청소년 보호와 소셜미디어의 관리 문제부터 지나치게 빠르게 소모되는 유행어까지
[보안뉴스 문가용 기자] 여러 가지 대형 사고들이 발생했던 2024년이 저물었다. 2025년이 빠르게 다가온 것. 모든 해가 그렇듯 2025년 역시 전년도에 있었던 일에 깊은 영향을 받을 수밖에 없을 것이고, 따라서 미래 예지 능력이 결여된 인간이지만 다음 해에 있을 일들을 어느 정도 예측하는 게 불가능한 건 아니다. 2025년, 사이버 보안 업계에는 어떤 일이 일어날까? 2,0,2,5라는 숫자에 맞춰 네 가지 현상을 예상해 보았다.
2 : 20세 미만 청소년들
2025년에는 청소년들을 지키기 위한 움직임이 세계 곳곳에서 본격화 될 것으로 예상된다. 특히 소셜미디어를 이전보다 엄격하게 관리하려는 움직임이 눈에 띌 것이다. 이미 2024년 호주에서 대담한 정책이 마련됐는데, 바로 16세 이하 청소년들이 소셜미디어를 사용하지 못하도록 하는 것이다. 이미 관련 법안이 통과됐다. 소셜미디어가 청소년들의 정신 건강에 해롭다는 연구 결과가 나온 것은 벌써 수년 전이지만 법으로 소셜미디어의 사용을 금지시키려는 시도가 정식으로 자리를 잡는 건 처음이다. 다른 나라들이 호주의 뒤를 이어 소셜미디어의 사용에 비슷한 제한을 둘까? 2025년에는 이 질문에 대한 답이 어느 정도 윤곽을 잡을 것으로 보인다.
[이미지 = gettyimagesbank]
만약 어떤 나라에서건 호주의 뒤를 좇는다고 한다면, 그건 유럽연합 내 국가가 될 수 있을 것으로 예상한다. 왜냐하면 유럽은 그 무엇보다 온라인 공간에서 자행되는 청소년 대상 성범죄를 몰아내는 데에 혈안이 되어 있는 지역이기 때문이다. 유럽연합이 근절시키고자 하는 온라인 공간에서의 성범죄란, 아동 성 착취물을 다크웹이나 소셜미디어, 메신저 플랫폼 등에서 거래하는 것을 주로 의미한다. 아동이 등장하는 포르노물을 유통하는 자들과 조직들이 생각보다 많으며, 이런 암적 존재들은 다크웹이나 사설 채팅 채널에서만 활동하지 않는다. 대형 소셜미디어 플랫폼에서도 버젓이 돌아다니고 있다.
자기들도 자신들이 사고파는 그 물건들이 불법이고 떳떳하지 못한 거라는 걸 알 텐데, 왜 소셜미디어에까지 진출해 있을까? 새로운 아동 피해자들을 계속해서 물색하기 위해서다. 아동과 청소년들이 다크웹에 바글바글 모여 있지는 않으니, 새로운 피해자를 발굴하려면 요즘 청소년들 사이에서 인기가 높은 소셜미디어에서 활동하는 게 필수적이다. 이 음흉한 어른들은 소셜미디어를 돌아다니며 어린 아이 프로필들이 걸린 계정을 찾아내고, 그러한 계정의 주인에게 서서히 접근한다. 그리고 신뢰 관계를 형성하여, 결국 그 청소년이 자기에게 의존하게 만든다.
이렇게 피해자에게 서서히 접근하여 자기에게 심리적으로 종속되게 만든 다음 각종 어려운 요구를 함으로써 추가 범죄의 피해자가 되도록 만드는 것을 ‘그루밍’이라고 한다. 최근 유럽에서는 이 온라인 그루밍 범죄 행위가 심각한 속도로 증가하고 있어 사회적 문제가 되고 있기도 하다. 영국에서 조사한 바에 따르면 지난 6년 동안 온라인 그루밍이 89% 증가했다고 하며, 대부분이 소셜미디어에서 이뤄지고 있다고 한다. 특히 스냅챗이라는 대형 소셜미디어 플랫폼에서 이런 일들이 가장 많이 일어나는 것으로 집계되기도 했다. 그 뒤를 이어 왓츠앱, 페이스북 메신저, 인스타그램, 킥이 순서대로 위험한 것으로 조사됐다.
물론 그루밍 범죄는 청소년만을 대상으로 하지 않는다. 심리적으로 취약한 성인에게 접근해 ‘온라인 연인 관계’를 맺어, 피해자가 공격자의 모든 요구에 복종하게 만드는 로맨틱 스캠도 큰 틀에서는 그루밍 범죄에 속한다. 멘토와 멘티의 관계를 맺은 상황에서 범죄가 일어나는 일도 굉장히 흔하다. 하지만 청소년이 피해자일 때 그루밍 범죄가 특히 심각한 건, 청소년의 경우 스스로를 구제하는 방법을 모르고 있을 때가 많고, 부모나 교사에게 도움을 요청하다가 ‘혼나는 것’을 더 무서워 할 나이이기 때문이다. 호주에서처럼 청소년이 소셜미디어에서 사라지게 된다면 청소년 그루밍 피해자가 지금보다 줄어들 가능성이 높다.
하지만 ‘소셜미디어가 청소년의 정신 건강에 좋지 않다’고 했을 때는 주로 소셜미디어가 갖는 중독성이나, 다른 사람과 스스로를 반복적으로 비교하면서 생기는 좌절감 및 패배감으로 인한 무기력증과 우울증을 이야기하는 게 대부분이다. 테크 기업들도 이를 알고서 아동이나 청소년 사용자들을 위한 안전 장치들을 마련하거나, 마련할 것을 정부 기관들과 약속하고 있다. 하지만 호주 정부는 그 약속이 이행되기까지 기다릴 수 없다며 아예 금지법을 선포하게 된 것이다. 덩달아 그루밍 문제도 어느 정도 해결할 수 있게 되었다.
