외쳐! 2!0!2!4! 보안 업계에서는 매년 새로운 해가 다가오는 것 자체가 긴장감 넘치는 사건이다. 해마다 나쁜 기록들이 갱신되기 때문이다. 그럼에도 기죽지 말아야 할 것은, 보안 업계의 사건 사고를 이루는 기저의 흐름 자체는 그리 새롭지 않기 때문이다.
[보안뉴스 문가용 기자] 2024년이 빠르게 다가오고 있다. 요 근래 십수년 동안 그랬듯 2024년도 온갖 보안 사고와 사건들로 점철될 확률이 높다. 언제 어디서 어떤 사고가 벌어져 어떤 피해가 생길 것인지 예언하는 건 불가능하겠지만, 그런 사고들을 야기할 저 깊은 세류들에 관해서는 이야기가 가능하다. 해서 본지에서는 2024년에도 고집 세게 한 방향으로 흘러갈 기저의 움직임들을 2/0/2/4라는 숫자에 맞춰 짚어보았다.
[이미지 = gettyimagesbank]
2 : 두 국가의 싸움
2024년에도 이어질 것이 분명한 미국과 중국의 ‘테크 전쟁’이 거시적인 측면에서 정보 보안 산업에 큰 영향을 미칠 것으로 예상된다. 특히 2010년 전후에 등장한 아이폰에 필적할 만큼 영향력이 막강한 IT 기술로 꼽히는 인공지능이 당분간 테크 분야의 거대한 화두가 될 것인데, 하필이면 바로 이 부분에서 미국과 중국이라는 세계에서 가장 힘센 세력 두 개가 맞붙고 있으니 남의 집 불구경처럼 마음 편히 즐길 수가 없다. 게다가 정보 보안은 인공지능이라는 기술이 각광을 받기 훨씬 오래 전부터 이를 활용해온 분야이니 더 그렇다.
문제는 ‘그럼 두 고래의 싸움은 어떻게 새우들에게 영향을 미칠 것인가?’이다. 인공지능을 구현하는 데 필요한 모든 하드웨어와 소프트웨어를 독자적으로 마련할 수 있다면 아무런 상관이 없지만 강력한 칩셋에서부터 시작해 알고리즘과 주요 모델들을 어느 정도 해외에서부터 도입해야 한다면 반드시 미국과 중국 중 하나를 선택할 수밖에 없다는 게 가장 피부에 와닿는 문제가 될 것이다. 중국제냐 미국제냐, 혹은 내가 친중이냐 친미냐의 문제가 아니다. 미국과 중국이 서로를 법적으로 제재하고 있기 때문에 섣부른 선택 하나가 회사 전체에 생각지도 못한 피해를 안길 수도 있다.
중국은 인공지능을 구동시키는 데 필요한 칩셋을 미국에서부터 공급받지 못하게 되어 있다. 하지만 중국은 화웨이를 필두로 제재를 우회하거나 감시의 눈을 피해 칩셋 공급에 성공한 것으로 보이고, 미국 측에서는 이를 수사하며 제재를 어긴 회사나 조직들을 찾아내는 중이다. 중국은 원래부터 사이버 도적 행위로 중요 IT 사업을 키워온 나라이기 때문에 제재라는 장치가 영원히 통할 리 없고, 그렇기 때문에 2024년에도 미국의 제재는 더더욱 두꺼워지고 중국의 회피술은 더 교묘해질 것이다. 한국은 미국과 중국의 중간에 있는 나라로서 어느 한쪽의 편을 일방적으로 들기가 매우 곤란하기 때문에 중국과 미국의 이런 줄다리기에 잘못 낄 가능성이 높다. 지혜가 필요하다.
0 : Young Guns? 0 Guns!
체감상 한 5~6년 정도부터 본격적으로 보안 업계에서 불거져 나온 목소리가 있는데, 바로 일할 사람이 없다는 것이다. 그리고 그 문제는 여러 산업으로 뻗쳐나가는 중이다. 아무래도 선진국이라고 하는 국가들에서 인구가 무서운 속도로 감소하고 있기 때문인 것으로 보인다. 심지어 ‘인구’하면 첫 손에 꼽히던 국가 중국마저 2023년 인도에 1위 자리를 내어줬을 정도니 사람이 없어 아우성인 기업들은 이제 거의 모든 산업에 존재한다고 봐도 무방하다.
보안 업계에 경우 아무리 보안에 투자를 해도 뚫릴 곳은 결국 뚫리며, 따라서 보안은 늘 사이버 공격자들에게 패배하고 있다는 비판을 면치 못하고 있는데 사실 이 역시 사람이 없어서 그런 거라는 분석이 나오고 있다. 그래서 보안 업계는 더 강력한 기술을 개발해 공석을 메우고자 하며, 특히 인공지능이 인력 부족 문제를 효과적으로 해결해줄 수 있을 것이라는 기대를 받고 있다. 2024년도에는 보안 업계에서 ‘이런 기술을 쓰면 인력을 몇 명 대체할 수 있다’는 홍보 문구가 등장할 가능성이 높다. 물론 이게 인력을 해고해도 된다는 뉘앙스로 받아들여지면 곤란하기 때문에 돌려서 말하겠지만 본질적으로는 ‘인력을 못 구했으면 인공지능을 쓰세요’라는 접근법을 보여주는 솔루션이나 플랫폼이 등장할 것으로 예상된다.
다른 한편으로는 각종 교육 프로그램들을 통해 청소년과 청년 층에 접근하는 시도 역시 활발히 이뤄질 것으로 보인다. 그래서 보안 교육은 보안 업계 내에서 점점 더 중요한 자리를 차지하게 될 텐데, 인구가 부족해 교육 받을 사람이 예전만큼 바글바글하지 않다보니 기존 교육 시장 만큼의 수익을 내기는 힘들 수 있다. 그럼에도 아직 한국의 소아청소년과 만큼의 위기가 당장 찾아오지는 않을 것이다.
