네이버 키워드 : 국가장학금
다음 키워드 : 부평커플 폭행

[보안뉴스 문가용] 현재 시각(24일 17시 기준)으로 네이버에서는 ‘국가장학금’이 급상승 검색어 1위를 기록하고 있으며 다음에서는 ‘부평커플 폭행’이 가장 윗자리를 차지하고 있다. 사회 현상의 일부일 수밖에 없고, 또 그래야 하는 정보보안이라는 분야는 해당 소식과 얼마나 상관이 있을까?
 


네이버 키워드 ‘국가장학금’과 버그바운티
내년부터 지급이 확대된다는 국가장학금에 대해 더 알아보려고 검색하는 사람이 네이버로 몰리고 있다(사실 다음에서도 수위권에 있다). 요건을 확대한다고도 하는데 요는 나라에서 장학금을 더 많은 사람들에게 주겠다는 모양이다. 물론 성적이 양호해야 한다는 전제에는 변함이 없다.

그러나 나라가 모든 사람들의 사정을 일일이 파악하는 게 물리적, 행정적으로 불가능하고, 그래서 억울하게 장학금을 못 받는 사례도 생기고 교묘하게 안 받아도 되는 사람이 받는 경우도 있다고 한다. 그 때문에 학생들에게 돈을 지원해주어 학업에 더 힘을 쏟게 하겠다는 좋은 취지가 비난으로 얼룩지기도 한다.

보안업계에도 장학금 제도 비슷한 게 있다. 바로 버그바운티다. 취약점을 집요하게 파고드는 해킹 공격이 유행하다보니 이런 취약점을 먼저 찾아주는 사람에게 보상을 하는 제도다. 아직은 대기업 위주로 민간 차원에서 이루어지고 있고 정부가 주도해야 한다는 목소리도 있긴 한데 그 단계에까지 이르진 못했다.

확실히 민간 차원에서 자유롭게 행해지는 버그바운티에는 많은 이점이 있다. 기업은 상상치도 못한 버그를 찾아내 미연에 방지할 수 있어서 좋고 보안전문가들에게는 수익 창출의 또 다른 창구가 된다. 심지어 취약점 찾아내기 좋아하는 해커들을 양지로 끌고 나오는 ‘갱생’의 효과가 언급되기도 한다. 이들이 활동해서 먹고 살 계기를 만들어주면 아무리 나쁜 놈이라도 떳떳하게 사는 방식을 택할 것이라는 논리였다.

이것이 증명되거나 부인되기에 아직 충분한 시간이 지나지는 않았지만 1) 전체 취약점 악용 사례 및 해킹 사고는 상승세에 있고, 2) 해커들이 주로 활동한다는 다크넷 역시 규모가 커지고 있다는 걸 봤을 때 아직까지 갱생의 효과를 기대하기에는 고개를 먼저 갸웃거릴 수밖에 없는 게 사실이다. 갱생이 잘 안 되는 이유는 다른 게 아니라 버그바운티로 내 걸린 현상금보다 암시장 거래가 더 수익률이 높기 때문이다.

버그바운티 현상금이 낮은가 하면 그렇다고 할 수도 없다. 구글이나 MS 등 누구나 알만한 기업들은 입이 떡 벌어지는 현상금을 거는 게 보통이다. 그럼에도 버그바운티가 다크웹보다 수익성이 낮은 건 ‘누구나 버그바운티를 할 수 없어서’이다. 즉 아직까지는 부자들만 할 수 있는 사치스러운 제도라는 것.

국가장학금이 좋은 제도임에도 비판을 받는 건 그 취지인 불균형 해소를 제대로 하지 못하기 때문이라면, 버그바운티가 아직도 논란 중에 머물러 있는 건 부익부빈익빈 현상을 심화시키고 있기 때문이다. 국가가 나서야 한다는 주장이 힘을 얻고 있는 이유가 바로 이것이다. 그러나 이를 자유경제 원리의 일부 현상이라고 판단한다면 정부의 개입이 바람직하기만 하지는 않다. 연구에 대한 정당한 가치로서의 버그바운티보다 큰 차원에서의 고민이 필요하다.

다음 키워드 ‘부평커플 폭행’과 순간
부평을 걷던 20대 커플이 알지도 못하는 사람들에게 이른 바 묻지마 폭행을 당한 사건이 있었고, 그 범인 중 일부가 잡혔다고 한다. 해당 가해자들은 당시 술에 취해 있었고, 아무런 맥락도 원한도 없이 그저 홧김에 그 같은 일을 저지른 것이라고 한다.

정보보안에서 말하는 취약점은 크게 두 가지로 나뉘는데, 하나는 기술적, 기능적인 취약점이고 다른 하나는 사람이 가진 취약점이다. 해커들이 많은 승전보의 주인공이기 때문에 정보보안이 기술이나 기능에서 많이 뒤처지는 것처럼 보이는데, 실상은 그렇지 않다. 오히려 많은 전문가들은 기술로 전혀 ‘꿀릴 게 없다’고 한다.

실제 보안은 아무리 잘 해봐야 ‘사고가 안 나는 것’인 분야다. 즉 성과는 눈에 전혀 띄지 않는데 잘못은 크게 부각되는 성질을 가졌다는 것이다. 헤드라인에 올라오는 여러 정보보안의 실패사례들이 강하게 기억되고, 그 외에 성공사례는 전혀 기억에 남지 않는 이유다. 즉 보도의 특성상 실패하고 있는 것으로 보일뿐 실제 ‘성공:실패’ 비율을 살펴보면 그다지 처참하지 않을 것이라는 의견도 많다. 의견이 갈릴 여지가 있다는 것.

하지만 ‘사람’이 취약점이라는 부분에 있어서는 이견이 없다. 아무리 좋은 시스템도 보안 설정을 해지시키고 사용하면 구멍이 된다. 아무리 철저한 정책이라도 유야무야 무시하고 넘어가면 끝이다. 아무리 교육을 해도 피싱 메일 무심코 실수로라도 한 번 누르면 멀웨어가 감염을 시작한다. 사람이 취약한 건 사람이 ‘순간’을 장악하지 못해서다.

순간의 분노를 걷잡을 수 없었던 건 부평의 그 폭행범들뿐만이 아니다. 정보와 통신, 데이터의 이동 등이 너무나 빠르게 일어나는 정보보안에서는 순간의 귀찮음, 순간의 망각, 순간의 해이가 순식간에 증폭돼 많은 시스템으로의 ‘폭격’을 야기한다. 그런데 ‘매 순간’을 다스린다는 건 불가능에 가까운 일이고.

그래서 ‘교육을 시켜야 한다’는데 이어 요즘 정보보안에서는 ‘훈련’을 덧붙인다. 온갖 강의를 듣고 머리로 이해해봐야 소용이 없다는 걸 깨달은 것이다. 반복적인 훈련으로 몸이 정보보안의 습관에 길드는 것이 더 효과적이라는 건 지난 런던올림픽의 정보보안 시스템이 증명한 바 있다. 국가적인 행사를 위해 행사 조직위는 물론 장관들까지도 여러 훈련에 참가해 실제 여러 위협을 빠르게 해결했다고 한다. 그래서 우린 런던올림픽 사이버 보안사고에 대해 들어본 적이 없는 것이다.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>