TTESays

[TE머묾] 믿고 싶은 대로 믿는 사람들의 믿음을 건드리는 믿음

문가용 기자

문가용 기자

[TE머묾] 믿고 싶은 대로 믿는 사람들의 믿음을 건드리는 믿음
Photo by Shawn Reid / Unsplash
💡
Editor's Pick
- 보안은 만병 통치약 아니라고 아무리 설명해도
- 제로트러스트는 솔루션 이름이 아니라고 아무리 설명해도
- NIST 프레임워크 초안은 실용서가 아니라고 아무리 설명해도

믿음이란 얼마나 강력한 것인가. 보안과 IT 업계를 관찰자 입장에서만 10년 넘게 보아온 입장에서 절로 나올 수밖에 없는 말이다. 단, 이것은 특정 종교나 철학, 사상과 관련된 발언이 아니며, 이렇게 아니라고 말한다 하더라도 누군가는 오해할 여지가 있기에 이 뒤로 이어질 여백을 통해 설명을 나불거려 보려 한다. 그러니 저 한 문장만 읽고 이상한 해석은 하지 마시길.

‘어, 그거 아닌데요?’

이번 주 한 보안 행사(OWASP 서울 챕터 송년회)에서 클라우드 보안 전문가 신은수 AWS 보안 수석은 “제로트러스트에 대해 할 말이 많다”고 운을 떼며 현재 고객들을 직접 마주할 때 흔히 접할 수 있는 오해에 대해 언급했다. “아직도 많은 분들이 제로트러스트를 망 분리 솔루션이나 인증 장치로 알고 있어요. 보안에 대한 보다 본질적인 개념을 짚는 용어라는 걸 모르고, 설치 한 번 하면 다 해결되는 아이템으로 이해하고 있는 겁니다.”

기자는 손을 들고 반박하고 싶었다. 그분들 그거 모르는 게 아니라 모르고 싶은 거라고. 제로트러스트를 단순 백신 쯤으로 이해하고 싶기 때문에 알려줘도 모르쇠 하는 거라고. 사람의 지식이나 이해는 합당한 논리나 객관적 ‘팩트’가 아니라 사실은 무엇을 믿고 있는가에 뿌리를 내리고 있기 때문에, 지금과 같은 대 과학의 시대라 불리는 때에도 상식은 파편화 되다 못해 조롱거리가 되어가고 있고, 구성원 간 대화는 어려워져 사회는 점점 분리돼 가고 있는 거라고. 그러니 그분들 대부분은 아마 영원히 제로트러스트라는 이름의 솔루션만 계속 사려 할 거라고.

물론 설득이 되는 사람들이 없는 건 아니다. 충분히 설명해 주면 알아듣고 마음을 바꾼다. 보기 드문, 유연한 마인드의 소유자들이다. 이 시대의 용자들이기도 하다. 칭송 받아 마땅하다. 지금은 타인의 세치 혀 놀림에 마음을 바꾼다는 게 치욕인 때니까. 올해의 단어로 ‘rage bait(분노 유발)’가 선정됐을 정도로 사람들은 무엇에나 낚여서 화낼 준비가 충실하니까. 그래서 나의 말에 조금이라도 반하는 입장을 접하면 그 반박의 내용이나 논리가 무엇이든, 근거가 얼마나 분명하든 적으로 간주해 분노하는 게 시대의 정신이니까. 다들 자신의 앎과 뱉은 말에 얼마나 깊은 믿음의 뿌리를 내리고 있는지.

