보안 전문가들의 문제 해결 능력, 다이어트에 적용해보기
보안도 작은 행동의 변화이듯, 다이어트 역시 마찬가지
※ 경고 : 이 기사엔 다이어트의 왕도가 적혀 있지 않습니다.
[보안뉴스 문가용 기자] 겨울을 상징하는 패딩들이 거리에서 눈에 띄게 줄고 있다. 사랑에 빠진 청년들의 눈엔 이미 벚꽃 활짝 핀 거리가 보이는 듯 하고, 이제 막 계절의 순환에 대해 어렴풋이 깨달은 아이들은 따뜻한 날을 예언하며, 부모들은 그런 아이들의 성장을 꿈꾸듯 바라본다. 그러나 슬슬 불안감의 엄습을 겪는 사람들도 있다. 봄 이후에 올 여름을 대비해야 할, 뚱뚱보들이다. 패딩이라는 아늑한 망각 속에 숨겨둔 지난 겨울의 새싹, 아니 새살들을 어찌해야 할꼬.
.jpg)
보안 담당자들이 주요 독자인 보안뉴스에서 갑자기 살 빼기 이야기를 꺼내는 건, 보안 담당자들도 몰랐겠지만, 보안을 하는 사람들이야 말로 다이어트의 고수들이기 때문이다. 이는 대단히 큰 비밀로, 사실 보안 담당자들 자신도 모르고 있는 경우가 많다. 얼마나 이 사실이 깊이 숨겨져 왔는지, 취재를 다녀보면 보안 담당자들 사이에서도 뚱뚱한 사람들이 꽤나 많다. 물론 보안뉴스의 원 기자와 문 기자가 이 업계에서 거의 제일 뚱뚱하니까 할 수 있는 말이다(원 1위, 문 2위). 보안 전문가들은 왜 다이어트를 잘 할 수 있는 걸까, 조금 더 풀어 설명을 해보겠다.
보안 담당자는 문제 해결사
정보보안도 크게 보면 ‘안전’에 관한 분야다. 뭔가를 ‘지켜내는 것’이 주된 임무인 것이다. 뭔가를 지킨다는 건 그것의 문제들을 해결해준다는 것과 같다. 부모는 아이가 겪는 문제를 해결하거나 주시하고, 선생은 학생의 그것을 상담해주며, 보안 담당자는 회사 전체를 매의 눈으로 지켜보고 관할하며 행동 범위를 규정한다. 그 대상은 기본적으로 IT 기술로 무장된 네트워크이기도 하지만, 한 발 더 나아가 그 네트워크 내에서 활동하는 임직원들이기도 하다. 기술적인 오류나 문제가 발생했을 때, 사용자의 행동 습관이 매우 위험할 때, 보안 담당자들은 해결책을 찾아 나선다.
또한 보안 전문가들은 문제에 대한 접근법을 다양하게 구사할 줄 안다. 그중 첫 번째는 ‘픽스(fix)’다. 보안 오류나 취약점이 발견되었을 때 보안 담당자들은 그에 대한 픽스를 만들거나 받아서 적용한다. 그렇게 한 번 고쳐진 취약점, 즉, 문제는, 영원히 고쳐져 있는 상태를 유지한다. 한 번에, 빠르게, 그리고 영구히 문제가 해결되는 게 바로 픽스다. 주로 지엽적인 문제를 해결할 때 사용되는 기법이다.
두 번째는 ‘솔루션(solution)’이다. 보안에는 무료 백신에서부터 수억 원에 이르는 통합 솔루션까지 다양한 보안의 필요를 채워주는 솔루션들이 존재한다. 픽스와 솔루션이 다른 점은 솔루션은 설치 그 자체로 문제가 해결되지 않는다는 것이다. 문제를 파악하거나 원인을 제거하거나 문제로 인한 영향력을 약화시켜주는 작업을 하기에 편리성을 제공하는 것이 솔루션의 몫으로, 결국 설치 후 어떻게 활용하는가가 문제 해결의 관건이 된다.
세 번째는 ‘관리’다. 문제를 관리한다는 게 얼핏 이해가 안 갈 수도 있지만 보안 전문가들의 매일 같은 일상 속에 어느 새 녹아 있는 것이다. 픽스로 취약점을 단박에 영원히 고치고, 솔루션의 도움으로 문제점들을 찾아서 조치를 취할 수 있지만, 이 둘로도 해결이 잘 안 되는 영역이 보안에 존재한다. 바로 사람과 정책이다. 사람이라는 취약점은 오랜 기간 관리가 필요할 수 있으며, 그 관리를 위해 정책도 바꾸거나 수립할 수 있어야 한다. 정책을 바꾸는 것 역시 간단히 이뤄지지 않는다. 그렇기에 많은 조직에서 보안 담당자들은 인사부서와 비슷한 업무를 하거나 협조하기도 한다.
시스템에 대한 강한 호기심
보안 담당자들은 ‘시스템’에 대한 호기심이 강하다. 해킹으로 범죄를 저지르는 이들에게서 더 많이 발견되는 특징이기도 한데, 합법적인 침투 테스트나 보안 점검을 하는 화이트 해커들이나 보안 담당자들이 여기에 뒤진다고 볼 수 없다. 기계 만지기 좋아하는 사람들이 새로운 기계 나올 때마다 분해해보는 것처럼, ‘보안’ 좋아하는 사람들 역시 여러 가지 공격 경로를 찾기 위해 다양한 시도를 해본다.
