“안전한 것을 정해놓고, 그것만 쓰면 안전하다”, 화이트리스팅의 핵심
편 가르기에 악용되기 쉬운 개념... SNS의 부작용 통해 여실히 드러나
[보안뉴스 문가용 기자] 화이트리스팅 기술이 최근 보안 업계 내에서 ‘핫’하다. 블랙리스트를 만들어 ‘믿으면 안 될 놈들’을 가려내는 것으로는 모자라니 ‘믿으면 좋을 놈들’을 목록으로 만들어 뭉치자는 게 이 화이트리스팅이란 기술의 핵심이다. 블랙리스트니 화이트리스트니 영어를 가져다 써서 그렇지 사실은 우리에게 매우 친숙한 방법론이다. 그래서 화이트리스팅이 유행하는 게 미리부터 걱정스럽다.
.jpg)
▲ 산타의 화이트리스팅, 기준은 여전히 미스터리...
화이트리스팅 기법은 누구나 사용해 봤거나 사용하고 있다. 수없이 반복되고 있는 종교 전쟁이나 민족 말살 시도 같은 것이 일견 블랙리스팅 작업처럼 보이지만, 그 뿌리에는 ‘나랑 비슷한 사람만 믿을 거고, 나랑 비슷한 사람들이랑만 살 거야’라는 화이트리스팅의 사고방식이 깔려 있다. 낯선 땅에 도착한 사람이 본능적으로 동향의 사람에게 더 끌리는 것도 여기에 기인한다.
요즘은 SNS에서 화이트리스팅이 굉장히 활발하게 실천되고 있다. 자기와 같은 말을 하거나 비슷한 생각을 하는 사람, 특히 정치성향이 같은 사람에게는 주저 없이 친구를 신청하고 팔로우 버튼을 누른다. 하지만 조금이라도 상충되면 가차 없다. 최근 미국의 한 남성은 트럼프 당선을 축하하는 메시지를 올렸다가 SNS 친구를 100명이나 잃었다고 한다. 최근 SNS 팔로워와 좋아요를 많이 늘리려면 야권 성향에 노 전 대통령을 추모하고 자유와 평등, 다양성의 가치를 찬양하면 된다. 맹목적일수록 더 좋다.
어차피 그냥 말 몇 마디 나누자는 것 뿐인데 내가 좋아하는 사람의 목소리만 듣는 게 뭐가 어떠냐고 반문할 수도 있다. 맞는 말이다. 그러나 SNS가 삶의 기반이요 온갖 지혜의 출처인 것처럼 여기며 사는 사람들에게는 권장할 만한 방법이 아니다. 편식하는 아동처럼 영향의 불균형이 발생하고 우물 안 개구리가 되어 할 수 있느니 개굴개굴 똑같은 소리만 공허하게 울리는 것뿐이다. 괜히 각종 커뮤니티 유머란에 엉뚱하고 비상식적인 말을 적은 사람의 SNS 캡처 화면이 올라오면 “퍼거슨(트위터는 인생의 낭비라고 했던 이) 1승”이라는 댓글이 달리는 게 아니다. 개인적으로는 후배들에게 SNS는 가급적 그냥 회원탈퇴 하라고 말하는 편이다.
화이트리스팅의 치명적인 부작용은 편 가르기의 발판이 된다는 것이다. 편을 가르고 가르다가, 블랙리스팅이 표면으로 발현되고, 블랙리스트를 발동시키는 순간 권력싸움으로 이어진다. 개인의 편협화는 덤이다. 물론 보안 업계에서 말하는 화이트리스팅은 ‘아직’ 이런 게 아니다. MS의 오피스 제품이라든가, 어도비의 포토샵이라든가, 이미 널리 사용되고 잘 알려진, 그리고 보안을 잘 하는 것으로 인정받은 기업의 제품들의 이름을 서로 공유해서 모두가 안전하게 사이버 환경을 누려보자는 것일 뿐이다. “안전한 것들만 정해서 그것만 쓰자.”
