최 상무, 유능한 보호자이긴 했으나 치명적인 실수 저질러
서도철 형사, 가오가 원동력이 되어 움직여
.jpg)
[보안뉴스 문가용] 베테랑이란 영화가 하도 재미있다고들 옆에서 난리였을 때, 하필 그 사람들이 대부분 젊은 여성이었던지라, ‘베테랑 재미있다 = 유아인 멋있다’로 흘려들었다가 우연한 기회에 접할 수 있게 되었다. 하는 일이 보안 업계 관찰하는 거라서 그런지 영화 속 여러 장면에서, 특히 보호의 끝판 왕 최 상무를 보며 보안의 본질인 ‘보호란 무엇인가?’를 곱씹게 되었는데 그 이야기를 짤막하게 해보고자 한다.
보호의 끝판왕, 최 상무
말도 안 되는 재벌가 망나니인 조태오(유아인)를 보좌하는 역할인데, 보통 조태오가 치는 사고가 소위 말하는 ‘더러운’ 것들이 많아 이 최 상무도 뒤에서 더러운 걸 무마하는 일을 주로 한다. 자신들의 뒤를 캐는 담당 형사의 가족과 피해자 가족, 구역 담당 경찰들을 돈으로 매수하려 한다든지, 경찰의 살해를 의뢰한다든지 하는 굵직한 일부터 조태오의 비상식적인 폭력 행위를 감싸기 위해 CCTV 녹화를 중단시킨다든가 하는 은밀한 일까지 도맡는다. 심지어 모든 혐의를 뒤집어쓰고 대신 감옥까지 간다.
얼마 전 한국에 출간된, 이스라엘 비밀정보기관에 대한 책인 ‘모사드’를 보면 정부 역시 ‘국방’을 위해 살인, 납치, 방화, 폭발 사건을 일으킨다는 게 적나라하게 나온다. 굳이 모사드까지 가지 않아도, 우리에겐 남산의 잔인한 현대사가 있고, 전쟁을 불사하며 국제 경찰 노릇을 자처하는 미국의 ‘평화유지 활동’은 적지 않은 손가락질을 받고 있다. 올바른 건지 아직도 뜨겁게 논란 중에 있지만 일단 뭔가를 지키고 보호하기 위해 조금은 비윤리적이거나 폭력적인 행위가 알게 모르게 허용되고 있다는 건 공공연한 사실이다.
애석하게도 ‘보호를 위한 폭력’ 혹은 ‘안전을 위한 어둠의 방법 활용’이 옳고 그른 건지는 당대에 판단하기 어렵다. 가치의 우선순위란 사람마다 다르고 시대마다 다르기 때문에 시간이 흐르고 역사 속에 재평가된다고 해도 그것이 제대로 된 판결이라는 보장은 없다. 누군가는 모사드가 이란 핵 연구가를 살해했기 때문에 지금까지 목숨을 부지하고 살아갈 수도 있고, 누군가는 눈 뜨고 가장을 잃은 건데, 이를 어떤 시대의 알량한 철학이 감히 판단할 수 있을까.
하지만 영화 시나리오 상 결국 최 상무는 조 실장 보호에 실패하고 자멸한다. 그것의 단초가 무엇이었냐면, 경찰관 살해를 시도했다는 빼도 박도 못하는 범죄 사실이 증인과 함께 드러났기 때문이다. “야! 게임 뒤집혔어!”라는 서도철 형사의 말이 영화 흐름상 쫓는 자와 쫓기는 자를 뒤집는 기준선처럼 작용한다. 경찰을 불법적으로 혹은 비윤리적으로 떼어낼 시도를 하지 않았다면 그처럼 순식간에 상황이 뒤집혔을까. (물론 영화니까 다른 장치가 있었겠지만) 결국 자신은 물론 조태오 실장까지 감옥에 갇히며, 아무 것도 보호하지 못한 채 영화는 끝난다.
분명히 ‘보호’는 어느 정도의 희생정신을 필요로 한다. 과감함도 필요하고 기발함도 필요하다. 언제 무슨 상황이 벌어질지 모르기 때문에 순발력도 필수요소다. 조태오가 사고를 칠 때마다 최 상무는 이러한 순발력과 과감함, 기발함을 모두 보였다. 하지만 딱 하나, 그 방법들이 죄다 ‘비윤리적이거나 불법적’이었기 때문에 영화 종국에는 패배자가 되는 것이다. 심지어 그렇게 자기 할 일 열심히 하는 역군인데 관객의 응원도 못 받고.
