[TE머묾] 100년 만에 개장한 센강에 보안이 풍덩

파리의 상징 중 하나인 센강이 100년 만에 개장했다. 너무 오염돼 시민들의 입수를 금지시킨 지 꼬박 한 세기가 지났다. 무려 100년이나 열심히 정화하고, 오염의 원인들을 걷어내, 드디어 수영할 수 있을 정도가 됐다니, 시민들의 기쁨이 이루 말할 수 없다는 보도들에 절로 고개가 끄덕여진다. 센강 개장을 알리며 파리 현 시장이 제일 먼저 입수하는 퍼포먼스까지 선보였을 정도로 프랑스인들에게는 커다란 사건이었다.

100년 동안 프랑스는 뭘 했을까? 각종 보도에 따르면 물 정화 시설을 새롭게 만들어 물을 순환시키고, 센강 주변 하수 시설을 바꿔 근처 어떤 건물에서도 강에 직접 오염물질을 배출하지 못하게 만들었다고 한다. 도시 계획이라는 게 그리 정교하지 못했던 지난 세기의 흔적들을 싹 현대화 한 것이다. 오염의 원인을 제거하는 ‘사전 예방’과, 오염된 것을 깨끗하게 변환시키는 ‘사후 처리’의 과정을 동시에 가동함으로써 물이 서서히 맑아지도록 꾀했다고도 할 수 있다.

센강 정화 과정 보고서 등 공식 관련 문건을 아직 찾아내지 못해 ‘사전 예방’과 ‘사후 처리’가 정확히 어떤 비율로 작용했는지 알 수 없지만, 이 둘이 상호 보완 관계에 있다는 건 분명히 알 수 있다. 예방에 집중하는 게 효과가 좋다면서 사후 대처를 등한시한다거나, 사후 대처가 현실적인 방법이니 예방을 일종의 비현실적 이상론 취급하는 건 옳지 않다. 둘은 서로를 보듬으며 짝을 이뤄야 한다.

정보보안 업계는 항상 이 두 가지를 강조하는데, 시대에 따라 ‘예방’이 힘을 받을 때가 있고 ‘신속 대처’가 진리 취급을 받을 때가 있다. 둘 중 하나를 택일하자는 게 아니라 한 가지에 좀 더 집중하자는 게 진정한 의도일 텐데 간혹 ‘이것만이 옳다’고 받아들이는 경우들이 종종 있다. 극단적인 이해의 방식이다. 하지만 ‘이것도 하고 저것도 하자’보다 ‘이건 옳고 저건 척결하자’가 훨씬 재미있고 매력적이라 그런지, 전문가들마저 한쪽에 편향된 칼럼을 매체들에 싣기도 한다. 사실은 칵테일 제조하는 것처럼 비율의 문제인데 말이다.

시대를 앞으로 추진하는 데 있어 항상 논란이 되는 것도 비슷하다. 누구는 ‘적폐 청산’과 같은 문구를 외치며 구시대적인 모든 것을 제거해 새것으로 대체하는 게 중요하다고 한다. 반면 지금의 잘못된 것들이 반복되지 않도록 안전장치를 제도화 함으로써, 나쁜 게 자연스럽게 도태되도록 해야 한다는 주장도 많은 설득력을 갖는다. 전자가 센강 하수 구조 재건이라면 후자는 정화 시설일 것이다. 사전 예방과 사후 대처다. 전자만 있다면 어떨까? 물이 더러워지는 근간을 없앴기 때문에 깨끗하게 되긴 할 것이나 그 시간이 100년을 훨씬 넘었을 것이다. 후자만 있다면 어떨까? 오물이 계속해서 물로 도입되니 정화가 비효율적으로 진행돼, 역시 개장까지 많은 시간이 걸렸을 것이다.

유입되는 오염물질이 너무 많으면, 그것을 해결하는 데 더 많은 돈을 쓰는 게 당연하다. 오수를 딴 곳으로 흘려보내게 됐다면, 그때부터는 이미 더럽혀진 물의 정화에 투자하는 게 순리다. 상황과 맥락에 따라 비율을 조정하는 게 현명하지, 어느 한쪽으로 치우치는 과격함은 어리석은 것이다. 보안에서도 예방이 좀 더 중요해지는 사안이 있고, 반대로 대처가 더 효과적인 사안이 있을 뿐이다. 예를 들어 예방이 특히 중요하다고 하는 랜섬웨어의 경우에도 사후 대처 기능은 반드시 미리 마련돼야 한다.

알게 모르게 그 중요도가 올라가고 있는 API 보안이라면 어떨까? 인공지능 프롬프트 공격은 또 어떨까? 칼로 무 자르듯 예방이나 대처, 어느 한쪽이 더 중요하다고 할 순 없다. API를 통해 민감한 정보들이 외부로 새나가는 건 미리 막기도 해야 하지만, 이미 나간 정보들을 재빨리 회수하거나 널리 유통되지 않도록 해야 하기도 한다. 인공지능 프롬프트를 공략함으로써 모델 자체를 장악하는 공격 시나리오 역시 예방과 대처 전략 모두를 필요로 한다.

‘둘 다 필요하다’는 이 뻔한 이야기를 필자는 왜 하고 있을까? 어느 시대에는 예방이 대세가 되고, 또 그다음에는 조치가 집중 조명되는 이 거대한 순환 자체가 정보보안의 정체성을 나타내고 있기 때문이다. 무슨 뚱딴지같은 소리냐... 당신의 한숨 소리가 들리는 듯하다.