일각에서는 호주의 이 강력한 법이 사실 별다른 효과를 내지 못할 것이라고 예상하고 있기도 하다. 청소년들은 어느 세대나, 어느 지역, 어느 나라에서나 자신들에게 부과된 금지령을 어떻게 해서든 우회해 왔기 때문이다. 심지어 북한에서조차 청소년들이 한국 드라마를 보고 가요를 듣는다고 하니, 청소년들이 가지고 있는 ‘규제 위반 능력’이 호주에서도 보고될 가능성이 높아 보인다. 정부가 금지령을 내려도 청소년들은 어떤 방법이라도 동원해 소셜미디어에 접속할 것이라고 전문가들은 예상하고 있고, 이게 현실로 나타난다면 많은 나라들이 호주의 전철을 밟지 않기 위해 더 철저하게 소셜미디어 금지령을 준비하거나 아예 포기할 것으로 보인다.
0 : 비교적 저렴한
보안 솔루션들이 공통적으로 가진 ‘오명’이자 ‘악명’은 크게 두 가지다. 하나는 ‘설치해도 해커를 막지 못한다’는 것이고, 다른 하나는 ‘비싸다’는 것이다. 사이버 공격자들은 실제로 자신들의 목적을 달성하기 위해 보안 솔루션을 곧잘 무력화시킨 후 뚫어내거나 아예 바보로 만들면서 따돌리기도 한다. 큰 마음 먹고 보안에 투자를 해 여러 솔루션을 설치했는데도 해킹 공격을 허용하는 사례는 쉽게 찾을 수 있으며, 이런 경험을 해본 사용자들은 보안 솔루션을 신뢰하기가 힘든 상태가 된다.
[이미지 = gettyimagesbank]
하지만 이건 일반화의 오류에 가깝다. 보안 솔루션들이 성공적으로 막아내는 공격의 횟수가, 방어에 실패하는 횟수보다 훨씬 많다. 다만 방어에 성공했을 때마다 ‘나 방어에 성공했으니 알아주세요’라는 내용의 경축 메시지가 뜨지 않을 뿐이다. 하지만 뚫렸거나, 뚫린 상황의 의심될 때에는 반드시 경보를 울려야 하니 결국 사용자 눈에 보이는 건 ‘위험한 상황인 것 같아요’라는 메시지가 거의 대부분이다. 소리 소문 없이 잘 하고 있어서, 상대적으로 잘 못하고 있을 때가 부각되는 것일 뿐 실제로 보안 솔루션이 해커들 앞에서 아무런 힘도 못 쓰는 건 아니다. 오히려 보안 솔루션을 무력화시키는 해커가 있다면 그들이 대단한 것이다.
그렇다면 ‘비싸다’는 것 역시 오해일까? 안타깝지만 이것만큼은 사실이다. 보안 솔루션이나 장비들은 비싸다. 그래서 중소기업들은 현실적으로 사용할 수가 없다. 그런 조직들에 있어 보안은 사치이며, 대기업들끼리만 통하는 대화 주제에 불과하다. 다섯 명 미만 사업장에서 수천만 원에 달하는 보안 통합 솔루션이나 네트워크 보호 장비를 어떻게 구매하여 투자할까. 그런 돈이 있다면 사업 아이템이나 서비스를 개량하고 마케팅하는 데 쓰는 게 더 나을 것이고, 실제로 중소기업 경영진들은 그런 데에 지출하기를 선택한다. 보안 사고에 크게 데여본 사람 소수만이 보안 투자를 아끼지 않는다.
물건이 비싸다는 것 자체는 비판 받을 일이 아니다. 그렇다면 명품은 설 곳이 없어야 마땅하다. 하지만 보안은 명품이어서는 안 된다. 보안이 가진 명제 때문이다. ‘전체의 보안성은 가장 약한 곳의 보안성과 동일하다’는 명제 말이다. 세상에서 가장 좋은 방화벽을 설치하고, 세상에서 가장 고가이면서 가장 최근에 나온 인공지능 기반 백신을 라이선싱 받아서 구축했다고 하더라도, 그 네트워크 구석에 쳐박혀 아무 관심도 받지 못하는 오래된 프린터 한 대 때문에 침해 사고가 일어날 수 있다는 것이 바로 이 명제가 가진 의미다. 이제 모든 것이 서로 연결된 시대에, 혼자서 탄탄하다고 ‘강력한 보안’을 이야기 할 수 없고, 모두가 꼼꼼하게 탄탄해져야만 ‘보안’이라는 게 성립된다. 이건 보안의 특성 중 하나다.
보안 업계도 이를 잘 알고 있다. 심지어 꾸준히 설파하고 있는 보안 강화 전략 중 하나다. ‘서드파티를 점검하시고, 보안이 강력한 곳과만 계약을 맺으세요’라거나, ‘개발자를 노리는 공급망 공격 시도가 이어지고 있으니 개발자들을 대상으로 한 보안 교육이 필요하다’라는 등의 말이 전부 ‘가장 약한 고리를 보완해야 보안이 가능해진다’는 의미를 갖는다. 그렇지만 보안 업체들은 말만 그렇게 했지 가장 약한 고리인 중소기업을 강화하려는 생각을 하지 않고 있었다. 말로는 중소기업도 중요하다고 말하긴 했지만 그들이 시장에 내놓는 물건들의 가격은 그 말과 180도 달랐다. 이율배반의 모습이라고도 할 수 있고, 이것 때문에 보안 솔루션과 장비의 높은 가격은 비판 혹은 비아냥의 표적이 되곤 했다.
그런데 얼마 전부터 변화의 모습이 포착되고 있다. 가격이라는 면에서 보안 업계들이 조금 다른 전략을 취하기 시작한 것이다. 그건 바로 ‘구독형’이다. 구독 형태로 물건이나 서비스를 구매하는 것 자체는 이미 오래 전부터 여러 분야에서 활용되고 있을 정도로 새로울 것 없는 가격 정책인데, 정보 보안 업계에서는 그렇지 않았다. 도리어 프론트엔드부터 백엔드까지 하나의 보안 플랫폼으로 묶어 보호하는 ‘통합 보안 솔루션’이 시장에 다수 존재한다. 이런 통합 보안 솔루션들은 각종 기능과 서비스를 ‘통째로’ 묶어서 판매하는 것이기 때문에 가격이 높을 수밖에 없었고, 당연히 중소기업은 잠재 고객으로 여겨지지도 않고 있다.
