당대 엄청난 화제를 불러일으켰던 영화 슈퍼사이즈 미는, 지금 보안 업계가 겪고 있어 익숙한 문제를 다루고 있다. 영화 러닝타임 내내 변해가는 감독을 보면서 그에게 허니팟이라는 기술을 추천해주고 싶은 마음도 들었다면 당신은 ‘찐’ 보안인이다.
[보안뉴스 문가용 기자] 2004년의 문제작 중 하나라면 ‘슈퍼사이즈 미(Supersize Me)’가 있다. 패스트푸드를 비롯해 현대인의 식습관을 구성하는 주요 음식들이 우리 몸에 어떤 영향을 미치는지 알아보기 위해 감독이 직접 한 달여 기간 동안 오로지 맥도널드의 메뉴들만 먹는 실험을 진행하고, 그 과정을 화면에 담은 다큐멘터리 영화다. 꾸역꾸역 먹다가 구토까지 하는데도 감독은 포기하지 않았고, 그의 몸은 그 정성에 보답하려는 듯 건강하지 않은 모습으로 변해갔다.
[이미지 = IMDB.com]
이 실험은 하나의 법정 공방 때문에 시작됐다. 여자 청소년 두 명의 비만에 대한 책임을 부모가 맥도널드에 정식으로 물은 사건이다. 우리 딸 아이가 뚱뚱해진 건 맥도널드 책임이니 배상하라는 것이었고, 감독은 ‘이게 왜 맥도널드 책임인가?’라는 궁금증을 해결하기 위해 이 무모한 도전에 몸을 던진 것이다. 실제 맥도널드는 재판에서 “우리는 음식을 판매하고 있지, 구매와 섭취는 오로지 개인의 책임이다”라는 입장을 견지하고 있었고, 대부분이 여기에 동조하는 편인 것으로 다큐멘터리는 이야기를 시작한다.
큰 원칙에서는 ‘개인의 책임’이 맞는 말이다. 맥도널드가 총부리를 겨눈 채로 음식을 강매하지는 않았을 것이고, 구매자가 혹여 마르지 않도록 음식을 무제한 공짜로 제공한 것도 아닐 터이다. 한쪽에서는 돈을 내고, 다른 한쪽에서는 물건을 공급하는 행위가 오갔고, 이는 자본주의 사회에서는 정당하고 올바른 거래 방법이다. 맥도널드에서 뭔가를 사먹기로 결정한 것도 원고요, 메뉴를 고른 것도 원고이며, 돈을 지불한 것도 원고일 터이다. 맥도널드는 고객의 결정에 따라 돈의 대가를 돌려준 것밖에 하지 않았다.
그러나 정말 이게 이 사건의 전말일까? 감독은 쉴 새 없이 맥도널드 햄버거를 먹어대면서 이 질문을 파고들어간다. 1주일만 세 끼 먹어도 8~9kg씩 살이 찌게 만드는 음식을 만들어 판매하는데도 결국 고객이 구매를 결정한 것이면 책임이 싹 사라지는 것인지, 그 음식을 강매하지는 않았지만 연간 수십 억 달러에 달하는 광고비로 TV와 광고판을 도배하고 로고가 새겨진 옷까지 만들어 판매하면서 사람들의 정신을 24시간 흔들어대는데도 결국 고객이 구매를 결정한 것이면 아무 책임이 없는 것인지 묻고 또 묻는다.
이 맥락에서 등장하는 중요한 표현은 lure다. 꼬드긴다 혹은 유혹한다는 뜻이다. 미국의 맥도널드 매장들은 아이들이 놀 수 있는 놀이방 공간도 큼직하게 마련하고 있다고 감독은 설명한다. 놀이터 때문에라도 아이들이 가고 싶은 곳으로 스스로를 꾸미고 있다는 것이다. 아이들이 놀 동안 잠시의 평화로운 식사 시간을 부모가 즐길 수 있다는 것도 적잖은 유입 요인이 된다. 그 아이들은 장난감도 받고 놀이터에서 놀기도 하고 햄버거라는 맛있는 음식을 가족과 함께 먹으며 따듯한 기억을 쌓는다. 그래서 청소년이 되고 어른이 되었을 때에도 맥도널드를 고향처럼 찾게 된다. 이런 순환이 맥도널드의 본고장인 미국에서는 이미 수십 년 동안 유지되고 있단다. 장기적 꼬드김이다.
