매섭게 댓글 다시면 이렇게 기자수첩을 빙자한 반성문 써 dream
[보안뉴스 문가용 기자] “아니, 기사를 이 따위로 쓰면 어떻게 합니까?” 얼마 전 기사에 달린 댓글이다. 아이폰과 아이패드에서 복사 후 붙여넣기를 하면 데이터가 유출될 수 있다는 보안 전문가들의 연구 결과에 대한 기사였고, 독자께서는 ‘데이터 유출의 불안감을 계속 가지고 살 수 없으니 대책까지도 알려줘야지 문제만 알려주면 어떻게 하느냐’고 항의를 하고 있었다.
[이미지 = utoimage]
맞는 지적이었다. 변명을 하자면 당시(올해 2월) 문제가 됐던 부분은 애플에서 iOS를 만지고 고쳐야 해결이 되는 것이었고, 그나마도 애플 측은 문제를 인정하지 않는 분위기였다. 사용자들 편에서는 딱히 손을 쓸 수 있는 게 없었다. 기자가 본 외신이나 보고서, SNS에서는 그 어떤 전문가들도 사용자 편에서 해야 할 일을 알려주지 않았다. 하다못해 ‘당분간 ’복붙‘을 하지 않는 게 안전하다’는 주의의 말 한 줄도 찾을 수 없었고, 따라서 기사에 넣을 수 없었다.
하지만 이 댓글을 그냥 지나칠 수 없었던 건 당시 그 기사를 준비하면서 ‘그래서 사용자는 어떻게 해야 해?’라고 스스로 궁금했던 기억이 없었기 때문이다. 설사 기사로 나타나는 결과가 같았을지라도(즉 사용자가 스스로를 보호하기 위해 할 수 있는 일을 끝내 찾지 못했더라도), 그걸 대신 궁금해 하고 답을 더 찾아봤다면 댓글을 읽고 떳떳했을 것이다. 아침마다 기사를 쓰기 전에 앉아 ‘오늘도 월급이 아니라 공익을 위해 쓰게 하소서’라고 다짐하는 내 자신이 덜 부끄러웠을 것이다.
그러고 보니 언젠가 한 교수님이 인터뷰를 하면서 대차게 기자를 혼내기도 하셨다. 보안산업 전체를 어루만지는 매체들이 취약점 소식만 올리는 게 맞는지 살피라는 내용이었다. 그 때는 할 말이 나름 있었다. 취약점 소식을 알려주는 것 - 보통은 패치와 함께 올라오니까 - 이야말로 사용자들이 직접 보안에 참여하도록 유도할 수 있는 방법이라고 믿고 있었기 때문이다. 패치 튜즈데이만 되면 써야할 기사가 너무 많아 허덕이던 때이기도 했다.
매체들이 요즘 괄시를 받는 가장 큰 이유와, 위에 언급한 댓글과 인터뷰를 통해 기자가 개인적으로 얻었던 가르침은 같은 맥락에 서 있다. 고발이든 정보 전달이든, 기사는 공익을 지향해야 한다는 것이다. 그걸 놓칠 때 매체는 생명력을 잃고 무가치한 공해로 전락한다(혹은 했다). 그리고 그 공익이란 건 보안 분야의 기자의 경우 ‘결국 사용자가 개인적으로 할 수 있는 보호책은 무엇인가’를 궁극적으로 물어 답을 찾는 것이다. 그것이 패치이든, 비밀번호 변경이든, 새 장비 구입이든, 민원을 하나라도 더 넣는 것이든, 불매를 하는 것이든 말이다.
전문 지식 없는 상태에서 대 IT 시대에 돌입하고 있는 일반 사용자 개개인의 시각에서 공익성을 추구해야 하는 건 보안업계도 마찬가지다. 꽤나 오랜 시간 IT 분야 베스트셀러 자리를 차지했던 <키워드로 정리하는 정보보안 119>의 저자 문광석 씨도 기자와의 인터뷰에서 “보안에 대해 알려준다는 건 문제의 대응방안까지 함께 전달하는 것”이라고 강조했었다. 보안은 전문가들끼리 향유하는 그들만의 리그가 아니라는 것이다.
이런 점을 잘 기억하고 있는 전문가 혹은 보안 매체들은 보고서만 봐도 티가 난다. 일반 사용자들에게 가야 할 정보라면 일반인들 수준에 맞는 대응책들이 언급된다. 보안 전문가들에게 가야 할 정보라면 침해지표가 나열된다. 또한 3개월, 6개월 혹은 1년 뒤 후속 보고서가 나온다. 그 때 지적했던 문제가 지금은 이렇게 변했으니 이번엔 이렇게 저렇게 대응책을 마련하고 조심하라는 메시지를, 모두가 잊고 있던 시점에 다시 한 번 내는 것이다(물론 관련 제품을 만드는 곳이라서 장기 마케팅의 일환으로써 그런 끈질김을 보여줄 수도 있지만 본디 어디나 까마귀 한 마리쯤 섞여드는 법 아닌가).