하지만 그런 기능들을 잘게 쪼개 독립적인 유료 서비스로 만들어 버리니 자금력이 조금 부족한 사람이라도 필요한 보안 기능만 골라 비교적 저렴하게 사용할 수 있게 됐다. 예를 들어 인공지능 기반 보안 서비스를 구독형으로 이용한다고 했을 때 자동으로 보고서까지 발행되는 것이면 구독료가 좀 더 오르지만, 반대로 보고 기능은 빼고 제안 기능도 빼서 스캔 및 탐색 결과만 화면을 통해 읽어도 충분하다고 한다면 더 싸게 필요한 것만 가져갈 수 있게 된다. 하나 둘 이런 서비스를 내놓는 회사들이 특히 보안 스타트업들 사이에서 눈에 띄고 있다.
2 : 1+1=독점
미국의 바이든 정권은 대기업들이 시장을 독점하지 못하게 하는 데에 노력을 아끼지 않았다. 올해 특히 충격적인 건 구글의 패소라고 할 수 있다. 구글은 검색엔진으로 급부상한 테크 기업으로, 구글이라는 검색엔진은 구글의 가장 기본적인 서비스이자 힘의 원천이라고 할 수 있다. 그런데 미국 사법부는 구글이 시장 내 막대한 영향력을 발휘해 사실상 경쟁자들이 설 곳을 독차지해왔다고 판결을 내렸다. 스마트폰이나 브라우저를 만드는 회사들(애플이나 구글 크롬)에 큰 돈을 지불하고 구글 검색엔진이 ‘디폴트 검색엔진’이 되도록 한 것이 특히 판결에 결정적인 영향을 미쳤다.
[이미지 = gettyimagesbank]
이 판결은 오래된 MS의 악몽을 일깨우기도 했다. 마이크로소프트는 1999년 비슷한 사건에 휘말려 패소한 바 있다. 당시 사법부는 MS가 윈도에 인터넷 익스플로러라는 브라우저를 선탑재시킨 것을 문제 삼았다. 윈도가 가진 막대한 영향력을 통해 브라우저 시장에서 불합리하게 유리한 고지를 선점한 것이라는 게 사법부의 판단이었다. 실제로 당시에는 인터넷 익스플로러가 모든 유망한 경쟁 브라우저들을 물리치고 시장 내 ‘사실상의 유일한’ 브라우저로 군림했었다.
이 두 가지 사건은 법리적으로는 차이가 있을 수 있으나 사실 한 가지 원리를 공유하고 있다. 끼워팔기를 할 때 조심해야 한다는 것이다. 윈도에 인터넷 익스플로러를 끼워팔면 반독점법 위반이 된다. 아이폰에 구글 검색엔진을 끼워팔면 반독점법 위반이 된다. 크롬 브라우저가 구글 검색엔진을 디폴트로 설정한 채 설치되도록 패키징 되면 역시 반독점법 위반이 된다. 이 원리가 모든 제품과 서비스에 똑같이 적용되지는 않을 것이나, 윈도나 아이폰, 크롬 브라우저처럼 각자의 버티컬 내에서 막대한 시장 지분을 차지하고 있는 제품이나 서비스라면 이야기가 달라진다.
미국식 민주주의는 기업이 시장을 독점하는 것을 예민하게 경계한다는 특색을 가지고 있다. 기업이 시장을 독점하면 그 피해가 고스란히 민주주의의 주인인 일반 대중들(즉 소비자와 유권자)에게 돌아가기 때문이다. 그들에게 있어 ‘민주주의 수호’의 상당 부분은 ‘소비자 보호’로 이어진다. 실제로 위의 판결에서 판사들은 빅테크의 과독점 때문에 소비자들이 불필요하게 높은 돈을 지불하고 있었다는 점을 지적하기도 했다. 이는 바이든 정권의 ‘빅테크 잡기’가 트럼프 정권으로도 이어질 수 있다는 걸 의미한다. 둘은 다른 당 출신에 다른 성향을 가지고 있지만 같은 미국식 민주주의 안에서 커왔기 때문에 과독점에 관해서는 비슷한 견해를 가지고 있을 수 있다.
이 때문에 문제가 될 수 있는 건 클라우드 서비스에 보안 기능이 같이 패키징 될 때이다. 클라우드 제공 업체들이 자사 플랫폼에 보안 기능을 하나 둘 추가하면서 요금을 더 받는 일이 대세로 자리를 잡고 있으며, 소비자들 역시 여기에 큰 불만을 갖고 있지 않다. 자기가 사용하는 클라우드에 딱 맞는 보안 서비스를 별도로 찾아 헤매지 않아도 되니까 말이다. 아직 이것이 법원에 심각한 문제로서 다뤄지고 있는 것도 아니다. 하지만 언제까지 지금의 상태가 유지될 거라고 보장할 수는 없다. 특정 클라우드 서비스가 윈도나 아이폰과 같은 영향력을 갖게 된다면, 그 안에 갖춰진 보안 기능들을 두고 누군가는 ‘과독점’이라고 판단할 수 있다.
실제로 보안 업계는 수년 전부터 클라우드 업계에 보안 산업이 통합되는 것 아니냐는 우려의 목소리를 내왔었다. 아직 그런 일이 실제로 벌어지고 있다고 할 수는 없지만, 특정 클라우드 플랫폼을 위한 보안 기능을 개발한 스타트업들은 꾸준히 M&A를 통해 더 큰 보안 업체나 클라우드 업체들로 합병되는 게 보통이다. 클라우드 업체들이야 ‘우리 플랫폼 사용자들을 더 안전히 보호하기 위해 투자하는 것’이라고 설명할 수 있고, 보안 업체들도 ‘인수 합병을 통해 안정적인 자본력을 확보한 뒤 보안 기술 개발에 전념할 수 있다’는 입장이지만, 아무도 불평하지 않는 이런 상황에서 정말로 클라우드 업체로 녹아들어가는 보안 업체들이 늘어나는 것도 사실이다.
