7.7 DDoS 대란 1주년에 생각해 보는 3가지 이슈

보안 이야기 2010.07.07 13:49

7.7 DDoS 대란이 난 지 어느덧 1년이 되었다. ‘벌써라는 기분이 들 정도로 바삐 지나간 한 해였다. 사실 그 동안 사회 곳곳에서 이에 대비한 준비도 많이 이루어졌다. ‘디도스’, ‘좀비 PC’와 같은 전문 용어들이 일상 뉴스에 등장할 정도로 인식도 바뀌었고, 기업이나 기관의 최고 경영층도 관심을 기울이기 시작했다. 실질적인 투자와 준비 태세를 잘 마련한 곳도 있다. 허나 아직도 겉치레적인 준비에 머무르거나 아직 지체되어 있는 곳도 적지 않다.

 

게다가, 사이버 공격의 진원지인 악성코드나 위협의 강도도 세진 것이 현실이다. 다음 단계로 진화하고 있는 악성코드를 볼 때에 고민의 무게는 더해진다. 사회공학적 기법은 기본이고, 전문가도 속아 넘어갈 정도로 악성코드의 유형은 교묘해지고 배포 방식은 다각화하고 있다.

 

7.7 DDoS로 인해 언론 출연, 국정감사 증인 출석, CNN의 라이브 인터뷰 등, 기업인으로서는 색다른 경험도 많이 했다. 그러한 활동으로 인해 부러움과 시샘(?)의 눈초리를 받기도 했다. 여러 곳에 불려 다니는 것을 보면 충분히 그런 생각을 할 수 있다. 그러나, 수 차례 외침이 허공 속에서 사라지는 것을 보았을 때의 허탈함은 결코 즐거운 경험이 아니었다.



보안 전문 인력에 대한 논의가 빠지면 소용 없어 


과거부터 보안 사고가 피상적인 문제점만 노출된 채 넘어간 경우를 숱하게 보아 왔다
. 특히 보안에 대한 대비책을 세우고, 모의 훈련을 하고, 새로운 법과 정책을 만들어야 한다는 논의가 활발한 가운데, 정작 이러한 프로그램의 가장 중요한 요소가 빠져 있었다. 바로 보안 전문 인력 부족 문제다. 실제로 일을 할 인력이 없다면 백방의 대책이 무슨 소용이 있겠는가?

 

어떤 IT 기업 임원이 보안 업체들은 괜히 겁 주어서 돈 벌려고 하는 것 아니야?”라고 하자, 그 옆에서 어떤 분은 사고가 나야 보안 업체들이 좋잖아?”라고 맞장구 친다. 그런 광경을 보게 되면 15년을 정보보안에 종사한 이로서 자괴감마저 느낀다.

 

지금 이 순간에도 우리 회사 24시간 관제 센터에서는 분, 초 단위로 침해 위협의 가능성이 있는 이벤트가 티켓 형태로 끊임없이 올라온다. 10년 경력의 악성코드 분석가가 더욱 정교화되어 가는 악성코드에 난감해 하는 모습을 보면 안타깝다. 하도 답답해서 글로벌 기업의 CEO나 경영진도 만나 봤다. 어느 누구도 이제 보안 기술은 어느 정도 안정화되었다라고 하는 이들은 없다. 악성코드에 대비하는 기술과 아키텍처를 위해 끊임없이 투자하고 연구하는 이유가 여기에 있다.

 


7.7 DDoS 1주년을 맞이해서 키워드가 될만한 3가지를 생각해 보았다.

첫째, 보안 위협은 진행형이다. 이미 사이버 위협은 범죄 행위의 영역으로 들어갔다. 테러, 공격, 협박, 사기, 도둑질 - 모두가 범죄 용어 아닌가? 역사적으로 어느 누구도 범죄 행위의 발생 자체를 막을 수는 없었다. 범죄를 줄이기 위한 법과 제도, 교육은 가능해도 범죄는 인류 역사상 영원히 같이 가야 할 숙제다. 오히려 기술이 발달하고 복잡다단한 사회가 될수록 더욱 지능화되고 조직적 형태를 띄는 것이 범죄의 속성이다. 따라서, ‘이제 디도스는 해결되었다라는 표현은 적절치 않다. 아무도 그런 단언을 할 수는 없다. 기술, 프로세스, 사람의 측면에서 항상 준비하는 자세가 필요하다.

