Opinion

[TE머묾] 안 전하니 안전하니?

문가용 기자

Published: 19:03, 21 Aug 2025 (Updated: 22:28, 21 Aug 2025)

💡

Editors Pick
- 보안, 스스로를 좀 더 드러내야
- 위험만 전파하니 효과 미미... 즐거움을 전파하면 어떨까
- 어떻게 해서든 일반인들에게 다가가는 게 보안의 필연

요즘 한국에 무슨 일이 일어나고 있는 것일까? 연일 대형 보안 사고 소식이다. 주요 통신사와 금융 조직, 굵직한 정부기관들과 전 국민이 알 법한 민간 사업체들까지, 그간 만만히 여겨왔던 해커들로부터 제대로 반격당하고 있다. 공격한 놈들이 제일 나쁜 놈들인 게 맞지만, 그렇다고 피해자들을 마냥 피해자라고 감싸기도 힘든 건, 피해 조직들이 하나 같이 보안의 기본도 제대로 지키지 않고 있었기 때문이다. 다들 뜯어말리는데 굳이 차도 위에 누워 있다가 죽을 위험에 처한 사람을, 누가 불쌍하다고만 생각할까. (요즘 사이비 공간의 살벌함을 생각하면 이 비유가 과하지 않다. 대형 기관이나 기업이 적절히 보안에 투자하지 않는다는 건 자살 행위나 다름없다.)

보안 담당자의 변함없는 역할, 욕받이
뒤숭숭한 분위기, 돌아다니며 직접 혹은 간접적으로 관여돼 있는 사람들을 만나 보니 현장에서 보안 담당자들이 듣는 소리들이 예나 지금이나 변함이 없어 보인다. 적나라하게 옮기면 이렇다. “아무 일 없을 땐 무슨 일 하냐고 X랄, 요즘처럼 사고 터지면 뭐 했냐고 X랄.” 보안이라는 분야 전체의 위상이 꽤나 올라갔다고 생각했는데, 아직 한참 더 올라가야 하는 듯하다는 게 현장의 목소리다. 위상이 높아진 게 아예 틀린 말은 아니지만, 급한 순간들이 되니 욕받이 신세로 전락하는 건 변함이 없다는 것.

사람의 진짜 모습은 급박할 때 나온다고들 한다. 아이들에게 가장 인자한 아비가 되겠다는 결심, 평온하고, 아이들이 아무런 말썽을 피우지 않을 때는 천년만년 지킬 수 있다. 일터에서도 도움이 되는 인간이 되겠다는 다짐, 회사가 승승장구할 때나 경기가 좋을 때는 잘 성취되는 것 같다. 진짜 그 결의가 잘 지켜지는지는 잔잔한 호수 같은 상태에서가 아니라 갑자기 아이들이 유리창을 깨는 소리가 난다든가, 회사가 급격히 가라앉을 때 판가름 난다. 대형 보안 사고가 연달아 터지며 보안 업계 전체에 긴장감이 흐를 때 잘 지켜보라. 보안에 엄지손가락을 치켜들던 사람들이 갑자기 흥분해 검지손가락으로 바꾼다면, 사실은 그게 진심이다.

그렇다고 아무 변화가 없다고 하긴 힘들다. 신세 비슷한 이들이 생긴 것이다. 바로 IT 담당자들이다. 디지털화니 디지털 전환이니 하면서 IT 기술력이 회사의 성패를 좌지우지하는 특수 능력처럼 여겨지는 듯했는데, 이제 그 차원을 넘어 IT 분야 신기술이 당연히 있어야 할 인프라로까지 인식되니 오히려 ‘이 당연한 걸 왜 구성하지 못하냐? 평소엔 뭐 하고, 필요할 땐 뭐 했냐?’라는 질문들에 IT 스페셜리스트들이 노출되기 시작한 것이다. 견원지간이었던 IT와 보안이 디지털 전환의 시대와 대 해킹의 시대를 같이 겪으며 동병상련을 느끼는 이 기묘한 분위기.

어떤 포장 전문가
어쩌다 IT 담당자와 보안 담당자, 그리고 필자가 함께한 자리에서 이 분위기가 매우 구체적으로 연출됐다. IT와 보안이 같은 표정으로, 같은 하소연을 하고 있었다. 그 자리에서 위의 저 욕설 섞인 과격한 발언도 나왔는데, IT 담당자가 심히 고개를 끄덕이더니 갑자기 자기 상사 이야기를 꺼냈다. ‘IT 감성’으로는 도무지 이해할 수 없는 문과 출신 아저씨인데, 그렇게나 일을 잘한다는 것이었다. 그가 말하는 ‘IT 감성’이란, “앞뒤 다 자르고 문제가 해결됐다는 결과만 간단히 보고하는 것”이다. 수많은 IT 담당자들이 문제 해결 과정에서 자기가 겪은 그 많은 난관들에 대해 별 다른 언급 없이 건조하게 인과만 말해 손해를 보는 경우가 많다고 그는 설명을 첨부했다. 보안 담당자가 고개를 끄덕이며 화답했다. 자기들도 그렇다고.

