Home > 전체기사 > 오피니언

[기자수첩] 보안 업계의 공유와 협업 방식은 좀 더 귀찮아야 한다

  |  입력 : 2023-01-10 10:16
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
가장 가능성 없어 보이는 곳에서 원석을 발견한 사람들의 ‘뻔한’ 이야기가 계속 영화화 되고 계속 감동을 주는 데에는 이유가 있다.

[보안뉴스 문가용 기자] 원석을 발견한다는 건 어려운 일이다. 남들에게 없는 안목도 필요하고, 원석 속에서 빛나는 것이 모습을 드러낼 때까지 깎고 또 깎는 인내심도 필요하다. 아무 소득도 없어 보이는 일에 누군가 조롱하더라도 아무렇지 않게 넘길 수 있는 튼튼한 ‘멘탈’도 요즘 같이 모두가 분노에 찬 것처럼 보이는 세상에서는 필수다.

[포스터 = 네이버 영화]


원석을 찾아 마침내 보석으로 다듬는 것은 어려운 일이니 만큼 여러 극적 소재로 활용되기도 한다. 동네 깡패에게서 음악적 재능을 찾고(파파로티), 빈민가에서 축구 천재를 찾고(골!), 지구 반대편에서 예비 농구 스타를 찾는(허슬) 스카우터들의 이야기는 도무지 고갈되지 않는다. 남들에게 보이지 않지만 자신에게만 보이는 것 - 이것을 믿음이라고 통상 부르는 듯하다 - 을 찾는 여정을 우리 모두 각자의 색깔로 걸어가고 있기 때문이다.

예전부터 보안 업계에서 지적하는 문제 중 ‘공유’와 ‘협업’이 있다. 다크웹에서는 기술과 도구, 전략의 노하우가 빠르게 공유되어 해커들이 상향 평준화를 부지런히 이루고 있는데, 피해 기업들과 보안담당자들은 정보를 잘 공유하지 않는다는 비교도 고갈되지 않는 레퍼토리다. 그러면서 해커들은 원래 남들이 가지 않는 길을 즐겨 가는 탐구심 높은 사람들이고, 지식 공유하는 걸 좋아하는 부류들이라는 칭송 비슷한 것까지 곁들이기도 한다.

몇몇은 그럴 수도 있다. 그런데 다크웹은 그리 넉넉한 마음으로 나눔이 이뤄지는 아름다운 공간이 아니다. 그 곳에서 서식하는 자들끼리 속여서 사기를 치기 일쑤다. 그런 사고 규모가 얼마나 큰지 다크웹의 사기꾼들만 잘 노려도 연봉 250만 달러 이상을 벌어들일 수 있다는 보고서까지 나올 정도다. 이미 사기 예방을 위해 대형 다크웹 포럼들은 회원들로부터 적지 않은 보증금을 미리 받아둬 도망칠 때를 대비하기도 한다. 서로가 서로를 물어 뜯는 세상에서 유독 해킹 지식과 노하우는 사이 좋게 공유된다? 있을 수 없는 일이다.

이들이 서로에게 하는 건 지식 공유가 아니라 ‘자랑’에 가깝다. 잘 알려진 해커들의 특성 중 하나는 돋보이고 싶어 하는 것이라고 한다. 실제 초창기 해커들은 바이러스(지금과는 비교도 안 될 정도로 악의가 없는)를 만들어낸 것으로 그들 사이에서 유명해졌고, 지금도 덩치 큰 사이버 범죄 단체들은 해커들 사이에서 이름을 날린다. 유명 단체가 되면 더 많은 파트너와 공범을 끌어모을 수 있고, 심지어 자신들을 모방하는 ‘워너비’들도 다수 양성하게 된다. 해커들 사이에서 ‘명성’이란 또 다른 재화가 되며, 그러니 자랑이라는 것은 필수가 될 수밖에 없다.