흔히들 ‘보안 vs. 해커’의 싸움 구도에서 보안을 담당하는 쪽이 불리하다고 한다. 보안은 모든 공격을 100% 막아야 하지만 해커는 딱 한 번만 성공해도 이기는 싸움이기 때문이라는 것이 주요 이유고 해커에게는 사실상 활동에 제약이 없다는 것이 또 다른 이유다. 이때 제약은 법과 윤리, 사회적 통념의 제약과 돈의 제약으로 나뉘는데, 그렇기 때문에 이 모든 걸 해결해줄 수 있는 정부가 마음먹고 후원하는 해커들이 뛰어난 실력을 보이고 헤드라인에도 자주 등장하는 것이다. 보안은 결국 여러 제약 가운데 100% 승률을 뽑아내야만 하는 처지에 있는 것. 불리하긴 하다.
가오(?)의 끝판왕, 서도철
사실 그래서 보안은 국가의 후원이 반드시 필요하다. 다만 그 동안 각 나라의 정부가 국민들의 신뢰를 많이 잃어 왔기 때문에 이제와 뭔가를 주도적으로 하려면 큰 반대에 부딪히고, 그걸 또 설득하거나 밀어붙이는 등의 시간이 드는 게 사실이다. 어제 드디어 미국 상원을 통과한 정보공유법도 오바마가 ‘첩보를 공유해야 한다’고 언급한지 근 1년 만에 이루어낸 일이다. 물론 ‘정말 순수하게 국민의 안전만을 위해서만 발의되고 통과된 법인가?’에 대해서는 의심을 떨쳐내긴 힘들긴 하지만, 아무튼 ‘국가가 정보보안에 개입’한 거대한 첫 걸음이 본격적으로 떼어졌다.
또한 디지털밀레니엄저작권법에 의해 자동차 해킹 연구나 모바일 기기의 탈옥을 통한 연구가 상당히 제한을 받아왔는데, 그것 또한 풀렸다. 핸드폰이고 자동차고 보안연구를 위해 뜯고 씹고 맛보는 게 가능해졌다. EU 또한 올 한해 시끌시끌했던 병원, 항공의 보안뿐 아니라 지금 전 세계의 가장 뜨거운 이슈인 사물인터넷에 대한 투자를 늘리겠다고 발표했다. 느리지만, 보안의 후광이 조금씩 ‘조직적으로’ 짙어지고 있는 것이다. 물론 이것만으로 ‘드디어 해커와 동등한 싸움을 벌일 수 있겠어’라고 말할 수준은 아니지만 말이다.
그렇게 법이란 것도 새롭게 생기거나 정비되고, 그에 따라 할 수 있는 일과 없는 일이 계속해서 변하면서 보안 담당자들에게 걸린 제약이 언젠가는 완전히 해소될 수 있을까? 그렇다면 어도비나 MS에서 개발한 솔루션을 허락도 없이 소스코드까지 알아내 여러 취약점을 발견하고 익스플로잇까지 만들어내 증명하는 것도 언젠가는 괜찮아질 일이 될까? 보안뉴스 서버에 아무나 수시로 들어와 ‘보안 점검’을 해주는 게 달가울까? 지금으로서는 상상하기 힘든 상황이다. 퇴근하고 집에 들어갔더니 창문이 깨져있고 웬 낯선 사람이 소파에 앉아 냉장고에 들어있는 음식을 쩝쩝거리면서 ‘아, 문가용 씨, 집이 허술하네요. 알려드리고 싶었어요.’라고 한다면 난 소름끼칠 것 같은데...
지금의 상식으로서는 보안의 업무에 걸린 제약사항이란 건 법이나 정책으로만 완전히 해소하는 게 어려워 보인다. 보안 연구를 제약 없이 해줄 수 있게 해주는 환경이란 과거의 독재체제 정도다. 즉, 해커에게 질 수밖에 없어, 제약이 많으니까, 라고 보안 전문인으로서 볼멘소리를 한다는 건 결국 이런 맥락상 화자의 의도와 상관없이 ‘독재체제로 돌아가자’는 것과 다름없어진다. 그리고 우리 절대 대다수가 원하는 그런 미래가 아니지 않나? 그니까 이게 굉장히 장황한 말일 수도 있겠는데, 보안 업무를 하면서 동시에 주어진 정책과 법을 지켜가는 건 그런 암울한 시대가 오는 걸 막아서거나 느리게 하는 것일 수도 있다. 제약이 많은 일을 하는 건, 지킬 것이 많기 때문이라는 자연스러운 도출도 가능하다.