IT 담당자가 그 상사를 칭찬하는 이유는 ‘포장’에 있었다. 정말 보고를 맛깔나게 해서 IT 팀이 어떤 심각한 문제를 어떤 어려움 끝에 얼마나 영리하게 해결했으며, 그래서 조직 전체가 어떤 이익을 보고 있는지 상세하게, 그러나 과장되지 않게 알린다는 것이었다. 그래서 본래는 도통 IT 팀이 무슨 일을 하는지, 왜 존재하는지 모르는 사람들이, 사내 컴퓨터 고장 센터 정도로만 취급받던 IT 팀의 진정한 면모를 알아가기 시작했다고 한다. 화려하지 않고, MSG를 마구 뿌리는 것도 아니었지만, ‘IT 감성’ 가득한(즉, ‘문제와 결과’의 뼈대만 앙상하게 있던 ) 보고서에 살들이 붙어 결국 IT 담당자로서 할 일을 뿌듯하게 할 기반이 마련됐다고 그는 자랑했다.

보안 담당자는 부러웠다. 평소엔 뭐 하냐, 비상시엔 뭐 했냐는 원망을 듣지 않으려면 필요한 게 그런 상사일 거라고 말했다. 필자는, 맞는 말이라고 맞장구를 쳤다. 다만 상사가 한 명 더 생기면, 그 사람이 얼마나 좋은 사람이든 상관없이 피곤함도 배가 되니 스스로 그런 보고서를 만들라고 했다. 자기가 한 일을 전하라고, 안 전하니 스스로의 위치가 안전하지 않은 거라고 잔소리를 했다. 보안 사고만이 아니라 보안 미담도 내외부적으로 알려야 나 같은 사람이 좀 더 색다른 기사를 쓰고 세상을 따듯하게 만들 것이라고 읍소까지 했다. 그러자 그 보안 담당자는 자신 없어했다. 해볼 필요가 있다는 건 인정하지만 실제 자기가 한 일을 떠벌이려니 남사스럽다는 것이었다.

포장이 별 거냐
보안에서 말하는 포장이라는 게 별 거 아니다. 전문가들 아니면 의미 없는 CVE 번호와 NIST 프레임워크 문건 넘버링, 각종 설루션 카테고리나 분석 기술을 가리키는 줄임말을 아낌없이 인용해 짧고 굵은 보고서를 만드는 걸 멈추라는 거다. 그런 문건은 전문가들 사이에서야 깔끔하다 인정받을지 몰라도, 보안이 평소에 뭘 하고, 비상시에는 뭐 했는지 궁금한 일반인들에게는 외계어 단말마일 뿐이다. 심지어 ‘보안 취약점’이라는 말조차도 일반 사용자들에게는 어려운 용어라는 걸 마음 바탕에 깔아 두는 게 중요하다. 일하며 무심코 썼던 용어들에 대한 재검토가 필요하다는 것이다.

그렇다고 전문 용어가 나쁘다는 건 아니다. 내용을 구성하고 알리는 데 있어 일반 대중에게 접근하는 자세를 새롭게 다져야 한다는 것이다. 패션지에 나오는 그 알 수 없는 용어들을 두고 ‘보그체’라며 조롱하는 게 일반인들이다. 예술계 언어들도 별반 다르지 않다. 아름답고 영롱한 언어가 넘치던 순수 문학도 점점 어려워져, 자기들만의 리그로 변질됐고, 이제 장르 문학이나 웹소설 등으로 판도가 넘어가려 하고 있다. 보안이 그 수순을 밟으면, 보안만 손해다. 결국 일반인들의 자발적인 참여가 있어야만 장비나 데이터나 네트워크가 진정한 의미에서 튼튼해지기 때문이다. 보안 담당자가 모든 걸 대신 지켜줄 수는 없다.

이미 전문 용어를 친숙하게 변경시켜 사용한다면, 그다음은 무엇일까? ‘지금 내가 하는 이 이야기는 사실 당신과 상관이 많다’는 메시지를 전하는 것이다. 어려운 주문이다. 보안은 ‘두려움’을 매개로 ‘너와 상관있는 이야기’를 구성하는 데 익숙하기 때문이다. 하지만 현실은 어떤가? 저 경쟁사가 털렸으니, 다음은 우리 차례일지 모른다고 말한다 한들(가장 흔한 레퍼토리) 경각심을 피부에 느끼는 사람은 드물다는 걸 우리는 알고 있다. 개인정보가 하도 털려서 이제 공공재가 됐다는 한탄들을 쏟아내도, 당장 가서 이중인증을 활성화하라고 하면 귀찮아한다. 공공 와이파이로 은행 업무 보지 말라고, 그게 얼마나 위험한 건지 알려줘도, 당사자는 통신비 아끼는 게 먼저일 때가 많다.