이는 사실 ‘해킹’ 혹은 ‘해커’라는 용어의 기원과 맞닿아 있기도 하다. 지금은 여러 매체에서 해커를 범죄자와 동급으로 취급하기 때문에 변질된 감이 없잖아 있는데, 사실 초창기 해커들은 기기나 소프트웨어 등 주어진 ‘시스템’의 한계를 시험해보는 사람들이었다. 지적인 탐구를 통해 사용설명서가 규정한 테두리 바깥까지 성능을 끌어올리거나 또 다른 사용방법을 발견해내는 사람들이 바로 해커였던 것이다. 정해진 한계를 창조적으로 거부하는 것. 당시 ‘해커’는 그래서 명예롭기까지 한 타이틀이었다.
그래서 일각에서는 보안 담당자들을 화이트 해커라고 부르기도 한다. 보안 비전문가들이 실수나 무지로 싸놓은 똥을 치우는 게 보안 담당자들의 일이라고 여겨진다면, 스스로를 화이트 해커라고 생각해보라. 주어진 한계를 극복하려고 지적으로 탐구하는 사람, 그래서 누군가 그 영역으로 아무 생각 없이 혹은 실수로 나아가려고 할 때 미리 나서서 경고해줄 수 있는 선견자, 그것이 바로 보안 담당자의 참된 역할이다.
문제를 발견하는 것이 곧 동기부여로 이어지는 사람들
시스템과 문제를 다루는 데에 능숙한 보안 담당자들은, 매일처럼 다른 모양으로 다가오는 난제들을 처리하기 위해 많은 기술들을 동원하거나, 자기 안에서 개발시킨다. 여기서 한 가지 짚고 넘어가야 하는 또 다른 보안 담당자들의 특성은 ‘피할 방법이 없는 환경에서 훈련해 왔다’는 것이다. 이것이 ‘안전’과 연결된 것이기 때문이다. 시스템 내 발견된 취약점을 보안 담당자가 모른 체하거나 회사 내 사용자 계정을 10년째 1234라는 암호로 관리해온 장기 근속자를 보안 담당자가 우대해주었다가는 언제 어떤 공격자가 네트워크에 들어와 사고를 칠지 모른다. 보안 담당자는 거의 항상 마지노선의 역할을 한다는 것이다.
그러므로 보안 담당자들에게는 ‘저 골치 아픈 문제, 내가 안 하면 누가 하겠나’라는 자세가 박혀있다. 문제를 발견해놓고도 ‘누가 고치겠지’, ‘담당자한테 알려주면 끝이지’, ‘별 문제 아니군’이라고 다른 사람들은 넘어갈 수 있어도 보안 담당자는 그럴 수 없고, 그러면 안 된다. 이는 동기부여 문제와도 연결이 된다. 뭔가가 ‘문제’로만 인식이 된다면, 이들은 미루거나 넘기지 않고 직접 대면해 마주하는 경우가 훨씬 많다. 훈련에 의해서건, 선천적이건 말이다.
오토데스크의 창립자 존 워커가 말하길
위 세 가지 큰 특성을 다이어트에 적용하면, 왜 보안 담당자들이 다이어트에 최적화된 사람들인지 견적이 딱 나온다. 과도하게 살이 찐 몸이 ‘문제’로 인식되기만 한다면 곧바로 1) 동기부여가 되며, 2) 몸이라는 위대하고 복잡한 시스템에 대한 호기심이 발동되고 3) 문제 해결을 위해 여러 방법론을 동원할 수 있다는 것이다. 여기서 보안 담당자들의 기지를 발동시킬 선제 조건인 ‘과도하게 살 찐 몸이 문제’에 대해 한 IT 분야 선배가 남긴 기록을 발췌해본다.
“오토캐드(AutoCAD)라는 세계 컴퓨터 디자인 역사에 남을 프로그램을 대부분 개발했고, 오토데스크(Autodesk)라는 세계적인 IT 기업을 설립해 운영하고 있으면서, 몸무게 하나 어쩌지 못한다는 사실이 어느 날 무척 경악스럽게 다가왔습니다. 그러면서 여태까지 비만 문제를 전혀 ‘해결 가능한 문제’라고 인식하지 않고 살아왔다는 걸 깨달았지요. 저에게 이 비대한 몸이란 그저 받아들여야 할 삶의 형태이며 제 운명이었을 뿐입니다. 기업 운영의 자잘한 문제들과 생산라인의 복잡한 회로선들, 수천, 수만 줄의 코딩에서 버그를 찾는 문제들은 해결해 왔으면서, 왜 이 몸이 ‘문제’라고 접근해본 적은 없었을까요?” 엔지니어이자 디자이너, 사업 경영자인 존 워커(John Walker)의 말이다.
“엔지니어로서 저는 문제를 풀도록 훈련되어 왔습니다. 디자이너로서 저는 다른 사람들이 문제를 풀 수 있도록 도와주는 도구를 만드는 데에 집중해 왔습니다. 사업 경영자로서의 저도 수많은 문젯거리를 해결해가면서 살아남는 법을 익혔습니다. 그렇지만 내 자신의 건강 문제는 그저 당연한 것으로 받아들였다니, 이상하지 않습니까? 그래서 이를 문제로 여기고, 투자해보기로 마음을 먹었습니다.” 결과부터 말하자면 존 워커는 1년 만에 32kg을 감량하는 데에 성공했다. 개인 트레이너의 도움을 받거나 전문가 상담 같은 것 일절 없이, 오로지 ‘문제 해결’ 능력을 응용해서만 말이다.
