위험천만한 것들을 그대로 놔두고 사용자 탓만?...싫은 소리 들을 줄 아는 경영진 있어야
[보안뉴스 문가용 기자] 얼마 전 아내와 난 생애 처음으로 개를 한 마리 들였다. 정확히 말하면 강아지다. 아직 작고 사랑스러운 생명체이지만 가끔은 사납게 돌변하거나 말썽을 일으키기도 한다. 개도 훈련을 시켜야 하는데, 처음 개를 키워보는 우리로서는 제대로 할 수가 없었다. 그래서 결국 개 전문가를 초빙해 여러 가지를 배웠다.
[이미지 = utoimage]
전문가는 초보자인 우리를 교육시키기 위해 ‘강화’라는 개념을 꽤 오랜 시간 설명했다. 그러면서 개를 훈련(강화)시킬 때 사용할 수 있는 건 음식, 접촉, 뭔가를 가져오게 하는 명령이라고 말했다. 즉, 조련사가 원하는 행동을 개가 수행했을 때 맛있는 걸 주거나, 쓰다듬거나, 공을 던져서 가져오는 놀이를 하게 하면 개의 뇌 속에서 ‘이것이 조련사가 원하는 것’이라는 느낌이 강화된다는 것이다. 조련사가 원하지 않는 행동을 했는데도 이 세 가지 중 하나를 지속적으로 하게 된다면, 개는 조련사가 원하는 것과 다른 방향으로 성장한다는 설명도 덧붙었다.
보안 업계에서도 사용자들이 해줬으면 하는 행동들이 존재한다는 것이 생각났다. 그러면 혹시 우리 전문가들도 그들을 교육시킬 때 쓸 수 있는 ‘강화’ 방법이 있지 않을까? 몇 가지 예를 생각해 보았다.
1. 위기 관리
강아지가 똥오줌을 가리지 못해 집안 여기저기를 난장판으로 놓을 때마다 우리는 독가스 혹은 독극물 경보를 울리고 방독면을 뒤집어 쓴 채 테러 방지 팀을 부르거나 하지 않는다. 강아지가 실례를 주요 시간대를 파악해 두었다가 데리고 나가면 된다. 우린 어쩌면 모든 보안 사고들을 지나치게 확대해서 전파하는 건 아닐까?
물론 표면적으로 작은 사건이라고 하더라도 그 뒤에 있는 낮은 보안 인식, 고질적인 해이함, 출시일 앞당기기 위주의 개발 문화 등이 작용하기 때문에 걱정스러운 소리를 하지 않을 수가 없다는 건 이해한다. 그런 문제들이 다음 사건들을 다시 일으킨다는 것도 잘 알고 있다. 누군가는 해야 할 소리가 맞다. 그러나 그런 소리를 하는 가장 큰 이유는 ‘학습’임을 기억해야 한다. 대부분의 사람은 사건의 배경이 되는 수많은 요인들을 장황하게 듣고 기억할 수 없다. 한 번에 하나씩, 쉽게 기억할 수 있는 것들만 짚어줄 수 있어야 한다.
2. 보안 요소 구축해 넣기
개 근처에 신발을 놓아둔 상태에서 ‘신발 물지 마’라고 아무리 강조해봐야 큰 효과를 기대하기는 힘들다. 이건 비단 강아지만이 아니다. 아가들도 하지 말라고 가르치는 것만으로 교육을 다 할 수 없다. 소프트웨어를 개발할 때도 기본적인 보안 기능은 만들어 넣어줘야 한다. 온갖 위험한 행위들을 할 수 있게 해놓고, 사용자에게 하지 말아야 할 것들의 목록을 줘봐야 무슨 실효가 있을까. 그런데 놀랍게도 사용자가 하지 않으리라고 기대하면서 보안 기능을 하나도 넣지 않고 나오는 소프트웨어가 정말 많다. 그러고 사고가 터지면 사용자 탓을 한다.