2025년에 클라우드 업체가 보안 산업을 꿀꺽 삼켜버릴 가능성은 0이라고 확언할 수 있다. 하지만 이런 소리 소문 없는 ‘보안 업계 잠식’ 현상은 이어질 것이 분명하다. 아직 클라우드는 덜 성숙한 플랫폼이고, 특히 보안 문제에 있어서는 발전의 여지가 많기 때문이다. 이 현상의 끝이 무엇이 될지는 아무도 모른다. 보안이라는 게 ‘클라우드 플랫폼’을 처음부터 상정한 개념으로 개편될 수도 있고, 클라우드 산업에 보안이 종속될 수도 있다. 지금처럼 보안과 클라우드가 독립적으로 공존하는 세상이 끝까지 유지될 가능성도 낮지 않다.
5 : 5래된 신기술
2025년에도 그놈의 ‘버즈워드’가 IT 분야와 보안 분야를 한 동안 들끓게 할 것이다. 2023년에 ‘메타버스’가 그랬듯, 2024년 모든 분야에서 ‘인공지능’이라는 말이 열렬히 소비되었던 것처럼 말이다. 신기술이 등장해 사회적으로 관심을 받는 것은 자연스러운 현상이며, 많은 장점을 가지고 있기도 하다. 하지만 대부분의 경우 기술이 성숙하는 속도가, 대중들이 유행어에 익숙해지고 여기 저기 사용하는 속도를 쫓아갈 수가 없기 때문에 커다란 단점이 생기는 걸 막을 수 없다.
[이미지 = gettyimagesbank]
이 ‘커다란 단점’이란 버즈워드에 익숙해진 사람들이 ‘나는 그 기술을 잘 알고 있다’고 착각하는 것이다. 챗GPT와 인공지능이 막 유행하기 시작했을 때, 프롬프트 창을 몇 번 경험한 것만으로 사용자들은 마치 챗GPT를 오랜 시간 사용해온 것처럼 여기 저기 적용해 쓰기 시작했다. 그러면서 프롬프트에 기업의 각종 민감한 정보와 기밀을 입력하는 실수를 저질렀다. 이런 일들이 빠르게 확산되자 세계의 수많은 기업들이 서둘러 챗GPT의 사용을 금지시키기도 했다.
클라우드는 어떤가? 벌써 수년 째 사람들의 입에 오르내린 이 신기술은 많은 사람들의 인식 속에 벌써 ‘오래된 기술’이다. 클라우드의 원리와 아키텍처는 매우 복잡하고, 갈수록 더 복잡해지면서 성숙해지고 있는데 사용자들은 그렇지 않다. 클라우드에 파일을 보관했다가 필요할 때 어디서든 내려받아 사용하는 편리함을 누린 것만으로 클라우드의 A부터 Z까지를 안다고 생각하고 쉽게 생각한다. 그래서 설정 오류를 남발하고, 일부에게만 공개되어야 할 클라우드 저장소를 전체 공개로 전환시킨다. 그러고 몇 년이 지나도 모를 때가 많다. 그 시간 동안 누가 그 클라우드에 접속해 어떤 데이터를 얼마나 가져갔는지 추적할 수도 없다. 이런 류의 실수는 지금도 꾸준히, 빈도 높게 발생한다.
‘익숙하다’는 느낌은 보안에 있어 가장 경계해야 할 것 중 하나다. 뭔가에 익숙해지는 순간 경계심이 사라지기 때문이다. 회사 네트워크에 십년 동안 접속해 무사고로 업무를 본 사람이, 처음 입사했을 때의 마음 그대로 계정 비밀번호를 설정하고 관리할 가능성이 얼마나 될까? 그 네트워크 내에 저장된 데이터를 자기 개인 장비에 옮기는 데 있어서 거리낌을 느낄 가능성은? 코드 리포지터리 활용에 능숙한 개발자들이 민감 정보를 코드 내에 하드코딩 해 놓고 잊어버리는 것도 어느 정도는 그 ‘익숙함’ 때문이다. 매복하는 자들도 주로 공격 표적이 익숙하게 다니는 길목에 덫을 놓는다.
2024년을 달구었던 ‘인공지능’이라는 단어는 벌써 소비자들에게 식상한 것이 되어버렸다. 모바일 신제품들이 죄다 인공지능을 앞세웠고, 심지어 새로 나온 노트북들도 ‘인공지능 노트북’이라고 광고됐다. 그러면서 소비자들은 인공지능이 써준 문장과, 인공지능이 완성시킨 그림과, 인공지능이 요약한 글들에 감탄할 수 있게 됐다. 그게 인공지능이 가진 잠재력의 전부일리 없는데, 소비자들은 그런 수박 겉핥기 식 신기함에 놀라고, 극소수만을 제외하고는 이제 더 이상 인공지능을 진지하게 활용하지 않는다. 머리로는 인공지능이 덜 성숙한 기술이라는 걸 알지만, 심리적으로는 이미 익숙해졌다.
아직 익숙해지면 안 된다. 인공지능과 관련된 보안 난제들은 아직 산적해 있기 때문이다. 인공지능 모델을 훈련시키기 위해 사용한 데이터들을 개발사들은 어디서 구했을까? 인공지능을 개발한다는 유명 회사들 중 이 ‘훈련 데이터’를 제대로 공개한 곳은 한 곳도 없다. 인공지능 프롬프트에 입력되는 정보는 어디로 가서 어떻게 저장되는 걸까? 이 역시 우리는 속시원히 답을 알지 못한다. 인공지능은 어떤 논리로 답을 도출하는 걸까? 아직 이를 설명할 방법을 인류는 가지고 있지 않다. 그렇기 때문에 인공지능이 낸 답을 우리는 신뢰하기 힘들고, 상상하기 힘든 인공지능 공략법이 이따금씩 등장하기도 한다. 가야할 길은 구만리가 넘는데, 버즈워드로서 소비 속도가 너무 빨라 우리는 벌써 주저앉고 싶다는 게 문제다.