32kg라는 숫자가 그리 대단해 보이지 않을 수 있다. 그러나 존 워커는 “감량이니 몸무게이니 하는 문제의 근본을 이해하기 시작한 것이 가장 큰 수확”이라고 말한다. “32kg을 뺐다는 사실보다 제가 몸무게에 대한 완벽한 통제력을 이해하고 장악했다는 것에서부터 새로운 자신감이 생겼습니다. 그리고 이 자신감이 있어서 제가 원하는 체중을 오랫동안 유지할 수 있게 되었죠.” ‘픽스’를 하다가 ‘솔루션’을 설계할 수 있게 되었고, 그것을 바탕으로 ‘관리’의 단계에까지 이르게 된 것이다.
문제 간단히 바라보기
보안과 다이어트를 본격적으로 연결시키기 전에 먼저 옛날이야기 하나. 옛날에 한 젊은이가 늙은 부자를 찾아왔다. 그 젊은이는 물었다. “도대체 어르신은 시장에서 어떻게 그 많은 돈을 버셨습니까?” 노인은 웃으며 대답했다. “아주 간단해. 낮은 가격에 사서 비싼 값에 팔았을 뿐이지.” 그러자 젊은이는 물었다. “그런 기술은 어떻게 배울 수 있습니까?” 노인은 그 질문에 웃음을 거두고 심각하게 대답했다. “그게 문제야. 나도 아직 배우는 중이거든.” 해결책이 간단하다고 해서 쉬운 건 아니라는 뜻이다.
다이어트 문제 역시 사실은 그리 복잡한 건 아니다. 섭취하는 것보다 더 많은 열량을 소모하면 된다. 인풋이 아웃풋보다 적으면 된다는 것이다. 하지만 새해마다 다이어트 결심을 하고 실패하는 사람들이라면 다 알고 있듯이, 저게 말처럼 쉬운 게 절대 아니다. 기자 역시 올해 초에는 온 부서가 모인 자리에서 SECON이 열리는 3월까지 총각 때 입었던 양복이 다시 맞게 하겠다고 결심했지만, 하마터면 신축성 좋은 추리닝 입고 행사에 참석할 뻔했다. 그럼에도 문제의 본질이 매우 간단하다는 건 변함이 없다. 적게 먹고, 많이 태운다.
문제 풀기 - 다이어트라는 프로젝트
그러면 이 문제에 대한 접근법을 결정해야 한다. 역시, 픽스, 솔루션, 관리로 나눌 수 있는데, 이 셋은 상호보완적이다. 다이어트에 있어서 가장 시급히 픽스되어야 할 건, 언제, 얼마나 먹어야 하는지 모른다는 점이다. 적게 먹고, 많이 태워야 한다는 명제에 있어 ‘나는 언제 먹어야 하고 얼마나 먹어야 하는가’는 가장 기본적인 정보로, 이것이 없으면 다이어트가 고통스러워진다. 이 정보 수집 단계 없이 곧바로 굶기 시작했을 때 얼마나 힘든지, 다들 한 번쯤은 경험해봤을 것이다. 이건 꽤나 빠르고, 비교적 영구적으로 픽스가 가능하다.
솔루션의 경우, 대부분의 컴퓨터에 설치되어 있는 엑셀 종류의 스프레드시트만 있어도 그럴싸한 솔루션이 완성된다. 구글 독스도 비슷한 기능을 무료로 제공하니 스마트폰 앱과 연동해서 사용하는 것이 가능해진다. 그렇다고 컴퓨터가 반드시 있어야 하는 건 아니다. 다만 이 글을 읽는 정보보안 담당자들 대부분 컴퓨터를 좋아할 것 같아서, 컴퓨터를 활용할 수 있다는 걸 제안했을 뿐이다. 이 솔루션은 단순하기 때문에 종이랑 연필만으로도 ‘툴 제작’이 어렵지 않다. 좋아하는 툴과 함께하면 효과는 배가 된다.
정보보안에서 수년 전부터 연구되고 있는 ‘정보 공유’의 경우 정보의 포맷이나 정보가 포함해야 하는 내용의 질과 양, 수준 등이 정해지지 않아 정착하지 못하고 있다. 쉽게 말해 HWP로 제작된 첩보를 프랑스 사람이 열어보기 힘들고, 민감한 사람이나 회사 이름을 다 빼버리고 내용을 구성해 전달하니 사실상 쓸모없는 정보만 남는다는 것이다. 그러나 다이어트의 경우 우리에겐 이미 ‘칼로리’라는 통일된 표준 정보 규격이 존재한다. 음식 하나하나 칼로리 재보며 먹는 게 피곤하다고? 그것들이 전부 내 몸을 위협할 수 있는 취약점 첩보라고 여겨보라.
또한 내 몸이 하루에 얼마나 칼로리를 소모하는지도 파악해야 하는데, 존 워커는 “전문기관에서 측정을 해봐도 되지만, 엄격하게 정확한 수치가 필요한 건 아니니 인터넷 검색을 통해 대략적인 범위만 알아두어도 괜찮다”고 조언한다. 구글 검색을 해보면 다음과 같은 표를 구할 수 있다. Height는 키로 여기서는 피트와 인치 단위로 구성되어 있다. 약간의 환산이 필요하다. Frame은 골격의 크기를 말한다.
