보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[보안&영화] 기울어진 운동장 이론을 떠올리게 하는 ‘세인트 빈센트’

입력 : 2024-03-22 13:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
누구나 선과 악을 가지고 있다는 사실을 직시하는 영화. 딱 거기까지만 얻어가야 하는 이유

[보안뉴스 문가용 기자] 왜 보안 전문가들을 두고 기울어진 운동장에서 싸우는 자들이라고 하는가? 왜 해커들은 기울어진 운동장을 누리고 있는 자들이 되는가? 여기에는 오래 전부터 정해진 설명이 있다. 해커들은 백만 번 실패해도 한 번만 성공하면 성공한 것이고, 보안 담당자들은 백만 번 성공해도 한 번만 실패하면 실패한 것이 되기 때문이다. 죽을 때까지 성공만 해야 하는 사람의 성공과, 요행수라 하더라도 한 번만 해내면 되는 사람의 성공의 가치는 달라야 맞지만, 오히려 후자가 얻어가는 게 훨씬 많다는 것이 이 운동장의 기울기를 더 가파르게 만들고 있기도 하다.

[이미지=네이버 영화]


보안 vs. 해커는 선악 구분이 분명한 구도다. 선악의 구분이 비교적 분명한 책 중에 위인전들이 있다. 이런 책을 읽고 커온 아이들이 커서 선악의 구분이 흐릿한 책들을 접하면 충격을 받게 된다. 그것은 희열일 수도 있고 깨달음일 수도 있으며 경악일 수도 있다. 어찌됐든 주인공이 선하지만은 않다거나, 나쁜 조연 안에 선한 면도 있다는 줄거리가 전개되는 책들은 위인전들과 확연히 다른 색깔을 가지고 있기에 처음 접한 사람들에게는 꽤나 신선한 경험이 된다. 그리고 이것이 나 자신을 포함해 우리가 만나고 같이 사는 모든 사람들의 본연이라는 것을 깨닫게 되면, 그러한 이야기에 매료되고 위인전은 더 이상 손대지 않게 된다.

영화 ‘세인트 빈센트’는 일견 좋아 보이지 않는 사람에게서 좋은 점을 발견해가는 아이의 시선을 담은 영화다. 굳이 따지자면 악에 가까워 보이는 것에서 아름다운 것을 찾는 아이의 시선이 감동스럽게 그려지는 것이 사실이나, 이제는 이런 류의 이야기가 너무 많아 식상한 면이 있다는 것도 부정하기 힘들다. 영화 제목 ‘세인트 빈센트’는 주인공 아이가 이웃의 괴팍한 노인과 알고 지내게 되면서 ‘저 까탈스러운 할아버지도 좋은 면이 있다’고 선언하면서 붙여준 새 이름이다. ‘성스런 빈센트’ 정도랄까.

위인전의 세계관에 갇혀 있는 것도 건강하다고 할 수 없지만, ‘세인트 빈센트’ 류의 이야기처럼 선이고 악이고 모두 혼재되어 있다는 식의 메시지라고 해서 더 나은가 하면, 잘 모르겠다. 거창한 철학이나 윤리까지 가지 않고, 적어도 보안의 관점에서는 그렇다. 그런 식의 생각이 보안 전문가들이 활동해야 하는 운동장을 기울어지게 만들기 때문이다. 그 이야기를 해보려 한다.

보안은 말 그대로 뭔가를 안전하게 보호한다는 의미를 가지고 있다. 사이버 보안의 맥락에서 이 ‘뭔가’는 주로 데이터를 의미한다. ‘안전’이나 ‘보호’는 어떤 말인가? 거의 모든 경우에 100%를 의미하는, 다소 극단적인 표현이다. 예를 들어 이런 거다.
1) 나는 내 가족을 보호하는 아빠다 -> 나는 가족 구성원 모두의 안전을 빠짐없이 지키기 위해 노력한다.
2) 나는 국경선을 보호하는 군인이다. -> 나는 국경선의 어느 작은 부분에도 구멍이 없도록 지킨다.
3) 나는 이 회사를 안전하게 지키는 사람이다. -> 나는 이 회사의 어느 곳에도 취약한 부분이 없도록 한다.

가족을 보호한다는 아빠가, 아들 정도는 유괴되도 어쩔 수 없지만 딸과 아내는 반드시 지킨다고 생각하지 않는다. 국경선을 지키는 군인이 작은 개구멍 하나 그냥 지나치는 것도 상상하기 힘들다. 안전과 보호에 진심이면 100%를 추구하게 된다. 네 가족 중 한 명만 사망하는 사고가 일어났다고 해서 아빠가 ‘휴, 그래도 이 정도면 성과가 좋았어’라고 쾌재를 부를 수 없다. 개구멍으로 수상한 자가 넘나드는데, 적군 한두 명 정도는 괜찮아라며 발 뻗고 잘 군인도 없다. ‘보호’나 ‘안전’은 그 반대의 개념인 ‘침해’나 ‘불안전’과 90:10 정도로 섞이기만 하면 충분히 성립되는 그런 게 아니다. 순전히 그것만 있어야 한다. 반대로 침해는 10:90으로 소수만 섞여도 침해가 되고, 불안전도 1:99의 미량만으로도 안전의 맛을 완전히 바꿀 수 있다.