2 : 2대로는 안 되겠다
위에서 보안 업계가 늘 패배하고 있다는 비판을 면치 못하고 있다고 했고 그 요인 중 하나가 부족한 인력으로 꼽힌다고 했는데, 일각에서는 현재의 규정이 너무 느슨해서 그렇다는 분석도 나오는 중이다. 삼엄하다고 말할 정도로 보안 규정이 덕지덕지한 금융 업계나 군, 정부 기관들을 제외하고는 대부분 기본적으로 ‘자율성’에 의존한 경우가 많다. 미리부터 억누르거나 옥죄지 말고, 사고가 터지면 그 때 가서 보완하자는 접근법이, 득표수에 민감할 수밖에 없는 민주주의 체계 하 정치인들(즉 입법자들)이 전 세계적으로 선호하는 방식이기 때문이다. 정보 보안은 비교적 신생 분야이고, 그래서 아직 다른 분야에 비해 규정이 빡빡하거나 촘촘하다고 하기는 힘들다.
규제 좋아하는 사람은 드물다. 하지만 2023년 우리는 규제가 필요하다는 데에 두 번이나 목소리를 모은 적이 있다. 하나는 인공지능 기술 발전과 관련된 것이었다. 전 세계 인공지능 분야 내 대표적인 사람들 수천 명이 ‘규제를 마련할 때까지 인공지능 개발을 멈추자’는 내용의 서신에 서명을 하면서 이 기술이 가진 위험성을 지적한 바 있다.
또 중앙의 규제에서 벗어날 수 있다는 강점을 매력으로 내세웠던 암호화폐 생태계에서도 거대한 사건이 있었다. FTX와 바이낸스의 경영자 두 명이 사기와 자금 세탁 등 범죄 행위로 유죄 판결을 받은 것이다. 이 둘은 암호화폐 생태계의 가장 앞에서 서서 여론을 만들고 본을 보이던 사람들이었다. 결국 둘이 입증한 건 암호화폐로 사기쳐 억만장자 되기가 매우 쉽다는 것이었고, 이 사건을 계기로 암호화폐 투자자들 사이에서조차 중앙 규제를 찬성하는 목소리가 힘을 받기 시작했다. 미국의 증권거래위원회가 일반 주식 거래 하듯 암호화폐도 거래하는 방안을 마련한다는 소식이 나오자 암호화폐 가격이 올라가기 시작한 것이 이런 여론을 반영한다. 암호화폐 옹호론자들이 중앙의 간섭을 반가워한다니, 2023년 전에는 꿈도 못 꾸던 일이었다.
규제의 유효함이 이렇게 대대적으로 선포된 2023년이었기에 그 불길이 보안 분야로도 옮겨붙을 가능성은 낮지 않다. 게다가 GDPR로 이미 유럽연합은 2018년부터 강력한 규제로 개인정보 보호의 물결을 만든 바 있다. 그리고 올해 새 인공지능 규제도 통과시켰다. 자율성은 통하지 않고, 규제가 효과를 보인다는 사례들이 지난 수년 동안 누적되어 왔고, 그래서 2024년부터는 여러 분야에서 강력한 보안 규제가 도입될 수 있을 것으로 보인다. 규정의 특성 상 2024년부터 당장 시행될 것은 그리 많지 않겠지만, 법안들이 다수 제출되고 또 통과될 것이다. 보안 내에서 ‘규정 준수’가 갖는 의미가 더 커지기 시작할 것이다.
4 : It feels like 4ever...
2024년은 마치 영원히 거기 있었던 것처럼 느껴지는 오래된 기술, OT가 여러 의미에서 폭발하는 한 해가 될 것으로 예상된다. OT는 분명 operation technology 즉 운영 기술의 준말인데, 가면 갈수록 old technology 즉 오래된 기술의 준말처럼 느껴진다. OT 보안이 화두가 된 것은 얼마 되지 않았는데, 2024년에는 이것이 대세로 올라갈 가능성이 높아 보인다. 현대적인 보안 기술로는 커버가 되지 않는 구식 장비와 기술로 구성된 OT는 보안을 강화하는 게 무척 까다롭기 때문에, ‘OT 보안’이라는 것은 쉬이 해결될 수 있는 문제도 아니다. 그렇다고 새 장비로 기존 OT 장비를 대체하기에는 비용이 너무 세다.
OT 보안이 보안 업계에서 빠르게 떠오르는 사안이 되는 것은 OT 기술력 자체가 오래된 것이기 때문 만은 아니다. 그것보다 더 캐캐묵은 지정학적 갈등들이 불거지는 무대가 OT이기 때문이다. 위에서 언급한 중국과 미국 사이의 갈등도 그렇지만 그것보다 훨씬 오래된 ‘아랍 대 이스라엘’이라든가 ‘인도 대 파키스탄’, ‘인도 대 중국’, ‘한국 대 북한’ 등 다양한 갈등들이 연일 시사 소식을 채우고 있는 시대다. 적국에 어떻게 해서든 피해를 주고 싶어하는 세력들이 빠르게 늘어나고 있고, 그들 입장에서 목숨을 걸고 국경을 건너 테러를 일으키는 것보다 편안히 집이나 사무실에 앉아 적국의 OT에 침투해 각종 피해를 야기하는 것이 훨씬 쉽고 효과적이다. 게다가 OT는 쉬운 표적이기도 하다. 공식 전쟁이 두 군데서나 벌어지고 있는 지금, 사이버 공간은 적대심으로 넘쳐나고 있고, 그런 가운데 OT처럼 만만하고도 효과적인 표적도 찾기 힘들다.