▲ 남자들의 대략적인 하루 칼로리 소모량
▲ 여자들의 대략적인 하루 칼로리 소모량
이런 정보가 있으면 1) 내가 하루에 먹어도 되는 총 칼로리가 계산되고 2) 음식을 앞에 두고 얼마나 먹어야 하는지가 판단이 된다. 최근 보안 업계의 화두인 ‘빠른 탐지와 신속한 사건 대응 능력’과 다를 게 없다. 보안뉴스만 조금 검색해 봐도 ‘빠른 탐지를 위해서는 평소부터 정상적인 네트워크/엔드포인트 상태 정보를 알고 있어야 한다’는 조언이 수두룩하게 나온다. 신속한 사건 대응을 위해서는 침투 시나리오를 미리 마련하고 훈련해보는 게 필요하다고 하지 않는가? 즉 평소부터 정보를 갖추고, 그에 맞는 행동력을 발산하라는 것이다.
로깅 역시 다이어트의 필수 요소
위에서 스프레드시트를 솔루션으로서 제안했는데, 사실 이것은 매일의 기록을 남기기 위해서 필요한 것일 뿐이다. “날짜와 몸무게는 기본이고, 섭취한 칼로리 총량도 계산해서 기록해두면 도움이 됩니다. 이걸 매일매일 컴퓨터 문서를 열어 숫자를 기입해도 되지만, 저(존 워커)의 경우 메모장 같은 곳에다가 연필로 계속 적어놨다가 한 달에 한 번 컴퓨터 문서 작업을 했습니다. 내가 한 달 동안 어떻게 살았는지가 정리되더군요. 그걸 염두에 두고 다음 달을 살았고요. 몸무게 란의 숫자가 계속 줄어드는 걸 한 번에 확 보는 즐거움도 있었습니다.”
또한 존 워커는 먹을 때마다 칼로리 조사를 하는 것에 지쳐가는 문제도 꾸준한 로깅을 통해서 해결할 수 있다고 말한다. “로깅을 하다보면 알게 되겠지만, 사실 한 사람이 먹는 음식이 그리 다양하지 않거든요. 자기가 먹는 음식이 뭔지 대충 나오고, 그 음식들의 칼로리는 기본적으로 익혀지게 되죠. 그러다보면 생소한 음식을 먹게 되는 상황이 올 때 일일이 칼로리 정보를 보지 않고도, 대략 다른 곳에서 보충하거나 제할 수 있게 됩니다. 즉, 음식 섭취의 전체적은 계획과 운영이 가능해지죠. 내가 먹을 걸 주도적으로 운영할 수 있게 되면, 음식 칼로리에 대한 압박감이 크게 줄어듭니다.”
최근 데이터양에 압박을 느끼는 보안 담당자들이 세계적으로 증가하고 있다. 그래서 정보 분석에 대한 기술과 능력에 대한 수요 역시 높아지고 있다. 분석가들의 몸값이 오르고, 자동화 분석 툴과 인공지능의 개발이 활발해지는 이유이기도 하지만, 보안 담당자들이 자기 하는 일에 지쳐가는 이유이기도 하다. 데이터에 주도권이 있기 때문이다. 언젠가 데이터에 대한 주도권을 사람이 가져가게 된다면, 보안 일이 좀 더 흥미로워질 것으로 보인다.
얼마 전 The Shift라는 다이어트 책을 지은 토니 데이븐(Tony Daven)은 책머리에 매우 강력한 메시지를 담았다. “넘쳐나는 다이어트 책과 운동법이 지겹지 않습니까? 그런 책들의 메시지는 무엇입니까? 당신이라는 사람을 완전히 바꾸라는 것 아닙니까? 하루에 세 시간씩 운동할 수 있다면, 다이어트 책을 왜 보겠습니까? 솔직해 집시다. 우린 먹을 걸 장기간 자제하고 꾸준히 운동할 수 있는 사람이 아닙니다. 지구력도 자제력도 자기 통제력도 없어요. 그러니까 살이 찌죠. 아니면 그런 데 신경 쓰느니 다른 데 집중하는 게 더 중요할 수도 있죠... 결국 다이어트를 하기로 했으면 작은 희생을 장시간 치룰 생각을 해야 합니다. 정체성을 다 바꾸라는 게 아닙니다. 삶의 작은 부분, 매일 15분, 이런 식으로 작은 희생들이 체중 감량으로 이어집니다. 그걸 해낼 자신이 없으면 이 책 사지 마세요.”
보안 전문가들의 많은 조언은 결국 ‘기본기’에 대한 것으로 귀결된다. 보안 전문가와 비전문가를 가르는 건, 현재에는 학위 여부나 IT 기술(지식) 차이지만 앞으로는 작은 희생을 얼마나 잘 치르고 있느냐가 되어야 할 것이다. 누가 뭐래도 정해진 때에 비밀번호를 바꾸는 사람, 평생 흐트러짐 없이 시스템 검사를 실시하는 사람, 새로운 공격법에 대하여 공부하고 쉬운 말로 주변 사람에게 전파해주는 사람, 이메일 함 주기적으로 정리하고 바탕화면 항상 깨끗한 사람, 스스로는 뚱뚱하지만 다이어트에 대해서는 쓸 수 있는 사람...