결정적으로 지적되는 것 중 하나는 영양 정보다. 이 영화는 2004년 작이다. 당시 맥도널드는 인터넷 웹사이트에 모든 영양 정보를 공개하고 있다고 주장하고 있는데, 감독은 아직 인터넷을 집에서 사용하지 않는 가정이 소비자의 높은 비중을 차지하고 있다며 오프라인 매장을 돌아다니며 영양 정보를 보여달라고 요구한다. 그런 정보가 아예 없는 매장이 반이 넘었고, 있어도 직원들조차 어디에 있는지 모르거나 보이지 않는 구석에 처박아둔 곳이 대부분이었다. 소수의 일부 매장만 벽에 보기 좋게 걸어두고 있었다. “개인의 선택을 주장하려면 정보라도 투명하게 공개해야 맞는 것 아니냐”고 감독은 묻는다.
회사는 개인의 책임을 묻고, 개인은 회사의 책임을 묻는 이 미묘한 신경전은 보안 업계에 좀 있어본 사람이라면 친숙하게 느낄 수밖에 없다. 자신의 개인정보를 함부로 공개하지 않고 누구에게도 넘기지 않아야 하는 건 개인이 책임져야 하는 것이라는 주장을 보안 전문가들은 자주 한다. 하지만 고객들로부터 받은 개인정보를 제대로 보호하지 않은 책임을 지기 위해 회사들은 무시무시한 벌금을 내곤 한다. 피해를 입은 개개인들은 회사를 고소하기도 하고 보이콧까지 나아가는 경우도 있다. 집계가 안 되서 모를 뿐 슬그머니 경쟁 업체로 갈아타는 소비자들도 많은 것으로 알려져 있다.
그러다가 미국의 바이든 행정부는 작년 사이버 보안 강화 전략을 통해 “소프트웨어 개발사들에도 책임을 묻겠다”는 방침을 정했다. 취약한 소프트웨어를 만들어놓고 애꿎은 소비자와 사용자 기업들만 다투게 놔두지 않겠다는 것이다. ‘슈퍼사이즈 미’의 감독이 던진 질문인 ‘건강하지 않은 음식을 만들고도 전혀 책임이 없다고 할 수 있는가?’에 대한 ‘정보 보안 버전의 답’이라고 볼 만하다. 이 때문에 소프트웨어 업체들은 보다 단단하고 안전한 제품을 개발하게 되었다.
다만 아직까지 의미 있는 변화가 발견되지는 않고 있다. 행정 명령 후 실제 소프트웨어들이 어떤 식으로 개발되고 있는지, 안전성은 어떤지 아직 명확히 조사된 바가 없다. 하지만 최근 나온 소프트웨어들이라고 해서 취약점 수가 현저히 줄어들거나 하지는 않고 있다. 국가 전략이라는 게 즉효를 나타내기 힘든 것이기도 해서 아직 ‘소프트웨어 취약점에 대한 책임을 개발사에도 묻는다’는 방향성이 얼마나 옳았는지를 판단하기는 이르다.
한편 그 전략에는 ‘슈퍼사이즈 미’ 감독이 만약 IT 종사자였다면 반가워했을 만한 지시사항이 하나 더 들어있다. ‘정보 표기’다. 소프트웨어 물자표(SBOM)를 명확히 작성하여 같이 유통하자는 내용인데, 그렇기 때문에 앞으로 소프트웨어 사용자들은 자신이 구매하는 제품이 어떤 요소들로 구성되어 있는지 확인할 수 있게 될 전망이다. 영양 성분이 분명하게 표기된 제품을 믿고 고를 수 있게 된다는 것이다. 요즘처럼 소프트웨어들이 작은 소프트웨어들을 ‘블록 쌓기’ 혹은 ‘레고 조립하기’ 방식으로 만들어지는 때라면 꼭 필요한 내용이다.