미국이 코로나로 고생한 이후 공급망을 미국 안으로, 그게 아니더라도 최소 미국 가까운 곳으로 전부 옮기겠다고 대대적으로 선포한 것도 중요한 고려 대상이다. 이는 사실상 아시아에 집중되어 있던 생산업을 미국으로 들여오겠다는 뜻으로, 향후 몇 년 동안 미국 내에는 각종 OT 기술들이 보다 활발히 구축되고 활용될 전망이다. 미국은 어떤 나라인가? 사이버 공격을 가장 많이 받는 나라다. 또한 싫든 좋든 보안 기술을 선도하는 나라이기도 하다. 이곳에서 OT가 늘어난다는 건 OT 공격이 증가할 거라는 뜻이고, 그에 대한 보안 기술이 유행할 것이라는 뜻도 된다.
그렇다면 다가오는 2024년, 보안 업계는 이런 변화들을 어떻게 받아들이고 무엇을 실천해야 할까? 이 역시 2/0/2/4라는 숫자로 정리해 본다.
2 : 2야기, 2야기, 2야기...
‘보안 중요하다는 걸 모르는 사람은 없다’는 게 중론이라고들 말하는데, 아니다. 아직 많은 사람들은 보안의 중요성을 모른다. 그냥 누구나 그렇게 얘기하고 있으니까 그런가보다 하고 반복하는 것일 뿐이다. 기계적으로 학습된 모토이지 마음 속으로 받아들인 내용이 아니라는 것이다. 그렇기 때문에 사람들은 아직도 위험하기 짝이 없는 행동들을 사이버 공간에서 늘 하고 있으며, 해커들은 늘상 같은 수법으로도 높은 성공률을 보이며 부자가 되어가는 중이다. ‘보안이 중요하다’가 책이라면 우리는 제목만 주구장창 들려준 것이고, 그 책을 펼쳐 보여주지 않고 있다.
그러므로 보안 업계는 2024년 ‘보안의 중요성을 모든 사람이 알고 있다’고 생각하지 말고 계속해서 입을 열어 진지한 대화를 이끌어가야 할 것이다. 다만 여태까지 보안 업계의 화법은 ‘피해 입기 싫다면 보안을 강화해라’라는 식이었다. 보안이 중요한 이유는 피해를 입지 않기 위해서라는 지극히 단순한 이야기 구성 하나만을 들고 십수년을 우려먹은 것이다. 이제 보안의 책을 펼쳐서 그 내용을 읽어줘야 할 때다. 다른 이야기, 다른 화제, 다른 화법이 필요하다. 그리고 그 새 보안 이야기에 담겨질 내용에는 최소 다음 세 가지가 있어야 할 것이다.
0 : 제로트러스트를 넘어 제로블레임
제로트러스트는 코로나를 통해 폭발적으로 확산된 보안 개념 중 하나다. 확인이 되기 전까지는 그 무엇도 신뢰하지 않는다는 것으로, 원격 근무가 활성화 된 시기에 같이 활성화가 되었고 지금도 꾸준히 설파되고 있다. 2024년에는 이 ‘제로 시리즈’가 하나 더 추가될 필요가 있어 보이는데, 바로 ‘제로 블레임(zero-blame)’이다. 보안 사고가 발생했을 때 누군가 혹은 어떤 팀에게 책임을 묻는 것을 하지 않는다는 것이다.
보안은 늘 blame 즉 핀잔주기의 연속인 분야였다. 클라우드 설정 오류로 데이터가 새나갔어? 담당자 누구야? 책임지게 해! 보안 사고가 터졌어? CISO가 누구야? 경위서랑 시말서 작성하라고 해! 사직서도 잊지 말고! 우리 회사 데이터가 다크웹에 올라와 있다고? 어느 부서 데이터야? 담당자가 누구야? 당장 보고서 제출하라고 해! 어느 공장이 랜섬웨어에 걸렸다고? 공장 시설 담당자 당장 본사로 오라고 해!
물론 사건이 벌어지고 피해가 발생했으면 누군가 책임을 져야 한다. 그러나 그것은 그 피해가 특정 인물이나 팀의 잘못으로 인한 것임이 명백했을 때의 말이다. 보안 사고 중 대다수는 그리 단순한 특성을 가지고 있지 않다. 보안 담당자가 120% 실력을 발휘했어도 어제 입사한 신입의 실수 한 번이 치명적으로 작용했을 수도 있고, 사실 알고보면 그 실수는 오래된 업무 프로세스의 부실함 때문일 수도 있다. 게다가 진짜 범인은 해커들인데, 이들을 잡기 어려우니 당장 눈에 보이는 ‘실수자’들부터 ‘족치는’ 상황이 보안 사고와 관련해서 거듭된다. 그러니 보안 사고는 개인의 차원에서나 조직의 차원에서나 꽁꽁 감추는 게 미덕인 것으로 뿌리를 내린 지 오래다.
이는 보안 강화에 절대로 좋지 않은 관습이다. 보안 사고에는 늘 그 사고와 관련된 첩보가 있기 마련이고, 이 첩보만 잘 공유돼도 추가 사고를 얼마든지 막을 수 있다. 개인이 실수를 저질렀을 때 그 실수를 얼른 보안 팀에 공유하느냐 마느냐로 피해 금액 단위가 달라지기도 한다. 보안 사고를 처음부터 100% 예방하기가 어렵다면, 그래서 피해를 최소화 하는 데 집중해야 한다면 blame으로부터 사용자들이 자유로워짐으로써 정보 공유가 활성화되어야 한다. ‘보안이 중요하다’는 책의 첫 장에 들어갈 말로서 ‘우린 널 해치지 않아’라는 no-blame이 들어간다면 적절할 것이다.
