사물인터넷 시대, 오랜 약점이 오히려 드러날 것
[보안뉴스 문가용] 사물인터넷이란 말이 낯설지가 않다. 그에 대한 기대감을 가진 사람도 있고 염려를 가진 사람도 있다. 여러 기술 발전의 총집약이 바로 사물인터넷이란 시대를 끌어가고 있기 때문에 이는 특수한 전문가들만의 이야기라고 생각하는 이들도 있다. 그러나 이는 보안의 관점에서 봤을 때 해결하지 못한 문제들의 총집약체이며 그렇기에 모두의 일일 수밖에 없다. 이어지는 기사는 퍼스펙시스(Perspecsys)라는 보안업체의 CMO인 게리 그리알리시(Gerry Grealish)의 ‘보안의 역사’라는 인포그래픽물에 영감을 받아 작성했다.
가끔 보편적인 역사가 다 정립된 후 뒤늦게 옛 고고학자들이 미처 발견하지 못한 유적지가 나타나는 바람에 대부분의 사람들이 정규 교육과정을 거치며 애써 외웠던 ‘사실’들이 부정당하는 경우가 왕왕 생긴다. 과학도 마찬가지라 새로운 현상이 발견되면 보편적인 줄 알았던 진리가 하루아침에 의심의 대상이 되기도 한다. 이는 인간이 정립해온 거의 모든 학문분야에 해당하는 말이다. 우리가 배우고 믿는 ‘진실’이라는 게 그 뿌리로 거슬러 오르다보면 어떤 누군가의 정치적 산물 혹은 장님이 만진 코끼리 신체의 일부인 경우가 많다.
그런 해프닝 아닌 해프닝이 수도 없이 반복되자 자연스레 사람들은 ‘어차피 주류 정설이라는 것도 언제 뒤집힐지 모른다면 결국 내가 맞는다고 생각하는 게 진리’라고 정했다. 내 스타일로 해석하고, 내 스타일이 존중받고, 내가 좋으면 좋은 거고, 내가 아니면 아닌 이 자유로운 사고방식을 인문학에선 주정주의라고 하는데, 이 사상이 점점 사람들 사이에 퍼지면서 한국의 90년대 가요계는 큰 호황을 누렸고 반대로 전 세계 물리보안은 ‘지킨다’는 패러다임을 바꿔야 할 만큼 큰 혼란에 빠져들었다. 내 마음대로 사랑하고, 내 마음대로 옷 입고, 내 마음대로 퍼포먼스를 하는 가수들과 가사들은 선망의 대상이 되었고, 물리보안의 가장 1차적인 행위자인 부모들은 그런 자유를 갈망하는 자녀들의 거센 반란에 부딪히기 시작한 것이다. 여태까지 ‘지키기 위해’ 했던 행동들은 자유에 반하는 야만스럽고 폭력적이며 비이성적인 구습과 간섭이 되어버렸다.
‘지킨다’는 것, 즉 방어본능과 보호본능은 사람이 가진 가장 원초적인 본능 중 하나이기 때문에 이를 중심으로 역사니 철학이니 예술이니 하는 것들을 풀어나가도 위에 단편적인 예시처럼 다양한 분야로 자연스럽게 이어진다는 걸 알 수 있다. 오늘날에는 ‘보안’이라는 단어를 떠올리면 카메라 장비니 IP 구성이니 지문인식이니 하는 기술적인 이야기가 먼저 떠오르지만 사실 이는 최근 수십 년에 국한된 것일 뿐, 원래는 살 떨리도록 생활 가까이에 있는 개념이었다.
역사는 덴마크 국립박물관의 톰센이 주창한 이후 보통 도구의 발전에 따라 분류하는 게 정석이다. 석기시대, 청동기시대, 철기시대 등이 바로 여기서 나왔다. 하지만 이런 분류법에도 여러 가지 한계가 발견되고 있다. 이를 테면 청동기시대가 철기시대보다 나중이라는 주장이 제기되고 있기도 하고, 이런 분류법이 유럽 편향적이라 보편적인 역사를 반영하지 못한다는 주장도 있다. 하여 이를 말 많고 탈 많은 시간의 흐름에 따른 발전의 양상으로 이해하는 게 아니라 독립적인 보안 이슈로서 접근해 들어가 보고자 한다.
