사회를 변화시킬 준비가 단단히 되어 있는 변호사에게 딱 하나 준비되지 않은 게 있었는데 바로 돈이었다. 그 돈이 준비되는 순간, 그는 오히려 더 큰 동력을 잃었다.
[보안뉴스 문가용 기자] 법조계에서 종사하는 주인공 이스라엘은 현대의 법 시스템이 사회를 균형 있게 지켜주지 못하고 있다고 생각한다. 그래서 이를 바꾸기 위해 집단소송을 준비한다. 그는 자신이 준비한 자료들이 자신의 논지를 충분히 뒷받침하고 있다고 생각하고 있으며, 자신의 신념에 흔들림이 없다. 이길 것도 자신한다. 다만 사법 시스템의 근간을 흔드는 소송이라 시간이 많이 투자될 것이 예상되며, 따라서 충분한 자원이 확보되어야만 일을 시작할 수 있어 방대한 자료를 보관만 하고 있다.
[이미지 = 네이버 영화]
이상을 실천하기 위해 때를 기다리고는 있는 그에게 모처럼 기회가 찾아온다. 거대한 로펌에서 일자리가 났고, 그 회사에서 꽤 높은 사람이 이스라엘의 ‘사회적 혁명 계획’에 어느 정도 끌림을 느끼고 있다. 사회 개혁을 위한 시민 단체를 이끄는 대표 역시 그의 꼿꼿하면서도 흔들림 없는 태도에 매력을 느낀다. 신념을 굳게 붙들고 있기에 이스라엘은 다소 괴짜처럼 여겨지긴 하지만, 그 신념에 반하는 사람들이 하나 둘 생겨난다. 하지만 그의 위대한 계획은 너무나 방대했고, 그에게는 자원이 모자랐다. 누가 시원하게 돈을 좀 대줬으면 좋겠는데, 후원자를 찾는 게 쉽지 않다.
그런 그에게 유혹거리가 하나 생긴다. 변호사로서 취득한 정보를 가지고 불법적인 ‘수익’을 만들어낸 것이다. 그 정보를 자신만 간직하고 끝까지 비밀에 부쳤어야 했는데, 액수가 너무 컸다. 그래서 그는 익명으로 이 정보를 제보하고 대가를 얻어간다. 변호사로서 절대 하면 안 되는 일을 한 그는, 이제 자신이 하고 싶은 일을 할 추진력을 얻게 됐다. 돈 가방을 들고 집으로 들어온 순간부터 그는 오랜 시간 준비해왔던 사회 개혁을 실천할 수 있게 됐다.
하지만 돈이라는 추진력을 얻은 대신 다른 추진력을 잃었다. 바로 양심이다. 사회 부조리를 고발하고, 그것을 바로잡고자 거대한 소송을 준비했던 그이지만 정작 자신이 변호사로서의 양심을 지키지 못했기에 기다리던 비용을 확보했으면서도 소송을 시작하지 못한다. 그의 방대한 자료는 여전히 그의 가방 속에 보관만 되어 있고 빛을 보지 못한다. 대신 그는 새 양복을 사고, 좋은 아파트를 계약하고, 좀 더 돈이 되는 사건을 맡아 변호를 하기 시작한다. 신념이 그를 움직였을 때 그는 시스템에 저항하는 이였지만, 돈이 그를 움직이기 시작하자 그는 바로 그 똑같은 시스템에 길들여졌다. 그러면서 그는 자조하듯 “순수함만으로는 살아남을 수 없다”고 말한다.
최근 보안 전문가들에게는 ‘사회 전체를 아우르는 사고를 하라’는 요구가 압박감 있게 전달되고 있다. 공격자들이나 위협거리, 취약점에 대한 정보가 있으면 아낌없이 나누고 전파하여 다른 이들이 - 그러므로 사회의 다른 구성원들이 - 피해를 입지 않도록 해야 한다는 것이다. 여기에 더해 교육도 하고 캠페인도 벌여 보안을 홍보하고 널리 알려 공동체 전체를 보호하고 이롭게 해야 한다고 한다. 그랬을 때 그 노력은 돌고 돌아 보안 전문가 각자가 속한 회사나 기관들도 더 안전해지므로 모두가 이득을 보게 된다고 한다. 사회가 안전해져야 각자가 안전해진다는 것인데, 트집잡을 게 없는 논리다.
