소프트웨어는 더 이상 제품이나 서비스가 아닌 ‘생태계’ 자체 기능을 구현하는 것만큼 큰 환경과 상황을 바라볼 수도 있어야

[보안뉴스 문가용] 조금 시일이 지난 이야기지만 페이스북이 자체 앱에서는 메신저 기능을 삭제하고 독립 메신저 앱을 새로 런칭했었다. 바로 논쟁이 이어졌다. 메신저 앱에서 민감한 사용자 정보를 필요로 하고 실제 수집했기 때문이다.
 

 ▲ 다리를 놓으면 섬을 없앨 수 있다
포렌식 전문가이자 해커인 조나단 즈지아스키(Jonathan Zdziarski)는 자신의 트위터를 통해 “메신저 앱에는 스파이웨어 기능을 하는 코드가 정말 많이 들어있다”며 “기업의 감시를 목적으로 한 제품들보다도 더 많았다”고 강조했다. 그러면서 또한 “페이스북에서는 모을 수 있는 정보란 다 모으고 분석하는 것 같다”라고 덧붙였다.
 
이에 대해 페이스북의 메신저 앱 개발에 참여했다고 주장하는 @lucyz라는 인물은 앱의 속도와 효율성을 높이기 위해 데이터 분석이 최대한 많이 필요하다고 설명했다. “데이터 분석 결과 사용자들이 ‘좋아요’ 스티커를 굉장히 많이 사용한다는 걸 알게 되었습니다. 그래서 앱에서는 그 기능을 없앴습니다. 속도와 효율성을 높인 것이죠.”
 
결국 사용성을 높이기 위해 최대한 많은 정보들을 필요로 했다는 것이다. 그리고 그렇게 효율성을 높이는 건 개발자 및 엔지니어들의 몫인 건 맞다. 자기 할 일을 제대로 한 것이다. 그렇다면 이는 회사 운영자들에게로 가져가야 할 문제가 된다. 요즘처럼 개인정보에 민감하고 사고가 많이 터지는 때에 이런 식으로 사용자에 대한 정보를 가져간다는 게 별 문제 아니라고 생각했던 것일까?

기존 유사 사례들의 근본 문제와 마찬가지로 페이스북에서도 개발자들과 기획자들 혹은 운영자들의 의사소통이 제대로 되지 않은 것으로 보인다. 그러니 사용자의 프라이버시와 보안이라는 두 마리 토끼를 다 잡지 못한 것이다. 재정부, 법무부와의 협력이 있을 때에야 보안 분야는 제대로 힘을 발휘할 수 있다. 그것이 정책이든 소프트웨어든 말이다.

개발을 오로지 개발부서에서만 담당하고, 타 부서와의 협력을 통한 큰 그림 그리기가 되지 않는다면 데이터 유출 사고 및 회사 이미지 하락의 가능성이 높아진다. 이는 곧 고객의 감소를 뜻한다. 최근처럼 정보의 유출사고가 빈번하게 발생해 분위기가 뒤숭숭한 때에는 소프트웨어를 개발하고 만들어내는 것에는 수많은 인원들의 협력과 조언이 반드시 필요하다.
불협화음의 이유같은 회사 안에서 부서가 다르다는 이유로 서로가 섬처럼 부표하는 이유에는 여러 가지가 있겠지만 대표적인 것으로는 개발자들이 기획자 혹은 운영자들을 극복해야 할 장애물 취급하기 때문이다. 내가 하는 말을 이해 못 할 거라고 지레 짐작한다. 그러니 그들에게 일일이 설명해야 할 거라고 여기고, 설명을 해준다고 해서 개발자들을 자유롭게 놔두지도 않을 것이라 한다. 그런 마음이니 당연히 자기 모니터에 코를 박고 자기 할 일만 하는 게 편하게 느껴질 수밖에 없다. 소프트웨어가 결국은 그런 운영진을 포함한 일반 사용자를 위한 것이라는 건 잊은 채로 말이다.
 
기획자 혹은 운영자들은 어떤가? 그들에게 모니터에 코 박고 알 수 없는 문자와 숫자를 알 수 없는 배열로 늘어트려 놓는 개발자들은 잘 해봐야 해커일 수밖에 없다. 필요하지만 믿을 수 없는 존재로 여긴다.
 