석기보안
돌이라는 보안 도구 혹은 보안 재료는 굉장히 직관적이며 언제 어디서나 금방 구할 수 있는 재료다. 그래서 인류의 가장 처음 보안 도구로서 활용되었을 가능성이 높다. 그냥 지천에 널려 있는 돌멩이를 주워서 손에 들고 공격자 혹은 눈앞의 맹수를 내려치면 되었다. 그래서 딱히 돌멩이를 탄환처럼 저장할 필요가 없었다. 하지만 개똥도 약에 쓰려면 눈에 안 보인다는 만고의 진리처럼 원하는 때, 원하는 크기나 중량감의 돌을 바로 찾는 건 상당히 많은 부분 ‘희망사항’에 그칠 뿐이었을 것이다. 그래서 이 돌을 다듬기 시작하고 여기에 나뭇가지나 끈을 덧대어 망치 혹은 도끼 비슷한 것도 만들어내는 데에까지 이른다. 게다가 이때쯤부터 보안의 가장 오래된 친구 중 하나인 개를 기르기 시작했다는 게 정설이다. 늑대와 비슷한데 주인한테 충성심도 좋은 개의 갑작스런 등장은 보안의 일대 혁명이라고 봐도 과장이 아니다.
석기보안에서 중요한 건 보안을 위해 주변의 것을 그대로 사용할 수 있었다는 것이다. 그리고 그건 그만큼 위협이 아주 가까이에 있었다는 뜻도 된다. 사회 전반에 흐르던 윤리관이나 도덕이 지금보다 덜 발달했고 그래서 살인이나 범죄가 더 빈번하게 일어났을 것이라는 추측도 있지만, 90년대 말 괴베클리 테페라는 유적지가 발견되면서 문명의 시작이 농업의 발견에서부터가 아니라 종교 활동이라는 증거가 새로이 드러나며 ‘미개한 윤리관’에 대한 인식도 재고될 필요가 생겼다. 어떤 게 사실이든 ‘확실’하지 않다는 뜻. 그러니 이를 배제해 두더라도 위협이 가까이 있었다는 건 쉽게 생각할 수 있다. 일단 맹수들의 위험이 끊이지 않았을 것이고 무엇보다 뭐가 위협요소인지 아닌지 명백히 드러난 것보다 감춰진 것이 많은 시기였기 때문이다. 축적된 지혜가 모자랐고, 좌충우돌이 필수였던 때 보안은 생존스킬 그 자체였다. 보안은 전문가의 영역이 아니라 모두의 1순위 고민거리였던 것이다. 그로 인해 돌도끼, 돌창, 돌화살 등 돌을 응용한 무기들이 생겨나고, 여기서 시작된 개량의 습관이 기타 생활기구들의 발명에도 큰 영감을 주기에 이른다. 약간 과장하자면 보안이 문명의 방향을 정하는 데 큰 영향을 줬다고도 볼 수 있다.
청동기보안과 철기보안
쇠, 철, 합금은 확실한 보안의 재료였다. 맹수(나 혹은 그에 준하는 무엇)의 생명을 끊을 때도 돌보다 확실하고 빨랐으며 관통력도 높았다. 일단 주조법만 알면 원하는 모양을 만드는 것도 돌을 조각하는 것보다 쉬웠다. 하지만 돌멩이처럼 급한 대로 주워서 쓰는 게 아니라 탄광에서 원재료를 캐내 일반 가정에서 실행하기 힘든 과정을 거쳐 철분을 빼내 다듬는다는 건 가진 자와 못 가진 자 사이 힘의 차이를 확실하게 구분 지었다. 과정의 어려움과 결과물의 강력함이 힘이 있는 자를 더 세게 만들고 힘이 없는 자를 더 약하게 만들었던 것. 그래서 무서운 독재 정치를 ‘철혈 정치’라고 일컬으며, 이는 국어사전에 따르면 ‘군비를 확장하고 병력을 증강하여 무력으로 행하는 정치’라는 뜻이다. 다양한 쇠들이 보안의 도구가 되면서 국가나 사회와 같은 ‘공동체’가 생겨났다고는 말할 수 없지만 적어도 철기의 등장으로 공동체 내의 상하관계와 수직구조가 더욱 탄탄해졌고, 그러한 중심구조의 보강을 바탕으로 조직력이 더 뛰어나지는 결과를 초래했다고 볼 수 있다. 거대한 무력 앞에 사람들은 벌벌 떨어 충성하거나 떡 고물을 먹자고 충성하거나 힘을 동경하여 충성했기 때문이다. 무기를 가진 자가 사람을 가질 수 있었고, 그것은 잦은 전쟁으로 이어졌다.