[국제부 문가용 기자(globoan@boannews.com)]
보안도 작은 행동의 변화이듯, 다이어트 역시 마찬가지
※ 경고 : 이 기사엔 다이어트의 왕도가 적혀 있지 않습니다.
[보안뉴스 문가용 기자] 겨울을 상징하는 패딩들이 거리에서 눈에 띄게 줄고 있다. 사랑에 빠진 청년들의 눈엔 이미 벚꽃 활짝 핀 거리가 보이는 듯 하고, 이제 막 계절의 순환에 대해 어렴풋이 깨달은 아이들은 따뜻한 날을 예언하며, 부모들은 그런 아이들의 성장을 꿈꾸듯 바라본다. 그러나 슬슬 불안감의 엄습을 겪는 사람들도 있다. 봄 이후에 올 여름을 대비해야 할, 뚱뚱보들이다. 패딩이라는 아늑한 망각 속에 숨겨둔 지난 겨울의 새싹, 아니 새살들을 어찌해야 할꼬.
보안 담당자들이 주요 독자인 보안뉴스에서 갑자기 살 빼기 이야기를 꺼내는 건, 보안 담당자들도 몰랐겠지만, 보안을 하는 사람들이야 말로 다이어트의 고수들이기 때문이다. 이는 대단히 큰 비밀로, 사실 보안 담당자들 자신도 모르고 있는 경우가 많다. 얼마나 이 사실이 깊이 숨겨져 왔는지, 취재를 다녀보면 보안 담당자들 사이에서도 뚱뚱한 사람들이 꽤나 많다. 물론 보안뉴스의 원 기자와 문 기자가 이 업계에서 거의 제일 뚱뚱하니까 할 수 있는 말이다(원 1위, 문 2위). 보안 전문가들은 왜 다이어트를 잘 할 수 있는 걸까, 조금 더 풀어 설명을 해보겠다.
보안 담당자는 문제 해결사
정보보안도 크게 보면 ‘안전’에 관한 분야다. 뭔가를 ‘지켜내는 것’이 주된 임무인 것이다. 뭔가를 지킨다는 건 그것의 문제들을 해결해준다는 것과 같다. 부모는 아이가 겪는 문제를 해결하거나 주시하고, 선생은 학생의 그것을 상담해주며, 보안 담당자는 회사 전체를 매의 눈으로 지켜보고 관할하며 행동 범위를 규정한다. 그 대상은 기본적으로 IT 기술로 무장된 네트워크이기도 하지만, 한 발 더 나아가 그 네트워크 내에서 활동하는 임직원들이기도 하다. 기술적인 오류나 문제가 발생했을 때, 사용자의 행동 습관이 매우 위험할 때, 보안 담당자들은 해결책을 찾아 나선다.
또한 보안 전문가들은 문제에 대한 접근법을 다양하게 구사할 줄 안다. 그중 첫 번째는 ‘픽스(fix)’다. 보안 오류나 취약점이 발견되었을 때 보안 담당자들은 그에 대한 픽스를 만들거나 받아서 적용한다. 그렇게 한 번 고쳐진 취약점, 즉, 문제는, 영원히 고쳐져 있는 상태를 유지한다. 한 번에, 빠르게, 그리고 영구히 문제가 해결되는 게 바로 픽스다. 주로 지엽적인 문제를 해결할 때 사용되는 기법이다.
두 번째는 ‘솔루션(solution)’이다. 보안에는 무료 백신에서부터 수억 원에 이르는 통합 솔루션까지 다양한 보안의 필요를 채워주는 솔루션들이 존재한다. 픽스와 솔루션이 다른 점은 솔루션은 설치 그 자체로 문제가 해결되지 않는다는 것이다. 문제를 파악하거나 원인을 제거하거나 문제로 인한 영향력을 약화시켜주는 작업을 하기에 편리성을 제공하는 것이 솔루션의 몫으로, 결국 설치 후 어떻게 활용하는가가 문제 해결의 관건이 된다.
세 번째는 ‘관리’다. 문제를 관리한다는 게 얼핏 이해가 안 갈 수도 있지만 보안 전문가들의 매일 같은 일상 속에 어느 새 녹아 있는 것이다. 픽스로 취약점을 단박에 영원히 고치고, 솔루션의 도움으로 문제점들을 찾아서 조치를 취할 수 있지만, 이 둘로도 해결이 잘 안 되는 영역이 보안에 존재한다. 바로 사람과 정책이다. 사람이라는 취약점은 오랜 기간 관리가 필요할 수 있으며, 그 관리를 위해 정책도 바꾸거나 수립할 수 있어야 한다. 정책을 바꾸는 것 역시 간단히 이뤄지지 않는다. 그렇기에 많은 조직에서 보안 담당자들은 인사부서와 비슷한 업무를 하거나 협조하기도 한다.
시스템에 대한 강한 호기심
보안 담당자들은 ‘시스템’에 대한 호기심이 강하다. 해킹으로 범죄를 저지르는 이들에게서 더 많이 발견되는 특징이기도 한데, 합법적인 침투 테스트나 보안 점검을 하는 화이트 해커들이나 보안 담당자들이 여기에 뒤진다고 볼 수 없다. 기계 만지기 좋아하는 사람들이 새로운 기계 나올 때마다 분해해보는 것처럼, ‘보안’ 좋아하는 사람들 역시 여러 가지 공격 경로를 찾기 위해 다양한 시도를 해본다.
