영화 손님, 정보보안 업계 상황의 서늘한 메타포
권한 문제, 솔루션 사용 문제를 넘어 문제의 층위 문제 제기
[보안뉴스 문가용] 지난 CSI 사이버 1편 리뷰 기사를 통해 낮은 평점의 작품을 감히 여기 독자들에게 올리지 않겠노라고 했지만 그 말을 잠깐 외면해야겠다. 7월 9일 개봉작이라 아직 더 지켜봐야 하겠지만 큰 이변이 일어나지 않는 한 네이버 기준 6점대를 넘기 힘들어 보이는 평점의 영화 <손님>을 보고 ‘와, 이건 거의 뭐 현대 사이버전의 메타포네’라는 생각이 들었기 때문이다.
▲ 나야 나, 새로운 솔루션. (출처 : 영화 <손님> 공식 사이트)
일단 영화의 무대가 되는 마을의 오랜 골칫거리가 쥐라는 설정부터가 심상치 않았다. 쥐, 즉 RAT이라 하면 원격조정 트로이목마(Remote Activated Trojan)의 준말로, 이중 원격조정이 가능하다는 건 보통 취약점을 그 중요도에 따라 구분할 때 ‘보통’이나 ‘높음’을 넘어 ‘치명적’으로 분류하게 만드는 특징이다. 내가 내 키보드로 내 컴퓨터를 조정하는 것처럼 누군가 멀리서 다른 키보드로 내 컴퓨터를 조정하는 건 대단히 위험하다는 것이다. 실제로 RAT이 이런 저런 형태로 많은 사이버 공격에 활용되고 있다.
영화 속 쥐가 RAT이라면 마을은 당연히 네트워크다. 모든 네트워크가 그렇듯 이에는 수평관계와 수직관계가 모두 존재한다. 수직관계의 정점에 선 건 촌장, 즉 관리인 혹은 관리인 계정이다. 관리인 계정은 네트워크 구성에 있어 필요불가결의 요소이지만, 동시에 많은 문제의 진원지이기도 하다. 관리인 계정을 훔친 해커의 사례는 이미 책을 몇 권 써도 될 만큼 수두룩하고, 관리인 계정을 알게 모르게 모두가 공유해서 나눠 쓰는 일반 사용자 간 업무환경에서의 실태 역시 산더미 같다.
영화는 다행히 관리자 계정의 모든 문제들을 다 담으려 하지 않는다. 그래서 마을 주민들이 돌아가면서 촌장을 맡는 것도 아니고, 누군가 촌장을 암살하고 변장해 촌장행세를 하지도 않는다. 여기서 드러나는 관리자 계정의 문제는 ‘지나친 권한’이다. 이 촌장 할아버지는 얼마나 권한이 센지 오밤중에 예쁘장하고 젊은 과부집에 들락날락 거리고(접근권한 과다), 전쟁이 끝났다는 사실도 주민들에게 알려주지 않는다(정보 사전검열).
너무 많은 권한을 어울리지 않는 자가 가졌을 때 드러나는 문제를 우린 얼마나 많이 접하는가? 힐러리 차기 대선 후보는 공무를 자기 개인 이메일 계정으로 처리한 것으로 아직까지 트집을 잡히고 있고, 도널드 트럼프 대선 후보는 무슨 생각에선지 공식석상에서 경쟁후보의 핸드폰 번호를 발음 똑똑히 공개해버렸다.
그거 뿐인가. 설정 오류로 말단 직원이 임원급의 권한을 갖고 이 정보 저 정보 다 들여다보다가 사고를 일으킨 사례도 있고, 심지어 예전에 기자가 근무하던 곳에서는 신입 직원이 1주일 만에 회사 재무 상태를 찾아보더니 미련 없이 그만두더라. 물론 기자의 근무 일수도 얼마 길지 않았다. 그런 일이 있고 얼마 후 총무실 직원 메일로부터 기자 메일함으로 날아온 전 직원 연봉현황표를 보고 회사를 신뢰할 수 없었기 때문이다.
다시 영화로 돌아오자면, 이 마을의 사람들이 쥐를 그대로 방치하는 것만은 아니다. 고양이 고기를 미끼로 주며 쥐를 달랜다. 독을 뿌리기도 하지만 쥐는 이미 면역이 되었다. 그저 사람고기만 먹지 않기를 바라며 쥐와 함께 사는 걸 선택한 것이다. 그리고 신 내림도 못 받은 사람에게 무당 옷을 입혀 신묘한 힘으로 쥐를 쫓을 수 있을 것이라고 막연히 믿는다. 물론 그가 선무당인지 아닌지 아는 사람은 촌장 한 사람 뿐이긴 하지만. 기자는 지인들 컴퓨터에 깔려 있는, 30일 시험사용 기간 다 지난 백신들이 떠올랐다. 무슨 약처럼 생긴 저 아이콘들이 화면 어디에든 있기만 하면 안전하다 믿는 주변사람들...
