[보안&영화] 자금 운반책의 미묘한 존재감을 가장에 빗댄 영화, ‘라스트 미션’

중요하지도 않고 하찮지도 않은 존재감으로 범죄를 활성화시키는 사람들이 있으니 바로 자금 운반책이다. 마치 세상의 수많은 아빠들과 비슷하다.

[보안뉴스 문가용 기자] mule이라는 단어를 보고 더 이상 ‘노새’를 떠올릴 수 없게 됐다. 요 몇 년 보안 소식을 접해온 사람들이라면 대부분 그럴 것이라 생각한다. 불법 자금이나 물품을 운반해주는 사람들을 언제부턴가 mule이라고 부르기 시작했고(우리나라에서야 ‘운반책’ 등의 단어를 쓰긴 한다), 이들이 유럽 등지에서는 꽤나 큰 문제가 되고 있기 때문이다. 이들은 필요한 것들을 필요한 장소에 가져다 놓아줌으로써 사이버 범죄 포함, 각종 범죄를 활성화시키기도 하면서 동시에 범죄 조직에서는 가장 아랫단에 있기 때문에 체포된다 하더라도 수사기관이 얻어가는 게 많지 않다. 체포를 할 수도 안 할 수도 없는, 중요하면서도 중요하지 않은 희한한 존재다.

[이미지=넷플릭스]

전통적 가치를 기품있게 다루는 영화 거장 클린트 이스트우드가 바로 이 mule 문제를 ‘라스트 미션’이라는 영화를 통해 다뤘다. 사실, 자금 운반책 문제를 다뤘다기보다, 자금 운반책을 소재로 삼아 가족 문제를 다룬 영화이긴 하다. 하지만 이 ‘중요하지도 않고 하찮지도 않은’ 자금 운반책의 핵심을 잘 찌르고 들어가고 있다는 점에서, 제작팀이 대강 어디서 주워들은 풍문을 가지고 조악하게 이야기를 짜깁기 하지는 않았다는 것을 알 수 있다. 게다가 범죄 조직 내 자금 운반책이 가지는 그 기묘한 존재감을 활용해 세상 모든 가장들의 난제까지 다뤘으니 이 ‘마지막 미션’은 꽤나 깊은 몰입감을 선사하는 영화이기도 하다.

가장들의 난제란, 영화 주인공이 영화 내내 풀지 못하는 수수께끼이기도 했으니 바로 몸뚱이 하나를 가지고 가족을 부양하느라 일을 해야 하기도 하고, 동시에 가족과 함께 시간도 충실히 보내야 한다는 것이다. 일과 가족을 모두 선택할 수 없어 곤란한 상황을 아버지들은 얼마나 숱하게 겪는가. 한푼이라도 더 벌고자 일을 선택하면 가족들이 서운해 하고, 그렇다고 마냥 가족들과 있자니 지갑이 허술해지는데, 어떻게 해야 할까. 노년의 주인공은 범죄자인듯 아닌듯 겉도는 존재감을 통해 뛰어난 운반책이 되기도 하지만, 가정 내에서는 아버지인듯 아닌듯한 존재감 때문에 늘 혼자이기도 하다.

정보 보안이라는 분야 자체가 지금 이런 애매한 존재감 때문에 곤란한 시기를 지나고 있다. 세상을 더 이롭게 할 것처럼 보이는 여러 신기술들 때문이다. 보안 전문가들은 그 어떤 기술이라도 어두운 면을 가지고 있다는 걸 본능처럼 알고 있다. 그렇기 때문에 분홍빛 휘황찬란한 약속들에 모두가 박수를 칠 때 유독 보안 업계만 가느다란 실눈을 뜨고 고개를 갸웃거린다. 그 기술들을 받아들여 혁신에 박차를 가하고, 그럼으로써 회사가 시장에서 치고나가야 하는데 보안이 팔짱 끼고 ‘잠깐만’을 외치니 다들 서운해 한다. 보안이 한낱 짐짝이 되는 건 이런 순간들이 자꾸만 쌓이기 때문이다. 그렇다고 불구덩이일지 모르는 곳으로 치닫는 조직을 모른 척 할 수도 없고. 우리는 언제부터 가장이 된 걸까.

