보안분야에서 웹2.0의 ‘참여·공유·개방’정신은 왜 멀게만 느껴질까

누누이 말하지만 우리끼리만 쉬쉬한다고 해서 막아낼 수 있는 상황이 아니다. 그렇다면 취약성에 대해 발표한 사람이 있다면 정중히 연락을 해 그 취약성에 대한 전문적인 견해와 혹시라도 있을 해결방법에 대해 머리숙여 자문을 구하는 것이 옳은 행동이다. 그렇지 않으면 누가 공개를 하겠는가.

힘들여 연구한 결과물을 가지고 어디 흠잡을데가 없나, 혹은 발표하는데 있어 위법한 부분이 있었나 없었나만을 보려고 든다면 과연 누가 최신 기술을 발표할 것이며 그로인해 정보보호 기술의 발전은 더디기만 할 것이다.    

왜 우리는 알고 있는 사실을 공개하는 것에 두려움을 느껴야만 할까. 왜 취약점을 외부에 공개하면 욕을 먹어야 하는가. 왜 부족한 부분에 대해 혹은 잘못된 부분에 대한 지적을 겸허히 받아들이지 않고 공개 그 자체를 죄악시 하는 문화가 자리잡고 있을까.  

일각에서는 “대책이 없이 보안취약점을 공개하는 것은 더 위험하다”고 반론하고 싶을 것이다. 하지만 그것은 “그냥 넘어가도 될 일을 왜 공개해서 긁어 부스럼을 만드느냐”로 뒤집어 생각할 수 있다. 즉 “공개하지 않으면 그냥 넘어가려고 했는데...”로 이해할 수 있다.

또 공개 방법에 대해 트집을 잡기도 한다. “왜 우리 기관에 먼저 말하지 않았느냐”는 식으로 말이다. 그럼 기관에 먼저 살짝 귓뜸이라도 해주면 어떤 일이 벌어질까. “그 사실을 절대 언론에 알리지 말고 이 부분에 대해 대응책이 나올 때까지 그냥 함구하고 있으세요” 정도로 끝나버렸을 것이다. 그리고 그후 이 취약점으로 해외 크래커들의 공격을 당해 만신창이가 된 뒤 깊은 후회의 한숨을 쉬는 것으로 마무리 될 것이다.

보안 취약성에 대한 공개는 ‘질타할 사항’이 아니라 ‘머리숙여 감사해야할 사항’이란 것을 알아야 한다. 많은 취약점들로 인해 국민들이 많은 피해를 입고 혹은 기업이나 우리 정부가 피해를 입을 수 있다는 것을 알리고 이에 대비해야 한다는 것을 알려줬음에도 불구하고 공개한 그 자체만을 가지고 불평과 불만을 말하는 이유는 어디에 있을까. 

정보보호는 취약점을 찾아내고 그것을 활발히 공개하고 받아들이는 문화가 형성돼야 발전할 수 있다고 전문가들은 말한다. 취약점이 공개됐다면 그 근본적인 해결책을 찾아 나서면 된다. 그게 힘들다고 말한다면 할 말이 없다. 그렇다면 우리나라에 보안기관은 왜 존재하며 보안업체는 왜 존재해야 하고 보안담당자는 왜 존재해야 하는가.

자신들의 존재 이유에 대해 곰곰이 생각해보고 이 문제를 어떻게 해결해야 할지를 판단하기 바란다.

정보보호 전문가들은 더이상 이해관계가 있는 기관이나 기업의 눈치를 보지 않고 연구한 결과물을 서로 공유하고 자유롭게 토론하는 과정에서 발전하길 원하고 있다. 가끔 정보보호의 발전에 가장 큰 역할을 해야할 ┖기관┖들이 발전을 저해하는 행태를 보이는 경우가 있다는 것을 알아야 한다.  

다 알고 있는 사실이지만 미국에서 닷컴 거품이 걷히고 살아남은 기업의 특징을 살펴보니 ‘참여·공유·개방’의 원칙을 지킨 기업들이라는 말이 있다. 보안 분야에서도 이 웹2.0의 단순하지만 절실한 구호가 통할 수 있기를 바란다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>