 

둘째, 사이버 공간에서도 일반 사회 생활과 같은 인식이 필요하다. 우리가 살고 있는 사회에는 우범지역도 있고 소매치기도 있다. 법과 제도도 중요하지만 시민 의식이 받쳐주어야 한다. 소매치기로부터 자신의 지갑이나 가방을 지키는 심정으로 사이버 위협으로부터 자신의 PC를 다루면 안 될까? 우범지역을 피하듯이 검증되지 않은 사이트나 콘텐츠를 피하면 안 되는가? 자동차를 가지고 일반 도로에 나오는 마음가짐으로 PC를 통해 인터넷에 들어가면 안 될까? 이미 인터넷은 일반인에게 보편화된 지 오랜 세월이 흘렀고 그 가운데 사이버 위협은 우리 생활 속의 한 요소다. 이를 백분 인정하고 스스로를 지키는 시민 의식이 아쉽다.

 

셋째, 보안 전문가가 인정 받아야 한다. 현재 발생하는 악성코드는 10-20년 전 컴퓨터 바이러스 잡던 시대와는 양적으로나 질적으로 차원이 다르다. 돈을 벌기 위해 혈안이 된 프로 해커들이 악성코드를 만들고 있다. 신형 악성 도구를 유통시키고 청부 공격도 자행한다. 가짜 백신은 웬만한 소프트웨어보다 더 많은 다국어 버전으로 제작되고 있다. 그만큼 암시장이 형성되어 있다는 얘기다. 프로의 상대는 프로일 수 밖에 없다. 그래서 보안에서 스페셜리스트의 역할과 존재가 아주 절실하다. 우수한 보안 전문가를 얼마나 보유하고 있는가가 우리 사회의 사이버 안전도의 척도다.

 


안타깝게도 보안 인력이 되고자 하는 이들은 계속 줄고 있고, 기존 인력들마저 보안 전문가의 길을 떠나고 있다. 아주 심각한 상황이다. 내가 어느 회의에 가든지 한 가지만 얘기하라면 서슴지 않고 보안 전문가의 부족 사태를 꺼낸다. 보안의 중요성을 외치는 수많은 추상적 논의보다 1명의 스페셜리스트가 더 소중하다. DDoS 1년이 지나는 시점에 여전히 아쉬운 부분이다.

IT는 이제 스마트폰, 컨버전스, 클라우드, 소셜네트워크로 지축이 바뀌는 패러다임 변화를 겪고 있다. 그럴수록 인터넷을 중심으로 한 개방형 환경은 사회적 인프라가 될 것이다. 보안은 그 속에서 신뢰와 안전이라는 틀을 지키는 핵심 요소다. 그런 점에서 실력을 갖춘 보안 전문가는 이 사회에 여러 형태로 공헌한다고 확신한다. 가장 큰 투자는 사람에 대한 투자임을 다시 한번 진지하게 호소한다. Ahn


신고

3D 업무에 한숨짓는 보안인력의 현실 : 안철수연구소 CEO가 바라본 DDoS 대란 (3)

CEO 칼럼 2009.07.17 11:28

매번 보안 사고가 터질 때 마다 여러 가지 대책이 논의된다. 각 기관은 대책을 마련하고, 위원회를 만들고, 보안이 중요하다고 구호를 외친다. 언론사들은 경쟁적으로 세미나를 주최하고, 새로운 포럼과 협의회가 생겨 난다. 이번에도 예외는 아닐 것이다.