다만 소프트웨어 구성 요소 정보가 제공된다고 해서 사용자들이 일일이 확인을 할 것인지에 대한 의문은 아직 남아 있다. 2018년부터 시행된 강력한 개인정보 보호법인 GDPR에 따르면 개인정보 처리에 대한 약관을 기업들은 알기 쉽고 읽기 쉽게 작성해 소비자들에게 제공해야 하는데, 그 후 5년이 넘는 시간이 지났음에도 아직까지 약관을 다 읽어보는 문화가 소비자들 사이에서 자리를 잡았다는 소식은 없다. 아니, 사람들의 읽기 싫어하는 성향은 더욱 강해져서 사용 설명서조차 그냥 재활용통으로 들어간다. 오죽하면 기업들이 ‘이 부분을 먼저 떼세요’, ‘이 부분을 돌려 끼신 후 사용하세요’ 등의 꼭 필요한 안내를 제품에 직접 스티커 형식으로 붙여넣기 시작했을까.
모르긴 해도 ‘소프트웨어 물자표라는 것이 실효를 거둘 수 있을 것인가’를 두고 돈을 걸어야 한다면 ‘실효를 거두지 못한다’는 쪽에 거는 보안 전문가들이 더 많을 것이라고 생각한다. 물자표를 꼭 읽어야 하는 위치에 있는 사람들이 아니라면 대부분 거들떠도 보지 않을 것이 뻔하기 때문이다. 아니길 바라지만, 물자표 정보를 꼼꼼하게 읽는 사용자들을 상상하는 게 지금으로서는 힘들다.
그러나 진짜 문제는 ‘줘도 읽지 않는다’ 그 자체가 아니다. 읽지 않음으로 불안한 소프트웨어를 구매하게 된다는 것도 아니다. 소프트웨어 개발사들이 져야 할 책임이 크게 덜어진다는 것이다. ‘슈퍼사이즈 미’의 감독은 영양 정보표가 제대로 비치되어 있지 않은 맥도널드 매장들을 돌아다니며 “정보라도 제대로 보여주고 개인 책임을 주장하라”고 일침을 놓는데, 그 말을 반대로 돌려보면 “정보를 제대로 제공하면 비만의 문제는 더더욱 개인의 책임으로 돌아가게 된다”는 뜻이 된다. 개발사 측에서 소프트웨어 구성 목록을 제공하기 시작하면 취약점으로 인한 보안 사고의 책임은 개인으로 쏠릴 수밖에 없다. 바이든 정부가 소프트웨어 개발사에도 책임을 묻겠다고 하지만 이 SBOM 제도가 정착만 한다면 개발사들을 위한 일종의 탈출구 역할을 할 가능성이 더 높아 보인다.
소프트웨어 개발사가 책임을 미미하게만 지게 된다면 취약점이 넘쳐나는 지금의 상황을 개선할 수 없다. 이미 취약점이 넘쳐나다 못해 NIST가 더 이상 취약점 데이터베이스 관리를 할 수 없다고 항복 선언을 하기까지 했는데, 앞으로 더 어떤 사태가 벌어질지 두렵다. 물론 꾸준히 패치를 개발하고 배포하는 식으로 소프트웨어 개발사들은 책임을 질 수 있다. 하지만 후속 조치에 국한된 ‘책임지기’는 한계가 분명하다. 선제적 책임지기가 슬슬 도입되어야 하는 때다. 그러려면 SBOM과 같은 제도가 개발사들의 면피용으로 활용되게 해서는 안 된다. 그러려면 사용자들이 정보를 읽고 취합하고 통찰할 수 있어야 한다.
맥도널드와 같은 패스트푸드를 실컷 먹어버리고 뚱뚱해졌다고 불평하는 건 스스로에게 무책임한 일이다. 하지만 전체 인구 중 적잖은 비율이 비만에 시달려 건강을 잃고 있다면 그들이 자주 먹는 음식을 돌아봐야 한다. 지금 소프트웨어 취약점들의 수량은 심각한 수준이다. 개발자 개개인이 더 잘 만들어야 한다거나, 사용자 개개인이 보안 수칙을 더 잘 지켜가며 사용해야 한다는 논의를 할 시기는 지나갔다. 소프트웨어 개발사들의 개발 행태를 점검해야 할 때다. 그러기 위해 사용자들은 뭔가를 새로 구매했을 때 매뉴얼을 읽어보는 연습부터 해보는 걸 추천한다.