합금보안에서 중요한 점은 보안이 사회 구조 형성 혹은 이미 존재하던 구조를 확고히 다지는 데에 큰 역할을 했다는 것이다. 실제로 쇠로 만든 창과 칼을 들고 인류는 국가 단위의 전쟁을 그 어느 때보다 많이 벌였다. 역사가 모든 걸 온전히 기록할 수는 없는지라 어떤 무기를 손에 들었을 때 가장 많은 유혈사태가 일어났는지 통계를 낼 수는 없지만 여러 쇠와 합금은 아직도 살상무기를 만드는 재료로 사용되고 있으며, 여러 방범장치를 만드는 데 인기 최고의 재료라는 걸 봤을 때 철기보안은 현재까지도 지속되고 있다고 볼 수 있고, 그렇다면 역사에서 가장 긴 시간을 차지했기 때문에라도 철기보안의 때 가장 많은 정복욕과 탐욕이 노골적으로 드러났다고 볼 수 있다.
현대에도 보안의 이런 기능은 여전하다. 사회 고위층으로 갈수록 보안의 다양한 장비와 인력을 동원하는 걸 볼 수 있고, 정보보안에서도 여러 보안 장치가 잘 마련된 서비스를 제공하는 기업에 소비자들은 더 큰 신뢰를 갖는다. 철기 주조를 일반인이 함부로 할 수 없었던 것처럼 보안 서비스를 누구나 싼 값에 구입할 수는 없기 때문에 보안 서비스를 사용하고 있다는 것만으로도 그 사람이나 기업의 위치가 가늠된다. 평등한 사회를 만든다고는 하지만 보안은 아직도 그렇지 않은 사회의 단면을 가장 잘 드러내는 요소 중 하나로 남아있다. 유명인사의 한 걸음 한 걸음마다 따라붙는 수많은 경호원들과 기자처럼 일반인 중에서도 낮은 층에 속하는 일반인의 그 헐렁한 자유로운 행보를 비교해 떠올려보라.
또 한 가지 생각해볼 수 있는 건 보안이 힘의 불균형을 만들어내면서 사람이 가진 욕심을 노골적으로 드러냈다는 것이다. 시간의 흐름과 윤리관의 발전이 비례한다는 주장이 일반적인 학설이라고 알고 있는데, 무기의 발전에 따라 힘의 불균형이 심화되고 이 때문에 사람의 욕심이 보다 여과 없이 드러났을 거라는 ‘보안의 관점’에서 보자면 그건 의심해봄직한 주장이다. 누구나 돌멩이를 가질 수 있어서 소수의 위험한 시도를 억제하기가 비교적 쉬웠던 때와 일부만 합금 무기를 가질 수 있었던 때, 욕심은 어디서 더 발현되기 쉬웠을까? 시간이 지나면서 인간이 점점 더 윤리적이고 도덕적으로 변해가는 거라면, 역사를 통틀어 무기와 병력이 강력했던 나라가 항상 국제 관계에서 유리한 고지를 선점할 수밖에 없었던 건 왜 옛날이나 지금이나 똑같을까? 누구나에게 보편적으로 퍼진 보안의 문화는 특정 소수의 욕심을 억제하는 기능을 가진다고도 볼 수 있고, 그렇기 때문에 보안이 편만하게 퍼지는 건 질서 유지와 안전한 사회 구성에 꼭 필요하다.