여기에 대해 여러 보안 전문가들이 다양한 답들을 제안했다. 주류로 자리를 잡은 답은 ‘보안 전문가들이 이제는 사업적인 측면으로 영역을 확장해야 한다’는 것이었다. 사업적 필요를 이해하고, 그 관점에서 혁신이나 발전이나 경쟁력을 해치지 않도록 하는 보안의 방법들을 고안해야 한다는 내용이다. 사업가 마인드를 가지고 보안 업무를 해라, 라고 짧게 요약할 수 있다. 그러면서 보안은 사업을 오히려 활성화시키는 enabler가 되어야 한다는 문구들이 캠페인처럼 쏟아지기 시작했다. 맞는 말이지만 마음 속에 찜찜함을 남기는 답이기도 하다. 이 찜찜함의 정체는 무엇일까. 알 수가 없었다.

‘enabler로서의 보안’의 열기가 한풀 꺾인 후가 되니 그 찜찜함의 정체를 알 듯하다. 보안은 늘 그래왔듯 문제를 내부에서만 찾고 있었다는 것이다. 회사에 침해 사고가 나면 CISO가 모든 책임을 지고 나가는 것처럼, 보안이 혁신에 방해물처럼 여겨지는 상황을 두고 보안 업계는 또 다시 ‘우리 시야가 좁고 사업가답지 못해서’라고 자책해버렸다. 우리가 문제고, 우리가 답인 것에 익숙한 보안 전문가들은 그 틀을 벗지 못하고 ‘우리가 enabler가 되어야 한다’고 외치고 있었던 것이다. 자기 반성이야 언제나 좋은 태도이지만, 그렇다고 해서 항상 온전한 답이 되는 건 아니다. 적어도 ‘혁신이냐 안전이냐’의 균형을 찾는 문제에 있어서 보안 전문가들이 내놓은 ‘enabler’라는 답은 온전함과는 거리가 멀어 보인다.

다시 영화로 돌아가보자. 주인공이 자신의 그 애매한 삶이 어디서부터 시작되었는지를 나중에 가서야 깨닫게 되는 장면이 잠깐 나오는데, 그 부분이 중요하다. (2018년 작이므로 그 부분을 여기서 언급해도 스포일러가 되지 않을 것이라고 희망하며 글을 이어간다.) 죽어가는 아내, 영화 내내 그를 원망하던 그 아내가 주인공을 향해 “가족으로서 환영받기 위해서 부자가 될 필요는 없었다”고 말하는 장면이다. 당신이 부자이든 아니든 우리는 언제나 당신을 환영하고 싶었다는 의미다. 그 말에 주인공의 수수께끼는 풀린다. 얼마나 속시원히 풀렸는지 다음 장면에서 갱단들에게 위협을 받을 때, 순순히 죽여달라고 말할 정도다.

[이미지=넷플릭스]

물론 사랑하는 가족이 입을 스스로 열어 ‘당신이 부자여야만 여기서 환영받는 건 아닙니다’라고 말을 해주지 않아도 가장 스스로가 알고 있는 게 가장 중요하긴 하다. 그러나 그게 쉽지 않다. 아빠이기 때문에 저절로 생기는 강박이 있고 자책감이 있고 위축이 있는 한 어쩔 수 없다. 가난한 아빠로 인해 가족들이 겪는 고통을 우리는 여러 매체와 이야기를 통해 너무 많이 들어왔고, 부자 아빠들 밑에서 행복하게 누리는 가족들의 모습 역시 숱하게 소비해왔다. 어렸을 때부터 보고 들은 게 그건데 갑자기 ‘내가 부자가 아니어도 가족들은 괜찮을 거야’를 스스로의 마인드 컨트롤로 믿어버리기가 잘 되지 않는다.