결국 촌장은 고민 끝에 새로운 솔루션을 설치하기로 한다. 류승룡의 반쯤은 엉터리 같은 약들과 마술 같은 피리가락이 바로 그것이다. 한 단계 나은 기술력으로 과연 류승룡은 마을 곳곳에서 쥐들을 끌어내 한 곳에 가두는 데 성공한다. 사방 온 구멍에서 수백, 수천 마리에 달하는 쥐들이 마을 내 길을 줄지어 내달릴 때 모두의 표정은 하나 같이 ‘(생각보다)많기도 허네’다.
많은 보안 전문가들이 하는 우스갯소리와 똑같다. “지금 당신네 회사 네트워크를 간단하게 검사하면 멀웨어나 해킹 시도 흔적이 굉장히 많이 발견될 걸?” 멀웨어까지는 아니지만 보통 취약점이 될 확률이 높은 ‘은둔의 IT(Shadow IT)’ 실제 수가 관리자들이 예상하는 수보다 통계자료에 따라 4배에서 10배까지 많다는 것도 이와 같은 맥락이다. 지금 우리 키보드 뒤에 놓인 네트워크란 공간에 도대체 뭐가 득실대고 있는 걸까.
하지만 중요한 건 이 새로운 보안 솔루션인 류승룡이 쥐라는 문제 밑바닥에 깔린 더 깊은 마을의 문제점을 찾아내기 시작했다는 것이다. 물론 의도적으로 그런 건 아니고, 이 최신 솔루션인 류승룡이 차라리 플라시보에 가까운 옛 솔루션인 선무당에게 접근을 시작하면서 문제가 스스로 모습을 드러내기 시작했다는 게 영화 줄거리에 더 가까운 설명이겠다. 뿌리 깊은 문제를 끌어안고만 있던 마을 전체가 새로운 손님의 등장으로 스스로 흔들거리기 시작했다는 건, 보안이라는 이름을 가지고 있는 솔루션이나 정책, 요원이 궁극적으로 일으켜야 할 현상이 아닐까 하는 생각이 들었다. 표면의 해결에 그치는 게 아니라 근본까지 드러내는 것 말이다.
정보보안 외신의 비율은 정확한 통계를 내본 건 아니지만 최근 일어난 사건 사고에 대한 보도가 20%, 그것에 대한 분석과 트렌드 변화를 다뤄낸 게 30%, 프라이버시나 정보의 소유권과 같은 오래된 문제에 대한 발제가 10%, 그리고 사용자 습관의 변화를 통한 보안문화 정착을 피력하는 교육적인 내용의 기사가 40%다. 즉, 이런 단어를 쓰기에 조금 촌스런 감이 있긴 하지만 ‘사용자 계몽’이 해외 보안업계의 제일 시급한 문제가 되어버린 것이다.
구글이 최근 발표한 사용자 보안 인식 실태에 대한 보고서를 봐도 아직 보안업계가 생각하는 보안과 일반 사용자가 생각하는 보안 사이의 간극이 상당히 크다는 걸 알 수 있다. 사용자 계몽이라고 해서 무슨 무지몽매한 이들을 빛의 세계로 이끌라는 게 아니다. 그저 구글의 보고서에 나온 그 간극을 줄여나가는 것부터 고민해보자는 것이다. 쥐약을 뿌리고 덫을 놓으며 쥐를 쫓아 표면의 문제를 해결하면서 마을 주민의 신뢰를 얻고, 그것을 통해 그들과 부대끼며 더 깊은 문제로 한 발짝 접근해 가는 것처럼, 마치 중국의 물량공세에 시장 파이를 잃어 커스터마이징 혹은 개인화라는 방법으로 활로를 뚫어가고 있는 국내 CCTV 업계처럼 보다 사용자에게 살갑게 다가가자는 말이다.
의도하고 있었던 아니던 보안에 어느 정도 종사했다고 한다면 RAT이나 RCS, 크립토월과 같은 표면의 문제 저변에 깔린, 보다 깊은 층위의 문제에 대한 고민을 한 가지씩 하고 있으리라 생각한다. 그것이 여태까지 사용자나 임원진에 대한 불평으로 나왔을 수도 있고 ‘어떻게 해도 변하지 않아’라는 자포자기로 표현됐을 수도 있다.
기자는 발전해가는 보안기술을 코웃음 치듯 따돌리며 유유히 칠 사고를 다 치는 해커들이 헤드라인을 장식하는 현 정보보안 상황을 볼 때 ‘편리를 쫓는 게 너무나 당연해진 삶에 대한 근본적인 도전’이라는 생각이 든다. 편리의 추구를 발전의 가장 큰 동기이자 재료로 삼은 건 맞는 거였을까? 어쩔 수 없는 거였을까? 이제와서 바꿀 수 있을까? 바꿀 필요는 있는 걸까? 성장과 발전의 기조에 편리 외에 어떤 가치가 깔려야 우린 더 안전해질 수 있을까?
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>