 

업계는 어떠할까? 혹시 특수는 있지 않을까, 이 기회에 어떻게 돈을 벌까 혈안이 될 것임은 불 보듯 뻔하다. 무늬만 보안인 업체들이 나올 것이고, DDoS 전용 장비라고 그럴듯하게 포장을 한 제품들이 봇물을 이룰 것이다. 물론 이익을 추구하는 기업의 속성상 이해할 수 있다. 그러나, 공격을 제대로 막지 못하고 안전을 지킬 수 없는 허위 제품도 많이 보아 왔다.


오늘 투자 설명회(IR)에 갔더니 "공익적인 일을 많이 한 반면, 돈은 엉뚱한 이들이 벌어가는 것 아닙니까?"하고 애널리스트들이 걱정을 한다. 보안 업체들이 무료로 봉사하는 공공재처럼 일하는 것에 대한 투자가의 우려이기도 하다.
 

그렇다면, 보안 사고를 막기 위한 근본 대책은 무엇일까? 정보보호산업을 지원해야 한다, IT 보안의 투자를 늘려야 한다, 처벌할 규제를 강화해서 의무화해야 한다, 등등. 그러나, 이러한 백화점식 처방을 나열한다고 해서 문제가 해결되는 것은 아니다. 오히려 문제의 본질은 단순할 수 있고, 이를 정확히 짚어야 한다.

보안을 구축해야 하는 기업과 기관 측면에서 생각해 보면, 나는 보안 산업에 뛰어든 초창기부터 문제의 핵심은 보안 전문 인력의 태부족이라고 생각해 왔다. 우수한 전문 인력만 충분하면 정보 보안 문제는 해결이 된다. 제품, 솔루션, 정책 실행 모두가 전문 인력에 달려 있다. 보안의 중요성을 외치는 것은 누구나 할 수 있다. 문제는 누가 그 일을 수행하는 해결사인가 하는 것이다. 그것은 바로 기술적 기반이 탄탄한 보안 전문 인력이다.

 

물론 보안 인력 양성10년 전부터 모든 정책 프로그램과 보안 이벤트의 인사말에서 빠지지 않고 등장했다. 그러나, 의지를 가지고 실행하지 못했기에 오히려 후퇴하고 있다. 오늘날 보안 인력, 크게 보아 소프트웨어 인력의 이탈과 사기 저하는 아주 심각하다. 심하게 말해서 하드웨어적 사고와 기업 문화 속에서 정보화 사회의 기반인 소프트웨어는 급격하게 허물어지고 있다. 소프트웨어가 무너지는데 보안이 논의될 수는 없다. 이런 상황에 대한 진지한 성찰이 없이 문제의 해결은 요원하다.

 


왜 보안 전문 인력이 부족한가?

 

왜 보안 인력이 부족한가? 왜 보안 인력이 되려고 하지 않는가? 한 마디로 비전이 없고 힘들기 때문이다. 업무의 난이도와 양에 비해 보수도 적고 사회에서 인정도 받지 못한다. 그러다 보니, 이제는 정말 보안이 좋아서 하는 사람이나 사명감을 갖고 보안전문가의 길을 걷는 사람을 제외하고는, 오래 몸담고 싶은 마음이 적다. 이러한 근원적 요소를 해결하지 않으면, 전문 인력이 태부족인 상황에서 사이버 테러는 계속 발생할 수 밖에 없다. 그 원인을 몇 가지 생각해 본다.

첫째, 우리 나라에서 소프트웨어 인력과 기업은 수직적 가치 사슬에서 가장 밑바닥에 있다.의 절대적 파워 속에 의 업무 범위는 한정되어 있지 않다. 대형 IT 서비스 업체는 고객에게 시달리고, 중소기업은 IT 서비스 업체에 시달린다. 보안은 소프트웨어 중에서도 보이지 않는 부분을 다루는 밑바닥 일이기 때문에 더욱 시달리게 된다. 문제는 그러한 지적 노동이 제대로 가치를 인정받지 못한다는 것이다.