그러면 아무리 당하고 털려도 단순히 보안담당자이기 때문에 그 잘난 준법정신을 고고히 가지고 있어야 하는가, 라고 물을 수 있다. 정당방위라는 개념도 있는데 그건 적용하지 않는가, 물을 수 있다. 안타깝지만 보안에서 준법을 빼면 해킹이고 정당방위라는 것은 제대로 정립되어 있지 않다. 그렇기에 보안 종사자가 가져야 할 덕목은 - 적어도 지금 당장은 - 위 최 상무가 보인 순발력, 창의력, 문제 해결력, 희생정신 등등에 더해 베테랑의 서도철을 움직이게 하는 원동력인 ‘가오(?)’일 수도 있다.
이 가오(?)라는 걸 가진 사람들은 다음과 같은 특징들을 보인다. 일상생활에서 가까운 지인에게조차 욕을 한 마디도 안 하는 게 스스로 뿌듯하고, 사무실에 비치되어 있는 믹스커피 한 봉 가방에 챙기는 것도 도둑질로 여겨지고, 사람 많은 계단을 올라갈 때 위쪽에 혹여 짧게 입은 여성이라도 있을까 고개를 자동으로 숙인다거나 고집스럽게 하청업체 직원과의 만남에서 내 밥값은 내가 따로 낸다거나 딱히 아무도 손해 보지 않으면서 딱히 불법도 아닌 편법을 불편해 한다거나. 드롭박스의 CISO인 패트릭 하임이 ‘보안 업계에 있는 사람들, 뭔가 독특하다’라고 한 말이 일리가 있게 느껴진다.
지금 보안 업계는 인재가 모자라 죽을 지경이다. 밖에서는 취업난 시대라고 하는데 여기서는 체감이 되질 않는다. 10대, 20대는 보안업무가 뭔지도 모른다고 한다. 혹여 주위에 미련할 정도로 착하게, 가오 지키며 사는 사람이 있는가? 그렇다면 제보를 바란다. 보안 교육, 그런 사람들이 많이 받았으면 좋겠다. 데이터도 지키고, 사람도 지키고, 업계도 지키고, 혹여 발생할지 모르는 - 역사는 쳇바퀴처럼 돌고 도는 것이므로
[국제부 문가용 기자(globoan@boannews.com)]
서도철 형사, 가오가 원동력이 되어 움직여
[보안뉴스 문가용] 베테랑이란 영화가 하도 재미있다고들 옆에서 난리였을 때, 하필 그 사람들이 대부분 젊은 여성이었던지라, ‘베테랑 재미있다 = 유아인 멋있다’로 흘려들었다가 우연한 기회에 접할 수 있게 되었다. 하는 일이 보안 업계 관찰하는 거라서 그런지 영화 속 여러 장면에서, 특히 보호의 끝판 왕 최 상무를 보며 보안의 본질인 ‘보호란 무엇인가?’를 곱씹게 되었는데 그 이야기를 짤막하게 해보고자 한다.
보호의 끝판왕, 최 상무
말도 안 되는 재벌가 망나니인 조태오(유아인)를 보좌하는 역할인데, 보통 조태오가 치는 사고가 소위 말하는 ‘더러운’ 것들이 많아 이 최 상무도 뒤에서 더러운 걸 무마하는 일을 주로 한다. 자신들의 뒤를 캐는 담당 형사의 가족과 피해자 가족, 구역 담당 경찰들을 돈으로 매수하려 한다든지, 경찰의 살해를 의뢰한다든지 하는 굵직한 일부터 조태오의 비상식적인 폭력 행위를 감싸기 위해 CCTV 녹화를 중단시킨다든가 하는 은밀한 일까지 도맡는다. 심지어 모든 혐의를 뒤집어쓰고 대신 감옥까지 간다.
얼마 전 한국에 출간된, 이스라엘 비밀정보기관에 대한 책인 ‘모사드’를 보면 정부 역시 ‘국방’을 위해 살인, 납치, 방화, 폭발 사건을 일으킨다는 게 적나라하게 나온다. 굳이 모사드까지 가지 않아도, 우리에겐 남산의 잔인한 현대사가 있고, 전쟁을 불사하며 국제 경찰 노릇을 자처하는 미국의 ‘평화유지 활동’은 적지 않은 손가락질을 받고 있다. 올바른 건지 아직도 뜨겁게 논란 중에 있지만 일단 뭔가를 지키고 보호하기 위해 조금은 비윤리적이거나 폭력적인 행위가 알게 모르게 허용되고 있다는 건 공공연한 사실이다.