[문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 2004년의 문제작 중 하나라면 ‘슈퍼사이즈 미(Supersize Me)’가 있다. 패스트푸드를 비롯해 현대인의 식습관을 구성하는 주요 음식들이 우리 몸에 어떤 영향을 미치는지 알아보기 위해 감독이 직접 한 달여 기간 동안 오로지 맥도널드의 메뉴들만 먹는 실험을 진행하고, 그 과정을 화면에 담은 다큐멘터리 영화다. 꾸역꾸역 먹다가 구토까지 하는데도 감독은 포기하지 않았고, 그의 몸은 그 정성에 보답하려는 듯 건강하지 않은 모습으로 변해갔다.
[이미지 = IMDB.com]
이 실험은 하나의 법정 공방 때문에 시작됐다. 여자 청소년 두 명의 비만에 대한 책임을 부모가 맥도널드에 정식으로 물은 사건이다. 우리 딸 아이가 뚱뚱해진 건 맥도널드 책임이니 배상하라는 것이었고, 감독은 ‘이게 왜 맥도널드 책임인가?’라는 궁금증을 해결하기 위해 이 무모한 도전에 몸을 던진 것이다. 실제 맥도널드는 재판에서 “우리는 음식을 판매하고 있지, 구매와 섭취는 오로지 개인의 책임이다”라는 입장을 견지하고 있었고, 대부분이 여기에 동조하는 편인 것으로 다큐멘터리는 이야기를 시작한다.
큰 원칙에서는 ‘개인의 책임’이 맞는 말이다. 맥도널드가 총부리를 겨눈 채로 음식을 강매하지는 않았을 것이고, 구매자가 혹여 마르지 않도록 음식을 무제한 공짜로 제공한 것도 아닐 터이다. 한쪽에서는 돈을 내고, 다른 한쪽에서는 물건을 공급하는 행위가 오갔고, 이는 자본주의 사회에서는 정당하고 올바른 거래 방법이다. 맥도널드에서 뭔가를 사먹기로 결정한 것도 원고요, 메뉴를 고른 것도 원고이며, 돈을 지불한 것도 원고일 터이다. 맥도널드는 고객의 결정에 따라 돈의 대가를 돌려준 것밖에 하지 않았다.
그러나 정말 이게 이 사건의 전말일까? 감독은 쉴 새 없이 맥도널드 햄버거를 먹어대면서 이 질문을 파고들어간다. 1주일만 세 끼 먹어도 8~9kg씩 살이 찌게 만드는 음식을 만들어 판매하는데도 결국 고객이 구매를 결정한 것이면 책임이 싹 사라지는 것인지, 그 음식을 강매하지는 않았지만 연간 수십 억 달러에 달하는 광고비로 TV와 광고판을 도배하고 로고가 새겨진 옷까지 만들어 판매하면서 사람들의 정신을 24시간 흔들어대는데도 결국 고객이 구매를 결정한 것이면 아무 책임이 없는 것인지 묻고 또 묻는다.
이 맥락에서 등장하는 중요한 표현은 lure다. 꼬드긴다 혹은 유혹한다는 뜻이다. 미국의 맥도널드 매장들은 아이들이 놀 수 있는 놀이방 공간도 큼직하게 마련하고 있다고 감독은 설명한다. 놀이터 때문에라도 아이들이 가고 싶은 곳으로 스스로를 꾸미고 있다는 것이다. 아이들이 놀 동안 잠시의 평화로운 식사 시간을 부모가 즐길 수 있다는 것도 적잖은 유입 요인이 된다. 그 아이들은 장난감도 받고 놀이터에서 놀기도 하고 햄버거라는 맛있는 음식을 가족과 함께 먹으며 따듯한 기억을 쌓는다. 그래서 청소년이 되고 어른이 되었을 때에도 맥도널드를 고향처럼 찾게 된다. 이런 순환이 맥도널드의 본고장인 미국에서는 이미 수십 년 동안 유지되고 있단다. 장기적 꼬드김이다.