 

미국에서는 보안 소프트웨어를 판매할 때 제품만 제공한다. 만일 설치를 원하면 출장비에 추가 설치료가 부과되기 때문에, 대부분 고객들이 직접 설치한다. 그런데, 우리 상황은 어떠한가? 한밤중에 잠도 못 자고 설치를 하고 나오지만, 그 비용을 별도로 받겠다는 것은 언감생심(焉敢生心)이다.

 

실제로 우리가 멕시코의 어떤 은행에 소프트웨어를 팔고 지원을 하는데, 국내에 비해 몇배 더 받는다. 원격 지원으로 한계를 느낀 고객사는 기술자의 항공편을 비즈니스 클래스로 보내왔다. 물론 서비스 비용은 별도다. 한국에서 고객이 부르면 한 밤중에도 들어가곤 했던 담당 기술자는 어리둥절해 했다. 우리보다 못하다고 생각하는 멕시코가 그렇다.

 

둘째, 정보 보안을 누군가가 담당해 주기를 바라는 귀찮은 존재로 인식한다. 사업 계획을 짤 때는 보안 투자 비용을 삭감하면서 정작 문제가 터지면 사고가 나도록 뭐하고 있었느냐?”고 담당자에게 불호령을 내리는 최고책임자의 후진적 사고는 여전히 많이 발견된다. 어떤 IT 보안 담당자는 매일 아침 일찍 보안 상황을 보고서로 만들어 보고할 때마다 항상 조마조마 하다고 한다. 두려움이 있으면 숨기게 마련이고, 숨기면 사실 공유가 되지 않고, 정확한 정보 공유가 이루어지지 않으면 대처가 늦어져서 보안 사고를 키운다.

 

또한 자신들이 일을 시키기 위해 보안 업체들의 현장 지원을 요구하는 경우도 많다. 말이 파견이지 보안에 관련된 귀찮고 힘든 업무를 던지는 것이다보안 기업 CEO들이 모이면 이런 형태를 노예 계약이나 다름없다고 한탄하면서 술잔을 기울인다. 부르면 언제라도 달려갈 수 있어야 그나마 생존할 수 있는 열악한 상황이 오늘날 IT 강국의 단면이다. 어떤 보안업체 기술자는 정신적 스테레스가 심해서 병원에 입원했다고 한다. 문제는 더 이상 이런 3D 업무를 하려는 인력이 없다는 현실이다. 하긴 이런 상황에서 누가 보안 전문 인력을 하려고 하겠는가? 보안은 밑바닥부터 실행(execution)하는 것이지 우아하게 앉아서 시키는(order) 것이 아니다. 

 

예전에 대책회의를 갔을 때 정책 담당자가 이런저런 조치를 취해야 한다고 방대한 계획을 발표하는 것을 들었다. 하도 답답해서 그런데 그런 일을 누가 하지요? 보안 인력은 절대적으로 부족한데. 정작 필요한 기술자는 없이 정책만 있으면 어떡합니까?”라고 업계의 현실을 토로한 적이 있다. 법이나 규제를 만드는 것은 어렵지 않다. 그러나, 그것을 지킬 수 있는 체제는 기술 전문가 없이는 불가능하다. 기술을 모르는 논의는 탁상공론일 뿐이다.

 

셋째, 소프트웨어가 제 값을 받지 못한다. 하드웨어 장비를 사는 것은 투자로 인정받지만, 소프트웨어를 사거나 개발을 맡기는 것은 값을 쳐 주기 아깝다는 인식이 여전하다. 조직의 상사들도 눈에 보이는 제품을 사야 마음이 든든하다. 그러다 보니, 해커의 공격은 눈에 보이지 않고 역동적으로 변화하는 소프트웨어인데, 수비는 하드웨어 장비와 마인드에 머무른다. 그 결과는 뻔하다.