애석하게도 ‘보호를 위한 폭력’ 혹은 ‘안전을 위한 어둠의 방법 활용’이 옳고 그른 건지는 당대에 판단하기 어렵다. 가치의 우선순위란 사람마다 다르고 시대마다 다르기 때문에 시간이 흐르고 역사 속에 재평가된다고 해도 그것이 제대로 된 판결이라는 보장은 없다. 누군가는 모사드가 이란 핵 연구가를 살해했기 때문에 지금까지 목숨을 부지하고 살아갈 수도 있고, 누군가는 눈 뜨고 가장을 잃은 건데, 이를 어떤 시대의 알량한 철학이 감히 판단할 수 있을까.
하지만 영화 시나리오 상 결국 최 상무는 조 실장 보호에 실패하고 자멸한다. 그것의 단초가 무엇이었냐면, 경찰관 살해를 시도했다는 빼도 박도 못하는 범죄 사실이 증인과 함께 드러났기 때문이다. “야! 게임 뒤집혔어!”라는 서도철 형사의 말이 영화 흐름상 쫓는 자와 쫓기는 자를 뒤집는 기준선처럼 작용한다. 경찰을 불법적으로 혹은 비윤리적으로 떼어낼 시도를 하지 않았다면 그처럼 순식간에 상황이 뒤집혔을까. (물론 영화니까 다른 장치가 있었겠지만) 결국 자신은 물론 조태오 실장까지 감옥에 갇히며, 아무 것도 보호하지 못한 채 영화는 끝난다.
분명히 ‘보호’는 어느 정도의 희생정신을 필요로 한다. 과감함도 필요하고 기발함도 필요하다. 언제 무슨 상황이 벌어질지 모르기 때문에 순발력도 필수요소다. 조태오가 사고를 칠 때마다 최 상무는 이러한 순발력과 과감함, 기발함을 모두 보였다. 하지만 딱 하나, 그 방법들이 죄다 ‘비윤리적이거나 불법적’이었기 때문에 영화 종국에는 패배자가 되는 것이다. 심지어 그렇게 자기 할 일 열심히 하는 역군인데 관객의 응원도 못 받고.
흔히들 ‘보안 vs. 해커’의 싸움 구도에서 보안을 담당하는 쪽이 불리하다고 한다. 보안은 모든 공격을 100% 막아야 하지만 해커는 딱 한 번만 성공해도 이기는 싸움이기 때문이라는 것이 주요 이유고 해커에게는 사실상 활동에 제약이 없다는 것이 또 다른 이유다. 이때 제약은 법과 윤리, 사회적 통념의 제약과 돈의 제약으로 나뉘는데, 그렇기 때문에 이 모든 걸 해결해줄 수 있는 정부가 마음먹고 후원하는 해커들이 뛰어난 실력을 보이고 헤드라인에도 자주 등장하는 것이다. 보안은 결국 여러 제약 가운데 100% 승률을 뽑아내야만 하는 처지에 있는 것. 불리하긴 하다.
가오(?)의 끝판왕, 서도철
사실 그래서 보안은 국가의 후원이 반드시 필요하다. 다만 그 동안 각 나라의 정부가 국민들의 신뢰를 많이 잃어 왔기 때문에 이제와 뭔가를 주도적으로 하려면 큰 반대에 부딪히고, 그걸 또 설득하거나 밀어붙이는 등의 시간이 드는 게 사실이다. 어제 드디어 미국 상원을 통과한 정보공유법도 오바마가 ‘첩보를 공유해야 한다’고 언급한지 근 1년 만에 이루어낸 일이다. 물론 ‘정말 순수하게 국민의 안전만을 위해서만 발의되고 통과된 법인가?’에 대해서는 의심을 떨쳐내긴 힘들긴 하지만, 아무튼 ‘국가가 정보보안에 개입’한 거대한 첫 걸음이 본격적으로 떼어졌다.
또한 디지털밀레니엄저작권법에 의해 자동차 해킹 연구나 모바일 기기의 탈옥을 통한 연구가 상당히 제한을 받아왔는데, 그것 또한 풀렸다. 핸드폰이고 자동차고 보안연구를 위해 뜯고 씹고 맛보는 게 가능해졌다. EU 또한 올 한해 시끌시끌했던 병원, 항공의 보안뿐 아니라 지금 전 세계의 가장 뜨거운 이슈인 사물인터넷에 대한 투자를 늘리겠다고 발표했다. 느리지만, 보안의 후광이 조금씩 ‘조직적으로’ 짙어지고 있는 것이다. 물론 이것만으로 ‘드디어 해커와 동등한 싸움을 벌일 수 있겠어’라고 말할 수준은 아니지만 말이다.