결정적으로 지적되는 것 중 하나는 영양 정보다. 이 영화는 2004년 작이다. 당시 맥도널드는 인터넷 웹사이트에 모든 영양 정보를 공개하고 있다고 주장하고 있는데, 감독은 아직 인터넷을 집에서 사용하지 않는 가정이 소비자의 높은 비중을 차지하고 있다며 오프라인 매장을 돌아다니며 영양 정보를 보여달라고 요구한다. 그런 정보가 아예 없는 매장이 반이 넘었고, 있어도 직원들조차 어디에 있는지 모르거나 보이지 않는 구석에 처박아둔 곳이 대부분이었다. 소수의 일부 매장만 벽에 보기 좋게 걸어두고 있었다. “개인의 선택을 주장하려면 정보라도 투명하게 공개해야 맞는 것 아니냐”고 감독은 묻는다.
회사는 개인의 책임을 묻고, 개인은 회사의 책임을 묻는 이 미묘한 신경전은 보안 업계에 좀 있어본 사람이라면 친숙하게 느낄 수밖에 없다. 자신의 개인정보를 함부로 공개하지 않고 누구에게도 넘기지 않아야 하는 건 개인이 책임져야 하는 것이라는 주장을 보안 전문가들은 자주 한다. 하지만 고객들로부터 받은 개인정보를 제대로 보호하지 않은 책임을 지기 위해 회사들은 무시무시한 벌금을 내곤 한다. 피해를 입은 개개인들은 회사를 고소하기도 하고 보이콧까지 나아가는 경우도 있다. 집계가 안 되서 모를 뿐 슬그머니 경쟁 업체로 갈아타는 소비자들도 많은 것으로 알려져 있다.
그러다가 미국의 바이든 행정부는 작년 사이버 보안 강화 전략을 통해 “소프트웨어 개발사들에도 책임을 묻겠다”는 방침을 정했다. 취약한 소프트웨어를 만들어놓고 애꿎은 소비자와 사용자 기업들만 다투게 놔두지 않겠다는 것이다. ‘슈퍼사이즈 미’의 감독이 던진 질문인 ‘건강하지 않은 음식을 만들고도 전혀 책임이 없다고 할 수 있는가?’에 대한 ‘정보 보안 버전의 답’이라고 볼 만하다. 이 때문에 소프트웨어 업체들은 보다 단단하고 안전한 제품을 개발하게 되었다.
다만 아직까지 의미 있는 변화가 발견되지는 않고 있다. 행정 명령 후 실제 소프트웨어들이 어떤 식으로 개발되고 있는지, 안전성은 어떤지 아직 명확히 조사된 바가 없다. 하지만 최근 나온 소프트웨어들이라고 해서 취약점 수가 현저히 줄어들거나 하지는 않고 있다. 국가 전략이라는 게 즉효를 나타내기 힘든 것이기도 해서 아직 ‘소프트웨어 취약점에 대한 책임을 개발사에도 묻는다’는 방향성이 얼마나 옳았는지를 판단하기는 이르다.
한편 그 전략에는 ‘슈퍼사이즈 미’ 감독이 만약 IT 종사자였다면 반가워했을 만한 지시사항이 하나 더 들어있다. ‘정보 표기’다. 소프트웨어 물자표(SBOM)를 명확히 작성하여 같이 유통하자는 내용인데, 그렇기 때문에 앞으로 소프트웨어 사용자들은 자신이 구매하는 제품이 어떤 요소들로 구성되어 있는지 확인할 수 있게 될 전망이다. 영양 성분이 분명하게 표기된 제품을 믿고 고를 수 있게 된다는 것이다. 요즘처럼 소프트웨어들이 작은 소프트웨어들을 ‘블록 쌓기’ 혹은 ‘레고 조립하기’ 방식으로 만들어지는 때라면 꼭 필요한 내용이다.
