Chapter 4. 개와 늑대의 시간

10년쯤 전에 어느 방송사에서 <개와 늑대의 시간>이라는 드라마를 방영한 적이 있다. 제목이 특이하기도 하고, 내가 좋아하던 배우들이 출연하기도 해서 열심히 봤던 기억이 난다.

<개와 늑대의 시간>은 프랑스어 표현 - L'heure entre chien et loup (The time between dog and wolf) -으로 "해질녁"을 뜻한다고 한다. 프랑스에 가본 적도 없고, 아는 프랑스 사람도 없지만 쫌 표현력이 남다른 것 같다. 저 멀리 언덕 너머로 다가오는 실루엣이 내가 기르던 개인지, 나를 해치러 오는 늑대인지 구분할 수 없는 해질녘을 <개와 늑대의 시간>이라고 한다.

살짝 의미가 다르긴 하지만, 우리가 흔히 말하는 Black Hacker(나쁜편)와 White Hacker(좋은편)도 기술적으로는 구분이 잘 되지 않는다. 공격하려는 자와 막으려는 자 모두 비슷한 기술적 도메인을 갖고 있다. 창과 방패의 싸움이라고 표현하기도 하지만, 적어도 기술적으로는 창이 방패가 될 수도 있고, 방패가 창이 될 수도 있다. 실제로 케빈 미트닉이라는 미국인 해커는 과거 미국가안보국, 펜타곤, 북미 우주 사령부 등을 해킹하여 지명 수배 되었다가 붙잡혀 징역형과 함께 3년간 컴퓨터 접근 금지와 휴대폰 사용금지라는 (얼마나 대단하길래 3년간 컴퓨터까지 만지지 못하게 했을까라고 생각하면 경이롭기까지 하다.)판결을 받은 전설적인 해커였다. 이후 2008년 미트닉은 보안 컨설팅 회사를 설립하여 White Hacker로 전향(?)했다. 더 재밌는 것은 케빈 미트닉이 설립한 보안 컨설팅 회사도 다른 해커에 의해 해킹되는 사건도 있었다. 

이처럼 Black Hacker, White Hacker 모두 같은 영역의 기술을 가졌기에, 그 기술을 어디에 쓰려고 마음 먹느냐에 따라 나뉜다고 볼 수 있다. 결국 보안의 창과 방패란 것도 사람이고, 사람이 하는 일이다. 계속해서 '사람'을 강조하는 이유는 보안도 사람이 하는 일이기 때문에 아무리 값비싼 시스템이나 최신 솔루션을 도입해도 보안에 대한 교육, 지식, 경험이 없으면 소용이 없다는 것이다. 물론 보안업계에도 인공지는 바람이 불고 있어서, 알파고가 사람을 대신하는 날이 머지 않았을 수도 있지만 그래도 마지막 점 하나는 사람의 몫이 아닐까 싶다.   

2000년대 초반 NEIS 라고 하는 우리나라의 교육행정시스템이 처음 도입될 당시에 있었던 일로 기억한다. 세부적인 내용은 잘 기억나지 않지만 당시 시스템 도입을 둘러싸고 찬성과 반대의 입장이 극명하게 갈라진 이유는 학생과 교사에 대한 과도한 개인정보의 수집과 이로인해 우려되는 보안 문제가 있었기 때문이었다. 시스템을 구축하여 도입하려는 교육부와 보안 전문가들은 NEIS(나이스) 시스템이 아주 높은 수준이 보안 체계를 갖고 있어, 개인정보가 유출 되는 것에 대한 걱정은 지나친 우려라고 했지만, 실제 시범 운영 단계에서 어이없는 해프닝이 있었다. 각 학교에 접속 시스템이 배치되었고, 학교의 전산관리자 중 일부가 초기에 설정된 간단한 비밀번호를 바꾸지 않아 관리자가 아니어도 접속해서 개인정보를 열람할 수 있는 있었던 것이다. 보안 시스템은 높은 수준으로 설계되었지만, 언제나 보안의 구멍은 가장 낮은 담장에서 뚫리게 된다.

불과 몇년 전까지만 해도 집집마다 설치해서 쓰는 인터넷 스위치의 설정 비밀번호가 공장에서 나올때 몇가지 타입 중에 하나로 초기화 되어, 관리자 비밀번호가 있으나마나 했던 적도 있었다. 나도 집에서 쓰던 스위치의 비밀번호를 잊어버렸을 때 인터넷 검색으로 알아낸 경험이 있다. 일반적인 가정에서 그 비밀번호를 바꾸어 쓸 생각을 하는 사람이 몇명이나 있겠는가..

(지금은 인터넷 스위치마다 고유 비밀번호가 각각 다르게 설정되어 나온다.)

보안은 사람이 얼마나 알고 있고 또 중요하게 생각하느냐 그리고 기술을 어떤 의도로 사용하느냐에 따라 결정된다.

보안은 어쩌면 항상 개와 늑대를 구분할 수 없는 시간 속에 있어서, 늘 경계를 늦추지 말아야 하는 영역일지도 모르겠다.