2 : 2타심, 꼭 필요한 설득의 스토리텔링
그 다음 강조되어야 할 것은, 너무나 오래된 덕목이라 오히려 새로운 것으로, ‘이타심’이다. 다만 2024년부터 보안 업계에 이타심이 강조되어야 하는 것은 단순 도덕적 차원에서가 아니다. 지난 50~60여년 동안 우리는 사이버 공간을 너무나 복잡하게 구성해 왔다. 너도 나도 연결하기에 여념이 없었다. 앉은 자리에서 저 먼 나라의 쇼핑몰과 연결되고, 각종 행정 처리 기관과도 연결되고, 회사 업무 포털과도 연결되고, 오래 전 동창과도 연결되고, 펜팔과도 연결되고... 그리고 해커들은 이 연결성을 악용하는 데 능숙해졌다. 그래서 저 쇼핑몰의 피해로 내가 피해를 입고, 각종 행정 처리 기관에서 발생한 사고로 덩달아 피해를 입고, 회사 업무 포털을 내가 의도치 않게 뚫리게 만들고, 오래 전 동창이 피싱 링크에 속는 바람에 나도 피해를 입고, 펜팔이 나한테 사기를 치려 하고...
그리하여 우리는 우리도 모르게 나만 잘 돌보는 것만으로는 불충분한 시대에 당도하게 됐다. 보안 업계에서 ‘서드파티 해킹 사고’와 ‘공급망 공격’이 가장 흔한 유형의 사이버 사건 중 둘이 된 것은 우연이 아니다. 우리 회사의 보안을 강화하기 위해 파트너사와 벤더사, 그외 여러 서드파티 서비스 업체의 보안까지도 신경을 써야만 한다. 지금의 정서로는 이것이 일종의 경영권 침해로도 여겨질 수 있는데, 2024년부터는 이것이 일종의 놈(norm)으로 자리를 잡기 시작할 것이다. 특히 정부 기관이나 대기업처럼 갑의 입장에서 을에게 목소리를 낼 수 있는 곳들이 보다 강력한 보안 요구 사항을 제시하면서 이런 흐름이 급물살을 탈 것으로 예상된다.
하지만 그렇게만 된다면 결국 ‘보안은 결국 갑질력’으로 귀결될 수밖에 없다. 그러면 보안은 누구도 따르기 싫은 것이 된다. 그래서 이타심에 대한 스토리텔링이 필요한데, 다행히도 십수년 전부터 철학계에서는 공동체주의 혹은 공리주의가 서서히 힘을 얻고 있다. 보통 철학 계통에서 힘을 얻는 이론은 수십 년 안에 일반 정서로 편입된다고들 하니(개인주의가 각종 시나 노래, 그림, 소설 등으로 전파된 것처럼) 보안 업계가 이 흐름을 잘 탄다면 거부감을 최소화시키면서 서드파티 보안 강화 혹은 공급망 보안 강화를 이뤄낼 수 있을 것으로 보인다. ‘보안이 중요하다’는 책의 두 번째 장에 들어갈 내용으로서 ‘우리가 서로를 위한다면 더 안전해진다’가 들어간다면 적절할 것이다.
4 : 4회로 시각을 넓혀야
이타심은 필연적으로 시각을 넓힌다는 특성을 가지고 있다. 이타심은 나쁘게 표현하면 오지랖인데, 오지랖 잘 부리는 사람을 보면 불필요한 것까지 다 보고 다 신경 쓴다는 걸 알 수 있다. 이타심에서부터 자연스럽게 이야기를 이어가다보면 ‘사회 전체’가 나올 수밖에 없다. 사회 현상 전체에 대한 담론을 보안이 담아내야 한다는 게 아니라(그러면 좋겠지만), 먼저는 우리의 이야기 대상이 사회 전체가 되어야 한다는 것이다. 지금은 IT 업계 내에서, IT와 관련된 사람들이나 보안 사고를 당해본 사람들과만 이야기를 나누는 게 보안 업계의 현실이다. 우리끼리만 아는 이야기라는 것이다.
물론 아무도 모르게 숨어서 일할 수 있다면, 그렇게 해서 보안 강화가 이뤄질 수 있다면 굳이 보안 이야기가 세상에 큰 소리로 낭독될 필요는 없을 것이다. 하지만 적국이 우리 사회의 OT를 공략하고 있고, GDPR과 같은 규정 때문에 회사들이 천문학적인 벌금을 내고 있으며, 인공지능을 이용한 사이버 공격이 자행되고 있는 때에 보안은 숨어 일하는 일꾼의 자세를 고집할 수는 없다. IT 기술 자체가 일상 생활 속에 깊이 침투하고 있으니, 보안은 싫든 좋든 누구나 알고 실천해야 하는 것이 되어가고 있다.
이를 보안 업계가 먼저 인식하고 인정해야 한다. 아직 우리는 너무 수줍다. 보안 전문가들의 말에 사회가 아직 귀 기울이지 않기 때문에 거절감부터 느낀다. 하지만 보안 업계의 사회적 영향력이 커지고 있다는 현상 자체는 분명한 사실이다. 언제까지 부끄럽고 수줍어서, 혹은 그들이 말을 듣지 않아서 망과 시스템 속에 숨어 있을 수는 없다.