하지만 그 ‘돌고 돌아’가 몇 마일이나 되는지 아무도 얘기해주지 않는다. 언젠가는 된다는 말 뿐이다. 로만의 큼직한 서류 가방 안에 들어있던 그 서류와 같다. 커다란 변화의 잠재력은 있고, 결과가 손에 잡힐 듯한 거리에 있지만 실제로는 너무 멀다. 로만은 그 서류가 법정에서 다퉈지기만 하면 이길 거라고 장담하고 있지만, 돈이 없기에 그날이 언제 올 지는 모른다. 보안 전문가들도 적극적인 협업과 정보 공유로 보안이 전파된다면 보다 안전한 사회가 만들어질 거라고 보고 있긴 하지만, 언제까지 얼마나 나눠야 그런 때가 올 지는 확신하지 못한다.
보안 전문가들이라고 해서 위협 첩보가 그냥 생기는 게 아니다. 컴퓨터를 켜고 브라우저를 더블클릭 해 인터넷이 열리면 자동으로 오늘의 위협이 눈에 띄는 것도 아니다. 소프트웨어 이리 저리 작동시켜보면 취약점이 쏙쏙 파악되는 것도 아니고, 우리 회사 네트워크에 있는 구멍들을 항상 빠삭하게 꿰고 있는 것도 아니다. 하물며 각종 보안 도구들을 전부 능숙하게 다루는 것도 아니고, 신기술 이야기만 대충 들어도 공격 시나리오가 머릿속에서 번뜩이는 것도 아니다. 적잖은 시간과 노력을 들여야 결과물을 낼 수 있다.
영화나 소설들은 정해진 시간 안에 이야기를 끝내고 독자나 시청자들을 매료시켜야 하기 때문인지, 그 어떤 분야의 전문가라도 모든 일을 간편하게 뚝딱 해치워버리는 것처럼 묘사한다. 번역가라면 걸어다니는 사전 수준으로 가장 알맞은 표현을 실시간으로 생각해내고, 요리 전문가는 아무 재료로도 참신하면서 맛있는 음식을 구현해 내며, 불운한 천재 음악가는 계기만 있으면 명곡을 써낸다. 그런 이야기 전개에 익숙한 우리는 주위에 전문가가 있으면 그 분야의 어떤 일이든 쉽게 할 거라고 생각한다. 그래서 맥락 없이 문장 하나 주면서 번역해달라고 부탁하고, 재료의 여건은 고려치 않고 이런 음식밖에 못 만드냐고 타박하며, 이런 음악은 나도 만들 수 있겠다고 말한다.
전문가들이라고 해서 결과물을 내는 데에 자원이 안 들어가는 게 아닌데, 우리는 마치 그들이 무한동력이라도 탑재한 것처럼 대한다. 보안 전문가들에게 많은 것을 공유하라고 하는 것도 마찬가지다. 정리된 한 줄의 첩보를 얻기까지 얼마나 많은 정보를 조각조각 모아 몇날 며칠(혹은 수개월에서 수년) 머리를 싸매고 이어붙였을지 상상도 할 수 없기 때문이다. 비전문가가 그런 과정을 세세히 모르는 것 자체야 타박할 수 없지만, 적어도 보안 첩보라는 게 보안 전문가들의 생업 그 자체와 밀접하게 연관되어 있다는 것 정도는 이해할 수 있어야 한다. ‘사회 전체의 안전을 위해 정보를 공유하라’는 건, 사실 밥줄을 포기하라는 것과 어느 정도는 일맥상통한 소리이기도 하다.