이는 사실 ‘해킹’ 혹은 ‘해커’라는 용어의 기원과 맞닿아 있기도 하다. 지금은 여러 매체에서 해커를 범죄자와 동급으로 취급하기 때문에 변질된 감이 없잖아 있는데, 사실 초창기 해커들은 기기나 소프트웨어 등 주어진 ‘시스템’의 한계를 시험해보는 사람들이었다. 지적인 탐구를 통해 사용설명서가 규정한 테두리 바깥까지 성능을 끌어올리거나 또 다른 사용방법을 발견해내는 사람들이 바로 해커였던 것이다. 정해진 한계를 창조적으로 거부하는 것. 당시 ‘해커’는 그래서 명예롭기까지 한 타이틀이었다.
그래서 일각에서는 보안 담당자들을 화이트 해커라고 부르기도 한다. 보안 비전문가들이 실수나 무지로 싸놓은 똥을 치우는 게 보안 담당자들의 일이라고 여겨진다면, 스스로를 화이트 해커라고 생각해보라. 주어진 한계를 극복하려고 지적으로 탐구하는 사람, 그래서 누군가 그 영역으로 아무 생각 없이 혹은 실수로 나아가려고 할 때 미리 나서서 경고해줄 수 있는 선견자, 그것이 바로 보안 담당자의 참된 역할이다.
문제를 발견하는 것이 곧 동기부여로 이어지는 사람들
시스템과 문제를 다루는 데에 능숙한 보안 담당자들은, 매일처럼 다른 모양으로 다가오는 난제들을 처리하기 위해 많은 기술들을 동원하거나, 자기 안에서 개발시킨다. 여기서 한 가지 짚고 넘어가야 하는 또 다른 보안 담당자들의 특성은 ‘피할 방법이 없는 환경에서 훈련해 왔다’는 것이다. 이것이 ‘안전’과 연결된 것이기 때문이다. 시스템 내 발견된 취약점을 보안 담당자가 모른 체하거나 회사 내 사용자 계정을 10년째 1234라는 암호로 관리해온 장기 근속자를 보안 담당자가 우대해주었다가는 언제 어떤 공격자가 네트워크에 들어와 사고를 칠지 모른다. 보안 담당자는 거의 항상 마지노선의 역할을 한다는 것이다.
그러므로 보안 담당자들에게는 ‘저 골치 아픈 문제, 내가 안 하면 누가 하겠나’라는 자세가 박혀있다. 문제를 발견해놓고도 ‘누가 고치겠지’, ‘담당자한테 알려주면 끝이지’, ‘별 문제 아니군’이라고 다른 사람들은 넘어갈 수 있어도 보안 담당자는 그럴 수 없고, 그러면 안 된다. 이는 동기부여 문제와도 연결이 된다. 뭔가가 ‘문제’로만 인식이 된다면, 이들은 미루거나 넘기지 않고 직접 대면해 마주하는 경우가 훨씬 많다. 훈련에 의해서건, 선천적이건 말이다.
오토데스크의 창립자 존 워커가 말하길
위 세 가지 큰 특성을 다이어트에 적용하면, 왜 보안 담당자들이 다이어트에 최적화된 사람들인지 견적이 딱 나온다. 과도하게 살이 찐 몸이 ‘문제’로 인식되기만 한다면 곧바로 1) 동기부여가 되며, 2) 몸이라는 위대하고 복잡한 시스템에 대한 호기심이 발동되고 3) 문제 해결을 위해 여러 방법론을 동원할 수 있다는 것이다. 여기서 보안 담당자들의 기지를 발동시킬 선제 조건인 ‘과도하게 살 찐 몸이 문제’에 대해 한 IT 분야 선배가 남긴 기록을 발췌해본다.
“오토캐드(AutoCAD)라는 세계 컴퓨터 디자인 역사에 남을 프로그램을 대부분 개발했고, 오토데스크(Autodesk)라는 세계적인 IT 기업을 설립해 운영하고 있으면서, 몸무게 하나 어쩌지 못한다는 사실이 어느 날 무척 경악스럽게 다가왔습니다. 그러면서 여태까지 비만 문제를 전혀 ‘해결 가능한 문제’라고 인식하지 않고 살아왔다는 걸 깨달았지요. 저에게 이 비대한 몸이란 그저 받아들여야 할 삶의 형태이며 제 운명이었을 뿐입니다. 기업 운영의 자잘한 문제들과 생산라인의 복잡한 회로선들, 수천, 수만 줄의 코딩에서 버그를 찾는 문제들은 해결해 왔으면서, 왜 이 몸이 ‘문제’라고 접근해본 적은 없었을까요?” 엔지니어이자 디자이너, 사업 경영자인 존 워커(John Walker)의 말이다.
“엔지니어로서 저는 문제를 풀도록 훈련되어 왔습니다. 디자이너로서 저는 다른 사람들이 문제를 풀 수 있도록 도와주는 도구를 만드는 데에 집중해 왔습니다. 사업 경영자로서의 저도 수많은 문젯거리를 해결해가면서 살아남는 법을 익혔습니다. 그렇지만 내 자신의 건강 문제는 그저 당연한 것으로 받아들였다니, 이상하지 않습니까? 그래서 이를 문제로 여기고, 투자해보기로 마음을 먹었습니다.” 결과부터 말하자면 존 워커는 1년 만에 32kg을 감량하는 데에 성공했다. 개인 트레이너의 도움을 받거나 전문가 상담 같은 것 일절 없이, 오로지 ‘문제 해결’ 능력을 응용해서만 말이다.