2025년에는 어떤 버즈워드가 등장하게 될까? 여전히 인공지능일까? 아니면 뭔가 새로운 것이 혜성처럼 나타날까? 무엇이 됐든 우리 안의 경계심을 필요 이상으로 흐트러트릴 것이 분명해 보이고, 그러면서 여러 보안 사고들이 터질 것으로 예상된다.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 여러 가지 대형 사고들이 발생했던 2024년이 저물었다. 2025년이 빠르게 다가온 것. 모든 해가 그렇듯 2025년 역시 전년도에 있었던 일에 깊은 영향을 받을 수밖에 없을 것이고, 따라서 미래 예지 능력이 결여된 인간이지만 다음 해에 있을 일들을 어느 정도 예측하는 게 불가능한 건 아니다. 2025년, 사이버 보안 업계에는 어떤 일이 일어날까? 2,0,2,5라는 숫자에 맞춰 네 가지 현상을 예상해 보았다.
2 : 20세 미만 청소년들
2025년에는 청소년들을 지키기 위한 움직임이 세계 곳곳에서 본격화 될 것으로 예상된다. 특히 소셜미디어를 이전보다 엄격하게 관리하려는 움직임이 눈에 띌 것이다. 이미 2024년 호주에서 대담한 정책이 마련됐는데, 바로 16세 이하 청소년들이 소셜미디어를 사용하지 못하도록 하는 것이다. 이미 관련 법안이 통과됐다. 소셜미디어가 청소년들의 정신 건강에 해롭다는 연구 결과가 나온 것은 벌써 수년 전이지만 법으로 소셜미디어의 사용을 금지시키려는 시도가 정식으로 자리를 잡는 건 처음이다. 다른 나라들이 호주의 뒤를 이어 소셜미디어의 사용에 비슷한 제한을 둘까? 2025년에는 이 질문에 대한 답이 어느 정도 윤곽을 잡을 것으로 보인다.
[이미지 = gettyimagesbank]
만약 어떤 나라에서건 호주의 뒤를 좇는다고 한다면, 그건 유럽연합 내 국가가 될 수 있을 것으로 예상한다. 왜냐하면 유럽은 그 무엇보다 온라인 공간에서 자행되는 청소년 대상 성범죄를 몰아내는 데에 혈안이 되어 있는 지역이기 때문이다. 유럽연합이 근절시키고자 하는 온라인 공간에서의 성범죄란, 아동 성 착취물을 다크웹이나 소셜미디어, 메신저 플랫폼 등에서 거래하는 것을 주로 의미한다. 아동이 등장하는 포르노물을 유통하는 자들과 조직들이 생각보다 많으며, 이런 암적 존재들은 다크웹이나 사설 채팅 채널에서만 활동하지 않는다. 대형 소셜미디어 플랫폼에서도 버젓이 돌아다니고 있다.
자기들도 자신들이 사고파는 그 물건들이 불법이고 떳떳하지 못한 거라는 걸 알 텐데, 왜 소셜미디어에까지 진출해 있을까? 새로운 아동 피해자들을 계속해서 물색하기 위해서다. 아동과 청소년들이 다크웹에 바글바글 모여 있지는 않으니, 새로운 피해자를 발굴하려면 요즘 청소년들 사이에서 인기가 높은 소셜미디어에서 활동하는 게 필수적이다. 이 음흉한 어른들은 소셜미디어를 돌아다니며 어린 아이 프로필들이 걸린 계정을 찾아내고, 그러한 계정의 주인에게 서서히 접근한다. 그리고 신뢰 관계를 형성하여, 결국 그 청소년이 자기에게 의존하게 만든다.
이렇게 피해자에게 서서히 접근하여 자기에게 심리적으로 종속되게 만든 다음 각종 어려운 요구를 함으로써 추가 범죄의 피해자가 되도록 만드는 것을 ‘그루밍’이라고 한다. 최근 유럽에서는 이 온라인 그루밍 범죄 행위가 심각한 속도로 증가하고 있어 사회적 문제가 되고 있기도 하다. 영국에서 조사한 바에 따르면 지난 6년 동안 온라인 그루밍이 89% 증가했다고 하며, 대부분이 소셜미디어에서 이뤄지고 있다고 한다. 특히 스냅챗이라는 대형 소셜미디어 플랫폼에서 이런 일들이 가장 많이 일어나는 것으로 집계되기도 했다. 그 뒤를 이어 왓츠앱, 페이스북 메신저, 인스타그램, 킥이 순서대로 위험한 것으로 조사됐다.
물론 그루밍 범죄는 청소년만을 대상으로 하지 않는다. 심리적으로 취약한 성인에게 접근해 ‘온라인 연인 관계’를 맺어, 피해자가 공격자의 모든 요구에 복종하게 만드는 로맨틱 스캠도 큰 틀에서는 그루밍 범죄에 속한다. 멘토와 멘티의 관계를 맺은 상황에서 범죄가 일어나는 일도 굉장히 흔하다. 하지만 청소년이 피해자일 때 그루밍 범죄가 특히 심각한 건, 청소년의 경우 스스로를 구제하는 방법을 모르고 있을 때가 많고, 부모나 교사에게 도움을 요청하다가 ‘혼나는 것’을 더 무서워 할 나이이기 때문이다. 호주에서처럼 청소년이 소셜미디어에서 사라지게 된다면 청소년 그루밍 피해자가 지금보다 줄어들 가능성이 높다.
하지만 ‘소셜미디어가 청소년의 정신 건강에 좋지 않다’고 했을 때는 주로 소셜미디어가 갖는 중독성이나, 다른 사람과 스스로를 반복적으로 비교하면서 생기는 좌절감 및 패배감으로 인한 무기력증과 우울증을 이야기하는 게 대부분이다. 테크 기업들도 이를 알고서 아동이나 청소년 사용자들을 위한 안전 장치들을 마련하거나, 마련할 것을 정부 기관들과 약속하고 있다. 하지만 호주 정부는 그 약속이 이행되기까지 기다릴 수 없다며 아예 금지법을 선포하게 된 것이다. 덩달아 그루밍 문제도 어느 정도 해결할 수 있게 되었다.