보안 전문가들도 먹고 살아야 한다. 로만의 이상에 의식 있는 사람들이 동조하고 관심을 보였지만, 실제 그에게 생활비를 대주지는 않았다. 감동이 있었고, 영감을 받았으며, 존경한다는 말은 그를 북돋기는 했어도 그에게 먹을거리를 주지는 않았다. 사회가 안전하게 되는 거, 반대하는 보안 전문가는 없다. 첩보 공유와 민관 협력, 보안 전문가들은 이미 적극 하고 있다. 하지만 그에 대한 대가는 어디에도 없다. 해킹 대회 상금과 버그바운티 정도가 전부다. 그나마도 다크웹에서 오가는 돈보다 적기 때문에 유혹을 이기기가 쉽지 않다.
애플의 iOS 생태계에서는 취약점이 비교적 드물게 나오는 편이다. 애플이 보안을 잘 하는 면도 부정하지 못하겠지만, 애초에 취약점 정보가 잘 공유되지 않는다는 점도 적잖게 작용한다는 걸 모르는 보안 전문가들은 없을 것이다. 취약점이 없어서 소식이 없는 게 아니라, 있는데도 알려지지 않는다는 것이다. 왜? 애플이 몇 년 전까지만 해도 버그바운티 금액을 너무 구두쇠처럼 책정했기 때문이다. 그래서 iOS에서 취약점을 찾아낸 보안 전문가들은 취약점 정보를 애플에 전하지 않았다. 보안 커뮤니티에 공유하지도 않았다. 대신 애플 장비의 제로데이 취약점을 은밀히 사들이는 기업들의 문을 두드렸다. 이들은 취약점에 따라 수백만 달러도 아끼지 않았기 때문이다.
그런 보안 전문가들의 행위를 두둔하는 것도 아니고, 제로데이 취약점을 사들이는 스파이웨어 제조사들이 잘한다고 칭찬하는 것도 아니다. 다만 보안 전문가들의 선한 의도에만 매달려 정당한 인센티브를 마련하지 않는 이 거대한 불균형이 부정적으로 작용하고 있다는 것을 짚고 싶을 뿐이다. 누가 꼭 잘못하고 잘하고를 떠나, 그 불균형은 분명 거기에 있고 우리는 그걸 모른 척 하고 있다. 보안 전문가들에게 더 많은 정보의 공유를 요구할 때, 조금은 덜 뻔뻔해질 수 있는 방법이 필요하다.
[문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 법조계에서 종사하는 주인공 이스라엘은 현대의 법 시스템이 사회를 균형 있게 지켜주지 못하고 있다고 생각한다. 그래서 이를 바꾸기 위해 집단소송을 준비한다. 그는 자신이 준비한 자료들이 자신의 논지를 충분히 뒷받침하고 있다고 생각하고 있으며, 자신의 신념에 흔들림이 없다. 이길 것도 자신한다. 다만 사법 시스템의 근간을 흔드는 소송이라 시간이 많이 투자될 것이 예상되며, 따라서 충분한 자원이 확보되어야만 일을 시작할 수 있어 방대한 자료를 보관만 하고 있다.
[이미지 = 네이버 영화]
이상을 실천하기 위해 때를 기다리고는 있는 그에게 모처럼 기회가 찾아온다. 거대한 로펌에서 일자리가 났고, 그 회사에서 꽤 높은 사람이 이스라엘의 ‘사회적 혁명 계획’에 어느 정도 끌림을 느끼고 있다. 사회 개혁을 위한 시민 단체를 이끄는 대표 역시 그의 꼿꼿하면서도 흔들림 없는 태도에 매력을 느낀다. 신념을 굳게 붙들고 있기에 이스라엘은 다소 괴짜처럼 여겨지긴 하지만, 그 신념에 반하는 사람들이 하나 둘 생겨난다. 하지만 그의 위대한 계획은 너무나 방대했고, 그에게는 자원이 모자랐다. 누가 시원하게 돈을 좀 대줬으면 좋겠는데, 후원자를 찾는 게 쉽지 않다.