32kg라는 숫자가 그리 대단해 보이지 않을 수 있다. 그러나 존 워커는 “감량이니 몸무게이니 하는 문제의 근본을 이해하기 시작한 것이 가장 큰 수확”이라고 말한다. “32kg을 뺐다는 사실보다 제가 몸무게에 대한 완벽한 통제력을 이해하고 장악했다는 것에서부터 새로운 자신감이 생겼습니다. 그리고 이 자신감이 있어서 제가 원하는 체중을 오랫동안 유지할 수 있게 되었죠.” ‘픽스’를 하다가 ‘솔루션’을 설계할 수 있게 되었고, 그것을 바탕으로 ‘관리’의 단계에까지 이르게 된 것이다.
문제 간단히 바라보기
보안과 다이어트를 본격적으로 연결시키기 전에 먼저 옛날이야기 하나. 옛날에 한 젊은이가 늙은 부자를 찾아왔다. 그 젊은이는 물었다. “도대체 어르신은 시장에서 어떻게 그 많은 돈을 버셨습니까?” 노인은 웃으며 대답했다. “아주 간단해. 낮은 가격에 사서 비싼 값에 팔았을 뿐이지.” 그러자 젊은이는 물었다. “그런 기술은 어떻게 배울 수 있습니까?” 노인은 그 질문에 웃음을 거두고 심각하게 대답했다. “그게 문제야. 나도 아직 배우는 중이거든.” 해결책이 간단하다고 해서 쉬운 건 아니라는 뜻이다.
다이어트 문제 역시 사실은 그리 복잡한 건 아니다. 섭취하는 것보다 더 많은 열량을 소모하면 된다. 인풋이 아웃풋보다 적으면 된다는 것이다. 하지만 새해마다 다이어트 결심을 하고 실패하는 사람들이라면 다 알고 있듯이, 저게 말처럼 쉬운 게 절대 아니다. 기자 역시 올해 초에는 온 부서가 모인 자리에서 SECON이 열리는 3월까지 총각 때 입었던 양복이 다시 맞게 하겠다고 결심했지만, 하마터면 신축성 좋은 추리닝 입고 행사에 참석할 뻔했다. 그럼에도 문제의 본질이 매우 간단하다는 건 변함이 없다. 적게 먹고, 많이 태운다.
문제 풀기 - 다이어트라는 프로젝트
그러면 이 문제에 대한 접근법을 결정해야 한다. 역시, 픽스, 솔루션, 관리로 나눌 수 있는데, 이 셋은 상호보완적이다. 다이어트에 있어서 가장 시급히 픽스되어야 할 건, 언제, 얼마나 먹어야 하는지 모른다는 점이다. 적게 먹고, 많이 태워야 한다는 명제에 있어 ‘나는 언제 먹어야 하고 얼마나 먹어야 하는가’는 가장 기본적인 정보로, 이것이 없으면 다이어트가 고통스러워진다. 이 정보 수집 단계 없이 곧바로 굶기 시작했을 때 얼마나 힘든지, 다들 한 번쯤은 경험해봤을 것이다. 이건 꽤나 빠르고, 비교적 영구적으로 픽스가 가능하다.
솔루션의 경우, 대부분의 컴퓨터에 설치되어 있는 엑셀 종류의 스프레드시트만 있어도 그럴싸한 솔루션이 완성된다. 구글 독스도 비슷한 기능을 무료로 제공하니 스마트폰 앱과 연동해서 사용하는 것이 가능해진다. 그렇다고 컴퓨터가 반드시 있어야 하는 건 아니다. 다만 이 글을 읽는 정보보안 담당자들 대부분 컴퓨터를 좋아할 것 같아서, 컴퓨터를 활용할 수 있다는 걸 제안했을 뿐이다. 이 솔루션은 단순하기 때문에 종이랑 연필만으로도 ‘툴 제작’이 어렵지 않다. 좋아하는 툴과 함께하면 효과는 배가 된다.
정보보안에서 수년 전부터 연구되고 있는 ‘정보 공유’의 경우 정보의 포맷이나 정보가 포함해야 하는 내용의 질과 양, 수준 등이 정해지지 않아 정착하지 못하고 있다. 쉽게 말해 HWP로 제작된 첩보를 프랑스 사람이 열어보기 힘들고, 민감한 사람이나 회사 이름을 다 빼버리고 내용을 구성해 전달하니 사실상 쓸모없는 정보만 남는다는 것이다. 그러나 다이어트의 경우 우리에겐 이미 ‘칼로리’라는 통일된 표준 정보 규격이 존재한다. 음식 하나하나 칼로리 재보며 먹는 게 피곤하다고? 그것들이 전부 내 몸을 위협할 수 있는 취약점 첩보라고 여겨보라.
또한 내 몸이 하루에 얼마나 칼로리를 소모하는지도 파악해야 하는데, 존 워커는 “전문기관에서 측정을 해봐도 되지만, 엄격하게 정확한 수치가 필요한 건 아니니 인터넷 검색을 통해 대략적인 범위만 알아두어도 괜찮다”고 조언한다. 구글 검색을 해보면 다음과 같은 표를 구할 수 있다. Height는 키로 여기서는 피트와 인치 단위로 구성되어 있다. 약간의 환산이 필요하다. Frame은 골격의 크기를 말한다.