 

이를테면, 단일 DDoS 전용 장비 만으로 공격을 막겠다는 것은 지극히 하드웨어적 발상이다. 물론 DDoS 전용 장비는 필요하다. 그러나, DDoS는 장비만으로 막을 수 없다는 것은 엄연한 기술적 사실(fact)이다. 가장 중요한 것은 네트워크 환경을 24시간 운용할 수 있는 체제와 전문 인력이다. 다단계 네트워크 방어 계층 구축, 서버의 유연한 분산 능력, 악성코드 동향의 실시간 모니터링과 신속하게 대처하는 운용 능력이 결합되어야 실질적인 대책이 된다.


보안을 하면 돈을 벌 수 있다는 확신을 줄 수 있어야 한다


국내 보안산업을, 더 나아가 소프트웨어 산업을 키워야 한다. 기업들이 돈을 못 벌면 직원들에게 희망이 생길 리 없다
. 결국 보안 소프트웨어의 공정한 거래가 이루어지고, 서비스가 공정히 대가를 받아야 한다. 밤새 일에 시달려도 존중 받지 못하고 야단만 맞는 현실에서 우수한 인력들이 올 리가 만무하다.

보안 전문성이 높은 가치로 인정되지 않는 한 보안은 또다시 헛구호가 될 뿐이다
. 우수한 인력이 자조의 웃음을 지으며 편한 직장으로 옮기는 것을 계속 보아 온 필자의 마음은 너무나도 아프다. 
 그나마 포털이나 게임사로 가는 것은 전공을 살린다고 할 수 있다. 그렇지만 왜 일류 보안 인력들이 한의사로, 치과 의사로, 보험회사 직원으로, 금융 담당 직원으로 옮기는 지에 대한 진지한 반성이 필요하다. 고생하는 만큼 기술자가 대우를 받지 못한다는 현실을 젊은이들은 너무나도 잘 알고 있다.

 

전세계적으로도 보안 인력은 절대적으로 부족하다. 그러나, 공급이 부족하면 당연히 값이 오르는게 원리다. 그런데, 우리는 실제 보안을 할 수 있는 인력은 점점 줄어드는 현실임에도 불구하고, 여전히 전문 기술에 대한 가치는 제대로 인정받지 못한다.

 

국가적으로 아주 심각한 상황임을 모두가 인지해야 한다. 이를 반전하는 열쇠를 찾는 것에 향후 우리 사이버 공간의 안전성 여부가 달려있다. 국가적으로 필요한 것은 보안 기술 인력이다.

신고

안철수연구소 CEO가 바라 본 DDoS 대란 (1)

보안 이야기 2009.07.15 11:30

마치 쓰나미가 밀려왔던 것처럼 DDoS 대란은 우리를 몰아쳤다. 주말의 대응 체제를 마무리하고 나서 기자 회견과 내부적인 마무리를 하고 나니, 순간 기가 쭉 빠져 나가는 느낌이었다. 집으로 돌아오면서 운전하는데 여러 생각에 혼란스러웠다. 잠을 제대로 자지 못한 탓에 피곤함은 이루 말할 수 없었음에도 잠이 오지 않았다.

 

일본 출장 중에 이 소식을 접하게 되었고, 비행기를 타고 오는 내내 불길한 예감이 들었다. 아니나 다를까 수요일 오후에 귀국해서 회사로 돌아오는 도중 모 일간지 기자와 전화 인터뷰를 하면서 나의 DDoS 여정은 시작되었다.


신속한 정보 공유가 위기에 대응하는 핵심


국민적 관심사이다 보니 회사가 많은 언론에 노출되는 계기가 되었다
. 나는 개인적으로 TV 방송 인터뷰를 아주 싫어한다. 짧은 몇 초의 시간에 적합한 말을 찾아 표현하는 것은 스트레스 받는 일이다. 그러니, TV 인터뷰를 하고 나면 항상 찝찝하다. 게다가 피곤해서 푸석푸석한 얼굴을 TV에 내보이는 것도 유쾌하지는 않다.