일각에서는 호주의 이 강력한 법이 사실 별다른 효과를 내지 못할 것이라고 예상하고 있기도 하다. 청소년들은 어느 세대나, 어느 지역, 어느 나라에서나 자신들에게 부과된 금지령을 어떻게 해서든 우회해 왔기 때문이다. 심지어 북한에서조차 청소년들이 한국 드라마를 보고 가요를 듣는다고 하니, 청소년들이 가지고 있는 ‘규제 위반 능력’이 호주에서도 보고될 가능성이 높아 보인다. 정부가 금지령을 내려도 청소년들은 어떤 방법이라도 동원해 소셜미디어에 접속할 것이라고 전문가들은 예상하고 있고, 이게 현실로 나타난다면 많은 나라들이 호주의 전철을 밟지 않기 위해 더 철저하게 소셜미디어 금지령을 준비하거나 아예 포기할 것으로 보인다.
0 : 비교적 저렴한
보안 솔루션들이 공통적으로 가진 ‘오명’이자 ‘악명’은 크게 두 가지다. 하나는 ‘설치해도 해커를 막지 못한다’는 것이고, 다른 하나는 ‘비싸다’는 것이다. 사이버 공격자들은 실제로 자신들의 목적을 달성하기 위해 보안 솔루션을 곧잘 무력화시킨 후 뚫어내거나 아예 바보로 만들면서 따돌리기도 한다. 큰 마음 먹고 보안에 투자를 해 여러 솔루션을 설치했는데도 해킹 공격을 허용하는 사례는 쉽게 찾을 수 있으며, 이런 경험을 해본 사용자들은 보안 솔루션을 신뢰하기가 힘든 상태가 된다.
[이미지 = gettyimagesbank]
하지만 이건 일반화의 오류에 가깝다. 보안 솔루션들이 성공적으로 막아내는 공격의 횟수가, 방어에 실패하는 횟수보다 훨씬 많다. 다만 방어에 성공했을 때마다 ‘나 방어에 성공했으니 알아주세요’라는 내용의 경축 메시지가 뜨지 않을 뿐이다. 하지만 뚫렸거나, 뚫린 상황의 의심될 때에는 반드시 경보를 울려야 하니 결국 사용자 눈에 보이는 건 ‘위험한 상황인 것 같아요’라는 메시지가 거의 대부분이다. 소리 소문 없이 잘 하고 있어서, 상대적으로 잘 못하고 있을 때가 부각되는 것일 뿐 실제로 보안 솔루션이 해커들 앞에서 아무런 힘도 못 쓰는 건 아니다. 오히려 보안 솔루션을 무력화시키는 해커가 있다면 그들이 대단한 것이다.
그렇다면 ‘비싸다’는 것 역시 오해일까? 안타깝지만 이것만큼은 사실이다. 보안 솔루션이나 장비들은 비싸다. 그래서 중소기업들은 현실적으로 사용할 수가 없다. 그런 조직들에 있어 보안은 사치이며, 대기업들끼리만 통하는 대화 주제에 불과하다. 다섯 명 미만 사업장에서 수천만 원에 달하는 보안 통합 솔루션이나 네트워크 보호 장비를 어떻게 구매하여 투자할까. 그런 돈이 있다면 사업 아이템이나 서비스를 개량하고 마케팅하는 데 쓰는 게 더 나을 것이고, 실제로 중소기업 경영진들은 그런 데에 지출하기를 선택한다. 보안 사고에 크게 데여본 사람 소수만이 보안 투자를 아끼지 않는다.
물건이 비싸다는 것 자체는 비판 받을 일이 아니다. 그렇다면 명품은 설 곳이 없어야 마땅하다. 하지만 보안은 명품이어서는 안 된다. 보안이 가진 명제 때문이다. ‘전체의 보안성은 가장 약한 곳의 보안성과 동일하다’는 명제 말이다. 세상에서 가장 좋은 방화벽을 설치하고, 세상에서 가장 고가이면서 가장 최근에 나온 인공지능 기반 백신을 라이선싱 받아서 구축했다고 하더라도, 그 네트워크 구석에 쳐박혀 아무 관심도 받지 못하는 오래된 프린터 한 대 때문에 침해 사고가 일어날 수 있다는 것이 바로 이 명제가 가진 의미다. 이제 모든 것이 서로 연결된 시대에, 혼자서 탄탄하다고 ‘강력한 보안’을 이야기 할 수 없고, 모두가 꼼꼼하게 탄탄해져야만 ‘보안’이라는 게 성립된다. 이건 보안의 특성 중 하나다.
보안 업계도 이를 잘 알고 있다. 심지어 꾸준히 설파하고 있는 보안 강화 전략 중 하나다. ‘서드파티를 점검하시고, 보안이 강력한 곳과만 계약을 맺으세요’라거나, ‘개발자를 노리는 공급망 공격 시도가 이어지고 있으니 개발자들을 대상으로 한 보안 교육이 필요하다’라는 등의 말이 전부 ‘가장 약한 고리를 보완해야 보안이 가능해진다’는 의미를 갖는다. 그렇지만 보안 업체들은 말만 그렇게 했지 가장 약한 고리인 중소기업을 강화하려는 생각을 하지 않고 있었다. 말로는 중소기업도 중요하다고 말하긴 했지만 그들이 시장에 내놓는 물건들의 가격은 그 말과 180도 달랐다. 이율배반의 모습이라고도 할 수 있고, 이것 때문에 보안 솔루션과 장비의 높은 가격은 비판 혹은 비아냥의 표적이 되곤 했다.
그런데 얼마 전부터 변화의 모습이 포착되고 있다. 가격이라는 면에서 보안 업계들이 조금 다른 전략을 취하기 시작한 것이다. 그건 바로 ‘구독형’이다. 구독 형태로 물건이나 서비스를 구매하는 것 자체는 이미 오래 전부터 여러 분야에서 활용되고 있을 정도로 새로울 것 없는 가격 정책인데, 정보 보안 업계에서는 그렇지 않았다. 도리어 프론트엔드부터 백엔드까지 하나의 보안 플랫폼으로 묶어 보호하는 ‘통합 보안 솔루션’이 시장에 다수 존재한다. 이런 통합 보안 솔루션들은 각종 기능과 서비스를 ‘통째로’ 묶어서 판매하는 것이기 때문에 가격이 높을 수밖에 없었고, 당연히 중소기업은 잠재 고객으로 여겨지지도 않고 있다.