▲ 남자들의 대략적인 하루 칼로리 소모량
▲ 여자들의 대략적인 하루 칼로리 소모량
이런 정보가 있으면 1) 내가 하루에 먹어도 되는 총 칼로리가 계산되고 2) 음식을 앞에 두고 얼마나 먹어야 하는지가 판단이 된다. 최근 보안 업계의 화두인 ‘빠른 탐지와 신속한 사건 대응 능력’과 다를 게 없다. 보안뉴스만 조금 검색해 봐도 ‘빠른 탐지를 위해서는 평소부터 정상적인 네트워크/엔드포인트 상태 정보를 알고 있어야 한다’는 조언이 수두룩하게 나온다. 신속한 사건 대응을 위해서는 침투 시나리오를 미리 마련하고 훈련해보는 게 필요하다고 하지 않는가? 즉 평소부터 정보를 갖추고, 그에 맞는 행동력을 발산하라는 것이다.
로깅 역시 다이어트의 필수 요소
위에서 스프레드시트를 솔루션으로서 제안했는데, 사실 이것은 매일의 기록을 남기기 위해서 필요한 것일 뿐이다. “날짜와 몸무게는 기본이고, 섭취한 칼로리 총량도 계산해서 기록해두면 도움이 됩니다. 이걸 매일매일 컴퓨터 문서를 열어 숫자를 기입해도 되지만, 저(존 워커)의 경우 메모장 같은 곳에다가 연필로 계속 적어놨다가 한 달에 한 번 컴퓨터 문서 작업을 했습니다. 내가 한 달 동안 어떻게 살았는지가 정리되더군요. 그걸 염두에 두고 다음 달을 살았고요. 몸무게 란의 숫자가 계속 줄어드는 걸 한 번에 확 보는 즐거움도 있었습니다.”
또한 존 워커는 먹을 때마다 칼로리 조사를 하는 것에 지쳐가는 문제도 꾸준한 로깅을 통해서 해결할 수 있다고 말한다. “로깅을 하다보면 알게 되겠지만, 사실 한 사람이 먹는 음식이 그리 다양하지 않거든요. 자기가 먹는 음식이 뭔지 대충 나오고, 그 음식들의 칼로리는 기본적으로 익혀지게 되죠. 그러다보면 생소한 음식을 먹게 되는 상황이 올 때 일일이 칼로리 정보를 보지 않고도, 대략 다른 곳에서 보충하거나 제할 수 있게 됩니다. 즉, 음식 섭취의 전체적은 계획과 운영이 가능해지죠. 내가 먹을 걸 주도적으로 운영할 수 있게 되면, 음식 칼로리에 대한 압박감이 크게 줄어듭니다.”
최근 데이터양에 압박을 느끼는 보안 담당자들이 세계적으로 증가하고 있다. 그래서 정보 분석에 대한 기술과 능력에 대한 수요 역시 높아지고 있다. 분석가들의 몸값이 오르고, 자동화 분석 툴과 인공지능의 개발이 활발해지는 이유이기도 하지만, 보안 담당자들이 자기 하는 일에 지쳐가는 이유이기도 하다. 데이터에 주도권이 있기 때문이다. 언젠가 데이터에 대한 주도권을 사람이 가져가게 된다면, 보안 일이 좀 더 흥미로워질 것으로 보인다.
얼마 전 The Shift라는 다이어트 책을 지은 토니 데이븐(Tony Daven)은 책머리에 매우 강력한 메시지를 담았다. “넘쳐나는 다이어트 책과 운동법이 지겹지 않습니까? 그런 책들의 메시지는 무엇입니까? 당신이라는 사람을 완전히 바꾸라는 것 아닙니까? 하루에 세 시간씩 운동할 수 있다면, 다이어트 책을 왜 보겠습니까? 솔직해 집시다. 우린 먹을 걸 장기간 자제하고 꾸준히 운동할 수 있는 사람이 아닙니다. 지구력도 자제력도 자기 통제력도 없어요. 그러니까 살이 찌죠. 아니면 그런 데 신경 쓰느니 다른 데 집중하는 게 더 중요할 수도 있죠... 결국 다이어트를 하기로 했으면 작은 희생을 장시간 치룰 생각을 해야 합니다. 정체성을 다 바꾸라는 게 아닙니다. 삶의 작은 부분, 매일 15분, 이런 식으로 작은 희생들이 체중 감량으로 이어집니다. 그걸 해낼 자신이 없으면 이 책 사지 마세요.”
보안 전문가들의 많은 조언은 결국 ‘기본기’에 대한 것으로 귀결된다. 보안 전문가와 비전문가를 가르는 건, 현재에는 학위 여부나 IT 기술(지식) 차이지만 앞으로는 작은 희생을 얼마나 잘 치르고 있느냐가 되어야 할 것이다. 누가 뭐래도 정해진 때에 비밀번호를 바꾸는 사람, 평생 흐트러짐 없이 시스템 검사를 실시하는 사람, 새로운 공격법에 대하여 공부하고 쉬운 말로 주변 사람에게 전파해주는 사람, 이메일 함 주기적으로 정리하고 바탕화면 항상 깨끗한 사람, 스스로는 뚱뚱하지만 다이어트에 대해서는 쓸 수 있는 사람...
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