그런 그에게 유혹거리가 하나 생긴다. 변호사로서 취득한 정보를 가지고 불법적인 ‘수익’을 만들어낸 것이다. 그 정보를 자신만 간직하고 끝까지 비밀에 부쳤어야 했는데, 액수가 너무 컸다. 그래서 그는 익명으로 이 정보를 제보하고 대가를 얻어간다. 변호사로서 절대 하면 안 되는 일을 한 그는, 이제 자신이 하고 싶은 일을 할 추진력을 얻게 됐다. 돈 가방을 들고 집으로 들어온 순간부터 그는 오랜 시간 준비해왔던 사회 개혁을 실천할 수 있게 됐다.
하지만 돈이라는 추진력을 얻은 대신 다른 추진력을 잃었다. 바로 양심이다. 사회 부조리를 고발하고, 그것을 바로잡고자 거대한 소송을 준비했던 그이지만 정작 자신이 변호사로서의 양심을 지키지 못했기에 기다리던 비용을 확보했으면서도 소송을 시작하지 못한다. 그의 방대한 자료는 여전히 그의 가방 속에 보관만 되어 있고 빛을 보지 못한다. 대신 그는 새 양복을 사고, 좋은 아파트를 계약하고, 좀 더 돈이 되는 사건을 맡아 변호를 하기 시작한다. 신념이 그를 움직였을 때 그는 시스템에 저항하는 이였지만, 돈이 그를 움직이기 시작하자 그는 바로 그 똑같은 시스템에 길들여졌다. 그러면서 그는 자조하듯 “순수함만으로는 살아남을 수 없다”고 말한다.
최근 보안 전문가들에게는 ‘사회 전체를 아우르는 사고를 하라’는 요구가 압박감 있게 전달되고 있다. 공격자들이나 위협거리, 취약점에 대한 정보가 있으면 아낌없이 나누고 전파하여 다른 이들이 - 그러므로 사회의 다른 구성원들이 - 피해를 입지 않도록 해야 한다는 것이다. 여기에 더해 교육도 하고 캠페인도 벌여 보안을 홍보하고 널리 알려 공동체 전체를 보호하고 이롭게 해야 한다고 한다. 그랬을 때 그 노력은 돌고 돌아 보안 전문가 각자가 속한 회사나 기관들도 더 안전해지므로 모두가 이득을 보게 된다고 한다. 사회가 안전해져야 각자가 안전해진다는 것인데, 트집잡을 게 없는 논리다.
하지만 그 ‘돌고 돌아’가 몇 마일이나 되는지 아무도 얘기해주지 않는다. 언젠가는 된다는 말 뿐이다. 로만의 큼직한 서류 가방 안에 들어있던 그 서류와 같다. 커다란 변화의 잠재력은 있고, 결과가 손에 잡힐 듯한 거리에 있지만 실제로는 너무 멀다. 로만은 그 서류가 법정에서 다퉈지기만 하면 이길 거라고 장담하고 있지만, 돈이 없기에 그날이 언제 올 지는 모른다. 보안 전문가들도 적극적인 협업과 정보 공유로 보안이 전파된다면 보다 안전한 사회가 만들어질 거라고 보고 있긴 하지만, 언제까지 얼마나 나눠야 그런 때가 올 지는 확신하지 못한다.
보안 전문가들이라고 해서 위협 첩보가 그냥 생기는 게 아니다. 컴퓨터를 켜고 브라우저를 더블클릭 해 인터넷이 열리면 자동으로 오늘의 위협이 눈에 띄는 것도 아니다. 소프트웨어 이리 저리 작동시켜보면 취약점이 쏙쏙 파악되는 것도 아니고, 우리 회사 네트워크에 있는 구멍들을 항상 빠삭하게 꿰고 있는 것도 아니다. 하물며 각종 보안 도구들을 전부 능숙하게 다루는 것도 아니고, 신기술 이야기만 대충 들어도 공격 시나리오가 머릿속에서 번뜩이는 것도 아니다. 적잖은 시간과 노력을 들여야 결과물을 낼 수 있다.