전기보안
전기가 발견되면서 보안도 새로운 국면을 맞게 되었다. 1853년에는 사상 첫 전자기 경보 시스템이 발명되었다. 요즘 회사나 가정집에서 흔히 볼 수 있는 출동 서비스 겸한 경비 시스템의 시초라고 볼 수 있다. 창문과 문에 설치한 자석 장치가 누군가의 침입에 의해 넘어졌을 때 전기 신호로 그 사실을 경보 장치에 전달해 소리를 발산하는 방식이었다. 이를 처음 접한 도둑들은 브레멘의 음악대에 나오는 강도들처럼 혼비백산해서 도망칠 수밖에 없었고 사람이 경비를 서는 것보다 더한 효율을 보였다고 한다. 이는 훗날 먼 이국 땅 한국에서도 S1, ADT캡스 등의 거대한 후손을 낳는다.
또한 이런 전기 신호의 시스템 발달로 전쟁도 이전과 다른 색다른 양상으로 흘러간다. 암호화 통신이 등장한 것이다. 암호로 교신을 하는 것 자체야 고대에서부터 많이 사용된 것이지만 현대의 크립토그래피라는 것이 처음 등장한 건 19세기가 되어서였다. 전기 때문에 통신에 더 중요하게 되고, 그렇기 때문에 암호화까지 덩달아 발전의 급물살을 탄 것. 이는 전쟁이 끝난 후에도 여러 가지 정보전, 요즘말로 ‘사이버전’의 시초가 된다.
전기보안이 드러낸 보안의 가장 큰 중요한 점은 ‘보안의 자본화’가 이뤄졌다는 것과 ‘공격 방식의 다양화’가 이루어졌다는 것이다. 물론 옛날에도 무기를 만드는 대장장이란 직업이 따로 있었고 무기를 필요로 하는 성주나 왕을 상대로 삯을 받기도 했었다. 그러나 대장장이치고 부자로 이름난 사람이 없는 것처럼 철을 다뤄 풍족하게 먹고 사는 건 사회 시스템 상 불가능했다. 왕이나 성주가 삯을 주는 것도 ‘은혜’에 가까웠지 정당한 보수와는 거리가 좀 있는 개념이었다. 또, 전기보안의 시대가 열리며 왕에 준하는 높으신 분들만 가지고 있던 자기 방어 능력은 돈만 있으면 누구나 가질 수 있는 것이 되었고, 그에 맞춰 이전엔 상상도 못한 공격의 방법들이 아직까지도 개발되고 있는 실정이다.
공격의 방법들이 개발되었다는 건 누군가를 괴롭히는 방법이 다양하게 만들어지고 있다는 것과 같은 말이다. 꼭 물리적인 위해를 가하거나 소유를 훔치지 않아도 명성에 금이 가게 하거나 협박을 하는 등 새로운 괴로움거리들을 찾아냈다는 것이고, 한 발 더 들어가면 사람들에게 목숨만큼 소중한 것들이 점점 늘어났다는 뜻도 된다. 가장 눈에 띄는 건 정보. 정보의 가치가 대단히 중요해졌다. 정복전쟁은 없어지고 정보전쟁만 남았다. 처음엔 ‘A가 B라는 지역으로 몇 날 몇 시에 C 부대를 옮길 예정’이라는 정보의 내용이 중요했지만, 최근엔 그런 정보들을 오랜 시간 꾸준하게 모아 ‘그런 행동을 자주하는 것으로 보아 A는 새벽 시간에 주로 부대를 옮기고 그 과정에서 산악지대를 자주 활용한다. 공격 대상을 보아 공산주의를 싫어하는 성향으로 보인다’ 등 심화된 정보까지 추출하는 데에 이르렀다. 그리고 그런 전기보안의 정점에 서있는 것이 바로 사물인터넷이다.
사물인터넷 보안
사물인터넷의 시대가 오고 있다 혹은 이미 왔다는 말이 많다. 아직 다 왔다고 말하기에는 이른 감이 있지만 ‘미래’라는 단어와 함께 짝을 이루기에는 너무 가까이에 있는 것도 사실이다. 쉽게 말해 세상의 모든 사물이 네트워크에 접속해 서로 통신을 해가며 자동으로 기능을 발휘하도록 하는 건데, 예를 들면 스마트폰으로 아침 6시에 알람이 울리도록 설정해 놓으면, 그 정보를 기기들이 주고받아 토스트기기에서 저절로 빵이 구워지고 주서기에서는 아침에 좋은 사과 하나가 갈리고 있으며 자동차는 6시 15분쯤부터 저절로 시동이 걸려서 차내 온도를 맞춰놓는 그림을 상상하면 이해가 편할 것이다. 그래서 사물인터넷 시대는 인공지능의 발달과도 밀접하게 연결되어 있다.
