘기술력’과 ‘안전한 활용/적용’ 사이에 간극이 생기고, 이 틈새에서 각종 사이버 공격이나 사고가 발생한다는 지적은 꽤나 오래 전부터 있었다. 법 체계가 너무 오래되고 느려 사회적 변화를 수용하지 못한다는 도발과 같은 도전은 이제 꽤나 큰 목소리를 갖춘 상태다.

심지어 특정 행위에 대하여, 행위자의 의도를 규정하고 파악할 수 있게 해주는 시스템도 필요하다는 목소리가 나오기 시작했다. 인공지능이라는 신기술을 공략하는 방법 중에, 인공지능 알고리즘에 여러 가지 요청을 보내고 그 결과를 받아 분석함으로써 작동 원리를 추론하는 것이 있기 때문이다. 이 때 보내는 요청들은 지금 우리가 가진 법의 원리 아래에서는 극히 정상적인 것들이 대부분이다. 어떤 사람은 인공지능 알고리즘의 서비스를 받기 위해 요청을 보내고, 어떤 사람은 원리를 파헤치기 위해 요청을 보내는 건데, 그 두 행위가 지금으로서는 너무 비슷해 보여 구분이 안 간다는 것이다.

행위에 대한 깊은 의도를 정의하고 분별할 수 있는 법적 체계를 마련해야 한다는 말은, 그런 방법이 존재하는가를 떠나, 너무나 무서운 말 아닌가? 행위의 주체자가, 자신의 속마음이 떳떳하고 결백하다는 걸 나타내기 위해 법과 규정이 정해준 절차대로 움직일 수밖에 없는 시스템을 달라고 요구하는 것과 무엇이 다른가? 법을 지키는 것과, 법이 정해준 길로만 다닐 수밖에 없다는 건 언뜻 생각해도 큰 차이를 가지고 있는데 말이다. 인공지능이라는 커다란 물 웅덩이 앞에서, 우리는 방향 설정을 하고서 웅덩이를 피해갈 경로를 택하고 있는가? 아니면 수필 속 아이처럼 발을 적시지 않는 것 하나에만 관심이 있는가?

보안 업계에서 이제는 아주 흔한 권고 사항이 되어 버린 ‘신뢰할 수 있는 곳에서만 앱/파일을 다운로드 받아야 한다’ 역시 가만히 생각해보면 꽤나 무서운 말이다. 왜냐하면 사실상 보안 전문가들이 하는 말은 ‘구글, 애플, 정부 기관 등 유명하고 잘 알려진 곳에서 배포하는 것만 받는 게 안전하다’는 뜻이기 때문이다. 앱이라는 생태계에서 ‘서드파티’는 이미 ‘위험한 곳’과 동의어 취급 받고 있다. 하지만 실상은 어떤가? 구글도 뚫리고, 애플도 뚫리고, MS도 뚫린다. 그런데도 우리는 ‘신뢰 가능한 곳에서만 받으세요’라고 친절한 챗봇처럼 권장하기만 할 뿐이다.

그러면서 우리는 알게 모르게 ‘유명한 곳이 곧 신뢰할 만한 곳’이라는 개념을 심어주고 있는지도 모르겠다. 그렇다면 제로 트러스트란 개념이 가장 권장되는 ‘연결의 방법론’인 때에 신뢰라는 거대한 권력을 유명 IT 기업들과 일부 정부 기관들에 적극 이양하는 것이다. ‘유명=신뢰=안전’이라는 씨앗이 지금은 겨자씨처럼 작아 보이지만, 어느 날 보안이 대단히 중요한 사회적 가치를 인정받는 때가 오면 어떨까? 이 씨앗은 장마철에 잠깐 소홀히 한 풀처럼 무성하게 자라 혁신과 도전은 이미 유명해지는 데 성공한 자들에게만 허락된 특권이 될 것이다. 주류와 비주류가 분명하게 정립되고, 지금보다 더 적나라하게 돈이 돈을 벌고, 유명하면 똥만 싸도 칭송받는 때가 될 수도 있다. 우리가 각종 영화 속에서 보는 디스토피아다.

유명한 것만으로 신뢰를 받는 시대에, 선한 의도라는 게 법적으로 규정된 행동 절차로만 증명되는 시스템을 끼얹으면 어떻게 될까? 유명한 자가 신뢰를 바탕으로 안전에 관한 규정을 정하고, 이 규정은 유명치 않아 자신의 합법성을 증명해야만 하는 자들의 도그마처럼 굳어지고, 이는 규정을 정한 자의 굳건한 기반이 된다. 아마존이나 애플, 구글 등 독립적인 생태계와 신앙적이기까지 한 팬층을 둔 회사들 중 최후의 규정을 정립하는 단체가 나올 가능성이 높아 보이는 게 현재지만, 의외로 새 규정으로 민간 기업들을 억제하는 데 성공하는 정치 단체가 최후의 승자가 될 수도 있다. 지금은 그 싸움이 한창이고, EU가 GDPR을 통해 참전한 상태다.

보안 업계는 사회 시스템과 각종 보안 권고 사항을 말하기 전에 커다란 방향 설정을 하고 있는가? 눈 앞에 있는 물 웅덩이를 피하게 해주는 것도 가치가 없지는 않지만, 아이를 교문이라는 도착점으로 안내하는 것에도 역할을 하고 있는가? 슈나이어의 말처럼 IT 분야가 현재 사회 구축을 담당할 차례인 것이 맞다면, 좀 더 큰 책임이 있음을 이해해야 할 것이다. ‘그 때 보안 전문가들이 좀 더 멀리 볼 수 있었다면’이라는 평가를 듣지 않으려면 말이다.
[문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>