늘 경고할 수밖에 없는 보안과 경고에는 열리지 않는 사람의 마음...오작교 없는 견우 직녀도 아니면서
[보안뉴스 문가용 기자] 톰 크루즈 같이 생긴 남자가 코 앞에서 눈을 마주한 채 능숙한 미국 본토 발음으로 “Things happen for a reason”(어떤 일이 생길 땐 다 이유가 있는 법이죠)이라고 말한다면, 그걸 누가 경고로 듣겠는가. 영화 <나잇 & 데이>의 여주인공이 겪는 일들은 다 그것 때문이다. 그 어설픈 경고. 톰 크루즈 본인 외에는 아무도 동의할 수 없는, 경고 아닌 경고.
[이미지 = 네이버 영화]
상황은 이렇다. 톰 크루즈 같이 생긴 비밀요원은 비행기에 잠입해서 임무를 수행해야 한다. 그런데 그 비행기에 한 민간인 여성 한 명이 타려 한다. 민간인의 개입을 최소화 하기 위해 비밀요원 측 누군가가 그 여성의 티켓을 몰래 취소시키고, 여성은 비행기 입구에서 입장을 거부당한다. 상황을 알 수 없는 여자는 난 예약도 제대로 했고 체크인까지 마쳤는데 탑승할 수 없다니 무슨 말이냐고 항의를 하는데, 그 앞을 지나가던 비밀요원이 한 말이 바로 “어떤 일이 생길 땐 다 이유가 있는 법”이다.
요원 입장에서는 “지금 저 비행기에 안 타는 게 좋을 겁니다”라는 의미로 한 말이다. 상황을 순순히 받아들이라는 것이다. 하지만 갑자기 비행기를 못 타게 된 여자 입장에서는 머리에 물음표만 뜬다. 그나마 톰 크루즈라서 물음표가 유지되는 것이지 일반 남성이 그런 말을 했다면 사자후를 돋궜을 가능성이 높다. 나중에 이 두 남녀는 그게 경고였다, 그게 어떻게 경고일 수 있냐며 한 차례 말싸움을 한다. 100이면 100, 여자 입장에 동조할 수밖에 없다.
그런데 한 번 더 생각해보자. 요원은 어떻게 경고했어야 했나? 갑자기 중요한 일정을 못 맞추게 돼 흥분한 상태에 있는 낯선 여인이 ‘지금 이 비행기를 타면 목숨이 위험해질 수 있다’는 걸 순순히 받아들이게 하려면 어떻게 설명했어야 할까? 100이면 100, 실패할 수밖에 없는 미션이다. 이걸 누가 어떻게 해. 그 후에도 이 요원은 여러 긴박한 상황에서 여자를 설득하지 못한다. 그래서 약을 먹이거나 혈을 눌러 기절을 시키고 혼자서 일을 처리한다.
정보 보안이 가장 많이 만들어내는 콘텐츠는 ‘경고’다. 어디서든, 어떤 상황에서든, 불안 요소와 위험들을 찾아내 세상에 알린다. 서핑만 해도 마음이 황폐해진다는 다크웹 해킹 포럼들을 굳이 뒤져서 유행하는 공격 패턴을 발굴하고, 개발사가 노발대발할 것이 뻔한데도 남의 소프트웨어를 파헤쳐 취약점을 찾아내며, 조각난 정보들을 꿰매 소설 같은 공격 시나리오를 써재낀다.
경고의 방식도 다양하다. 유사한 피해 사례를 들기도 하고, 천문학적인 손실액을 언급하기도 하며, 보안 사고 하나로 몰락한 회사 이야기를 퍼트리기도 한다. 강경파들이다. 다른 건 몰라도 이거 하나만은 기억해 달라고 아양을 떨기도 하고, 사후 대처보다 사전 예방이 얼마나 더 저렴한지 몇 번이고 설명해주기도 하며, 기본 소양인 보안 수칙 잘 지킨 사람들에게 상을 퍼주기도 한다. 온건파들이다. 물론 <나잇 & 데이>의 요원처럼 직관적이지 않게 표현하는 쪽도 적지 않다. 뚱딴지파 혹은 귀신 씨나락파 정도 되겠다.