그러나 여기엔 허점이 있다. 믿을만하다는 가치 평가는 누가 어떤 기준으로 하는가? 믿을만한 소프트웨어들 대부분 ‘구매를 해야 하는 소프트웨어’이자 기업의 자산일 텐데, 화이트리스팅 작업이라는 것이 온전히 보안을 위해 순수하게 진행될 수 있을까? 솔직히 회의적이다. 이번 주만 해도 MS가 자사의 제품군으로 이루어진 생태계를 사용자들에게 강제하다시피 했다는 기사가 두 개나 본지에 실렸다. 심지어 하나는 카스퍼스키에게 고소까지 당했다는 내용이었다. 경쟁에서 이기기 위한 본능 발동은 어지간해선 멈출 수가 없다. 경보 선수에게 가장 힘든 것은 뛰고 싶은 마음을 억누르는 것이라는 말이 괜히 공감을 사는 게 아니다.
또 하나, 지금 한창 보안 업계 내에서 ‘첩보를 공유’하자는 움직임이 무르익어가고 있다는 점도 화이트리스팅 유행을 우려스럽게 한다. 화이트리스팅이 기술적인 차원에서만 구현되는 이야기라고 해도 ‘안전을 위해 나쁜 것들을 찾아내고 쫓아내기보다 검증된 것만 골라 쓰는 게 효율적이더라’는 원리 자체에 대한 경험이 쌓이면, 기술을 넘어 여러 다른 분야에도 적용이 되기 마련이다. 이미 첩보 공유라는 것을 ‘회원제’로 실시하는 곳이 많은 가운데, 기업들끼리 첩보 공유를 빌미 삼은 편 가르기가 본격적으로 실시되지는 않을까? 마치 핀테크처럼 촉망받는 새로운 분야가 떠올랐을 때 여기저기 ‘협회’들이 난립하는 것처럼 말이다.
최근 애자일이라는 방법론에 대한 회의론이 나왔다. 애자일은 중앙에서 통제하는 개발 방법론에서 탈피하고, 개발 팀이나 개발자가 독립적으로 움직여 개발 기간을 단축하고 효율을 극대화한다는 방법론으로, 이미 우리에게 닥쳐온 애플리케이션 시대에 걸맞은 것으로 알려져 있다. 하지만 최근 설문을 통해 많은 IT 전문가들이 “애자일을 직접 해보니 리스크는 더 높아지고 할 일도 더 많아졌다”라고 답했다. 애자일만이 진리이고 애자일만이 우리의 갈 길이라고 외치던 이들이 조금은 머쓱해질 수 있을만한 내용의 연구 결과였다. 그렇다고 이 결과 하나로 애자일을 전면 부정할 수는 없지만.
바라기는 화이트리스팅에 대한 뜨거운 관심이 ‘기술 분야’에서만 국한되거나 애자일처럼 부정적인 연구 결과가 한 번쯤 나왔으면 한다. 아니, 적어도 화이트리스팅이 정보보안에 있어 그다지 큰 성공을 이끌어내지 않기를 바란다. 지금도 자기가 듣고 싶은 말만 듣고 각종 혐오 감정을 키워내는 우리가, 유독 정보보안이라는 문제에서만 순수하고 넓은 사람이 되어 모든 말을 귀담아 듣고 공평정대하게 가치 판단을 하여 하얗기만 한 목록을 만들 수 있을 리가 없으니까. 아니면, 절대적이고 합리적인 ‘화이트리스팅 가치 판단의 기준’을 마련해 모든 사람의 동의를 이끌어 내는 것도 한 방법이겠다.
즉 1) 화이트리스팅의 보편화를 감당할 수 있도록 우리가 성숙하게 변하거나 2) 아직까지 존재해본 적 없는 기준과 표준이 생기는 것이 답인데, 3) 화이트리스팅이 실패하는 게 더 쉽고 현실적인 듯 하다.
