[기자수첩] 보안 인식 제고가 앞으로는 잘 될 거 같긴 한데

보안 인식 제고를 위한 시도가 앞으로 더 좋은 효과를 거둘 것 같은 외부적 이유들

[보안뉴스 문가용 기자] 예전에 비해 조금은 나아졌다고는 하지만 보안 인식 제고가 항상 이 업계의 화두가 되는 이유는 무엇일까? 잘 안 되어서다. 왜 잘 안 될까? 기자는 지금이 개인주의의 시대이기 때문이라고 생각한다. 일반인들이 보편적으로 지켜야 한다고 알려진 보안 수칙들은 대부분 우리에게 친숙한 개인주의에 뿌리를 내리고 있지 않다.

[이미지 = utoimage]

예를 들어 보자. 비밀번호를 자주 바꾸라거나 어렵게 설정하라는 것이 있다. 이를 실천한다고 했을 때 개인이 얻는 가시적 이득은 없다시피 하다. 귀찮아지는 건 분명한데 말이다. 대신 비밀번호 관리를 함으로써 몸담고 있는 회사나 그 외 공동체는 보다 안전해진다. 공동체의 안전은 개개인의 안전에 비해 훨씬 큰 성과이고 귀찮음을 지불해 얻어낼 만한 가치가 있는 것이지만 우리는 개인주의를 바탕으로 사고하고 감정을 발산하는 데 익숙해져 있기 때문에 하찮게 여겨진다. 내 개인 컴퓨터도 비밀번호 안 걸고 사용하는데 회사 컴퓨터를 왜 지극정성 보호하겠느냐라고 생각하기도 한다. 규정을 정해두어야 그나마 개인적 불이익을 피하기 위해 비밀번호 관리 수칙에 따르는 시늉이라도 한다.

또 있다. 원격 근무자들이 많아짐에 따라 ‘장비를 사람 없는 곳에 두지 말라’는 보안 수칙도 강조되고 있다. 카페에서 노트북 펼쳐놓고 일하다가 잠깐 화장실에 가거나 계산대에 갈 때 누가 노트북을 훔쳐가거나 USB 등으로 뭔가를 재빨리 심어두면 회사 자산의 측면으로나 정보 보안의 측면에서나 손해이기 때문이다. 하지만 자리를 뜰 때마다 노트북 접어서 옆구리에 끼고 다닌다는 건, 아무리 노트북이 초경량이라 하더라도 귀찮은 일이다. 이 경우도 개인적으로 얻는 것은 별로 없지만 회사는 보다 안전해진다. 이득이긴 이득이지만 개인주의에 반하는 이득이다.

패치를 제 때 하라는 것도 마찬가지다. 사용자들의 ‘되도록 패치하지 말자’는 태도는 이미 잘 알려져 있다. 하지만 게이머들을 보라. 최신 버전이 아니면 게임을 아예 할 수 없으니(즉, 개인적으로 얻는 이득이 있으니) 불평 없이 패치한다. 반대로 구버전만으로도 사용 자체에 불편함이 없는 OS나 생산성 소프트웨어 등의 보안 패치를 우리는 미루고 또 미룬다. 테크 유튜버라는 사람들도 영상을 통해 공공연히 “일부러 구버전을 쓴다”고 할 정도다.

그래서 보안 업계는 개인주의에 합하는 보상을 제공하려는 노력을 적잖이 해 왔다. 하지만 지금까지 굳건히 살아남아 있는 건 버그바운티가 유일하다시피 하다. 보안 취약점을 찾아주면 개인적인 이득을 얻도록 보상을 해 주기 때문에 이 버그바운티 제도에 참여하는 도전자들이 해마다 늘어나고, 이 시장에서 오가는 돈이 계속해서 커진다. 보안 인센티브를 주장하는 전문가들의 칼럼도 심심찮게 등장한다. 하지만 아직까지 이렇다 할 인센티브가 활성화 되어 있다고 하기는 힘들다. 엄격한 규정에 의거한 벌칙을 피하는 게 현존하는 최고의 인센티브다.

어쩔 수 없는 일이다. 현대 IT 시스템과 기반 구조 내에서 보안은 공동체주의에 기반을 둘 수밖에 없기 때문이다. 아니, 더 넓게 보아 안전이라는 분야가 원래 그렇다. 옆집에 도둑이 들면 괜히 우리집 식구들도 조심하게 된다. 동네에 살인 사건이라도 나면 그 지역 부동산 값에 영향을 준다. 김완의 수필집 ‘죽은 자의 집 청소’에는 아파트 같은 곳의 관리인들이 세입자가 자살이나 불의의 사고로 사망할 경우 그걸 숨기기 위해 전전긍긍하는 모습들이 묘사되곤 한다. 가까운 분이 전염성 전혀 없는 질병으로 돌아가시면, 장례식장에서 내 건강 습관을 잠깐이나마 돌아보게 된다. 내 개인 신변의 문제인 거 같은데, 의외로 ‘안전’은 주변에 영향을 주는 특성을 가지고 있다.

그래서 개인적으로는 개인주의가 조금씩 저물어가기 시작할 때부터 보안 산업은 전성기를 맞이할 거라고 예상하고 있다. 혹은 스마트시티라든지 초연결사회와 같은 기술 및 시대 발전으로 보안의 전성기가 강제되기라도 한다면, 개인주의가 내리막길을 걷게 될 것이라고 생각한다. 어떤 쪽이든 둘은 상충하고, 완벽한 균형은 불가능하다고 본다. 개인주의가 언제 어떤 식으로 막을 내릴지는 모른다. 다만 세상에 영원한 기조는 없고, 실제 개인주의에 반하는(그렇다고 그것이 꼭 공동체주의라고 하기에는 어렵지만) 사상들이 조금씩 힘을 얻기 시작하고 있는 것은 분명하다.