보안 업계의 가장 흔한 레파토리

보안 전문가들이 십수년 동안 주구장창 해온 말이 있다. 제로트러스트라는 개념이 등장히기 전부터 지금까지, 업계는 이 말을 반복하고 반복하고 반복한다. 그럼에도 설득이 되지 않는다. 바로 “보안에 만병통치약은 없다”이다. 보안은 집을 짓는 것과 같아 기초를 깊고 단단히 다지고, 그 위에 흔들리지 않는 기둥을 세우고, 하늘에서 벌어지는 일들로부터 방패막이 되는 지붕과 벽면이 세워지는 순서로 차근차근 완성된다. 그러고도 들어가 입주한 이후 꾸준히 관리해주고 고장나면 돈 들여 수리해야 하는 일이 끊이질 않는다. 최초 설계와 인허가, 준공 승인 과정까지 묶으면 기간은 더 길어진다.

정보를 안전하게 지키기 위해서도 시간을 들여 구조를 짜고, 그것을 순서대로 완성시키는, 촘촘하게 엮인 프로세스가 필요하다. 그 조직이 어떤 사업을 하고 있는지, 그 사업의 인프라가 어떻게 구성돼 있는지, 업이 이어져 온 지난 수년 동안 어떤 디지털 자산들이 왔다 갔는지, 그 중 뭐가 남아있는지, 그러면서 사람들 사이에서 어떤 디지털 문화가 자리를 잡았고, 그 중 무엇을 도려내야 하고 보완해야 하는지, 하나도 빼지 않고 파악하고 거쳐야 한다. 며칠은 물론 몇 달이 걸리는 일이다. 그러니 하기 싫어한다. 이를 설명해줘도 ‘아, 몰랑, 그냥 돈 줄 테니 설치 한 번만 하면 끝나는 마법같은 기술을 줘’라고 대꾸한다.

‘딸깍.’ 요즘(?)의 인터넷 밈이다. 애쓰지 않고, 별 다른 노력도 하지 않고, 아주 간편하게 목적이 달성되는 것을 뜻한다. 예를 들어 누구는 진흙탕에서 구르고 넘어지고 얻어맞는 슬랩스틱 시나리오를 5박 6일 동안 연습해 멍 투성이가 돼야 겨우 사람들이 웃고 쳐다봐주는데, 누구는 그냥 얼굴 1초 내비친 것으로 더 큰 주목을 받는 걸 ‘딸깍’이라고 한다. 무료 백신 하나 설치하면 모든 해킹 공격에서부터 안전할 거라는 착각, 그것도 일종의 ‘딸깍’이다. 

아니라고 아니라고 주구장창 말해도 ‘딸깍 해줘’를 요구하는 보안 고객들. 그런 고객들이 변치 않는 믿음(“기술은 편리하기만 해야 한다”, “보안은 전문가들이 담당하고, 나는 편리를 누려야 한다” 등등)으로 자기의 입장을 고수하고 있으니, 제로트러스트라는 보안 개념을 아무리 맛좋게 버무려 가져다 놔도 다시 한 번 ‘딸깍’을 요구하는 상황. 누구를 탓하랴. 우렁각시 하나 잘 키우면 자고 일어났을 뿐인데 청소가 ‘딸깍’ 되어 있을 거라는 환상이 예전부터 있던 걸 보면 이건 인간 본능이 아닐까 싶다. 기자도 하루에도 수십 번 챗GPT가 기사 대신 써주는 꿈을 꾸다 일어난다. 불행인지 다행인지 아직 그런 버튼이 없어 이런 지면을 채울 기회도 얻는 것이지만.

NIST가 제일 먼저 하는 일도 ‘개념 정립’

이번 주 NIST는 ‘딸깍’의 대명사인 인공지능을 안전하게 보호하기 위한 프레임워크의 초안을 발표했다. 결국은 실질적인 지침과 가이드라인이 될 문건이지만, 초안 단계에서는 개념만 가득했다. 인공지능을 ‘단순 디지털 자산 중 하나’로 보면 인공지능 보안에 실패할 것이라며, ‘아주 조심스럽게 다뤄야 할 하나의 새로운 초민감 시스템으로 봐야 한다’는 내용이었다. ‘딸깍’해주는 기술이 아니라, 이전에 없던 새로운 리스크를 발생시키는 현대판 판도라의 상자 정도로 다뤄야 한다는 것이었다.