어떤 방식을 택하 건 결과는 똑같다. 보안 걱정을 전혀 해보지 않은 사람은 이비인후 전체로 물음표를 만든다. 어디서 해킹 공격 소식 좀 들어본 사람은 한쪽 입꼬리를 올리며 ‘뭘 그렇게까지...’라고 복화술을 한다. 보안을 잘 아는 사람은 ‘그럴 수 있다, 맞는 말이다’라고 동조해주기는 하는데, 그것 뿐이다. 경고로는 귀가 열리지 않는다. 강경할 수도, 온건할 수도, 심지어 엉뚱할 수도 없는데 ‘things happen for a reason’이라는 어설픈 경고문 읊는다고 뭐 그리 큰 잘못일까. 요원은 무죄다. 귀를 열지 못해도 보안에 책임을 물을 수 없다.
경고가 효과적이었든 아니었든, 영화의 끝으로 가면서 여자 주인공은 서서히 요원에 동화되기 시작한다. 요원이 톰 크루즈처럼 생겨서도 아니고, 철학책에나 나올 것 같은 경고가 시간이 지나면서 서서히 여자의 마음 속에 스며들어서도 아니다. 요원은 여자를 끊임없이 보호해 줬다. 그 와중에 세심한 챙김도 있었다. 그 경험들이 쌓이고 쌓여 여자는 남자를 믿게 되고, 그의 경고들을 이해하게 된다. 경고로 열리지 않는 귀, 경험으로 열린다.
보안은 경험이어야 한다. 보안 경고도 그런 맥락에서 나가야 한다. 경고 한 마디에 사용자가 척 알아듣고 행동 양식을 바꾸기를 기대하는 게 아니라, 지금 받아들이지 않는 그 경고 내용이 나중에 현실이 된다는 걸 증명하기 위해 미리 말해두어야 한다. 복선을 깔아두는 것 뿐이다. ‘거봐라, 내가 뭐랬어’라고 핀잔이라도 줄 수 있어야 비현실적 경고는 체험적 현실이 되기 때문이다. 그것들이 쌓이고 쌓여야 결국 보안이 발하는 경고들을 알아듣기 시작한다.
사용자가 도무지 말을 듣지 않는다는 건, 보안이 보호의 경험을 충분히 제공하지 못했다는 뜻이지 설득력이 부족하다는 의미는 아니다. 사람들은 어차피 귀를 열지 않을 것이기에 ‘설득력’은 하나도 중요하지 않다. 무슨 말을 해도 된다. 하지만 경고를 내보냈으면, 실제 보호에 공을 들여야 한다. 위험할 뻔한 상황의 맛은 보게 하되, 피해는 입지 않도록 애써야 한다. 거기에 보안의 설득력이 있다.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 톰 크루즈 같이 생긴 남자가 코 앞에서 눈을 마주한 채 능숙한 미국 본토 발음으로 “Things happen for a reason”(어떤 일이 생길 땐 다 이유가 있는 법이죠)이라고 말한다면, 그걸 누가 경고로 듣겠는가. 영화 <나잇 & 데이>의 여주인공이 겪는 일들은 다 그것 때문이다. 그 어설픈 경고. 톰 크루즈 본인 외에는 아무도 동의할 수 없는, 경고 아닌 경고.
[이미지 = 네이버 영화]
상황은 이렇다. 톰 크루즈 같이 생긴 비밀요원은 비행기에 잠입해서 임무를 수행해야 한다. 그런데 그 비행기에 한 민간인 여성 한 명이 타려 한다. 민간인의 개입을 최소화 하기 위해 비밀요원 측 누군가가 그 여성의 티켓을 몰래 취소시키고, 여성은 비행기 입구에서 입장을 거부당한다. 상황을 알 수 없는 여자는 난 예약도 제대로 했고 체크인까지 마쳤는데 탑승할 수 없다니 무슨 말이냐고 항의를 하는데, 그 앞을 지나가던 비밀요원이 한 말이 바로 “어떤 일이 생길 땐 다 이유가 있는 법”이다.
요원 입장에서는 “지금 저 비행기에 안 타는 게 좋을 겁니다”라는 의미로 한 말이다. 상황을 순순히 받아들이라는 것이다. 하지만 갑자기 비행기를 못 타게 된 여자 입장에서는 머리에 물음표만 뜬다. 그나마 톰 크루즈라서 물음표가 유지되는 것이지 일반 남성이 그런 말을 했다면 사자후를 돋궜을 가능성이 높다. 나중에 이 두 남녀는 그게 경고였다, 그게 어떻게 경고일 수 있냐며 한 차례 말싸움을 한다. 100이면 100, 여자 입장에 동조할 수밖에 없다.