 

그럼에도 불구하고 정보를 정확히 알리고 추가 피해를 막는 것이, 더 나아가 보안 인식이 개선되도록 알리는게 보안업체 CEO인 나의 소임이라고 항상 생각해 왔기에 나름대로 최선을 다했다. 이런 위기일수록 침착하고 명확한 커뮤니케이션이 이루어져야 한다는 게 여러 번의 사고로 얻은 교훈이다. 모든 위기 대응의 기본이 신속한 정보 공유가 핵심이라는 것은 역시 진리에 가깝다.

 

이번 DDoS 공격에 대응하느라 연구원들을 비롯한 전직원들이 잠도 못자고 밥도 제대로 먹을 시간이 없었다. 게다가 밀려드는 국내외 언론들의 취재 요청을 소화하기도 힘들었다. 이번 대란 기간 내내 수많은 취재 요청으로 회사가 북새통이었으나 언론의 사명도 이해하기에 가능한 언론 요청에 응대를 했다. 한번은 방송통신위원회에 회의를 하러 갔다가 기자 브리핑 룸에 끌려 내려가기도 했다. 그 곳에서 기자들의 질문에 몇 가지 답했던 장면이 9 TV 뉴스에 톱으로 나왔다는 사실을 듣고 적지 않게 당황했다. 어쨌든 내 생애에 그렇게 짧은 시간에 가장 많은 언론 인터뷰를 한 적은 없었다.

 



연일 역시 안철수연구소라는 칭찬 일색이었다. 물론 안철수연구소의 직원들은 자기 희생을 무릅쓰고 열심히 했다. 어떤 직원이 우리가 마지막 공격을 예측한 것을 보고 우리 스스로의 실력에 뿌듯했다고 하는데, 나도 같은 기분이었다. CNN 인터뷰에서 앵커가 그렇게 빨리 해독한 것에 대해 가장 신기해 했다. 누가 시키지도 않았는데 스스로 일을 찾아 일사불란하게 움직이는 직원들을 보면서, 이들과 같이 일한다는데 무한한 자부심을 느낀다.
 
 

정부의 전문가들에 대한 인색한 평가

 

그러나, 한편으로 마음이 무거웠다. 실제로 정부 기관에 있는 전문가들, 특히 국정원과 한국정보보호진흥원의 직원들도 밤새 우리처럼 열정을 바쳤음에도 정반대의 평가, 오히려 지탄을 받는데 대해 안타까움을 금할 수 없었다. 악성코드가 마지막으로 파일을 파괴한다는 것을 밝힌 것은 우리였지만, 그것이 12시일 수 있다는 단서를 제공한 것은 국가사이버안전센터였다. 그럼에도 불구하고 상대적으로 정부 기관이 비판을 받는 것은 아마 세금을 받는 국가 공무원들에 대한 잣대가 민간기업과는 다름을 인식할 수 있다. 어쨌든 주어진 상황에서 음지에서 최선을 다했던 정부 기관의 보안 담당 전문가들에게도 격려의 박수를 보낸다. 적어도 우리는 그들의 수고를 안다. 이번 사태로 나타난 조직 구성과 프로세스와 같은 구조적 문제점에 집중해야 우리가 진정한 해결책을 얻을 수 있다.

 

사실 일반 사용자의 PC가 해커의 무기로서 사용된다는 것은 어제 오늘의 일이 아니다. 이런 형태의 DDoS 공격과 금전을 목적으로 한 사이버 범죄는 IT 현장에서 비일비재로 발생하곤 한다. 보안전문가에게는 매일 매시간이 전쟁 그 자체다. 몇 년 전부터 현장에서 이를 피부로 느끼기에 현재의 위협과 공격 양상은 너무나도 심각하다고 수차 경고해 왔다. 정보 보안 분야에 종사한지 꽤 오래되었지만, 지금처럼 위험한 불구덩이 가운데 산 적은 없었다.