보안업계에 몸 담고 있다면 이토록 편리한 때가 다가오는 게 마냥 기대되는 것만은 아니다. 일단 모든 사물이 네트워크에 연결되어 있다는 사실 자체가 어마어마한 공격의 가능성을 내포하고 있기 때문이다. 공격해 들어올 수 있는 경로가 많은 것도 문제고, 한 번의 공격 성공으로 네트워크 전체에 연결되어 있는 모든 기기들을 공격할 수 있다는 파급력도 문제다. 또한 ‘사물인터넷’이 모든 사물을 아우르고 있기 때문에 네트워크를 통한 ‘정보보안’ 방식의 공격으로 물리적인 공격이 가능하다는 사실 또한 대단히 심각한 문제다.
큰 역사의 맥락에서 짚어보자면 사물인터넷 보안은 석기보안, 합금보안, 전기보안의 모든 특징을 다 담아내고 있는 거대한 흐름이다. 왜냐하면 1) 사물인터넷은 생활에 사용되는 거의 모든 사물을 대상으로 하게 됨으로 석기보안에서의 ‘주변 어디에나, 아주 가까이에 있는 보안 위협요소’들이 부활한다는 것을 뜻하며 2) 보안을 꾀해야 할 것이 더 많아지고 글자 그대로 모든 것이 연결되어 있기 때문에 한 부분만 강화하는 건 의미가 없어지고 이왕 하려면 전체를 다 해야 하므로 그에 따라 비용이 높아질 것인데, 이는 사물인터넷 시대의 보안을 더 잘 할 수 있는 사람(조직)과 잘 할 수 없는 사람(조직)의 구분이 더 선명해질 것을 뜻하고 3) 공격 루트가 대폭 늘어나면서 전기보안이 내포하고 있던 ‘공격의 다양화’라는 문제점들이 그대로 승계됨을 말하기 때문이다. 마치 연말에 업무 결산하듯, 다양한 보안의 때를 거치면서 그 동안 인류가 제대로 해결하지 못했던 문제들이 총망라되는 듯하다.
제대로 해결하지 못했다는 건 애쓴 것과 달리 해결의 능력이 없었다는 뜻도 되고 일정 부분 간과했다는 뜻도 된다. 보는 눈이 없거나, 해결할 손재주가 없거나, 둘 다이거나, 라는 말이다. 사물인터넷 시대의 보안을 미리 고민하라는 건 언젠가 누군가 스마트카를 해킹해 가던 차가 급정거를 하고 교통사고를 냈을 때, 우리 집 가정자동화 제어판에 침입해 시도 때도 없이 보일러가 가동되어 방안이 항상 열대우림지역 기후 같을 때, 어느 날 내 샤워하는 모습이 듣도 보도 못한 성인 사이트에서 돌아다닐 때를 대비하는 것만을 말하는 건 아니어야 한다. 더 이상 표면에 머무를 여유가 없다는 것이다.
더 깊이 고민해봐야 할 문제의 본질은 많은 보안의 변화를 오랜 시간 동안 거치면서도 해결 못한 것들이 많이 남아있다는 것이다. 왜 우리는 힘의 균형을 이루지 못하는 것일까. 왜 우리는 욕심을 없애지 못하는 것일까. 왜 공격을 하고 괴롭히는 건 언제나 더 즐겁고 창의적인 상상으로 이어질까. 왜 그것이 주변을 온통 위협거리로 만들고 결국 부메랑처럼 자신에게 돌아오는데도 거시적으로 바라보지 않는 것일까. 역사를 훑어 볼수록 사물인터넷 시대는 오히려 사람의 본성을 드러내는 계기가 될 것이 분명해 보인다. 최첨단 과학의 시대가 될 것인가 아니면 본능에 입각한 짐승의 시대가 될 것인가. 이걸 정하는 건 누구의 손에 달려 있는가.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>