최근 잘 나가는 한 보안 업체의 사장은 사석에서 “소프트웨어 개발자들은 보안에 대한 개념이 조금도 없어요. 지금은 저희도 그 점에 대해서는 포기한 상태고요. 보나마나 보안의 측면에선 최악의 코딩을 할 거라고 생각하고 있습니다. 기대감도 없는 것이죠”라고 말한 바 있다.
 
이랬건 저랬건, 누구 잘못이건, 소프트웨어가 보안이든 기능이든 문제를 일으켰을 때 타격을 받는 건 회사 전체다. 즉 기획자와 개발자 모두라는 것이다. 소프트웨어를 만든다는 건 요즘 시대에서는 단순히 코딩한다는 것과는 의미가 다르다. 훨씬 복잡하고, 코딩 외에 이 복잡한 것들을 전부 처리하지 않는 이상 언제든 문제가 발생할 확률이 높아진다.
 
좋은 예가 지난 여름에 있었던 아이클라우드 사건이다. 아이클라우드에 저장된 여배우의 누드 사진이 유출된 그 사건 말이다. 당연히 애플은 많은 비난의 대상이 되었다. 그리고 한 달 후, 애플은 보다 강력한 보안 시스템을 아이클라우드에 추가했다. 그러나 이미 그 여배우들에게는 너무 늦은 조치였다. 그렇기 때문에 후속조치에 중점을 둔 보안은 차선책일 수밖에 없다. 그리고 앞으로 개인의 정보를 다루는 기업체들은 보다 강력한 감사의 대상이 될 것이다.
 
최고 임원진들의 할 일은 가깝고도 멀다. 기획자 혹은 운영자들과 개발자들이 함께 의논하고 공조할 수 있는 자리를 마련하는 것으로 말은 쉽지만 실제로는 굉장히 어려운 일이다. 특히 소프트웨어가 개발 중에 있을 때는 다들 예민하기 때문에 더 어려워진다. 또한 이는 회의실만 하나 마련해준다고 해서 해결될 것도 아니다. 두 부서의 커뮤니케이션 자체가 투명해질 수 있도록 정책을 세우고 시스템을 갖춰야 한다.
불협화음을 협화음으로임원진들이 위와 같은 일을 할 수 있게 해주는 기반은 이미 마련되어 있다. 일반 직원들 사이에서도 무언가 달라져야 할 필요가 있다는 분위기가 슬슬 돌고 있기 때문이다. 현재 테크놀로지를 앞세운 업체들은 춘추전국시대를 지나고 있다. 누구 하나 크게 돋보이거나 하지 않는다. 고만고만하다는 거다. 이런 때에 기획자 혹은 운영진과 개발자를 하나로 더 잘 묶는 회사가 치고 나갈 수 있을 것이다.
 
최근 클라우드 시큐리티 얼라이언스(Cloud Security Alliance)와 세이프코드(SAFECode)는 파트너십을 맺고 소프트웨어 보안 실천을 증진시켜 기업들이 흔한 클라우드 컴퓨팅 위협에서 벗어날 수 있도록 하는 움직임을 보였다. CSA 역시 국제 프라이버시 교수 협회(International Association of Privacy Professionals)와 손을 잡고 IAPP 프라이버시 아카데미(Privacy Academy)와 CSA 콩그레스(CSA Congress)를 열었다. 프라이버시 전문가들과 보안 전문가들을 한 자리에 모은 학회였다.

점점 많은 곳에서 이처럼 기획자들과 개발자들의 실제적인 협력이 이어지고 있다. 또한 프라이버시에 대한 대중의 요청과 안전을 위한 정부 기관의 요청을 모두 아우르려는 시도도 활발하게 발생하고 있다. 소프트웨어는 하나의 제품이나 서비스가 아니라 그 자체로 하나의 생태계가 되며, 여기에는 싫건 좋건 개발자 외에도 많은 이들이 엮여있다. 그걸 이해해야 한다. 그래서 어떤 기능이 되는 신기한 프로그램을 개발하는 게 아니라 생태계 전체를 구성하는 ‘건축’을 해야 하는 것이다. 그리고 여기에는 다양한 재능과 기술, 생각이 반드시 필요하다.
 
또한 그 생태계에 유입된 사용자가 프라이버시 문제에도 자유하고 정보 유출에도 자유하게 하려면 투명해야 한다. 그래야 소프트웨어가 개발되는 과정을 속속들이 들여다보며 문제가 될 만한 부분들을 일찍 발견할 수 있기 때문이다.
 
글 : 다니엘 라이델(Daniel Reidel)
@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>