보안 전문가들도 그렇다. 그들은 보안이 얼마나 귀찮은 건지 늘상 듣고 산다. 테크 유튜버들의 영상에서도 업데이트가 매우 귀찮은 일이라는 뉘앙스의 말을 심심찮게 들을 수 있고, 업무 중 보안 패치를 실수로 눌러버린 직장 동료들이 초조하게 작업 완료를 기다리며 쏟아내는 불평들 역시 자주 접한다. 외우기 쉬운, 단순한 패턴의 비밀번호를 자랑스럽게 얘기하는 사람들도 아직 많고, 손주들 나이와 이름까지 타인에게 말해주시는 할아버지와 할머니들도 적지 않다. 보안 규정 회피 노하우는 직원들 사이에서 공공연하게 공유되는 편이다. 이런 상황에서 ‘보안을 모두가 존중해줄 거야’라고 믿을 수 있는 보안 전문가는 없다. 그러니 문제가 생기면 늘 스스로의 부족함을 지적하며 답을 내부에서만 찾으려 하는 것이다. 보안 업계는 상당히 위축되어 있다.

그렇기 때문에 누군가는 말해줘야 한다. 보안 사고가 터진다 하더라도 혼자 자책하고 책임질 필요가 없다거나 보안은 모두의 책임이라고 말이다. 특히 임원진들 사이에서 이런 말이 자주 나온다면 효과가 더욱 커질 것으로 기대한다. 사고가 나도 괜찮다는 게 아니라, 모두가 같이 하고 있으며 따라서 혼자 어깨 위에 짐을 지고 갈 필요가 없다는 것을 알려줘야 한다는 것이다. 그게 그냥 선언이 아니라 실제라는 것을 믿을 수 있을 때까지 말해주고 또 말해주어야 한다. 그래야 보안 담당자들의 불안과 위축이 서서히 걷어지고, 그 자리에 더 건강한 것들이 들어선다. 그 건강한 것들 중에 enabler가 되고자 하는 적극성이 있을 수도 있고, 혁신과 안전 사이의 적절한 절충점을 찾아내는 데 도움이 될 힌트가 있을 수도 있다.

보안이 그 누구의 혁신도 막지 않으면서 그 누구도 위험하지 않게 하기 위해 균형을 잡으려면 보안 담당자의 역량 강화도 중요하지만, 정말로 모두가 보안을 환영해야 한다. ‘라스트 미션’의 주인공에게 가족들이 좀 더 일찍 ‘부자가 아니어도 괜찮다’는 말을 여러 번 해주었다면 그 가족은 어떻게 달라졌을까? 누구나 보안을 기꺼워하고 필수 요소로 받아들이는 태도를 보인다면, 그 조직 안에서 보안 담당자는 얼마나 더 큰 힘을 발휘하게 될까? 궁금하지 않을 수 없다.

그렇다고 바깥의 누군가가 우리를 인정하는 말을 하지 않았다고 우리의 할 일을 하지 않거나 나아갈 방향을 잃는 것은 그것대로 문제가 있다. 지금 보안 담당자들이 할 일은, 그런 인정과 위로의 말을 하염없이 기다리는 게 아니라 그런 말을 여러 번 들은 것처럼, 혹은 먼 미래에라도 보안이 누구나의 책임이 되고 누구나 기꺼이 실천하는 것이 될 것임을 믿어 의심치 않는 것이다. 믿음이 선행되는 자리에 현상이 나타나는 법이다. 3월이 됐으니 봄이 올 거라고 믿는 것처럼, 다섯 시가 되었으니 파랬던 하늘이 붉게 변하리라는 걸 의심하지 않는 것처럼.
[문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)