혹자는 실용주의에 입각해 ‘누구든 조금만 생각할 수 있을 법한 이런 개념만 가지고 무슨 안전 가이드라인이냐’라고도 하지만, 이건 NIST가 일하는 순서를 잘 몰라서 하는 소리다. NIST는 여러 지역과 산업에서 사실상 표준으로 받아들여질 이런 가이드라인들을 정식으로 정하여 발표하기 전에 이렇게 큰 틀부터 잡는다. 그래서 초안들에는 원론과 이상이 가득하다. ‘그래서 뭐 어쩌라는 거야?’라는 의문이 페이지 넘길 때마다 마른 침처럼 묻어난다. 가성비가 높은 가치를 가지고 있는 요즘은 NIST의 초안을 보고 이런 반응을 보이는 사람들이 더 많아진 느낌이다.

가장 실용적인 아이디어와 실천 사안들은 원론에서부터 나온다. 개념 정립이 올바르게 되어 있어야 실용으로 이어질 수 있다. 고춧가루가 맵다는 기본 개념이 있어야, 이걸 배추 속에나 바르지 남의 눈에 넣지 않게 된다. 그 기본 개념을 바탕으로 위급한 상황에서 그걸 적대적 존재의 퇴치용으로, 그러므로 실용적으로 활용하는 것도 가능하다. 

NIST가 이번에 한 일은, ‘인공지능은 ‘딸깍’ 머신이 아니다’라고, 이미 편만하게 퍼져 있는 일반 사용자들의 믿음을 교정하려는 것이었다고 할 수 있다. ‘외국어 공부 왜 해, 인공지능이 번역해주는데?’라는 말이 상식처럼 돌고 있고, ‘코딩도 인공지능이 해주니 배울 필요 없다’는 말이 진지하게 나오는 판에, NIST의 이번 문건이 얼마나 힘을 발휘할지는 알 수 없으나, 그럼에도 NIST 정도 되는 기관에서 해줘야 할 일이긴 했다. 

외국어 공부하는 것보다 인공지능의 발전을 기다리는 게 맞는 방향일 수 있다. 코딩 공부는 이제 고대의 주술과 비슷한 학문이 될 수도 있다. 그럼에도 ‘외국어 공부 하지 마라’나 ‘코딩은 전부 기계에 맡겨라’라는 말에 동의할 수 없는 건, 그 속에 숨겨진 ‘딸깍’에 대한 믿음 때문이다. 그것에 길들여지면 인공지능은 나를 위한 우렁각시가 아니라, 없으면 못 사는 나의 상전이 되고, 그 때부터는 인공지능의 관리와 올바른 발전이라는 건 점점 더 아득한 개념이 된다. 인공지능이 낸 결과를 끝까지 의심하기 위해서, 그 의심을 바탕으로 인공지능을 감독하기 위해서, 그렇게 함으로써 인공지능으로 인해 유발될 각종 위험까지 다스리기 위해서, 사람은 외국어를 더 깊이 파야하고, 코딩에 대한 지식도 남기고 전수해야 한다. 

보안도 믿음을 건드려야

다시 이야기를 ‘만병통치약’에 대한 사람들의 끝모르는 요구로 돌리자. 제로트러스트를 수년 동안 수많은 전문가들이 헤아리기 힘든 강연과 칼럼과 인터뷰를 통해 알려 왔음에도 ‘그래서, 얼마면 살 수 있어요? 기능이 뭐에요?’라고 물어오는 고객이 작금의 현실인 그 상황을 복기해보자. 보안이란 게 집처럼 하나하나 쌓아올려야 한다고 해도 만병통치약을 원하던 그 깊은 뿌리로도 거슬러 올라가보자. 