하지만 그런 기능들을 잘게 쪼개 독립적인 유료 서비스로 만들어 버리니 자금력이 조금 부족한 사람이라도 필요한 보안 기능만 골라 비교적 저렴하게 사용할 수 있게 됐다. 예를 들어 인공지능 기반 보안 서비스를 구독형으로 이용한다고 했을 때 자동으로 보고서까지 발행되는 것이면 구독료가 좀 더 오르지만, 반대로 보고 기능은 빼고 제안 기능도 빼서 스캔 및 탐색 결과만 화면을 통해 읽어도 충분하다고 한다면 더 싸게 필요한 것만 가져갈 수 있게 된다. 하나 둘 이런 서비스를 내놓는 회사들이 특히 보안 스타트업들 사이에서 눈에 띄고 있다.
2 : 1+1=독점
미국의 바이든 정권은 대기업들이 시장을 독점하지 못하게 하는 데에 노력을 아끼지 않았다. 올해 특히 충격적인 건 구글의 패소라고 할 수 있다. 구글은 검색엔진으로 급부상한 테크 기업으로, 구글이라는 검색엔진은 구글의 가장 기본적인 서비스이자 힘의 원천이라고 할 수 있다. 그런데 미국 사법부는 구글이 시장 내 막대한 영향력을 발휘해 사실상 경쟁자들이 설 곳을 독차지해왔다고 판결을 내렸다. 스마트폰이나 브라우저를 만드는 회사들(애플이나 구글 크롬)에 큰 돈을 지불하고 구글 검색엔진이 ‘디폴트 검색엔진’이 되도록 한 것이 특히 판결에 결정적인 영향을 미쳤다.
[이미지 = gettyimagesbank]
이 판결은 오래된 MS의 악몽을 일깨우기도 했다. 마이크로소프트는 1999년 비슷한 사건에 휘말려 패소한 바 있다. 당시 사법부는 MS가 윈도에 인터넷 익스플로러라는 브라우저를 선탑재시킨 것을 문제 삼았다. 윈도가 가진 막대한 영향력을 통해 브라우저 시장에서 불합리하게 유리한 고지를 선점한 것이라는 게 사법부의 판단이었다. 실제로 당시에는 인터넷 익스플로러가 모든 유망한 경쟁 브라우저들을 물리치고 시장 내 ‘사실상의 유일한’ 브라우저로 군림했었다.
이 두 가지 사건은 법리적으로는 차이가 있을 수 있으나 사실 한 가지 원리를 공유하고 있다. 끼워팔기를 할 때 조심해야 한다는 것이다. 윈도에 인터넷 익스플로러를 끼워팔면 반독점법 위반이 된다. 아이폰에 구글 검색엔진을 끼워팔면 반독점법 위반이 된다. 크롬 브라우저가 구글 검색엔진을 디폴트로 설정한 채 설치되도록 패키징 되면 역시 반독점법 위반이 된다. 이 원리가 모든 제품과 서비스에 똑같이 적용되지는 않을 것이나, 윈도나 아이폰, 크롬 브라우저처럼 각자의 버티컬 내에서 막대한 시장 지분을 차지하고 있는 제품이나 서비스라면 이야기가 달라진다.
미국식 민주주의는 기업이 시장을 독점하는 것을 예민하게 경계한다는 특색을 가지고 있다. 기업이 시장을 독점하면 그 피해가 고스란히 민주주의의 주인인 일반 대중들(즉 소비자와 유권자)에게 돌아가기 때문이다. 그들에게 있어 ‘민주주의 수호’의 상당 부분은 ‘소비자 보호’로 이어진다. 실제로 위의 판결에서 판사들은 빅테크의 과독점 때문에 소비자들이 불필요하게 높은 돈을 지불하고 있었다는 점을 지적하기도 했다. 이는 바이든 정권의 ‘빅테크 잡기’가 트럼프 정권으로도 이어질 수 있다는 걸 의미한다. 둘은 다른 당 출신에 다른 성향을 가지고 있지만 같은 미국식 민주주의 안에서 커왔기 때문에 과독점에 관해서는 비슷한 견해를 가지고 있을 수 있다.
이 때문에 문제가 될 수 있는 건 클라우드 서비스에 보안 기능이 같이 패키징 될 때이다. 클라우드 제공 업체들이 자사 플랫폼에 보안 기능을 하나 둘 추가하면서 요금을 더 받는 일이 대세로 자리를 잡고 있으며, 소비자들 역시 여기에 큰 불만을 갖고 있지 않다. 자기가 사용하는 클라우드에 딱 맞는 보안 서비스를 별도로 찾아 헤매지 않아도 되니까 말이다. 아직 이것이 법원에 심각한 문제로서 다뤄지고 있는 것도 아니다. 하지만 언제까지 지금의 상태가 유지될 거라고 보장할 수는 없다. 특정 클라우드 서비스가 윈도나 아이폰과 같은 영향력을 갖게 된다면, 그 안에 갖춰진 보안 기능들을 두고 누군가는 ‘과독점’이라고 판단할 수 있다.
실제로 보안 업계는 수년 전부터 클라우드 업계에 보안 산업이 통합되는 것 아니냐는 우려의 목소리를 내왔었다. 아직 그런 일이 실제로 벌어지고 있다고 할 수는 없지만, 특정 클라우드 플랫폼을 위한 보안 기능을 개발한 스타트업들은 꾸준히 M&A를 통해 더 큰 보안 업체나 클라우드 업체들로 합병되는 게 보통이다. 클라우드 업체들이야 ‘우리 플랫폼 사용자들을 더 안전히 보호하기 위해 투자하는 것’이라고 설명할 수 있고, 보안 업체들도 ‘인수 합병을 통해 안정적인 자본력을 확보한 뒤 보안 기술 개발에 전념할 수 있다’는 입장이지만, 아무도 불평하지 않는 이런 상황에서 정말로 클라우드 업체로 녹아들어가는 보안 업체들이 늘어나는 것도 사실이다.