그렇다면 어떻게 그 수줍음이나 거절감을 극복할 수 있을까? 다짜고짜 내일부터 마을 회관에 나가 확성기를 가지고 보안 실천 사항을 읊는 건 문제를 악화시킨다. 우선은 사회 현상들에 대한 관심을 갖는 것부터 시작해야 한다. 최소한 세계 외교 무대와 경제계에서 발생하는 일들을 알아가다보면 이야깃거리가 생기고, 사람들과 대화할 수 있는 어휘도 갖출 수 있다. 보안에 대한 이야기를 보안 용어로 풀어내면 아무도 듣지 못하지만, 사람들이 갖는 관심사로부터 마음을 열면 귀 한두 개 더 열 수 있다. ‘보안이 중요하다’는 책의 마지막 장에 들어갈 내용으로서 ‘당신의 이야기를 들려주세요’가 들어간다면 적절할 것이다.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 2024년이 빠르게 다가오고 있다. 요 근래 십수년 동안 그랬듯 2024년도 온갖 보안 사고와 사건들로 점철될 확률이 높다. 언제 어디서 어떤 사고가 벌어져 어떤 피해가 생길 것인지 예언하는 건 불가능하겠지만, 그런 사고들을 야기할 저 깊은 세류들에 관해서는 이야기가 가능하다. 해서 본지에서는 2024년에도 고집 세게 한 방향으로 흘러갈 기저의 움직임들을 2/0/2/4라는 숫자에 맞춰 짚어보았다.
[이미지 = gettyimagesbank]
2 : 두 국가의 싸움
2024년에도 이어질 것이 분명한 미국과 중국의 ‘테크 전쟁’이 거시적인 측면에서 정보 보안 산업에 큰 영향을 미칠 것으로 예상된다. 특히 2010년 전후에 등장한 아이폰에 필적할 만큼 영향력이 막강한 IT 기술로 꼽히는 인공지능이 당분간 테크 분야의 거대한 화두가 될 것인데, 하필이면 바로 이 부분에서 미국과 중국이라는 세계에서 가장 힘센 세력 두 개가 맞붙고 있으니 남의 집 불구경처럼 마음 편히 즐길 수가 없다. 게다가 정보 보안은 인공지능이라는 기술이 각광을 받기 훨씬 오래 전부터 이를 활용해온 분야이니 더 그렇다.
문제는 ‘그럼 두 고래의 싸움은 어떻게 새우들에게 영향을 미칠 것인가?’이다. 인공지능을 구현하는 데 필요한 모든 하드웨어와 소프트웨어를 독자적으로 마련할 수 있다면 아무런 상관이 없지만 강력한 칩셋에서부터 시작해 알고리즘과 주요 모델들을 어느 정도 해외에서부터 도입해야 한다면 반드시 미국과 중국 중 하나를 선택할 수밖에 없다는 게 가장 피부에 와닿는 문제가 될 것이다. 중국제냐 미국제냐, 혹은 내가 친중이냐 친미냐의 문제가 아니다. 미국과 중국이 서로를 법적으로 제재하고 있기 때문에 섣부른 선택 하나가 회사 전체에 생각지도 못한 피해를 안길 수도 있다.
중국은 인공지능을 구동시키는 데 필요한 칩셋을 미국에서부터 공급받지 못하게 되어 있다. 하지만 중국은 화웨이를 필두로 제재를 우회하거나 감시의 눈을 피해 칩셋 공급에 성공한 것으로 보이고, 미국 측에서는 이를 수사하며 제재를 어긴 회사나 조직들을 찾아내는 중이다. 중국은 원래부터 사이버 도적 행위로 중요 IT 사업을 키워온 나라이기 때문에 제재라는 장치가 영원히 통할 리 없고, 그렇기 때문에 2024년에도 미국의 제재는 더더욱 두꺼워지고 중국의 회피술은 더 교묘해질 것이다. 한국은 미국과 중국의 중간에 있는 나라로서 어느 한쪽의 편을 일방적으로 들기가 매우 곤란하기 때문에 중국과 미국의 이런 줄다리기에 잘못 낄 가능성이 높다. 지혜가 필요하다.
0 : Young Guns? 0 Guns!
체감상 한 5~6년 정도부터 본격적으로 보안 업계에서 불거져 나온 목소리가 있는데, 바로 일할 사람이 없다는 것이다. 그리고 그 문제는 여러 산업으로 뻗쳐나가는 중이다. 아무래도 선진국이라고 하는 국가들에서 인구가 무서운 속도로 감소하고 있기 때문인 것으로 보인다. 심지어 ‘인구’하면 첫 손에 꼽히던 국가 중국마저 2023년 인도에 1위 자리를 내어줬을 정도니 사람이 없어 아우성인 기업들은 이제 거의 모든 산업에 존재한다고 봐도 무방하다.
보안 업계에 경우 아무리 보안에 투자를 해도 뚫릴 곳은 결국 뚫리며, 따라서 보안은 늘 사이버 공격자들에게 패배하고 있다는 비판을 면치 못하고 있는데 사실 이 역시 사람이 없어서 그런 거라는 분석이 나오고 있다. 그래서 보안 업계는 더 강력한 기술을 개발해 공석을 메우고자 하며, 특히 인공지능이 인력 부족 문제를 효과적으로 해결해줄 수 있을 것이라는 기대를 받고 있다. 2024년도에는 보안 업계에서 ‘이런 기술을 쓰면 인력을 몇 명 대체할 수 있다’는 홍보 문구가 등장할 가능성이 높다. 물론 이게 인력을 해고해도 된다는 뉘앙스로 받아들여지면 곤란하기 때문에 돌려서 말하겠지만 본질적으로는 ‘인력을 못 구했으면 인공지능을 쓰세요’라는 접근법을 보여주는 솔루션이나 플랫폼이 등장할 것으로 예상된다.
다른 한편으로는 각종 교육 프로그램들을 통해 청소년과 청년 층에 접근하는 시도 역시 활발히 이뤄질 것으로 보인다. 그래서 보안 교육은 보안 업계 내에서 점점 더 중요한 자리를 차지하게 될 텐데, 인구가 부족해 교육 받을 사람이 예전만큼 바글바글하지 않다보니 기존 교육 시장 만큼의 수익을 내기는 힘들 수 있다. 그럼에도 아직 한국의 소아청소년과 만큼의 위기가 당장 찾아오지는 않을 것이다.