사람은 누구나 선도 되고 악도 된다는 현실 직시는, 말 그대로 직시일 뿐 교훈이 아니다. ‘세인트 빈센트’와 같은 영화들이 주는 감동이라는 것은 그래서 작위적이고 위험하다. ‘나에게도 온전치 못한 면이 있다’는 면에서 공감에까지 닿을 수는 있지만, ‘그래도 괜찮다’까지 가는 건 적어도 보안 담당자들이라면 경계해야 할 일이다. 아이의 눈에 좋은 면이 조금 비춰졌다고 해서 주인공 빈센트가 정말 성자의 반열에 올라선 건 아니다. 그는 여전히 신생아를 키우면서도 담배를 끊지 못하고, 타인에게 성질을 있는 그대로 부리며, 귀찮은 일은 대강 해치운다. ‘악하다’는 건 아니지만, ‘신뢰할 만하다’거나 ‘성숙하다’거나 ‘선하다’와 같은 표현과는 거리가 멀다.

운동장이 기울어진 건 보안의 성공 부담과 해킹의 성공 부담의 무게감이 달라서라고들 말한다. 틀린 말은 아니지만 표피에 머무르는 진단이다. 운동장의 기울기를 되돌리려면 보안의 성공을 더 축하하고, 해킹 성공의 가치를 떨어트려야 한다고 하는데, 이 역시 표피만 다루는 것이므로 잘해봐야 임시방편이 될 뿐이다.

기울어진 운동장의 문제는 더 깊은 곳에서부터 출발한다. 보호, 안전 등의 개념 자체가 본질부터 순도 100%를 요구한다는 것이 바로 그 시작점이다. 선악의 개념으로 말하자면, 악은 조금만 있어도 충분히 악할 수 있고, 선은 완전해야만 선해진다는 게 문제의 기원이라는 것이다. 누군가 선악의 개념을 바꾸지 않는 이상 운동장은 아무리 성공의 평가 체계를 달리한다해도 바뀌지 않을 것이다.

그렇다고 선악의 개념이 보안 업계의 주창으로 바뀔 수 있을까? 우리가 아무리 80%만 선해도 선한 것이라고 주장한다 한들, 선의 본질이 바뀔 거라고 기대하기는 힘들다. 선은 언제라도 100%가 아니면 아닌 것으로 남아 있을 것이다. 안전과 보호의 개념도 그럴 것이다. 기울어진 운동장을 고치겠다고 여기서부터 손을 대는 건 불가능한 도전이다. 해커들이 어느 날 덜 악해질 것이라고 기대하는 것이나 매한가지다.

애석하게도 우리가 손댈 수 있는 건 우리 자신뿐이다. 1) 선악을 바꿀 수도 없고, 2) 악이 저절로 사라지기를 기대할 수도 없으니 3) 우리가 100%가 되는 수밖에 없다. 그 역시 불가능하다고 말할 수 있을 텐데, 가능하다고 주장하려는 것이 아니라, 그나마 그것이 셋 중에 가장 그럴 듯 하다는 것이다.

과학철학에 의하면 과학의 참 의의는 끊임없는 자기 수정에 있다고 한다. 그래서 과학은 지난 수백 년 동안 수없이 많은 이론을 바꾸고 뒤집고 고쳤다. 하늘이 도는 게 진리였지만 지금은 땅이 도는 걸로 알고 있다. 네모난 지구가 정설이었지만, 지금은 꼬마들도 둥근 지구를 이해한다. 진리에 도달했다고 믿는 것이 아니라, 진리를 향해 가는 여정을 멈추지 않도록 스스로를 채찍질하는 것 그 자체가 과학이라는 것이다.

기울어진 운동장에 입각해서 보는 보안도 비슷하다. 우리가 해야 하는 일은 운동장을 똑바로 돌리기 위해 시위를 벌이는 것도 아니고, 그 어떤 공격에도 뚫리지 않는 철옹성을 만드는 것도 아니며, 해커들이 없는 세상을 이룩하는 것도 아닐 것이다. 오히려 100% 순도의 ‘안전’과 ‘보호’에 이르는 과정 속에서 스스로를 가다듬고 성숙시키는 것일지도 모른다. 그렇다는 건 그 끝없어 보이는 여정 속에 가장 큰 수혜를 봐야 하는 것이 보안 전문가 자신이어야 한다는 뜻이다. 뭔가를 혹은 누군가를 보호하고 지키려는 나의 태도가 더 성숙해지고 온전해진다면, 그래서 한 인간으로서 더 나은 사람이 된다면, 단순 재미로 취약점을 찾아내고 타인을 괴롭히는 상태에 머물러 있는 해커들보다 가시적이거나 금전적인 성과가 덜하다 해도 훨씬 이득일 것이다.

운동장의 기울기를 되돌리기 위해 성공의 평가 기준이 바뀌어야 한다면, 그것은 ‘보안 담당자로서 내가 얼마나 성숙해져 있는가’가 되어야 한다. 자기 안에서 답을 찾을 수 있다면 그 사람에게는 기운 운동장이 오히려 양분 넘치는 밭처럼 여겨질 것이다. 기울어진 운동장은 이렇게 각 사람 안에서 평형을 찾게 된다.
[문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)