 


우리는 어떤 사고가 터지면 들썩거리곤 한다. CIH 바이러스 사고가 났을 때, 1.25 대란이 터졌을 때, 개인정보유출 문제가 불거졌을 때 많은 이들의 보안 인식이 바뀔 것으로 기대했다. 2000년 초에 세계를 휩쓴 DDoS 공격은 TV에서 톱뉴스에 정보 보안이 등장하는 계기였고 100개가 넘는 보안 업체가 생길 정도로 거품이 심했다. 그 외에도 크고 작은 사고는 빈번히 발생했다. 그러나, 보안 대책과 투자, 그리고 사용자의 인식은 항상 크게 부족했고 이번에도 보기 좋게 당했다. 이런 사건이 한번 휩쓸고 나면 허탈감에 빠지곤 하는데, 이번도 예외는 아니었다.

사태의 본질을 인식하고 실질적 대책을 실행해야

남의 속도 모르는 이들은 "보안업체는 이런 사고가 펑펑 터져야 좋은 것 아니야?"하고 부러움의 눈길을 보낸다
. 주가도 상종가를 치고, 주문도 크게 늘것 같고, 속된 말로 언론에서도 뜨고  주가 문제는 단기적인 관심에 그칠 뿐이었고, 실제 비약적인 매출 상승을 경험한 적은 별로 없다. 만일 그랬다면 왜 보안업체들이 이렇게도 열악한 상황이며, 뛰어난 인재들이 보안 업계를 떠나겠는가? 또한 3자의 눈에는 언론에 비치는 모습만 보면 부럽게 보일 수도 있다. 솔직히 아무것도 모르던 젊은 사업가 시절 그런 기분에 우쭐하기도 했던 못난 나를 발견하게 되니까.

그러나, 정보 보안에 15년 가까이 몸담아 온, 소위 보안 1세대라고 불리우는 나에게는 이런 들썩거림이 결코 즐겁지가 않다. 여러 번 같은 말을 해도 반영이 안 되고 또다시 사건이 발생하게 되면 착잡한 기분밖에 들지 않는다. 보안의 중요성을 알리기 위해 여러 곳에서 발표를 통해 실상을 알리고, 회의도 셀 수 없을 정도로 참여하고, 직원들과 머리를 싸매고 연구해온 결과가 이렇게 나타나니 참담한 심정이다. 아무 것도 할 수 없었다는 무력감이 나의 지금의 심정을 나타내는 가장 적합한 표현이다.

 


사고가 터지면 문제의 근본적 원인은 외면한 채, 피상적인 면만 보고 시끄럽다가 잠잠해지곤 했다. 이번 사건 과정에서도 여러 사람, 특히 기자와 정부 관계자들을 만나다 보니 문득 떠오르는 장면이 있다. 나는 가만히 앉아서 같은 말을 하고 있는데, 마치 내 앞에 앉은 분들이 계속 파노라마처럼 바뀌어가는 광경이 전개되는 느낌이다. 그들은 보안 담당을 길어야 2-3년 할 뿐이다. 담당자가 바뀌어 새로운 이들이 오면 무엇이 문제인지 다시 쉽게 설명해 주어야 하고, 그들이 알만 하면 다시 떠나곤 했다.
 

정보 보안에서 무엇이 중요하고 왜 사고가 나는지에 대한 나의 견해는 크게 바뀐 적이 없다. 내가 아니라 정보 보안에 오랜 기간 종사한 분들은 대체로 비슷한 말을 할 것이다. 그러나, 그 말은 듣는 이들을 통해 깊숙이 우리 사회와 문화 속으로 스며드는 것이 아니라, 일부는 씨를 뿌리고 대부분은 연기처럼 날아갔다. 결국 문제의 본질을 정확하게 파악해서 중심을 가지고 실행(execution)을 해야 하는데 항상 논의 과정에서 수그러들었다. 

과거의 경험에 비추어 아마 이번에도 크게 다르지도 않을 것이라고 생각한다. 이미 너도나도 소리 높이던 분위기가 한풀 꺽이는 것을 감지할 수 있다. 제발 이제는 악순환의 고리가 끊어졌으면 한다.


(다음에 이어서 하겠습니다)
신고