해커 혹은 해킹이라는 단어가 주는 주목도 때문에라도 보안은 ‘이슈’로 소비되기가 대단히 좋은 분야다. 어떤 기업이 해커 때문에 데이터를 이만큼 잃었고 벌금을 이 정도로 냈다더라 하는 소식, 어떤 기업이나 정부기관이 사용자 데이터를 몰래 팔았다더라 하는 소식, 여기에 혀 끌끌 반주까지 넣어주면 이슈의 완성이다. 방금 그 소식을 딱 그 선까지 전하고 소비한 사람들은 그 옛날 가십의 중심지였던 빨래터의 아낙들과 다름이 없다. 이 이슈들에는 보안과의 희미한 연결성만 있지 정작 있어야 할 보안은 없기 때문이다.
대신 벌금까지 낸 기업, 혹은 찜찜한 짓거리를 등 뒤에서 하다가 대서특필 된 조직의 고객/사용자라면 이러한 사고 이후에 비밀번호를 바꿔야 한다든가, 대체할 만한 플랫폼을 찾아야 한다는 조언을 붙이는 게 보안이다. 그 조직의 과거 행적을 통해 이후에 어떤 부분을 보완해야 할지 개인 블로그에 의견 개진이라도 할 수 있어야 한다. 물론 이 때 ‘내 그럴 줄 알았어’는 전문성 높은 예측도 아니고 ‘그러게 보안을 강화했어야지’라는 방대 오묘한 말은 아무런 도움도 되지 않는다.
사고 전 보안은 아무도 모르게 선행을 하는 키다리 아저씨다. 가장 멋있을 때다. 그러나 키다리 아저씨가 현실세계에 별로 없듯이 사전 예방을 완벽히 수행하는 보안은 드물다. 보안이 스포트라이트를 다 차지하는 건 사고 후의 일이다. 심지어 그 스포트라이트에는 불명예와 맹비판이 가득한 것이 보통이다. 이를 역전시키는 딱 하나의 방법은 사건 이후로 관심을 옮기는 것이다. 즉, 두 번째 같은 사고가 터지는 걸 막는 데 주력해야 한다는 것이다. 지금의 이슈성에 매몰되는 게 아니라, 묵묵히 이후를 바라보는 시선이 더 필요하다. 일단 기자부터.
[문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] “아니, 기사를 이 따위로 쓰면 어떻게 합니까?” 얼마 전 기사에 달린 댓글이다. 아이폰과 아이패드에서 복사 후 붙여넣기를 하면 데이터가 유출될 수 있다는 보안 전문가들의 연구 결과에 대한 기사였고, 독자께서는 ‘데이터 유출의 불안감을 계속 가지고 살 수 없으니 대책까지도 알려줘야지 문제만 알려주면 어떻게 하느냐’고 항의를 하고 있었다.
[이미지 = utoimage]
맞는 지적이었다. 변명을 하자면 당시(올해 2월) 문제가 됐던 부분은 애플에서 iOS를 만지고 고쳐야 해결이 되는 것이었고, 그나마도 애플 측은 문제를 인정하지 않는 분위기였다. 사용자들 편에서는 딱히 손을 쓸 수 있는 게 없었다. 기자가 본 외신이나 보고서, SNS에서는 그 어떤 전문가들도 사용자 편에서 해야 할 일을 알려주지 않았다. 하다못해 ‘당분간 ’복붙‘을 하지 않는 게 안전하다’는 주의의 말 한 줄도 찾을 수 없었고, 따라서 기사에 넣을 수 없었다.
하지만 이 댓글을 그냥 지나칠 수 없었던 건 당시 그 기사를 준비하면서 ‘그래서 사용자는 어떻게 해야 해?’라고 스스로 궁금했던 기억이 없었기 때문이다. 설사 기사로 나타나는 결과가 같았을지라도(즉 사용자가 스스로를 보호하기 위해 할 수 있는 일을 끝내 찾지 못했더라도), 그걸 대신 궁금해 하고 답을 더 찾아봤다면 댓글을 읽고 떳떳했을 것이다. 아침마다 기사를 쓰기 전에 앉아 ‘오늘도 월급이 아니라 공익을 위해 쓰게 하소서’라고 다짐하는 내 자신이 덜 부끄러웠을 것이다.
그러고 보니 언젠가 한 교수님이 인터뷰를 하면서 대차게 기자를 혼내기도 하셨다. 보안산업 전체를 어루만지는 매체들이 취약점 소식만 올리는 게 맞는지 살피라는 내용이었다. 그 때는 할 말이 나름 있었다. 취약점 소식을 알려주는 것 - 보통은 패치와 함께 올라오니까 - 이야말로 사용자들이 직접 보안에 참여하도록 유도할 수 있는 방법이라고 믿고 있었기 때문이다. 패치 튜즈데이만 되면 써야할 기사가 너무 많아 허덕이던 때이기도 했다.