게다가 해커들은 ‘가성비’를 매우 따지는 부류들이다. 실용성이 중요하다. 그러니 비전이나 약속만으로는 이들 사이에서 자랑이 되기는 힘들다. 뭔가 실질적이고 눈에 보이는 것, 손에 잡히는 것을 가져다 줘야 자랑이 되고, 그것이 명성이 된다. 남들이 만들어내지 못한 멀웨어를 만들고, 남들이 생각하지 못한 전략을 생각하고, 남들이 뚫어내지 못한 기업에 진입로를 내는 것이 효과적인 자랑이 된다. 동시에 노하우 전파가 되기도 하고 상품이 되기도 한다. 서로를 등쳐먹기도 하지만 기본적으로는 당장에 쓸 수 있는 것들을 거래하니 지식이 공유되는 것 같고, 협업이 되는 것 같고, 상향 평준화가 이뤄지는 것 같다.

여기까지의 이야기는 사실 해커가 아니고 일반 양지의 사업체와 업계들에도 통용되는 말일 것이다. 명성이 중요한 건 양지의 업체들도 마찬가지고, 그러니 홍보와 광고 활동을 필수로 한다. 지출을 빠듯하게 따지지 않는 운영자가 어디에 있으며, 가성비 싫어하는 예산 책임자가 어디에 있겠는가. 요는 공유를 잘 한다는 그들이나, 공유를 잘 못한다는 우리나, 그리 다르지 않다는 것이다.

딱 한 가지 차이가 있는데, 해커들이 나누는 건 대부분 실질적이고 금방 효력을 나타내는 가시적인 것들이고 보안 업계가 나눠야 하는 건 눈에 잘 보이지 않는 것이라는 점이다. 해커들은 서로의 작품과 성과를 금방 금방 쓸 수 있게 포장해서 주고 받는다. 거래가 되어야 하니 당연하다. 피해자들끼리 혹은 보안 업체들끼리 공유해야 한다고 하는 건 대부분 첩보다. 뜯어 보면 ‘이런 저런 공격이 일어날 것으로 보인다’, 혹은 ‘어느 산업/나라에서 당했으니 이쪽도 대비해야 한다’는 식이다. 즉, 일어날 수도 있고 일어나지 않을 수도 있는, 보이는 듯 보이지 않는 애매한 예언과 같은 것이다.

당장 효력을 발휘하지 않는 것에 대해서 우리는 자랑하지 않는다. 아니, 그런 것은 자랑거리가 되지 않는다. 깡패에게서 음색의 가능성을 찾은 선생이나, 빈민가에서 축구 신동의 편린을 발견한 스카우터나, 지구 정 반대편에서 내기 농구를 하던 낯선 젊은이에게서 미래를 본 코치는 환영과 동조보다는 냉소에 더 많이 노출된다. 원석에서 보석을 보는 건 예언이자 믿음의 영역이다. 보편화가 어렵다. 아직 터지지 않은 사고를 예견하는 것, ‘별 것 아니'라고 해석할 여지도 있는 지표들에서 재앙의 원석을 발견하는 것 역시 그렇다. 게다가 부정적인 예언들은 역사 내내 인기가 없었다.

그러니 우리는 저 음흉한 범죄자들보다 마음이 꽁꽁 닫혀 있어 공유를 못하는 게 아니다. 우리가 나눠야 하는 것들이 대부분 해커들이 자기들끼리 다루는 것보다 잘 나눠지지 않는 특성을 가지고 있다는 게 문제다. 이미 보안 업계는 첩보 공유를 알게 모르게 널리 하고 있다. 첩보 형식을 표준화하여 자동화 처리하는 곳들도 늘어나는 중이다. 그럼에도 ‘위험할 수 있어요!’라는 외침은 예언과 믿음의 영역에 한 발 정도 걸치고 있는 것이라 공유를 받아도 감흥이 없고, 그러므로 기억에도 남지 않으며, 아무런 사고가 터지지 않고 무사히 지나갈 경우 오탐 혹은 괜한 걱정으로 치부된다.

