보안은 늘 맞추는 것? 균형 못 맞추면 그 자체로 보안 구멍
[보안뉴스 문가용] 지금부터 약 40년 전, 양의학과 한의학을 모두 공부한 의사 한 분이 서울 동대문구 답십리에 병원을 개척했다. 가문 대대로 이어져 내려오는 한의사 집안의 자제로, 아버지에게서 한의학, 특히 침술을 배웠다. 그가 주로 사용했던 건 당시로서도 흔치 않았던 대침. 말 그대로 큰 침이었다.
지금이야 한약방에 가서 놔주는 침은 전부 얇고 가느다란 스테인레스 침이지만 불과 30~40년 전만해도 그렇지 않았다. 예전부터 한의학에서는 사람의 증상과 질병, 치료법에 따라 아홉 가지 침을 고안해 사용해왔는데 이를 구침이라고 한다. 가장 많이 사용되던 호침 외에 대침, 장침, 삼릉침, 원침, 피침, 저침, 참침, 원리침이 있다. 각 침의 자세한 내용이야 백과사전의 구침 항목에 상세히 나오니 설명은 생략하겠다.
각설하고, 그가 특이하게도 대침을 사용한 건 무엇 때문이었을까? 그의 침술이 독특한 철학을 그 바탕에 두고 있었기 때문이다. 대단히 어려운 개념은 아니지만 보다 쉬운 이해를 위해, 그리고 이 기사의 제목에 충족한 내용을 맞추기 위해 아주 기본적인 네트워크 개념을 차용해 보겠다.
먼저 일반 침술이란 사람의 몸을 하나의 촘촘한 네트워크로 보고, 특별히 치료가 잘 통하는 부분에 침이나 뜸과 같은 자극을 주어 기 혹은 에너지가 잘 순환되도록 돕는 것에 그 목적이 있다. 이를테면 엔드포인트나 컴퓨터 단말보다는 네트워크 장비를 집중적으로 살펴서 네트워크 전체를 보호하는 것과 비슷하다. 이를 한의학에서는 경락(네트워크)과 경혈(네트워크 장비)이라고 부르는데, 전통 한의학에 의하면 사람의 몸은 66개 네트워크 장비로 구성된 네트워크다. 경혈이 66개 있다는 말이다.
답십리에서 개원한 우리의 주인공 한의사분이 대침을 주로 사용했던 이유는 네트워크에 이상이 생겼을 때 66개 장비 모두를 살필 필요가 없고 정말 취약한 서너 개만 집중해서 보기만 하면 된다는 생각이 있었기 때문이다. 환자 입장에서는 촌각을 다툴지도 모르는 일인데, 의사가 느긋이 66개 경혈을 모두 살필 수도 없고, 그럴 필요도 없다는 게 그와 그의 선대의 지론이었다.
최근 사이버 공격자들이 네트워크 장비로 공격 방향을 틀었다는 보도가 있었다. 모바일이나 컴퓨터 OS 같은 엔드포인트는 업데이트가 비교적 빠르고 빈번하게 이루어져 공격을 지속적으로 할 수 없고 매번 대상을 바꿔야 하지만 네트워크 장비의 펌웨어는 생애주기 동안 한 번 업데이트 될까 말까 하기 때문이다. 네트워크 보안담당자로서는 평소 관리대상 목록에 업데이트 안 된 윈도우와 말 정말 안 듣는 우리 사장님 외에 라우터, 스위치 등 네트워크 장비도 포함시켜야 한다.
어마어마하게 큰 조직의 네트워크라면? 아마 대침을 들고 가장 의심되는 몇 개만 찔러보는 것이 큰 도움이 되지 않을까? 그렇다면 가장 의심되는 곳 몇 개를 어떻게 찾을 수 있을까? 답십리 의사분은 한의학 철학에 기초해 ‘특정 시간대에 가장 활성화되는 경혈이 있을 것’이라는 전제를 깔고 이를 환자 고유의 신체 작용 시간에 접목해 계산하고 추적했다. 환자의 상태로부터 나오는 고유 정보와 진찰이 이루어진 시간대 정보를 합산했다는 것이다. 네트워크 장비야 특정 시간대에 특별히 활성화되거나 하지는 않지만 네트워크에서 발견된 이상 신호를 통해 의심 가는 장비 몇 가지를 후보로 꼽을 수는 있는데, 그 의사가 그렇게 했다는 말이다.
하지만 이러한 탐지법은 아직 대부분 사람의 ‘감’ 혹은 ‘개인적인 능력’에 의존하는 게 사실이다. 지난 ISEC 2016에서 인공지능에 대해 강연했던 차상길 교수가 지적했던 부분이다. “아직 취약점 찾기는 개인의 능력에 너무 많이 의존하고 있다.” 즉 인재를 보유하고 있느냐 없느냐에 보안이 결정된다는 것이다. 그런 안정성 문제를 해결하기 위해 현재 연구되고 서서히 도입되고 있는 것이 인공지능이라고 차 교수는 설명했다.