왜 그런 걸까? 걱정과 불안을 불러일으키는 것들을 인간은 본능적으로 외면하기 때문이다. 더 즐겁고 행복한 것에 시간을 보내고 싶지, 불안한 것들과 가까이하고 싶지 않은 게 우리 마음인 것이다. 위에서 언급한 IT 담당자의 상사가 위에 보고할 때 내는 결론에 우리는 주목해야 한다. 결국 IT 부서가 한 일이 조직에 어떤 도움이 되고 있는지로 맺는다고 한다는 것 말이다. 보안의 보고서나 메시지라는 것도 결국 어떤 실질적인 도움을 일상에 주고 있다는 걸 강조할 수 있어야 한다. 그래야 듣는 사람이 나와 상관이 있다고 느끼고, 귀가 솔깃해진다. 보안의 포장은 이 고민, ‘나는 보안을 하면서 매일 어떤 기쁨을 느끼고 있는가?’에서부터 시작해야 한다.

보안의 즐거움? 답이 하나일리가...
보안은 잘 생긴 사람이 자기 얼굴 거울로 볼 때처럼 매일 짜릿하고 새로운(직접 경험해 본 건 아니다) 분야다. 이건 의심의 여지가 없다. 그러니 그 많은 보안 담당자들이 욕받이를 하면서도 그 자리에 있는 거고, 그러니 세상이 ‘잔소리 좀 그만해’라고 외면해도 보안 전문가들이 꾸준히 칼럼을 내는 것이다. 다만 그것을 단 하나의 답으로 정리하기는 힘들다. 각자가 짜릿함을 느끼는 곳이 다를 테니까.

기자의 경우, 현장에 있지는 않고, 보안 전문가 주변에 펜 들고 맴도는 입장이긴 하지만, ‘주인 정신의 회복’으로 보안의 즐거움을 정리하곤 한다. 아내 잔소리를 일주일 내내 듣다가 겨우 화장실 정리하는 것과, 토끼 같은 자식새끼들이 올망졸망 깔끔하게 물놀이하라고 바닥 물 때를 스스로 닦아내는 것에는 큰 차이가 있다. 첫 번째는 노예가 하는 것으로, 굴욕감, 귀찮음, 회의감을 종합세트로 돌려받는다. 두 번째는 주인이 하는 것으로, 아이들의 안전이나 건강은 물론 흐뭇함, 뿌듯함, 식구들의 인정까지 덤으로 누리게 된다.

자기 핸드폰이나 노트북 충전 상태를 항상 점검하여 배터리 수명을 최대한 늘려 쓰는 사람은, 비싼 돈 주고 신상 구매했는데 배터리가 이것밖에 되지 않는다며 불평하는 사람보다 장비 사용 시간이 더 만족스러울 확률이 높다. 작동하지 않는 보일러의 오류 코드를 보고 조사하여 조치를 취해본 사람과, 그런 과정 건너뛰고 무조건 기사 출장을 요청하는 사람 역시 집안 물건들이 별 탈 없이 잘 작동하는 것에 대해 느끼는 감사함의 정도가 다를 것이고, 전자의 경우 보일러가 고장 전 이상 신호를 낼 때 더 민감하게 알아차릴 가능성도 높다. 출장비까지 아끼는 실질적인 이득이 될 수도 있다는 것이다.

내가 내 아이 보호하기 위해 SNS에 사진 올리지 않는 걸 스스로 깨달아 실천하는 것과, 옆에서 배우자가 제발 당사자 동의 없이 남의 얼굴 공개하지 말라고 자꾸만 싫은 소리 해서 ‘더러워서 안 한다’하면서 실천하는 것, 어떤 게 즐거울까? 비밀번호 미련하다는 소리 들을 정도로 관리했더니 온갖 유출 사고가 터져도 혼자만 무사할 때, 그 뿌듯함은 뭐에 견줄 수 있을까? 그 무엇보다 내가 내 시스템, 내 정보, 내 주변환경과 사람을 스스로 보호하고 있다는 매일의 자신감은 어떤 것과 바꿀 수 있을까? 보안이 주는 이런 류의 기쁨은 한 번에 도파민을 대량으로 분출시키지는 않지만, 꾸준히 누적돼 어느 순간 ‘없어서는 안 될 것’이 되고 만다. 거기에 중독됐을 때 발동되는 주인 정신은, 모든 순간 값어치를 발휘한다.

보안이 주는 즐거움에 대한 경험담은 각자가 다를 것이다. 누구는 ‘보안이 중심을 잡아주니, 지식과 앎의 범위를 보다 손쉽게 넓혀갈 수 있어 즐겁다’ 고도하고, 누구는 ‘내가 쓰고 있는 기술의 정체를 조금씩 깨달아가는 게 즐겁다’ 고도한다. 보안 전문가라면, 각자의 즐거움을 간직하고 있을 것이다. 이제 그걸 비전문가가 보는 보고서나 백서에도 담아내주기를 바란다. 전문 용어의 농도를 낮추고, 이 은밀한 즐거움을 당신과 공유하고 싶다는 뉘앙스를 잔뜩 담아낸다면 ‘나는 평소에 이런 일을 하고, 그래서 위급할 때 이런 걸 알 수 있다’고 답할 수 있게 될 것이다. 그래서 온갖 X랄들에 침착하게 대응할 수 있게 되는 것도, 나름의 즐거움일 게다. 그러니 전하자. 안 전하기 때문에 안전한 시대는 오래 전에 지나갔다.