그러므로 우리가 보다 많은 보안 정보와 첩보를 공유해야 한다고 주장하는 건, 보안담당자들이 각자의 날카로운 통찰로 원석을 발견하는 것을 넘어 그것이 보석임을 설득시키고 팔아야 하는, 대단히 어려운 일을 해야 한다는 주장이 된다. 애초에 해커들과 취급하는 물건이 다르다. 우리가 쥐고 있는 것이 너무나 우리를 불리하게 만든다. 그래서 나타나는 결과가 ‘보안 예산 아무리 늘려도 해킹 사고가 줄지 않는다’는 지금의 현상이다.

이 흐름을 어떻게 바꿔야 할까? 가장 좋은 건 보안 업계가 제공하는 첩보들이 해커들의 멀웨어 만큼이나 즉효를 내는 것이다. 첩보를 공유했더니 받은 곳에서 곧바로 사고가 터져버리면, 그것만큼 첩보의 정확함이 강력히 드러나는 계기는 없을 것이다. 하지만 첩보를 주고 ‘터져라, 터져라’ 기도할 수도 없는 노릇이다. 그렇다면 남는 선택지는 하나. 이미 보안 업계가 ‘원석 발견의 힘’을 갖췄다는 전제 하에 ‘이것이 정말 대단한 보석’이라는 것을 설득시키는 일을 잘 하는 수밖에 없다.

그렇다면 보안전문가들의 설득력은 어디서 나올까? 주기적으로 발표되는 전문용어 현란한 보고서나 논문, 피해자의 공포로 물든 사건 사고 소식에서 나온다는 희망은 애저녁에 유통기한이 지났다. 이미 지난 수십 년 동안 시도해 본 것들이고, 순간의 걱정과 염려를 유발한다고 해서 영구적인 보안 인식 제고 효과가 나타나지 않는다는 것은 보안 업계가 제일 잘 알고 있다. 그러나 우리가 아직 한 가지 시도해 보지 않은 것이 있다. 바로 실천이다.

보안 실천 사항을 현장에서 스스로도 잘 지키는 보안담당자들은 의외로 찾기가 힘들다. 일반인들보다야 당연히 낫겠지만, 그 격차가 생각만큼 크지는 않다. 조금 더 나을 뿐이다. 사무실을 떠나면 보안담당자들도 비밀번호 없는 카페 와이파이에 접속하고, 개인 모바일에 회사에서 보다 만 보고서를 저장해 두며, 사용하는 모든 플랫폼의 모든 계정의 비밀번호를 3개월에 한 번씩 계정마다 다르게 바꾸지도 않는다. 이중인증도 쓰다가 귀찮아서 포기하고, VPN 접속도 깜빡 잊는다. ‘입보안’이라는 말이 괜히 보안 업계에 자조적으로 떠도는 게 아니다.

봉이 김선달 쯤 되는 전설적인 인물이 아닌 이상에야 입만으로 설득력을 발휘하기는 힘들다. 자기가 한 말이 스스로를 귀찮게 하도록 꾸준히, 또 자발적으로 허용하는 삶의 태도가 더 묵직한 힘으로 사람의 마음을 움직인다. 남들이 뭘 그렇게까지 하냐고 웃어도, 굳이 회사에서 시키지 않아도, 미련할 정도로 보안 실천 사항을 살아내는 사람에게는 남들이 모르는 원석을 발견한 사람의 아우라가 풍겨져 나온다. 여러 심장 울리는 스카우터 영화들에서 보이는 감동적인 뚝심이 바로 그것이다. 남들에게 보이지 않지만 자신에게만 보이는 것 - 이것을 믿음이라고 통상 부르는 듯하다 - 을 찾는 여정을 우리 모두 각자의 색깔로 걸어가고 있기 때문에, 이런 소리 없는 움직임은 반드시 타인의 심장과 공명한다.
[문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
기타(댓글로)