거기에는 ‘믿음’이 있다. 보다 정확히 말하면 ‘믿고 싶은 걸, 믿고 싶은 대로 믿는 믿음’이다. 보안이 진득히 붙잡고 앉아 한 땀 한 땀 쌓아올려야 하는 거라고? 믿기 싫은데? 컴퓨터에 백신 같은 거 깔면 경고 잘만 띄워주던데? 너네가 그런 솔루션 못 만들어서 하는 변명 같은데? 나로부터 시작되어야 하는 변화를, 남 탓으로 딸깍 바꾸고자 하는 본능에서 비롯된 편리한 믿음. 그러므로 굳건한 믿음. 세상 무엇과도 바꿀 수 없는 숭고한 믿음. 그게 버티고 있는 한, 보안 교육이나 인지 제고 캠페인도 효과를 내기는 어렵다.

그러므로 보안은 저 안쪽에 자리 잡고 있는 ‘믿음’부터 건드려야 한다. 문제는 ‘어떻게’다. 정치나 종교 논쟁을 직간접적으로 겪어본 사람은 알겠지만 믿음을 건드리는 건 매우 리스크가 큰 행위다. 그럼에도 생각을 바꾸고 개종하는사람들이 있는 거 보면, 불가능한 건 아니다. 일단 그걸 믿는 것부터 시작하자. 상대의 믿음은 바뀔 수 있다고 말이다.

그런 다음 ‘믿음’의 속성을 생각해 보자. 자신이 살아오면서 굳건한 믿음을 바꾼 적이 있었나? 절대불변일 것 같은 진리가 어느 날 나를 배신했거나, 내가 배신한 경험이 있었나? 학교 시험 성적이 생각보다 많은 걸 좌지우지 하지 않는다는 걸 허무하게 깨달았다거나, 저 사람이 내 평생 동반자가 되어줄 거라는 믿음이 가슴 아프게 조각났다거나 하는 경험들. 아, 나도 모르게 답을 미리 말했다. 대부분의 경우 믿음이 바뀌는 건 ‘경험’에 의해서다. 말보다 행동이 중요하다는 거다.

앞서 신은수 보안 수석의 이야기에 언급된 보안 행사에서 또 다른 참석자인 문광석 보안 기술사는 자신이 겪은 이야기를 나눈 적이 있다. “어느 날 회사 자판기가 고장났는데, 보안 팀에게 고치라고 하더라고요. 보안이 이런 일까지도 해야 하는가, 라고 물으면서 대화를 이어갔더니 결국 ‘너네가 어제 와이파이 보안 설정 하면서 뭐가 잘못된 거 아니냐?’라고 물으려 하시던 게 본 의도였어요. 보안 언어와 개념을 모르셨던 것 뿐이었습니다. 그래서 그 문제를 저희 팀에서 해결해 드렸어요.”

OWASP 보안 송년회 패널 토크 시간. 왼쪽에서 두 번째가 신은수 수석, 세 번째가 문광석 기술사다.[자료: 더테크엣지]

그것이 큰 계기가 되었다고. “그 다음부터는 보안 팀에 들어온 모든 일을 처리했어요. ‘보안’이라는 글자가 들어가는 모든 일을 다 하기로 했습니다. 그랬더니 ‘이 사업은 위험해서 안 돼요’에서 그치는 게 아니라 ‘이 사업은 위험하니까, 이렇게 하세요’로 노선이 수정되더라고요. 저희가 그렇게 하니까 ‘보안은 귀찮은 것’이라는 믿음이 서서히 사라졌습니다. ‘보안이 돈 버는 사업이 될 수 있다’로까지 나아갔고, 그러다 보니 오히려 일하기가 편해졌습니다. 전보다 예산 확보도 수월해진 감이 없지 않았을 정도입니다.” 