확실히 이 독특한 대침 요법은 잘 통했다. 침을 꼽아서 치료할 수 있는 질병들이라면, 이 한의사의 굵은 침 밑에서 전부 압사당했다. 치료 효과는 ‘탁월’하다고 소문이 자자했고 환자들은 누구나 쾌유가 됐다. 거대한 기업의 네트워크를 감 좋고 실력 좋은 천재가 맡은 것과 비슷한 효과를 답십리 환자들은 느끼고 있었다.
그러나 이 치료법은 현재 사용되고 있지 않다. 환자의 맥을 짚어 몸 상태를 확인하고, 거기에 진료시간대를 고려해 가장 치료가 잘 통할 경혈을 66개 중 3~4개를 찾는다는 것부터가 그만의 영역이었기 때문이다. 천재 한 명의 입사로 단단해진 네트워크가, 그 사람 퇴사한 날부터 조금씩 물렁해지는 것과 비슷하다. 혹은 이 땅의 수많은 어머니들이 살아 생전 자식들에게 선보인 고유 레시피들이 하나 둘 시간속으로 사라지는 것과 비슷하다.
그러나 그것만이 전부가 아니었다. 여기엔 안전 문제도 있었다. 대침은 아니지만 한의학의 대를 이은 그 아들의 설명에 따르면 “서너 군데에만 집중한다는 것은 일반 침술보다 자극을 강하게 한다는 뜻이기도 하며, 대침은 일반 침보다 굵기 때문에 환자들이 많이 아파했다”고 한다. 그래서 대침은 점점 모습을 감추었고 그 아들도 지금은 가느다란 일회용 침을 사용하고 있다. 그리고 도구의 변화는 곧 침술 자체의 변화를 불러왔다.
“대침을 사용하면 ‘단번에’ 고쳐지는 효과를 볼 수 있었습니다. 침을 꽂을 때마다 기적이 일어나는 건 아니었지만 치료가 빨랐죠. 요즘의 일회용 침으로는 보기 힘든 효과입니다. 대신 치료 기간을 길게 가져가게 되었죠. 대침으로 10의 효과를 한 번에 노렸다면, 최근에는 그 10의 효과를 다섯 번에 나누어 받는다고 할까요.”
최근 (ISC)2의 데이비드 쉬어러(David Shearer) 회장은 본지와의 인터뷰에서 “보안담당자들이 사업을 진행하는 사람들이 알아듣는 용어를 쓰고, 사업을 진행시켜야 한다는 공동의 목표 안에서 보안을 얘기해야 한다”고 주장한 바 있다. 보안이 사업 진행 및 확장을 가로막는 요인이라는 인식을 탈피해야 하기 때문이기도 하고, 그것이 보안을 포함한 모든 구성원의 공생을 위한 올바른 방식이기 때문이라는 설명이었다.
많은 칼럼니스트들도 비슷한 얘기를 한다. “그 사업은 이런 위험이 있으니 안 됩니다라고 말하지 말고, 이런 저런 보안정책을 도입하면 요런 사업도 해볼 수 있다고 얘기해야 한다.” 거절의 보안이 아니라 앎의 보안이 답이라는 거다.
하지만 살살 기라는 말이 아니라 절충안을 찾으라는 거다. 언제까지 보안이 일방적으로 맞춰줄 수 없다. 일방적으로 보안만 맞추다간 구멍이 뚫린다. 좀 덜 아프려고 일회용 침을 맞는 환자가 대침 효과를 바라면, 그건 도둑 심보다. 야망이 치닫는 데까지 사업을 진행하려고 하면서 더할 나위 없는 보안을 바라는 것도 마찬가지다.
많은 보안담당자들이 본지의 독자인지라 ‘맞춰줘’라고 얘기하지만, 그건 어디까지나 애들 싸움에서 내 자식 먼저 혼내는 마음일 뿐이다. 내 자식 다 혼냈으면 남의 자식에게도 왜 싸웠느냐 물어보고 잘잘못을 공정하게 가려주는 게 어른의 몫이다.
보안담당자가 사업의 방향에서 이야기를 했으면, 사업 진행자들도 보안의 입장을 물어봐 주는 게 예의다. 환자도 안전 때문에 침을 나눠 맞는다고 하는데, 다 성공한다는 보장도 없는 사업 진행이 꼭 그렇게 안전장치를 무시하고 서둘러야 하는 걸까. 사이버 세상 천지가 지뢰밭인데.
[문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>