개인적으로 소프트웨어에 보안 기능 혹은 제약 사항을 넣지 않은 채 출시하는 건 개를 조련사가 원하는 것과 반대 방향으로 훈련시키는 것과 같다고 본다. 사용자들은 소프트웨어를 사용하면서 위험한 행위를 통해 뭔가를 얻어갈 것이고(재미, 생산성 증가 등), 이는 그들에게 먹이, 쓰다듬기 등의 효과를 발휘한다. 그렇기 때문에 ‘그거 하면 안 돼’라는 말이 통할리가 없다.
3. 보상은 양이 아니라 질이 중요하다
음식과 쓰다듬기 등의 보상을 줌으로써 강아지를 훈련시킬 수 있다고 앞서 말했었다. 재미있는 건 이 보상이 제대로 이뤄지지 않으면 강아지가 이도 저도 아닌 행동을 익힌다는 것이다. 보안에서도 이 원칙이 적용되는 듯했다. 아직 수많은 조직들이 성과를 ‘양’으로 측정한다. 조회수, 판매량, 매출 등은 어느 나라 어느 문화권에서나 주요 평가의 기준이 된다.
보안이 평가와 보상을 위해 양적 기준만을 내세운다면 어떻게 될까? 아주 사소한 건, 심지어 보안 사건이라고 보기에 애매한 건들에도 경보가 마구 울려대고, 따라서 탐지 정확도는 낮아지며, 분석도 야트막하게만 진행된다. 그러면서 공격의 깊은 원인에서는 점점 멀어지게 되며, 우리는 헛스윙만 연달아 하게 될 가능성이 높아진다. 보안 문화를 제대로 키워내려면 양보다 질에 집중해야 하는데, 글쎄, 이건 그리 쉬운 일이 아닐 것이다.
4. 정말로 중요한 것
사실 개를 훈련시킬 때 집중해야 할 건, 언제 어느 때 어떤 사고를 주로 일으키는가가 아니라고 한다. 그런 연속된 사건들을 통해 개가 나아지고 있는가, 자라고 있는가, 제대로 성장 중에 있는가를 확인하는 것이라고 그 전문가는 강조했다. 난 많은 조직들에서 이 부분을 놓치는 걸 보아왔다. 나 스스로도 그렇다. 사건 자체에 매몰되어, 조직 전체가 이전에 비해 얼마나 성장하고 있는지를 보지 못하는 것이다. 개 훈련을 시키며 이 부분이 계속 맴돌았다.
보안의 현실은 성장이다. 우리는 지금 당장 모든 것을 다 막는 능력을 발휘할 수도, 그런 조직을 단박에 만들어낼 수도 없다. 결국 장기적으로 튼튼한 조직을 키워내야 하는 건데, 그걸 어떤 상황에서도 기억하는 것이 중요하다고 생각한다.
5. 정직하게, 투명하게, 정확하게
개 훈련 전문가와 협업을 할 때 가장 중요한 건 강아지의 문제점을 정확히 이해하고, 그걸 정직하고 투명하게 공유하는 것이다. 아니면 전문가의 전문성이 엉뚱한 곳에 투자된다. 기업의 보안 문제 역시 마찬가지다. 윗분들께서 안 좋은 소식을 듣는 거 자체를 너무 싫어하시기 때문에 정확한 사건 사고 소식이 중간에서 소멸되기 일쑤고, 따라서 적절한 예산 투자 등을 이끌어내기가 어렵다. 그러니 적은 돈으로 허술한 보안을 하게 되고, 다시 사고가 터지고, 윗선에 숨기려는 목적으로 일처리가 이뤄진다. 악순환이다. 관련자들의 근무 기간이 약간 연장되는 것 외에는 달성되는 것이 없는.
좋은 소리만 듣고자 하는 경영진은 좋은 경영진이 아니다. 일반 윤리적인 관점에서도 그렇고 보안의 측면에서는 더더욱 그렇다. 그런데 세상에는 그런 경영진들 투성이다. 그러므로 좋은 보안 문화를 양성하고 싶다면, 경영진부터 투명하고 정직해져야 한다. 윗물이 맑아야 보안이 강력해진다.
글 : 조슈아 골드팝(Joshua Goldfarb)
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>