더 길게 말해 무엇하겠는가. 돈까지 벌어온다니, 믿음이란 얼마나 강력한 것인가.🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

NIST가 발표한 ‘사이버 인공지능 프로파일’, 어떤 내용인가?
💡Editor’s Pick - NIST, 사이버 인공지능 프로파일 초안 발표 - 인공지능 보호, 인공지능을 활용한 보호, 인공지능을 대항한 보호 - 항상 움직이는 시스템이므로, 항상 움직이는 유동적 보안 체계 필요 미국의 국립표준기술연구소(NIST)가 안전한 인공지능의 활용을 촉진하기 위해 새로운 프레임워크의 초안을 작성해 공개했다. 이름은 ‘사이버 인공지능 프로파일(Cyber AI Profile)’이며,
The Tech Edge문가용 기자
[TE머묾] 쿠팡 새벽 배송 논란, 테크 관점에서 바라보기
💡Editor’s Pick - 쿠팡의 새벽 보상에 의존하는 사람들 많아 - 무리한 근무 일정으로 인한 사고도 무시하기 힘들어 - 테크 분야의 끝없는 인프라 논란, 혹시 선례 될까 쿠팡 새벽 배송 논란이 한창이다. 저녁에 주문하더라도 다음 날 새벽에 물건이 도착하는, 설명만 들어도 무리한 배송 시스템이 근로자들의 목숨을 위협하고, 또 실제 적잖이 앗아간다고
The Tech Edge문가용 기자

Read more

갑자기 비밀번호 변경하라고? 인스타그램 사용자들 ‘불안’

갑자기 비밀번호 변경하라고? 인스타그램 사용자들 ‘불안’

💡Editor' s Pick - 비밀번호 재설정 요청 메일을 받은 인스타그램 사용자 일부 - 해당 메일은 인스타그램이 보낸 것...피싱 아니었음 - 같은 시기에 다크웹에 올라온 인스타그램 사용자 정보 일부 인스타그램 사용자들이 “비밀번호를 재설정 해달라”는 요청을 인스타그램으로부터 받는 일이 지난 주에 있었다. 해당 메일에 따라 사용자들은 비밀번호를 변경하거나 그대로

By 문가용 기자
토렌트, OSINT로서의 가치 충분

토렌트, OSINT로서의 가치 충분

💡Editor's Pick - 토렌트는 원래 대용량 파일 전송 위한 프로토콜 - 요즘 불법 다운로드의 대명사처럼 쓰이지만, 원래는 합법 기술 - 기업 망에서 토렌트 트래픽 있나 점검할 필요 있어 토렌트 트래픽 혹은 토렌트 메타데이터를 오픈소스 인텔리전스(OSINT)로 활용할 수 있다는 연구 결과가 발표됐다. 네덜란드 틸뷔르흐대학의 연구원 두 명과,

By 문가용 기자
[TE머묾] 이민국에 대항하는 미국 시민들, 한국에도 힌트가 되다

[TE머묾] 이민국에 대항하는 미국 시민들, 한국에도 힌트가 되다

💡Editor's Pick - 각자의 방법으로 ICE의 감시 기술 고발하는 사람들 - 카메라 위치, 단속 요원 움직임 파악해 DB화 후 공유 - 한국의 얼굴 인식 대량 수집 제도에 어떻게 대응할까 이민세관단속국(ICE)이 이민자들만이 아니라 일반 시민들까지도 감시 및 추적한다는 사실이 미국 사회에 급격히 퍼지기 시작하면서 여러 가지 대응책들이

By 문가용 기자
VM웨어 ESXi 제로데이 취약점, 중국 해커들은 오래 전부터 알고 있었다

VM웨어 ESXi 제로데이 취약점, 중국 해커들은 오래 전부터 알고 있었다

💡Editor's Pick - VM웨어 ESXi에서 발견된 세 가지 제로데이 취약점 - 작년 12월에 첫 공격 사례 발표됐으나, 추적해 보니 2024년에도 공격 있어 - 제로데이 미리 알고 있었기에, 피해 점검 더 넓고 깊게 해야 소닉월 VPN을 악용해 VM웨어 ESXi를 노리는 중국 해커들의 악행이 생각보다 오래 전에 시작된 것으로 보인다고

By 문가용 기자