2 : 2대로는 안 되겠다
위에서 보안 업계가 늘 패배하고 있다는 비판을 면치 못하고 있다고 했고 그 요인 중 하나가 부족한 인력으로 꼽힌다고 했는데, 일각에서는 현재의 규정이 너무 느슨해서 그렇다는 분석도 나오는 중이다. 삼엄하다고 말할 정도로 보안 규정이 덕지덕지한 금융 업계나 군, 정부 기관들을 제외하고는 대부분 기본적으로 ‘자율성’에 의존한 경우가 많다. 미리부터 억누르거나 옥죄지 말고, 사고가 터지면 그 때 가서 보완하자는 접근법이, 득표수에 민감할 수밖에 없는 민주주의 체계 하 정치인들(즉 입법자들)이 전 세계적으로 선호하는 방식이기 때문이다. 정보 보안은 비교적 신생 분야이고, 그래서 아직 다른 분야에 비해 규정이 빡빡하거나 촘촘하다고 하기는 힘들다.
규제 좋아하는 사람은 드물다. 하지만 2023년 우리는 규제가 필요하다는 데에 두 번이나 목소리를 모은 적이 있다. 하나는 인공지능 기술 발전과 관련된 것이었다. 전 세계 인공지능 분야 내 대표적인 사람들 수천 명이 ‘규제를 마련할 때까지 인공지능 개발을 멈추자’는 내용의 서신에 서명을 하면서 이 기술이 가진 위험성을 지적한 바 있다.
또 중앙의 규제에서 벗어날 수 있다는 강점을 매력으로 내세웠던 암호화폐 생태계에서도 거대한 사건이 있었다. FTX와 바이낸스의 경영자 두 명이 사기와 자금 세탁 등 범죄 행위로 유죄 판결을 받은 것이다. 이 둘은 암호화폐 생태계의 가장 앞에서 서서 여론을 만들고 본을 보이던 사람들이었다. 결국 둘이 입증한 건 암호화폐로 사기쳐 억만장자 되기가 매우 쉽다는 것이었고, 이 사건을 계기로 암호화폐 투자자들 사이에서조차 중앙 규제를 찬성하는 목소리가 힘을 받기 시작했다. 미국의 증권거래위원회가 일반 주식 거래 하듯 암호화폐도 거래하는 방안을 마련한다는 소식이 나오자 암호화폐 가격이 올라가기 시작한 것이 이런 여론을 반영한다. 암호화폐 옹호론자들이 중앙의 간섭을 반가워한다니, 2023년 전에는 꿈도 못 꾸던 일이었다.
규제의 유효함이 이렇게 대대적으로 선포된 2023년이었기에 그 불길이 보안 분야로도 옮겨붙을 가능성은 낮지 않다. 게다가 GDPR로 이미 유럽연합은 2018년부터 강력한 규제로 개인정보 보호의 물결을 만든 바 있다. 그리고 올해 새 인공지능 규제도 통과시켰다. 자율성은 통하지 않고, 규제가 효과를 보인다는 사례들이 지난 수년 동안 누적되어 왔고, 그래서 2024년부터는 여러 분야에서 강력한 보안 규제가 도입될 수 있을 것으로 보인다. 규정의 특성 상 2024년부터 당장 시행될 것은 그리 많지 않겠지만, 법안들이 다수 제출되고 또 통과될 것이다. 보안 내에서 ‘규정 준수’가 갖는 의미가 더 커지기 시작할 것이다.
4 : It feels like 4ever...
2024년은 마치 영원히 거기 있었던 것처럼 느껴지는 오래된 기술, OT가 여러 의미에서 폭발하는 한 해가 될 것으로 예상된다. OT는 분명 operation technology 즉 운영 기술의 준말인데, 가면 갈수록 old technology 즉 오래된 기술의 준말처럼 느껴진다. OT 보안이 화두가 된 것은 얼마 되지 않았는데, 2024년에는 이것이 대세로 올라갈 가능성이 높아 보인다. 현대적인 보안 기술로는 커버가 되지 않는 구식 장비와 기술로 구성된 OT는 보안을 강화하는 게 무척 까다롭기 때문에, ‘OT 보안’이라는 것은 쉬이 해결될 수 있는 문제도 아니다. 그렇다고 새 장비로 기존 OT 장비를 대체하기에는 비용이 너무 세다.
OT 보안이 보안 업계에서 빠르게 떠오르는 사안이 되는 것은 OT 기술력 자체가 오래된 것이기 때문 만은 아니다. 그것보다 더 캐캐묵은 지정학적 갈등들이 불거지는 무대가 OT이기 때문이다. 위에서 언급한 중국과 미국 사이의 갈등도 그렇지만 그것보다 훨씬 오래된 ‘아랍 대 이스라엘’이라든가 ‘인도 대 파키스탄’, ‘인도 대 중국’, ‘한국 대 북한’ 등 다양한 갈등들이 연일 시사 소식을 채우고 있는 시대다. 적국에 어떻게 해서든 피해를 주고 싶어하는 세력들이 빠르게 늘어나고 있고, 그들 입장에서 목숨을 걸고 국경을 건너 테러를 일으키는 것보다 편안히 집이나 사무실에 앉아 적국의 OT에 침투해 각종 피해를 야기하는 것이 훨씬 쉽고 효과적이다. 게다가 OT는 쉬운 표적이기도 하다. 공식 전쟁이 두 군데서나 벌어지고 있는 지금, 사이버 공간은 적대심으로 넘쳐나고 있고, 그런 가운데 OT처럼 만만하고도 효과적인 표적도 찾기 힘들다.