그런데 한 번 더 생각해보자. 요원은 어떻게 경고했어야 했나? 갑자기 중요한 일정을 못 맞추게 돼 흥분한 상태에 있는 낯선 여인이 ‘지금 이 비행기를 타면 목숨이 위험해질 수 있다’는 걸 순순히 받아들이게 하려면 어떻게 설명했어야 할까? 100이면 100, 실패할 수밖에 없는 미션이다. 이걸 누가 어떻게 해. 그 후에도 이 요원은 여러 긴박한 상황에서 여자를 설득하지 못한다. 그래서 약을 먹이거나 혈을 눌러 기절을 시키고 혼자서 일을 처리한다.
정보 보안이 가장 많이 만들어내는 콘텐츠는 ‘경고’다. 어디서든, 어떤 상황에서든, 불안 요소와 위험들을 찾아내 세상에 알린다. 서핑만 해도 마음이 황폐해진다는 다크웹 해킹 포럼들을 굳이 뒤져서 유행하는 공격 패턴을 발굴하고, 개발사가 노발대발할 것이 뻔한데도 남의 소프트웨어를 파헤쳐 취약점을 찾아내며, 조각난 정보들을 꿰매 소설 같은 공격 시나리오를 써재낀다.
경고의 방식도 다양하다. 유사한 피해 사례를 들기도 하고, 천문학적인 손실액을 언급하기도 하며, 보안 사고 하나로 몰락한 회사 이야기를 퍼트리기도 한다. 강경파들이다. 다른 건 몰라도 이거 하나만은 기억해 달라고 아양을 떨기도 하고, 사후 대처보다 사전 예방이 얼마나 더 저렴한지 몇 번이고 설명해주기도 하며, 기본 소양인 보안 수칙 잘 지킨 사람들에게 상을 퍼주기도 한다. 온건파들이다. 물론 <나잇 & 데이>의 요원처럼 직관적이지 않게 표현하는 쪽도 적지 않다. 뚱딴지파 혹은 귀신 씨나락파 정도 되겠다.
어떤 방식을 택하 건 결과는 똑같다. 보안 걱정을 전혀 해보지 않은 사람은 이비인후 전체로 물음표를 만든다. 어디서 해킹 공격 소식 좀 들어본 사람은 한쪽 입꼬리를 올리며 ‘뭘 그렇게까지...’라고 복화술을 한다. 보안을 잘 아는 사람은 ‘그럴 수 있다, 맞는 말이다’라고 동조해주기는 하는데, 그것 뿐이다. 경고로는 귀가 열리지 않는다. 강경할 수도, 온건할 수도, 심지어 엉뚱할 수도 없는데 ‘things happen for a reason’이라는 어설픈 경고문 읊는다고 뭐 그리 큰 잘못일까. 요원은 무죄다. 귀를 열지 못해도 보안에 책임을 물을 수 없다.
경고가 효과적이었든 아니었든, 영화의 끝으로 가면서 여자 주인공은 서서히 요원에 동화되기 시작한다. 요원이 톰 크루즈처럼 생겨서도 아니고, 철학책에나 나올 것 같은 경고가 시간이 지나면서 서서히 여자의 마음 속에 스며들어서도 아니다. 요원은 여자를 끊임없이 보호해 줬다. 그 와중에 세심한 챙김도 있었다. 그 경험들이 쌓이고 쌓여 여자는 남자를 믿게 되고, 그의 경고들을 이해하게 된다. 경고로 열리지 않는 귀, 경험으로 열린다.
보안은 경험이어야 한다. 보안 경고도 그런 맥락에서 나가야 한다. 경고 한 마디에 사용자가 척 알아듣고 행동 양식을 바꾸기를 기대하는 게 아니라, 지금 받아들이지 않는 그 경고 내용이 나중에 현실이 된다는 걸 증명하기 위해 미리 말해두어야 한다. 복선을 깔아두는 것 뿐이다. ‘거봐라, 내가 뭐랬어’라고 핀잔이라도 줄 수 있어야 비현실적 경고는 체험적 현실이 되기 때문이다. 그것들이 쌓이고 쌓여야 결국 보안이 발하는 경고들을 알아듣기 시작한다.
사용자가 도무지 말을 듣지 않는다는 건, 보안이 보호의 경험을 충분히 제공하지 못했다는 뜻이지 설득력이 부족하다는 의미는 아니다. 사람들은 어차피 귀를 열지 않을 것이기에 ‘설득력’은 하나도 중요하지 않다. 무슨 말을 해도 된다. 하지만 경고를 내보냈으면, 실제 보호에 공을 들여야 한다. 위험할 뻔한 상황의 맛은 보게 하되, 피해는 입지 않도록 애써야 한다. 거기에 보안의 설득력이 있다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
