보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

[기자수첩] 보안은 ‘이슈’가 아니라 ‘이후’다

  |  입력 : 2020-10-16 18:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
매섭게 댓글 다시면 이렇게 기자수첩을 빙자한 반성문 써 dream

[보안뉴스 문가용 기자] “아니, 기사를 이 따위로 쓰면 어떻게 합니까?” 얼마 전 기사에 달린 댓글이다. 아이폰과 아이패드에서 복사 후 붙여넣기를 하면 데이터가 유출될 수 있다는 보안 전문가들의 연구 결과에 대한 기사였고, 독자께서는 ‘데이터 유출의 불안감을 계속 가지고 살 수 없으니 대책까지도 알려줘야지 문제만 알려주면 어떻게 하느냐’고 항의를 하고 있었다.

[이미지 = utoimage]


맞는 지적이었다. 변명을 하자면 당시(올해 2월) 문제가 됐던 부분은 애플에서 iOS를 만지고 고쳐야 해결이 되는 것이었고, 그나마도 애플 측은 문제를 인정하지 않는 분위기였다. 사용자들 편에서는 딱히 손을 쓸 수 있는 게 없었다. 기자가 본 외신이나 보고서, SNS에서는 그 어떤 전문가들도 사용자 편에서 해야 할 일을 알려주지 않았다. 하다못해 ‘당분간 ’복붙‘을 하지 않는 게 안전하다’는 주의의 말 한 줄도 찾을 수 없었고, 따라서 기사에 넣을 수 없었다.

하지만 이 댓글을 그냥 지나칠 수 없었던 건 당시 그 기사를 준비하면서 ‘그래서 사용자는 어떻게 해야 해?’라고 스스로 궁금했던 기억이 없었기 때문이다. 설사 기사로 나타나는 결과가 같았을지라도(즉 사용자가 스스로를 보호하기 위해 할 수 있는 일을 끝내 찾지 못했더라도), 그걸 대신 궁금해 하고 답을 더 찾아봤다면 댓글을 읽고 떳떳했을 것이다. 아침마다 기사를 쓰기 전에 앉아 ‘오늘도 월급이 아니라 공익을 위해 쓰게 하소서’라고 다짐하는 내 자신이 덜 부끄러웠을 것이다.

그러고 보니 언젠가 한 교수님이 인터뷰를 하면서 대차게 기자를 혼내기도 하셨다. 보안산업 전체를 어루만지는 매체들이 취약점 소식만 올리는 게 맞는지 살피라는 내용이었다. 그 때는 할 말이 나름 있었다. 취약점 소식을 알려주는 것 - 보통은 패치와 함께 올라오니까 - 이야말로 사용자들이 직접 보안에 참여하도록 유도할 수 있는 방법이라고 믿고 있었기 때문이다. 패치 튜즈데이만 되면 써야할 기사가 너무 많아 허덕이던 때이기도 했다.

매체들이 요즘 괄시를 받는 가장 큰 이유와, 위에 언급한 댓글과 인터뷰를 통해 기자가 개인적으로 얻었던 가르침은 같은 맥락에 서 있다. 고발이든 정보 전달이든, 기사는 공익을 지향해야 한다는 것이다. 그걸 놓칠 때 매체는 생명력을 잃고 무가치한 공해로 전락한다(혹은 했다). 그리고 그 공익이란 건 보안 분야의 기자의 경우 ‘결국 사용자가 개인적으로 할 수 있는 보호책은 무엇인가’를 궁극적으로 물어 답을 찾는 것이다. 그것이 패치이든, 비밀번호 변경이든, 새 장비 구입이든, 민원을 하나라도 더 넣는 것이든, 불매를 하는 것이든 말이다.

전문 지식 없는 상태에서 대 IT 시대에 돌입하고 있는 일반 사용자 개개인의 시각에서 공익성을 추구해야 하는 건 보안업계도 마찬가지다. 꽤나 오랜 시간 IT 분야 베스트셀러 자리를 차지했던 <키워드로 정리하는 정보보안 119>의 저자 문광석 씨도 기자와의 인터뷰에서 “보안에 대해 알려준다는 건 문제의 대응방안까지 함께 전달하는 것”이라고 강조했었다. 보안은 전문가들끼리 향유하는 그들만의 리그가 아니라는 것이다.

이런 점을 잘 기억하고 있는 전문가 혹은 보안 매체들은 보고서만 봐도 티가 난다. 일반 사용자들에게 가야 할 정보라면 일반인들 수준에 맞는 대응책들이 언급된다. 보안 전문가들에게 가야 할 정보라면 침해지표가 나열된다. 또한 3개월, 6개월 혹은 1년 뒤 후속 보고서가 나온다. 그 때 지적했던 문제가 지금은 이렇게 변했으니 이번엔 이렇게 저렇게 대응책을 마련하고 조심하라는 메시지를, 모두가 잊고 있던 시점에 다시 한 번 내는 것이다(물론 관련 제품을 만드는 곳이라서 장기 마케팅의 일환으로써 그런 끈질김을 보여줄 수도 있지만 본디 어디나 까마귀 한 마리쯤 섞여드는 법 아닌가).

해커 혹은 해킹이라는 단어가 주는 주목도 때문에라도 보안은 ‘이슈’로 소비되기가 대단히 좋은 분야다. 어떤 기업이 해커 때문에 데이터를 이만큼 잃었고 벌금을 이 정도로 냈다더라 하는 소식, 어떤 기업이나 정부기관이 사용자 데이터를 몰래 팔았다더라 하는 소식, 여기에 혀 끌끌 반주까지 넣어주면 이슈의 완성이다. 방금 그 소식을 딱 그 선까지 전하고 소비한 사람들은 그 옛날 가십의 중심지였던 빨래터의 아낙들과 다름이 없다. 이 이슈들에는 보안과의 희미한 연결성만 있지 정작 있어야 할 보안은 없기 때문이다.

대신 벌금까지 낸 기업, 혹은 찜찜한 짓거리를 등 뒤에서 하다가 대서특필 된 조직의 고객/사용자라면 이러한 사고 이후에 비밀번호를 바꿔야 한다든가, 대체할 만한 플랫폼을 찾아야 한다는 조언을 붙이는 게 보안이다. 그 조직의 과거 행적을 통해 이후에 어떤 부분을 보완해야 할지 개인 블로그에 의견 개진이라도 할 수 있어야 한다. 물론 이 때 ‘내 그럴 줄 알았어’는 전문성 높은 예측도 아니고 ‘그러게 보안을 강화했어야지’라는 방대 오묘한 말은 아무런 도움도 되지 않는다.

사고 전 보안은 아무도 모르게 선행을 하는 키다리 아저씨다. 가장 멋있을 때다. 그러나 키다리 아저씨가 현실세계에 별로 없듯이 사전 예방을 완벽히 수행하는 보안은 드물다. 보안이 스포트라이트를 다 차지하는 건 사고 후의 일이다. 심지어 그 스포트라이트에는 불명예와 맹비판이 가득한 것이 보통이다. 이를 역전시키는 딱 하나의 방법은 사건 이후로 관심을 옮기는 것이다. 즉, 두 번째 같은 사고가 터지는 걸 막는 데 주력해야 한다는 것이다. 지금의 이슈성에 매몰되는 게 아니라, 묵묵히 이후를 바라보는 시선이 더 필요하다. 일단 기자부터.
[문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

jane SEO 2020.10.20 13:01

좋은 기사 감사합니다.


황성현 2020.10.16 22:41

좋은 글입니다. 감사합니다


  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북