미국이 코로나로 고생한 이후 공급망을 미국 안으로, 그게 아니더라도 최소 미국 가까운 곳으로 전부 옮기겠다고 대대적으로 선포한 것도 중요한 고려 대상이다. 이는 사실상 아시아에 집중되어 있던 생산업을 미국으로 들여오겠다는 뜻으로, 향후 몇 년 동안 미국 내에는 각종 OT 기술들이 보다 활발히 구축되고 활용될 전망이다. 미국은 어떤 나라인가? 사이버 공격을 가장 많이 받는 나라다. 또한 싫든 좋든 보안 기술을 선도하는 나라이기도 하다. 이곳에서 OT가 늘어난다는 건 OT 공격이 증가할 거라는 뜻이고, 그에 대한 보안 기술이 유행할 것이라는 뜻도 된다.
그렇다면 다가오는 2024년, 보안 업계는 이런 변화들을 어떻게 받아들이고 무엇을 실천해야 할까? 이 역시 2/0/2/4라는 숫자로 정리해 본다.
2 : 2야기, 2야기, 2야기...
‘보안 중요하다는 걸 모르는 사람은 없다’는 게 중론이라고들 말하는데, 아니다. 아직 많은 사람들은 보안의 중요성을 모른다. 그냥 누구나 그렇게 얘기하고 있으니까 그런가보다 하고 반복하는 것일 뿐이다. 기계적으로 학습된 모토이지 마음 속으로 받아들인 내용이 아니라는 것이다. 그렇기 때문에 사람들은 아직도 위험하기 짝이 없는 행동들을 사이버 공간에서 늘 하고 있으며, 해커들은 늘상 같은 수법으로도 높은 성공률을 보이며 부자가 되어가는 중이다. ‘보안이 중요하다’가 책이라면 우리는 제목만 주구장창 들려준 것이고, 그 책을 펼쳐 보여주지 않고 있다.
그러므로 보안 업계는 2024년 ‘보안의 중요성을 모든 사람이 알고 있다’고 생각하지 말고 계속해서 입을 열어 진지한 대화를 이끌어가야 할 것이다. 다만 여태까지 보안 업계의 화법은 ‘피해 입기 싫다면 보안을 강화해라’라는 식이었다. 보안이 중요한 이유는 피해를 입지 않기 위해서라는 지극히 단순한 이야기 구성 하나만을 들고 십수년을 우려먹은 것이다. 이제 보안의 책을 펼쳐서 그 내용을 읽어줘야 할 때다. 다른 이야기, 다른 화제, 다른 화법이 필요하다. 그리고 그 새 보안 이야기에 담겨질 내용에는 최소 다음 세 가지가 있어야 할 것이다.
0 : 제로트러스트를 넘어 제로블레임
제로트러스트는 코로나를 통해 폭발적으로 확산된 보안 개념 중 하나다. 확인이 되기 전까지는 그 무엇도 신뢰하지 않는다는 것으로, 원격 근무가 활성화 된 시기에 같이 활성화가 되었고 지금도 꾸준히 설파되고 있다. 2024년에는 이 ‘제로 시리즈’가 하나 더 추가될 필요가 있어 보이는데, 바로 ‘제로 블레임(zero-blame)’이다. 보안 사고가 발생했을 때 누군가 혹은 어떤 팀에게 책임을 묻는 것을 하지 않는다는 것이다.
보안은 늘 blame 즉 핀잔주기의 연속인 분야였다. 클라우드 설정 오류로 데이터가 새나갔어? 담당자 누구야? 책임지게 해! 보안 사고가 터졌어? CISO가 누구야? 경위서랑 시말서 작성하라고 해! 사직서도 잊지 말고! 우리 회사 데이터가 다크웹에 올라와 있다고? 어느 부서 데이터야? 담당자가 누구야? 당장 보고서 제출하라고 해! 어느 공장이 랜섬웨어에 걸렸다고? 공장 시설 담당자 당장 본사로 오라고 해!
물론 사건이 벌어지고 피해가 발생했으면 누군가 책임을 져야 한다. 그러나 그것은 그 피해가 특정 인물이나 팀의 잘못으로 인한 것임이 명백했을 때의 말이다. 보안 사고 중 대다수는 그리 단순한 특성을 가지고 있지 않다. 보안 담당자가 120% 실력을 발휘했어도 어제 입사한 신입의 실수 한 번이 치명적으로 작용했을 수도 있고, 사실 알고보면 그 실수는 오래된 업무 프로세스의 부실함 때문일 수도 있다. 게다가 진짜 범인은 해커들인데, 이들을 잡기 어려우니 당장 눈에 보이는 ‘실수자’들부터 ‘족치는’ 상황이 보안 사고와 관련해서 거듭된다. 그러니 보안 사고는 개인의 차원에서나 조직의 차원에서나 꽁꽁 감추는 게 미덕인 것으로 뿌리를 내린 지 오래다.
이는 보안 강화에 절대로 좋지 않은 관습이다. 보안 사고에는 늘 그 사고와 관련된 첩보가 있기 마련이고, 이 첩보만 잘 공유돼도 추가 사고를 얼마든지 막을 수 있다. 개인이 실수를 저질렀을 때 그 실수를 얼른 보안 팀에 공유하느냐 마느냐로 피해 금액 단위가 달라지기도 한다. 보안 사고를 처음부터 100% 예방하기가 어렵다면, 그래서 피해를 최소화 하는 데 집중해야 한다면 blame으로부터 사용자들이 자유로워짐으로써 정보 공유가 활성화되어야 한다. ‘보안이 중요하다’는 책의 첫 장에 들어갈 말로서 ‘우린 널 해치지 않아’라는 no-blame이 들어간다면 적절할 것이다.