영화나 소설들은 정해진 시간 안에 이야기를 끝내고 독자나 시청자들을 매료시켜야 하기 때문인지, 그 어떤 분야의 전문가라도 모든 일을 간편하게 뚝딱 해치워버리는 것처럼 묘사한다. 번역가라면 걸어다니는 사전 수준으로 가장 알맞은 표현을 실시간으로 생각해내고, 요리 전문가는 아무 재료로도 참신하면서 맛있는 음식을 구현해 내며, 불운한 천재 음악가는 계기만 있으면 명곡을 써낸다. 그런 이야기 전개에 익숙한 우리는 주위에 전문가가 있으면 그 분야의 어떤 일이든 쉽게 할 거라고 생각한다. 그래서 맥락 없이 문장 하나 주면서 번역해달라고 부탁하고, 재료의 여건은 고려치 않고 이런 음식밖에 못 만드냐고 타박하며, 이런 음악은 나도 만들 수 있겠다고 말한다.
전문가들이라고 해서 결과물을 내는 데에 자원이 안 들어가는 게 아닌데, 우리는 마치 그들이 무한동력이라도 탑재한 것처럼 대한다. 보안 전문가들에게 많은 것을 공유하라고 하는 것도 마찬가지다. 정리된 한 줄의 첩보를 얻기까지 얼마나 많은 정보를 조각조각 모아 몇날 며칠(혹은 수개월에서 수년) 머리를 싸매고 이어붙였을지 상상도 할 수 없기 때문이다. 비전문가가 그런 과정을 세세히 모르는 것 자체야 타박할 수 없지만, 적어도 보안 첩보라는 게 보안 전문가들의 생업 그 자체와 밀접하게 연관되어 있다는 것 정도는 이해할 수 있어야 한다. ‘사회 전체의 안전을 위해 정보를 공유하라’는 건, 사실 밥줄을 포기하라는 것과 어느 정도는 일맥상통한 소리이기도 하다.
보안 전문가들도 먹고 살아야 한다. 로만의 이상에 의식 있는 사람들이 동조하고 관심을 보였지만, 실제 그에게 생활비를 대주지는 않았다. 감동이 있었고, 영감을 받았으며, 존경한다는 말은 그를 북돋기는 했어도 그에게 먹을거리를 주지는 않았다. 사회가 안전하게 되는 거, 반대하는 보안 전문가는 없다. 첩보 공유와 민관 협력, 보안 전문가들은 이미 적극 하고 있다. 하지만 그에 대한 대가는 어디에도 없다. 해킹 대회 상금과 버그바운티 정도가 전부다. 그나마도 다크웹에서 오가는 돈보다 적기 때문에 유혹을 이기기가 쉽지 않다.
애플의 iOS 생태계에서는 취약점이 비교적 드물게 나오는 편이다. 애플이 보안을 잘 하는 면도 부정하지 못하겠지만, 애초에 취약점 정보가 잘 공유되지 않는다는 점도 적잖게 작용한다는 걸 모르는 보안 전문가들은 없을 것이다. 취약점이 없어서 소식이 없는 게 아니라, 있는데도 알려지지 않는다는 것이다. 왜? 애플이 몇 년 전까지만 해도 버그바운티 금액을 너무 구두쇠처럼 책정했기 때문이다. 그래서 iOS에서 취약점을 찾아낸 보안 전문가들은 취약점 정보를 애플에 전하지 않았다. 보안 커뮤니티에 공유하지도 않았다. 대신 애플 장비의 제로데이 취약점을 은밀히 사들이는 기업들의 문을 두드렸다. 이들은 취약점에 따라 수백만 달러도 아끼지 않았기 때문이다.
그런 보안 전문가들의 행위를 두둔하는 것도 아니고, 제로데이 취약점을 사들이는 스파이웨어 제조사들이 잘한다고 칭찬하는 것도 아니다. 다만 보안 전문가들의 선한 의도에만 매달려 정당한 인센티브를 마련하지 않는 이 거대한 불균형이 부정적으로 작용하고 있다는 것을 짚고 싶을 뿐이다. 누가 꼭 잘못하고 잘하고를 떠나, 그 불균형은 분명 거기에 있고 우리는 그걸 모른 척 하고 있다. 보안 전문가들에게 더 많은 정보의 공유를 요구할 때, 조금은 덜 뻔뻔해질 수 있는 방법이 필요하다.
[문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