상식적으로 생각했을 때 상호보완의 속성을 가질 수밖에 없는 ‘사전 예방’과 ‘사후 조치’가 도대체 어깨동무를 하지 못하고 허구한 날 앞서거니 뒤서거니 하는 건 왜일까? 앞장서서 여론을 만드는 ‘빅 마우스’들이 시시때때로 바뀌기 때문일까? 매체가 주목을 받기 위해(먹고살기 위해) 주기적으로 여론을 뒤섞기 때문일까? 아니라고 할 수 없지만, 그것보다 더 근본적인 이유는 역사가 앞으로 굴러가고 있기 때문이다. 바퀴가 굴러갈 때 아랫면과 윗면이 차례로 지면을 박차는 것과 마찬가지다.

우리가 언제 ‘과거 청산(즉 사전 예방)’이니 ‘새로운 제도(즉 사후 대처)’ 같은 걸 격렬히 논하는가? 주로 선거 때다. 혹은 시대 변화의 이정표와 같은 사건이 일어났을 때다. 평온할 때 이런 이야기를 꺼내면 ‘트러블 메이커’라든가 ‘프로불편러’ 취급받는데, 정권 교체의 분위기가 무르익을 때면 이런 목소리들에 적극 찬반이 나뉘고 사회 곳곳에서 격론이 발생한다. 시대가 가시적으로 앞으로 굴러갈 때 우리는 ‘사전 예방’이 맞니, ‘사후 대처’가 맞니, 하면서 의견도 교환하고 싸우기도 한다.

보안이 주기적으로 예방에 초점을 맞췄다가 조치를 강조한다는 건, 그래서 그 중간에 둘의 목소리가 동시에 사라지는 때가 거의 없다는 건, 보안의 시간이 빠르게 앞으로 흘러간다는 의미다. 유독 보안만 자전과 공전의 주기가 짧은 세상에 사는 듯하다. 왜?

세상에 등장하는 모든 새로운 것들에 보안은 개입해야만 하기 때문이다. 인공지능이 새로 등장해? 보안성을 점검해야 한다. 새 연결 기술이 나왔어? 보안성을 점검해야 한다. 암호화가 곧 무용지물이 된다고? 새 암호화 기술을 만들어야 한다. 코로나 때문에 가게들마다 손님 개인정보를 받아? 보안 점검이 필요하다. 구글이 제미나이 정책을 마음대로 바꿔서 서드파티 데이터를 긁어간다고? 보안에서 문제를 제기해야 한다. 세상 모든 일이 보안의 일이라, 뭐 하나 그냥 넘길 수가 없다. 그러니 시간이 빠듯할 수밖에. 그러니 빠르게 흘러가는 것처럼 느껴질 수밖에. 그러니 어제는 예방이 중요했다 오늘은 조치가 중요할 수밖에.

안타깝지만, 그게 보안이다. 세상 모든 일에 오지랖을 떨면서 참견해야 한다. 그래서 자연스럽게 나타나는 게 우리 안에서 끊임없이 ‘예방이냐 조치냐’라는 답 없는 난제를 뺑뺑이 돌리는 것이다. 바퀴는 굴러가므로, 윗면과 아랫면의 차례는 반드시 교차되므로, 그 이야기는 누군가의 입을 통해서든 꾸준히 나오는 게 당연하다. 부작용이 아니라, 작용이다. 세상과 다른 속도로 보안의 시간이 흘러가기 때문에 나타나는, 있는 그대로의 현상이다. 보안 담당자들은 누구보다 빠르게 시대를 마무리하고 또 열고 있는 것이다.

문제는 이걸 보안 담당자 개개인들이 어떻게 받아들이냐다. 세상 모든 일에 오지랖을 떨면서 참견한다는 건, 보안 담당자가 매일 공부해야 할 게 많다는 뜻이다. 인공지능이고 저 먼 대륙의 프라이버시 정책이고 팬데믹이고, 전부 보안의 일인데, 공부하지 않고서는 쫓아가지 못한다. 이걸 재밌고 신나는 모험으로 느끼느냐, 매일 관짝을 짊어지고 산을 오르는 운구 알바 같은 기분을 느끼느냐, 가 문제인 것이다.

필자의 지인 중 한 명(보안 전문가)은 전자다. 매일 새로운 걸 알아가는 게 그렇게 재미있을 수 없단다. 진작 그렇게 공부했으면 서울대 수석으로 입학하고 졸업했을 거란다. 이건 그 지인의 주변인들도 입 모아 인정하는 바다. 어떻게 사람이 사람으로 태어나 공부를 즐길 수 있는가,라는 질문에 그는 “재미가 재미를 부른다”며 “보안은 시야가 넓어질수록, 그래서 큰 맥락이 파악될수록 재미있는 분야라 그럴 수밖에 없다”라고 답했다. 처음부터 만년필 쥔 채 태어난 게 아니라, 하다 보니 그렇게 되더라는 의미다. 그 말이 사실이라면, 적어도 보안에서만큼은 매일 뭔가를 알아간다는 게 밑 빠진 독처럼 허무하게 맺음 하지는 않는 듯하다.

하긴, 제일 뒤에 남아 시대를 마무리하고, 또 가장 앞에서 새로운 것을 여는 책무가 아무에게나 주어지지는 않을 것이다. 게다가 그런 이들이 닫고 여는 순간에 갖는 게 책무만도 아닐 것이다. 그들만이 공유하는 은밀한 기쁨 같은 것도 분명 거기에 있다. 위의 지인뿐 아니라 보안이 재미있다고 말하는 사람들마다 그 은밀한 것을 눈과 표정에 담고 있어 알 수 있다. 다만 필자가 현장에서 직접 보안을 하는 입장이 아니라, 그것을 온전히 표현할 길이 없어 안타깝다.