2 : 2타심, 꼭 필요한 설득의 스토리텔링
그 다음 강조되어야 할 것은, 너무나 오래된 덕목이라 오히려 새로운 것으로, ‘이타심’이다. 다만 2024년부터 보안 업계에 이타심이 강조되어야 하는 것은 단순 도덕적 차원에서가 아니다. 지난 50~60여년 동안 우리는 사이버 공간을 너무나 복잡하게 구성해 왔다. 너도 나도 연결하기에 여념이 없었다. 앉은 자리에서 저 먼 나라의 쇼핑몰과 연결되고, 각종 행정 처리 기관과도 연결되고, 회사 업무 포털과도 연결되고, 오래 전 동창과도 연결되고, 펜팔과도 연결되고... 그리고 해커들은 이 연결성을 악용하는 데 능숙해졌다. 그래서 저 쇼핑몰의 피해로 내가 피해를 입고, 각종 행정 처리 기관에서 발생한 사고로 덩달아 피해를 입고, 회사 업무 포털을 내가 의도치 않게 뚫리게 만들고, 오래 전 동창이 피싱 링크에 속는 바람에 나도 피해를 입고, 펜팔이 나한테 사기를 치려 하고...
그리하여 우리는 우리도 모르게 나만 잘 돌보는 것만으로는 불충분한 시대에 당도하게 됐다. 보안 업계에서 ‘서드파티 해킹 사고’와 ‘공급망 공격’이 가장 흔한 유형의 사이버 사건 중 둘이 된 것은 우연이 아니다. 우리 회사의 보안을 강화하기 위해 파트너사와 벤더사, 그외 여러 서드파티 서비스 업체의 보안까지도 신경을 써야만 한다. 지금의 정서로는 이것이 일종의 경영권 침해로도 여겨질 수 있는데, 2024년부터는 이것이 일종의 놈(norm)으로 자리를 잡기 시작할 것이다. 특히 정부 기관이나 대기업처럼 갑의 입장에서 을에게 목소리를 낼 수 있는 곳들이 보다 강력한 보안 요구 사항을 제시하면서 이런 흐름이 급물살을 탈 것으로 예상된다.
하지만 그렇게만 된다면 결국 ‘보안은 결국 갑질력’으로 귀결될 수밖에 없다. 그러면 보안은 누구도 따르기 싫은 것이 된다. 그래서 이타심에 대한 스토리텔링이 필요한데, 다행히도 십수년 전부터 철학계에서는 공동체주의 혹은 공리주의가 서서히 힘을 얻고 있다. 보통 철학 계통에서 힘을 얻는 이론은 수십 년 안에 일반 정서로 편입된다고들 하니(개인주의가 각종 시나 노래, 그림, 소설 등으로 전파된 것처럼) 보안 업계가 이 흐름을 잘 탄다면 거부감을 최소화시키면서 서드파티 보안 강화 혹은 공급망 보안 강화를 이뤄낼 수 있을 것으로 보인다. ‘보안이 중요하다’는 책의 두 번째 장에 들어갈 내용으로서 ‘우리가 서로를 위한다면 더 안전해진다’가 들어간다면 적절할 것이다.
4 : 4회로 시각을 넓혀야
이타심은 필연적으로 시각을 넓힌다는 특성을 가지고 있다. 이타심은 나쁘게 표현하면 오지랖인데, 오지랖 잘 부리는 사람을 보면 불필요한 것까지 다 보고 다 신경 쓴다는 걸 알 수 있다. 이타심에서부터 자연스럽게 이야기를 이어가다보면 ‘사회 전체’가 나올 수밖에 없다. 사회 현상 전체에 대한 담론을 보안이 담아내야 한다는 게 아니라(그러면 좋겠지만), 먼저는 우리의 이야기 대상이 사회 전체가 되어야 한다는 것이다. 지금은 IT 업계 내에서, IT와 관련된 사람들이나 보안 사고를 당해본 사람들과만 이야기를 나누는 게 보안 업계의 현실이다. 우리끼리만 아는 이야기라는 것이다.
물론 아무도 모르게 숨어서 일할 수 있다면, 그렇게 해서 보안 강화가 이뤄질 수 있다면 굳이 보안 이야기가 세상에 큰 소리로 낭독될 필요는 없을 것이다. 하지만 적국이 우리 사회의 OT를 공략하고 있고, GDPR과 같은 규정 때문에 회사들이 천문학적인 벌금을 내고 있으며, 인공지능을 이용한 사이버 공격이 자행되고 있는 때에 보안은 숨어 일하는 일꾼의 자세를 고집할 수는 없다. IT 기술 자체가 일상 생활 속에 깊이 침투하고 있으니, 보안은 싫든 좋든 누구나 알고 실천해야 하는 것이 되어가고 있다.
이를 보안 업계가 먼저 인식하고 인정해야 한다. 아직 우리는 너무 수줍다. 보안 전문가들의 말에 사회가 아직 귀 기울이지 않기 때문에 거절감부터 느낀다. 하지만 보안 업계의 사회적 영향력이 커지고 있다는 현상 자체는 분명한 사실이다. 언제까지 부끄럽고 수줍어서, 혹은 그들이 말을 듣지 않아서 망과 시스템 속에 숨어 있을 수는 없다.
그렇다면 어떻게 그 수줍음이나 거절감을 극복할 수 있을까? 다짜고짜 내일부터 마을 회관에 나가 확성기를 가지고 보안 실천 사항을 읊는 건 문제를 악화시킨다. 우선은 사회 현상들에 대한 관심을 갖는 것부터 시작해야 한다. 최소한 세계 외교 무대와 경제계에서 발생하는 일들을 알아가다보면 이야깃거리가 생기고, 사람들과 대화할 수 있는 어휘도 갖출 수 있다. 보안에 대한 이야기를 보안 용어로 풀어내면 아무도 듣지 못하지만, 사람들이 갖는 관심사로부터 마음을 열면 귀 한두 개 더 열 수 있다. ‘보안이 중요하다’는 책의 마지막 장에 들어갈 내용으로서 ‘당신의 이야기를 들려주세요’가 들어간다면 적절할 것이다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