2월 4일 아태지역 매체들을 대상으로 페이스북에서 진행한 미디어 세션에서도 그런 점이 드러났다. 미디어 세션의 주제는 ‘유해 콘텐츠 관리’였다. 가짜뉴스나 허위 정보가 퍼지는 걸 페이스북이라는 플랫폼이 어떤 식으로 관리하는가를 알려주는 발표가 진행됐다. 20여 년 전 페이스북이나 트위터와 같은 SNS가 처음 세상에 알려지기 시작했을 때 우리는 그 플랫폼을 철저히 개인의 공간으로 인지했었다. ‘개인 일기장’에 비유하기도 했었다.

[사진=보안뉴스]

하지만 2021년 페이스북은 수많은 매체들 앞에서 “사회적 책임”을 반복적으로 언급하며 콘텐츠의 관리 정책과 전략을 설명하고 있었다. SNS를 통해 퍼지는 정보들 중 사회적인 위협을 가할 수 있는 것이면, 사용자 개인이 개인 계정을 통해 작성한 것이라고 하더라도 삭제한다고 했다. 이런 작업이 사회를 위해 반드시 해야 하는 일이라고 말하기도 했다. 개인 일기장의 지위에서는 성립되지 않는 행사이며 발언들이었다. 하긴 보안 업계에서 SNS를 사회 인프라로 간주해야 한다는 말이 나온 것은 벌써 수년 전의 일이다. 지극히 개인적인 공간이 어느 새 사회적 서비스를 책임감 있게 제공해야 하는 곳으로 변해 있었다.

심지어 콘텐츠의 진본성이나 허위성, 유해성을 판단하는 작업도 ‘공동 전선을 펼쳐서’ 진행되고 있었다. 전 세계 ‘팩트 체킹’ 전문 조직들과 파트너십을 맺고 콘텐츠 관리를 한다는 것이다. 이 행사에 참여한 페이스북의 파트너사 중 AFP 통신의 캣 바튼(Cat Barton)도 “뉴스 미디어가 정보의 사실 확인 작업을 수행하는 건 공공 서비스의 일환”이라고 말했다. 진실을 수호하기 위해, 즉 가짜뉴스가 바이러스처럼 ‘사회’에 퍼지는 걸 막기 위해, 자기 이윤을 추구하는 사기업들은 이미 공동체를 이루고 있었다. 그럼 페이스북은 스스로를 공공의 사회 인프라로 생각하고 있을까? 아직 이 질문에 대한 답변은 기다리고 있는 중이다.

지난 한 해 코로나 사태가 우리에게 혹독하게 훈련시킨 것 역시 ‘개인주의로부터의 탈피’였다. 지역 혹은 나라 전체가 공동체 보호를 위해 집안에서 나오지 않는 훈련으로부터 다 같이 서로를 위해 마스크를 쓰는 훈련이 있었다. ‘내가 하기 싫다는데 왜 억지로 시키냐’고 행패를 부리며 심하게 개인주의에 입각한 권리를 주장하던 사람들은 모조리 뉴스거리로 소모가 됐다. 마스크가 싫다고, 집안에 있는 게 싫다고 시위를 하던 미국과 유럽 시민들의 행태를 보고 선진국 별거 없다고 혀를 차기도 했었다.

그러더니 백신이 하나 둘 나오면서 이 훈련은 더 격화될 조짐을 보이고 있다. 개인 면역이 아니라 ‘집단 면역’이 중요한 포인트가 되며 “백신을 맞으라”는 설득이 여러 가지 모양으로 이어지고 있다. 어떤 회사에서는 백신을 맞는 사람에게 특별 보너스를 약속하기도 하고, 저명한 질병 전문가는 연일 TV에 나와 백신 접종의 중요성을 강조하고 있다. CNN과 같은 뉴스는 백신을 맞아야 한다는 논조의 기사를 하루에도 몇 개씩 내놓는다. 그러면서 백신을 맞지 않겠다는 사람들과 음모론 신봉자들을 은근히 겹쳐서 묘사하기도 한다. 백신 여권이라는 것도 나오고 있다. 백신을 맞지 않겠다고 결정할 권리라는 것이 공동체 우선주의에 점점 흐려지고 있다.

지난 한 10년 동안 대중들에게 가장 인기 높고 유명한 철학자가 공리주의자인 마이클 샌델(Michael Sandel) 교수라는 것도, 20년 전 이스포츠라는 분야를 탄생시킨 게임은 1:1 기반의 스타크래프트였지만 코로나에 힘입어 이스포츠가 최고의 전성기를 누리는 지금의 중심 게임은 5:5 기반의 리그 오브 레전드라는 것도 심상치 않다면 지나친 걸까.

뭐, 이번 주의 미얀마 쿠데타처럼 하루아침에 개인주의가 사라지고 우리 모두 애국심과 애사심 넘치는 공리주의의 사람으로 개조되어야 할 일은 없을 것이다. 하지만 지금도 이어지고 있는 ‘코로나 훈련’ 때문에 나 자신을 넘어 점점 전체를 고려하는 감정 분출과 생활 방식이 느리지 않게 장착되고 있다. 이후 자리를 잡을 것이 공리주의가 될지 전체주의가 될지, 아니면 전에 없었던 새로운 뭔가가 될지는 알 수가 없다. 하지만 보안은 확실히 힘을 얻을 것이다. 강제적인 수칙이 되느냐, 문화로서 자리 잡을 기본 소양이 되느냐를 선택할 수 있기를 바랄 뿐이다.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)