[국제부 문가용 기자(globoan@boannews.com)]
편 가르기에 악용되기 쉬운 개념... SNS의 부작용 통해 여실히 드러나
[보안뉴스 문가용 기자] 화이트리스팅 기술이 최근 보안 업계 내에서 ‘핫’하다. 블랙리스트를 만들어 ‘믿으면 안 될 놈들’을 가려내는 것으로는 모자라니 ‘믿으면 좋을 놈들’을 목록으로 만들어 뭉치자는 게 이 화이트리스팅이란 기술의 핵심이다. 블랙리스트니 화이트리스트니 영어를 가져다 써서 그렇지 사실은 우리에게 매우 친숙한 방법론이다. 그래서 화이트리스팅이 유행하는 게 미리부터 걱정스럽다.
▲ 산타의 화이트리스팅, 기준은 여전히 미스터리...
화이트리스팅 기법은 누구나 사용해 봤거나 사용하고 있다. 수없이 반복되고 있는 종교 전쟁이나 민족 말살 시도 같은 것이 일견 블랙리스팅 작업처럼 보이지만, 그 뿌리에는 ‘나랑 비슷한 사람만 믿을 거고, 나랑 비슷한 사람들이랑만 살 거야’라는 화이트리스팅의 사고방식이 깔려 있다. 낯선 땅에 도착한 사람이 본능적으로 동향의 사람에게 더 끌리는 것도 여기에 기인한다.
요즘은 SNS에서 화이트리스팅이 굉장히 활발하게 실천되고 있다. 자기와 같은 말을 하거나 비슷한 생각을 하는 사람, 특히 정치성향이 같은 사람에게는 주저 없이 친구를 신청하고 팔로우 버튼을 누른다. 하지만 조금이라도 상충되면 가차 없다. 최근 미국의 한 남성은 트럼프 당선을 축하하는 메시지를 올렸다가 SNS 친구를 100명이나 잃었다고 한다. 최근 SNS 팔로워와 좋아요를 많이 늘리려면 야권 성향에 노 전 대통령을 추모하고 자유와 평등, 다양성의 가치를 찬양하면 된다. 맹목적일수록 더 좋다.
어차피 그냥 말 몇 마디 나누자는 것 뿐인데 내가 좋아하는 사람의 목소리만 듣는 게 뭐가 어떠냐고 반문할 수도 있다. 맞는 말이다. 그러나 SNS가 삶의 기반이요 온갖 지혜의 출처인 것처럼 여기며 사는 사람들에게는 권장할 만한 방법이 아니다. 편식하는 아동처럼 영향의 불균형이 발생하고 우물 안 개구리가 되어 할 수 있느니 개굴개굴 똑같은 소리만 공허하게 울리는 것뿐이다. 괜히 각종 커뮤니티 유머란에 엉뚱하고 비상식적인 말을 적은 사람의 SNS 캡처 화면이 올라오면 “퍼거슨(트위터는 인생의 낭비라고 했던 이) 1승”이라는 댓글이 달리는 게 아니다. 개인적으로는 후배들에게 SNS는 가급적 그냥 회원탈퇴 하라고 말하는 편이다.
화이트리스팅의 치명적인 부작용은 편 가르기의 발판이 된다는 것이다. 편을 가르고 가르다가, 블랙리스팅이 표면으로 발현되고, 블랙리스트를 발동시키는 순간 권력싸움으로 이어진다. 개인의 편협화는 덤이다. 물론 보안 업계에서 말하는 화이트리스팅은 ‘아직’ 이런 게 아니다. MS의 오피스 제품이라든가, 어도비의 포토샵이라든가, 이미 널리 사용되고 잘 알려진, 그리고 보안을 잘 하는 것으로 인정받은 기업의 제품들의 이름을 서로 공유해서 모두가 안전하게 사이버 환경을 누려보자는 것일 뿐이다. “안전한 것들만 정해서 그것만 쓰자.”