2025년에 클라우드 업체가 보안 산업을 꿀꺽 삼켜버릴 가능성은 0이라고 확언할 수 있다. 하지만 이런 소리 소문 없는 ‘보안 업계 잠식’ 현상은 이어질 것이 분명하다. 아직 클라우드는 덜 성숙한 플랫폼이고, 특히 보안 문제에 있어서는 발전의 여지가 많기 때문이다. 이 현상의 끝이 무엇이 될지는 아무도 모른다. 보안이라는 게 ‘클라우드 플랫폼’을 처음부터 상정한 개념으로 개편될 수도 있고, 클라우드 산업에 보안이 종속될 수도 있다. 지금처럼 보안과 클라우드가 독립적으로 공존하는 세상이 끝까지 유지될 가능성도 낮지 않다.
5 : 5래된 신기술
2025년에도 그놈의 ‘버즈워드’가 IT 분야와 보안 분야를 한 동안 들끓게 할 것이다. 2023년에 ‘메타버스’가 그랬듯, 2024년 모든 분야에서 ‘인공지능’이라는 말이 열렬히 소비되었던 것처럼 말이다. 신기술이 등장해 사회적으로 관심을 받는 것은 자연스러운 현상이며, 많은 장점을 가지고 있기도 하다. 하지만 대부분의 경우 기술이 성숙하는 속도가, 대중들이 유행어에 익숙해지고 여기 저기 사용하는 속도를 쫓아갈 수가 없기 때문에 커다란 단점이 생기는 걸 막을 수 없다.
[이미지 = gettyimagesbank]
이 ‘커다란 단점’이란 버즈워드에 익숙해진 사람들이 ‘나는 그 기술을 잘 알고 있다’고 착각하는 것이다. 챗GPT와 인공지능이 막 유행하기 시작했을 때, 프롬프트 창을 몇 번 경험한 것만으로 사용자들은 마치 챗GPT를 오랜 시간 사용해온 것처럼 여기 저기 적용해 쓰기 시작했다. 그러면서 프롬프트에 기업의 각종 민감한 정보와 기밀을 입력하는 실수를 저질렀다. 이런 일들이 빠르게 확산되자 세계의 수많은 기업들이 서둘러 챗GPT의 사용을 금지시키기도 했다.
클라우드는 어떤가? 벌써 수년 째 사람들의 입에 오르내린 이 신기술은 많은 사람들의 인식 속에 벌써 ‘오래된 기술’이다. 클라우드의 원리와 아키텍처는 매우 복잡하고, 갈수록 더 복잡해지면서 성숙해지고 있는데 사용자들은 그렇지 않다. 클라우드에 파일을 보관했다가 필요할 때 어디서든 내려받아 사용하는 편리함을 누린 것만으로 클라우드의 A부터 Z까지를 안다고 생각하고 쉽게 생각한다. 그래서 설정 오류를 남발하고, 일부에게만 공개되어야 할 클라우드 저장소를 전체 공개로 전환시킨다. 그러고 몇 년이 지나도 모를 때가 많다. 그 시간 동안 누가 그 클라우드에 접속해 어떤 데이터를 얼마나 가져갔는지 추적할 수도 없다. 이런 류의 실수는 지금도 꾸준히, 빈도 높게 발생한다.
‘익숙하다’는 느낌은 보안에 있어 가장 경계해야 할 것 중 하나다. 뭔가에 익숙해지는 순간 경계심이 사라지기 때문이다. 회사 네트워크에 십년 동안 접속해 무사고로 업무를 본 사람이, 처음 입사했을 때의 마음 그대로 계정 비밀번호를 설정하고 관리할 가능성이 얼마나 될까? 그 네트워크 내에 저장된 데이터를 자기 개인 장비에 옮기는 데 있어서 거리낌을 느낄 가능성은? 코드 리포지터리 활용에 능숙한 개발자들이 민감 정보를 코드 내에 하드코딩 해 놓고 잊어버리는 것도 어느 정도는 그 ‘익숙함’ 때문이다. 매복하는 자들도 주로 공격 표적이 익숙하게 다니는 길목에 덫을 놓는다.
2024년을 달구었던 ‘인공지능’이라는 단어는 벌써 소비자들에게 식상한 것이 되어버렸다. 모바일 신제품들이 죄다 인공지능을 앞세웠고, 심지어 새로 나온 노트북들도 ‘인공지능 노트북’이라고 광고됐다. 그러면서 소비자들은 인공지능이 써준 문장과, 인공지능이 완성시킨 그림과, 인공지능이 요약한 글들에 감탄할 수 있게 됐다. 그게 인공지능이 가진 잠재력의 전부일리 없는데, 소비자들은 그런 수박 겉핥기 식 신기함에 놀라고, 극소수만을 제외하고는 이제 더 이상 인공지능을 진지하게 활용하지 않는다. 머리로는 인공지능이 덜 성숙한 기술이라는 걸 알지만, 심리적으로는 이미 익숙해졌다.
아직 익숙해지면 안 된다. 인공지능과 관련된 보안 난제들은 아직 산적해 있기 때문이다. 인공지능 모델을 훈련시키기 위해 사용한 데이터들을 개발사들은 어디서 구했을까? 인공지능을 개발한다는 유명 회사들 중 이 ‘훈련 데이터’를 제대로 공개한 곳은 한 곳도 없다. 인공지능 프롬프트에 입력되는 정보는 어디로 가서 어떻게 저장되는 걸까? 이 역시 우리는 속시원히 답을 알지 못한다. 인공지능은 어떤 논리로 답을 도출하는 걸까? 아직 이를 설명할 방법을 인류는 가지고 있지 않다. 그렇기 때문에 인공지능이 낸 답을 우리는 신뢰하기 힘들고, 상상하기 힘든 인공지능 공략법이 이따금씩 등장하기도 한다. 가야할 길은 구만리가 넘는데, 버즈워드로서 소비 속도가 너무 빨라 우리는 벌써 주저앉고 싶다는 게 문제다.
2025년에는 어떤 버즈워드가 등장하게 될까? 여전히 인공지능일까? 아니면 뭔가 새로운 것이 혜성처럼 나타날까? 무엇이 됐든 우리 안의 경계심을 필요 이상으로 흐트러트릴 것이 분명해 보이고, 그러면서 여러 보안 사고들이 터질 것으로 예상된다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
