[TE연재] 보안의 속살을 찾아서 1

보안을 글로만 배운 입장에서, 보안은 신기루 같은 무언가다. 나 같은 사람들이 취재 현장에 많은데, 다들 비슷할 것이다. 보안을 손으로 직접 해보지 않고, 각종 사건 사고를 통해서만 접하다시피 해 여러 보안 사건들이 주는 전문가들의 다소 전형적인 식견과 교훈들만으로 머리가 굵어진 사람들 말이다. 하나의 종목만 파고들어 불균형한 운동신경을 소유하게 되었다거나, 학문을 한쪽으로만 익혀 편향된 사고를 가진 것과 비슷하다. 기초가 부실해 툭 건드리면 무너질, 위태로운 군상들이다. 이런 사람들이 보안 언론계에 허다하다.

그런 사람들에게 핵심적인 질문을 해보라.
“지금 우리 회사에 이런 이런 사건들이 자주 일어나는데, 혹시 어떻게 접근해야 하는가?”
여기에 어느 정도 구체적인 답을 할 수 있는 보안 전문 기자라면, 그 사람은 진짜일 확률이 높다. 물론 특정 회사나 전문가에게 자문을 구하라는 답은 예외다. 그런 말은 누구나 할 수 있다. 친하게 지내라.

너무 어려운 질문이라 생각된다면 이런 질문도 괜찮다.
“지금 이런저런 예산으로 보안 솔루션을 하나 설치하려 하는데 하나 추천해 주신다면?”
이때 예산 규모란, 공짜에서부터 수백만 원, 혹은 수천만 원에까지 이를 수 있다. 금액별로 답할 수 있다면 그 보안 기자는 나쁘지 않은 실력을 가졌다 할 수 있다. 친구 해 두면 나쁘지 않을 수 있다.

안타깝지만, 우물쭈물 대면서 각종 보안 원론들을 들이대는 기자들이 대부분일 것이다.
“보안은 다각도로 접근해야 하기 때문에 하나의 솔루션이나 전략으로는 막기가 어렵고 어쩌고 저쩌고…”
“기술만이 해답이 아니라 정책과 교육이 한데 어우러지는 것이 핵심 나불나불…”
이런 기자들은 안타까이 여겨주면 된다. 기자는 전문가일 필요가 없다는 시대착오적 믿음으로 자기 발전의 길을 스스로 막고서 입 털기 하나로 버텨온 장인들이다. 아쉽지만, 필자도 그중 하나다. 아니, 그중 하나가 아니라 가장 악질적인 괴수일지도 모르겠다.

언론의 역사가 조금 더 깊고, 사회적 영향력이 더 지대한(그리고 더 긍정적인) 해외 사례들을 보자면, 전문 기자들은 기자 출신이 아니라 전문가 출신인 경우가 많다. 자기 전문 분야에서 일하다가 언론 활동에 관심이 생겨 그리로 방향을 트는 것으로, 기자가 되고 싶어 잘 모르는 분야에 덮어놓고 뛰어들어 바이라인에 이름 새겨놓는 데 만족해 공부도 하지 않는 우리나라의 경우와 너무나 다르다. (그렇다고 전문 기자를 하려면 그 분야 전공자가 되어야 한다는 소리는 아니다. 자기 분야에 대한 학습이 당연히 기자 활동에 동반되어야 한다는 뜻이다.)

필자가 아는 한국의 한 전문 언론사는 그 전문 분야에 대해 아무것도 모른 채 기자 생활만 오래 한 사람을 덥석 편집국장으로 앉혔다가 기사 품질이 크게 떨어졌음에도 그걸 자각하지 못하고 있기도 하다. 그 편집국장이라는 사람은 타이틀을 얻자마자 자신을 그 분야 전문 기자라고 여기저기 소개하고 다니다가 반년도 못 가 밑천이 드러나 좌천됐다. 그러고도 그 매체는 요즘 창간 십수 년 기념이라면서 그 분야 기업들의 돈을 뜯어가고 있다. 그리고 그런 비즈니스 모델을 남몰래 부러워하는 새싹들도 여기저기에서 자라고 있다. ‘전문 매체’에서 ‘전문’이라는 글자를 무시하고 ‘매체’에만 집중하다 벌어지는 코미디가 아닐 수 없다.

전문 매체의 기자들도 전문 지식과 실력을 갖추고 있어야 한다는 이 당연한 명제는, 그 분야에 오래 머물러 있던 고인물들의 격렬한 반대에 부딪히곤 한다. 기자는 관찰만 하면 된다는 게 그런 사람들의 주장이다. 전문가 수준에 있다면 그 분야 전문가가 되지 뭣하러 돈도 못 버는 기자를 하느냐고 반문하기도 한다. 한 때 필자도 그와 비슷한 생각 속에 전문 기자 행세를 했기 때문에 마냥 떳떳하지는 못하지만, 그래도 그런 반문들을 들을 때마다 마음이 답답하긴 했었다. 다만 왜 답답한지 몰랐었다. 최근에야 그런 답 자체가 틀린 말이 아니지만, 질문의 맥락까지 고려하면 참으로 우스운 자가당착적 내용이라는 것을 깨달았다.