그러나 여기엔 허점이 있다. 믿을만하다는 가치 평가는 누가 어떤 기준으로 하는가? 믿을만한 소프트웨어들 대부분 ‘구매를 해야 하는 소프트웨어’이자 기업의 자산일 텐데, 화이트리스팅 작업이라는 것이 온전히 보안을 위해 순수하게 진행될 수 있을까? 솔직히 회의적이다. 이번 주만 해도 MS가 자사의 제품군으로 이루어진 생태계를 사용자들에게 강제하다시피 했다는 기사가 두 개나 본지에 실렸다. 심지어 하나는 카스퍼스키에게 고소까지 당했다는 내용이었다. 경쟁에서 이기기 위한 본능 발동은 어지간해선 멈출 수가 없다. 경보 선수에게 가장 힘든 것은 뛰고 싶은 마음을 억누르는 것이라는 말이 괜히 공감을 사는 게 아니다.
또 하나, 지금 한창 보안 업계 내에서 ‘첩보를 공유’하자는 움직임이 무르익어가고 있다는 점도 화이트리스팅 유행을 우려스럽게 한다. 화이트리스팅이 기술적인 차원에서만 구현되는 이야기라고 해도 ‘안전을 위해 나쁜 것들을 찾아내고 쫓아내기보다 검증된 것만 골라 쓰는 게 효율적이더라’는 원리 자체에 대한 경험이 쌓이면, 기술을 넘어 여러 다른 분야에도 적용이 되기 마련이다. 이미 첩보 공유라는 것을 ‘회원제’로 실시하는 곳이 많은 가운데, 기업들끼리 첩보 공유를 빌미 삼은 편 가르기가 본격적으로 실시되지는 않을까? 마치 핀테크처럼 촉망받는 새로운 분야가 떠올랐을 때 여기저기 ‘협회’들이 난립하는 것처럼 말이다.
최근 애자일이라는 방법론에 대한 회의론이 나왔다. 애자일은 중앙에서 통제하는 개발 방법론에서 탈피하고, 개발 팀이나 개발자가 독립적으로 움직여 개발 기간을 단축하고 효율을 극대화한다는 방법론으로, 이미 우리에게 닥쳐온 애플리케이션 시대에 걸맞은 것으로 알려져 있다. 하지만 최근 설문을 통해 많은 IT 전문가들이 “애자일을 직접 해보니 리스크는 더 높아지고 할 일도 더 많아졌다”라고 답했다. 애자일만이 진리이고 애자일만이 우리의 갈 길이라고 외치던 이들이 조금은 머쓱해질 수 있을만한 내용의 연구 결과였다. 그렇다고 이 결과 하나로 애자일을 전면 부정할 수는 없지만.
바라기는 화이트리스팅에 대한 뜨거운 관심이 ‘기술 분야’에서만 국한되거나 애자일처럼 부정적인 연구 결과가 한 번쯤 나왔으면 한다. 아니, 적어도 화이트리스팅이 정보보안에 있어 그다지 큰 성공을 이끌어내지 않기를 바란다. 지금도 자기가 듣고 싶은 말만 듣고 각종 혐오 감정을 키워내는 우리가, 유독 정보보안이라는 문제에서만 순수하고 넓은 사람이 되어 모든 말을 귀담아 듣고 공평정대하게 가치 판단을 하여 하얗기만 한 목록을 만들 수 있을 리가 없으니까. 아니면, 절대적이고 합리적인 ‘화이트리스팅 가치 판단의 기준’을 마련해 모든 사람의 동의를 이끌어 내는 것도 한 방법이겠다.
즉 1) 화이트리스팅의 보편화를 감당할 수 있도록 우리가 성숙하게 변하거나 2) 아직까지 존재해본 적 없는 기준과 표준이 생기는 것이 답인데, 3) 화이트리스팅이 실패하는 게 더 쉽고 현실적인 듯 하다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