그렇게 법이란 것도 새롭게 생기거나 정비되고, 그에 따라 할 수 있는 일과 없는 일이 계속해서 변하면서 보안 담당자들에게 걸린 제약이 언젠가는 완전히 해소될 수 있을까? 그렇다면 어도비나 MS에서 개발한 솔루션을 허락도 없이 소스코드까지 알아내 여러 취약점을 발견하고 익스플로잇까지 만들어내 증명하는 것도 언젠가는 괜찮아질 일이 될까? 보안뉴스 서버에 아무나 수시로 들어와 ‘보안 점검’을 해주는 게 달가울까? 지금으로서는 상상하기 힘든 상황이다. 퇴근하고 집에 들어갔더니 창문이 깨져있고 웬 낯선 사람이 소파에 앉아 냉장고에 들어있는 음식을 쩝쩝거리면서 ‘아, 문가용 씨, 집이 허술하네요. 알려드리고 싶었어요.’라고 한다면 난 소름끼칠 것 같은데...
지금의 상식으로서는 보안의 업무에 걸린 제약사항이란 건 법이나 정책으로만 완전히 해소하는 게 어려워 보인다. 보안 연구를 제약 없이 해줄 수 있게 해주는 환경이란 과거의 독재체제 정도다. 즉, 해커에게 질 수밖에 없어, 제약이 많으니까, 라고 보안 전문인으로서 볼멘소리를 한다는 건 결국 이런 맥락상 화자의 의도와 상관없이 ‘독재체제로 돌아가자’는 것과 다름없어진다. 그리고 우리 절대 대다수가 원하는 그런 미래가 아니지 않나? 그니까 이게 굉장히 장황한 말일 수도 있겠는데, 보안 업무를 하면서 동시에 주어진 정책과 법을 지켜가는 건 그런 암울한 시대가 오는 걸 막아서거나 느리게 하는 것일 수도 있다. 제약이 많은 일을 하는 건, 지킬 것이 많기 때문이라는 자연스러운 도출도 가능하다.
그러면 아무리 당하고 털려도 단순히 보안담당자이기 때문에 그 잘난 준법정신을 고고히 가지고 있어야 하는가, 라고 물을 수 있다. 정당방위라는 개념도 있는데 그건 적용하지 않는가, 물을 수 있다. 안타깝지만 보안에서 준법을 빼면 해킹이고 정당방위라는 것은 제대로 정립되어 있지 않다. 그렇기에 보안 종사자가 가져야 할 덕목은 - 적어도 지금 당장은 - 위 최 상무가 보인 순발력, 창의력, 문제 해결력, 희생정신 등등에 더해 베테랑의 서도철을 움직이게 하는 원동력인 ‘가오(?)’일 수도 있다.
이 가오(?)라는 걸 가진 사람들은 다음과 같은 특징들을 보인다. 일상생활에서 가까운 지인에게조차 욕을 한 마디도 안 하는 게 스스로 뿌듯하고, 사무실에 비치되어 있는 믹스커피 한 봉 가방에 챙기는 것도 도둑질로 여겨지고, 사람 많은 계단을 올라갈 때 위쪽에 혹여 짧게 입은 여성이라도 있을까 고개를 자동으로 숙인다거나 고집스럽게 하청업체 직원과의 만남에서 내 밥값은 내가 따로 낸다거나 딱히 아무도 손해 보지 않으면서 딱히 불법도 아닌 편법을 불편해 한다거나. 드롭박스의 CISO인 패트릭 하임이 ‘보안 업계에 있는 사람들, 뭔가 독특하다’라고 한 말이 일리가 있게 느껴진다.
지금 보안 업계는 인재가 모자라 죽을 지경이다. 밖에서는 취업난 시대라고 하는데 여기서는 체감이 되질 않는다. 10대, 20대는 보안업무가 뭔지도 모른다고 한다. 혹여 주위에 미련할 정도로 착하게, 가오 지키며 사는 사람이 있는가? 그렇다면 제보를 바란다. 보안 교육, 그런 사람들이 많이 받았으면 좋겠다. 데이터도 지키고, 사람도 지키고, 업계도 지키고, 혹여 발생할지 모르는 - 역사는 쳇바퀴처럼 돌고 도는 것이므로
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