다만 소프트웨어 구성 요소 정보가 제공된다고 해서 사용자들이 일일이 확인을 할 것인지에 대한 의문은 아직 남아 있다. 2018년부터 시행된 강력한 개인정보 보호법인 GDPR에 따르면 개인정보 처리에 대한 약관을 기업들은 알기 쉽고 읽기 쉽게 작성해 소비자들에게 제공해야 하는데, 그 후 5년이 넘는 시간이 지났음에도 아직까지 약관을 다 읽어보는 문화가 소비자들 사이에서 자리를 잡았다는 소식은 없다. 아니, 사람들의 읽기 싫어하는 성향은 더욱 강해져서 사용 설명서조차 그냥 재활용통으로 들어간다. 오죽하면 기업들이 ‘이 부분을 먼저 떼세요’, ‘이 부분을 돌려 끼신 후 사용하세요’ 등의 꼭 필요한 안내를 제품에 직접 스티커 형식으로 붙여넣기 시작했을까.
모르긴 해도 ‘소프트웨어 물자표라는 것이 실효를 거둘 수 있을 것인가’를 두고 돈을 걸어야 한다면 ‘실효를 거두지 못한다’는 쪽에 거는 보안 전문가들이 더 많을 것이라고 생각한다. 물자표를 꼭 읽어야 하는 위치에 있는 사람들이 아니라면 대부분 거들떠도 보지 않을 것이 뻔하기 때문이다. 아니길 바라지만, 물자표 정보를 꼼꼼하게 읽는 사용자들을 상상하는 게 지금으로서는 힘들다.
그러나 진짜 문제는 ‘줘도 읽지 않는다’ 그 자체가 아니다. 읽지 않음으로 불안한 소프트웨어를 구매하게 된다는 것도 아니다. 소프트웨어 개발사들이 져야 할 책임이 크게 덜어진다는 것이다. ‘슈퍼사이즈 미’의 감독은 영양 정보표가 제대로 비치되어 있지 않은 맥도널드 매장들을 돌아다니며 “정보라도 제대로 보여주고 개인 책임을 주장하라”고 일침을 놓는데, 그 말을 반대로 돌려보면 “정보를 제대로 제공하면 비만의 문제는 더더욱 개인의 책임으로 돌아가게 된다”는 뜻이 된다. 개발사 측에서 소프트웨어 구성 목록을 제공하기 시작하면 취약점으로 인한 보안 사고의 책임은 개인으로 쏠릴 수밖에 없다. 바이든 정부가 소프트웨어 개발사에도 책임을 묻겠다고 하지만 이 SBOM 제도가 정착만 한다면 개발사들을 위한 일종의 탈출구 역할을 할 가능성이 더 높아 보인다.
소프트웨어 개발사가 책임을 미미하게만 지게 된다면 취약점이 넘쳐나는 지금의 상황을 개선할 수 없다. 이미 취약점이 넘쳐나다 못해 NIST가 더 이상 취약점 데이터베이스 관리를 할 수 없다고 항복 선언을 하기까지 했는데, 앞으로 더 어떤 사태가 벌어질지 두렵다. 물론 꾸준히 패치를 개발하고 배포하는 식으로 소프트웨어 개발사들은 책임을 질 수 있다. 하지만 후속 조치에 국한된 ‘책임지기’는 한계가 분명하다. 선제적 책임지기가 슬슬 도입되어야 하는 때다. 그러려면 SBOM과 같은 제도가 개발사들의 면피용으로 활용되게 해서는 안 된다. 그러려면 사용자들이 정보를 읽고 취합하고 통찰할 수 있어야 한다.
맥도널드와 같은 패스트푸드를 실컷 먹어버리고 뚱뚱해졌다고 불평하는 건 스스로에게 무책임한 일이다. 하지만 전체 인구 중 적잖은 비율이 비만에 시달려 건강을 잃고 있다면 그들이 자주 먹는 음식을 돌아봐야 한다. 지금 소프트웨어 취약점들의 수량은 심각한 수준이다. 개발자 개개인이 더 잘 만들어야 한다거나, 사용자 개개인이 보안 수칙을 더 잘 지켜가며 사용해야 한다는 논의를 할 시기는 지나갔다. 소프트웨어 개발사들의 개발 행태를 점검해야 할 때다. 그러기 위해 사용자들은 뭔가를 새로 구매했을 때 매뉴얼을 읽어보는 연습부터 해보는 걸 추천한다.
[문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=spacer}
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