먼저 ‘기자는 관찰자이기만 해도 충분하다’는 것에 대해 말하자면, 그건 사회 모든 분야를 고루 다루는 종합지의 일반 기자들에게 해당하는 말이다. 특정 분야만 십수 년 파헤친 ‘전문 기자’라면 사정이 다르다. 전문 기자가 반복해 되새겨야 할 건 ‘언론은 관찰자로서의 역할만 해도 충분하다’가 아니라 ‘아는 만큼 보인다’여야 한다. 전문 분야에서 일어난 일을 피상적으로만 다룰 거면 종합 일간지 기자 하면 된다. 아, 거긴 들어가기가 너무 힘들려나. ‘전문 매체’ 타이틀 달고 아무나 글 써주기를 기다리는 중소기업들에 어렵지 않게 들어가면 기자 명함 자동으로 파주는데.

게다가 ‘기자는 관찰자이기만 하면 된다’는 건 사건에 직접 개입해 해결자나 판사로 나서지 말라는 것이지, 공부하지 말고 전문가의 멘트만 따다가 대충 기사 쓰면 된다는 뜻이 아니다. 이를테면 어떤 유명 부부가 이혼을 했다는 기사를 쓰면서 한쪽 편을 들지 말라는 의미일 뿐인데, 꼭 지식 빈곤한 전문 기자들이 이 말을 가져다 쓰면서 자기들이 공부하지 않는 것을 합리화하더라. 종합 일간지 기자들도 보지 못하는 것을 전문 기자들은 볼 수 있어야 한다. 그래야 전문 기자라는 이름이 부끄럽지 않을 것이다. 그러려면 공부를 멈출 수 없어야 한다.

‘내가 전문가일 것 같으면 전문가를 하지, 돈 못 버는 기자를 왜 하냐?’는 반문은 그 말을 받아 쓰는 내가 다 부끄럽다. 자기가 할 게 없으니 기자를 한다는 의미밖에 더 되는가? 돈도 되지 않는 기자 일, 하는 수 없어서 한다는 것 아닌가? 고작 그건가, 기자 명함 가지고 다니며 온갖 사람들 만나고, 바이라인 통해 실명이 공개되는 글을 매일 쓰는 이유가. 하긴, 그런 사람들 보면 기업이나 특정 영향력 센 인물들이 하라는 대로 글을 쓰더라. 자기가 출입하는 기업의 홍보 대행인지 기자인지 헷갈려하는 사람들이더라. 그게 다 기초가 부실해서, 와르르 무너진 채 사는 거다. 그러면서도 스스로는 모르는 거다.

‘전문 매체’가 부지런히 물어다 날라야 하는 건 소식이 아니라 통찰이다. 소식을 나르는 것을 주된 업으로 삼는 매체들은 따로 있다. 그들을 ‘전문 매체’라고 하지는 않는다. 통찰이라는 게 별 거 아니다. 그 사건의 표피를 살짝 들춰 ‘본질’에 가까운 것들을 짚어주는 것이다. 아니면 그 ‘본질’이라는 것으로 가는 방향만 잡아줘도 된다. 요는, 문제가 뿌리부터 해결될 수 있는 실마리를 제공해야 한다는 것으로, 사건을 흥밋거리와 클릭 미끼로만 쓰지 않는 양심이 필요하다는 의미다. 그러므로 ‘전문 기자’라는 양반들에게 필요한 건 ‘애정’이다. 뭘 그렇게까지 하냐는 싫은 소리와 핀잔을 기꺼이 듣는, 그 분야에 대한 ‘사랑’이 필요하다. 애정 어린 기자가 양심 가득한 매체를 만났을 때의 시너지가 ‘전문’이라는 표현을 아깝지 않게 한다.

그런 맥락에서 필자는 최근 리눅스를 진지하게 파고들기 시작했다. ‘생초보’를 위한 여러 해외 보안 교재들 대부분 ‘리눅스’를 첫 장에 다루고 있었기 때문이다. 리눅스가 뭐기에 그렇게 다들 리눅스, 리눅스 노래를 부를까. 마침 윈도 11을 버거워하는 고물 컴퓨터들이 집에 몇 대 있다는 것도 다행이었다. 리눅스가 무료 OS이며 대부분 가벼워서 오래된 하드웨어들을 곧잘 부활시킨다는 것 정도는 보안 기자 하는 세월 동안 풍문으로 들어 알고 있었기에(각종 IoT 보안 사고 기사들을 다루다가 알게 된 내용이다) 부담 없이 리눅스로 가는 길목에 들어섰다.

그런데… 종류가 많아도 너무 많다. 어디서부터 시작해야 할지 막막했다. 여러 보안 교재나 튜토리얼들은 뭘 해도 상관없다고 하던데, 정말일까?

Related Materials

• Linux For Beginners (2024) - ServerAcademy , 2024년
• Cybercriminals double exploitation of Linux vulnerabilities - Kaspersky , 2024년
• 2024 Global Spotlight Insights Report - Linux Foundation , 2024년
• The Linux Threat Landscape Report - Trend Micro , 2023년

Tutorial - The Tech Edge

The Tech Edge문가용 기자