매체들이 요즘 괄시를 받는 가장 큰 이유와, 위에 언급한 댓글과 인터뷰를 통해 기자가 개인적으로 얻었던 가르침은 같은 맥락에 서 있다. 고발이든 정보 전달이든, 기사는 공익을 지향해야 한다는 것이다. 그걸 놓칠 때 매체는 생명력을 잃고 무가치한 공해로 전락한다(혹은 했다). 그리고 그 공익이란 건 보안 분야의 기자의 경우 ‘결국 사용자가 개인적으로 할 수 있는 보호책은 무엇인가’를 궁극적으로 물어 답을 찾는 것이다. 그것이 패치이든, 비밀번호 변경이든, 새 장비 구입이든, 민원을 하나라도 더 넣는 것이든, 불매를 하는 것이든 말이다.
전문 지식 없는 상태에서 대 IT 시대에 돌입하고 있는 일반 사용자 개개인의 시각에서 공익성을 추구해야 하는 건 보안업계도 마찬가지다. 꽤나 오랜 시간 IT 분야 베스트셀러 자리를 차지했던 <키워드로 정리하는 정보보안 119>의 저자 문광석 씨도 기자와의 인터뷰에서 “보안에 대해 알려준다는 건 문제의 대응방안까지 함께 전달하는 것”이라고 강조했었다. 보안은 전문가들끼리 향유하는 그들만의 리그가 아니라는 것이다.
이런 점을 잘 기억하고 있는 전문가 혹은 보안 매체들은 보고서만 봐도 티가 난다. 일반 사용자들에게 가야 할 정보라면 일반인들 수준에 맞는 대응책들이 언급된다. 보안 전문가들에게 가야 할 정보라면 침해지표가 나열된다. 또한 3개월, 6개월 혹은 1년 뒤 후속 보고서가 나온다. 그 때 지적했던 문제가 지금은 이렇게 변했으니 이번엔 이렇게 저렇게 대응책을 마련하고 조심하라는 메시지를, 모두가 잊고 있던 시점에 다시 한 번 내는 것이다(물론 관련 제품을 만드는 곳이라서 장기 마케팅의 일환으로써 그런 끈질김을 보여줄 수도 있지만 본디 어디나 까마귀 한 마리쯤 섞여드는 법 아닌가).
해커 혹은 해킹이라는 단어가 주는 주목도 때문에라도 보안은 ‘이슈’로 소비되기가 대단히 좋은 분야다. 어떤 기업이 해커 때문에 데이터를 이만큼 잃었고 벌금을 이 정도로 냈다더라 하는 소식, 어떤 기업이나 정부기관이 사용자 데이터를 몰래 팔았다더라 하는 소식, 여기에 혀 끌끌 반주까지 넣어주면 이슈의 완성이다. 방금 그 소식을 딱 그 선까지 전하고 소비한 사람들은 그 옛날 가십의 중심지였던 빨래터의 아낙들과 다름이 없다. 이 이슈들에는 보안과의 희미한 연결성만 있지 정작 있어야 할 보안은 없기 때문이다.
대신 벌금까지 낸 기업, 혹은 찜찜한 짓거리를 등 뒤에서 하다가 대서특필 된 조직의 고객/사용자라면 이러한 사고 이후에 비밀번호를 바꿔야 한다든가, 대체할 만한 플랫폼을 찾아야 한다는 조언을 붙이는 게 보안이다. 그 조직의 과거 행적을 통해 이후에 어떤 부분을 보완해야 할지 개인 블로그에 의견 개진이라도 할 수 있어야 한다. 물론 이 때 ‘내 그럴 줄 알았어’는 전문성 높은 예측도 아니고 ‘그러게 보안을 강화했어야지’라는 방대 오묘한 말은 아무런 도움도 되지 않는다.
사고 전 보안은 아무도 모르게 선행을 하는 키다리 아저씨다. 가장 멋있을 때다. 그러나 키다리 아저씨가 현실세계에 별로 없듯이 사전 예방을 완벽히 수행하는 보안은 드물다. 보안이 스포트라이트를 다 차지하는 건 사고 후의 일이다. 심지어 그 스포트라이트에는 불명예와 맹비판이 가득한 것이 보통이다. 이를 역전시키는 딱 하나의 방법은 사건 이후로 관심을 옮기는 것이다. 즉, 두 번째 같은 사고가 터지는 걸 막는 데 주력해야 한다는 것이다. 지금의 이슈성에 매몰되는 게 아니라, 묵묵히 이후를 바라보는 시선이 더 필요하다. 일단 기자부터.
[문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
