김홍선의 IT와 세상

정보화는 개인과 기업, 정부의 위상까지 바꾸고 있다. 개인은 물질적인 편의를 넘어서 획기적인 삶의 변화를, 기업은 생산성 향상과 새로운 비즈니스 창출이라는 수혜를 받았다. 정부 입장에서는 다양한 정보들이 빠르게 국민들에게 전달되기 때문에 투명한 국민 참여 정치를 실현해야만 했다.

지난 10~20년 동안 우리는 사회 구석구석에 이렇게 IT를 접목하기 위해 바쁜 나날을 보냈다. IT가 적용된 분야는 정부, 금융기관, 제조업 등 전 분야를 총망라한다. 기업의 생산성 향상에서부터 민원 업무, 레저에 이르기까지 그 용도도 다양하다. 한국은 인터넷망, 하드웨어 시스템, IT 서비스에 집중한 결과 IT를 한국을 상징하는 단어로 만들었다.

아이폰의 생태계와 탄생 배경

그런 한국 사회가 지금 스마트폰을 공급하는 한 미국 기업으로 인해 메가톤급 충격을 겪고 있다. IT 강국이라고 자긍심을 가졌던 모습이 무너진 느낌이다. 세계에서 가장 빠른 인터넷 인프라와 정보화를 위해 매진해온 우리에게 무엇이 잘못 되었던가?

소프트웨어와 콘텐츠의 생태계가 없는 한국

그 원인은 한 마디로 소프트웨어와 콘텐츠의 생태계가 없어서다. 소프트웨어와 콘텐츠 전문업체가 없는 것은 아니다. 문제는 이들이 대기업과 수직적으로 연결되어 하청기업화 된 산업구조다.

소프트웨어 개발과 콘텐츠 제작에는 창의력과 열정이 필수 덕목이다. 이는 규율과 관리의 문화에 익숙한 대기업보다 스피드와 집중력으로 움직이는 중소기업에 적합하다. 그런데, 소프트웨어와 콘텐츠를 공급하는 권한을 대기업이 장악한 상황에서 합리적인 인센티브를 기대할 수 없다. 우리의 산업은 대기업은 세계적 기업이 되었으나 경제에 생동감을 불어 넣어야 할 벤처기업과 전문 콘텐츠기업이 취약한 기형 구조를 가지고 있다.

새로운 생태계는 창의력과 소통을 기반으로 탄생해야 한다. 세계 최대의 디지털 음반 시장을 운영하는 애플은 단순한 하드웨어 공급업체가 아니다. 수많은 음악 콘텐츠를 생태계로 끌어들였고 소프트웨어 개발자들이 사업할 공간을 만들었다. 더 나아가 이들이 돈을 벌 수 있도록 광고 플랫폼을 제공하고 있고, 각종 출판물을 끌어들이고 있다.

시대적 변화의 핵심은 폐쇄적 채널을 통해 콘텐츠를 받아 보던 과거의 산업의 형태가 개방형 환경으로 바뀌고 있다는 것이다. 케이블, 유무선 통신, 방송 등의 인프라는 인터넷 기반으로 옮겨 가고 있고, 사용자들은 스마트폰, TV, 전자책 등 다양한 기기를 통해 콘텐츠를 공급받는다. 이를테면 동일한 콘텐츠를 외부에서는 스마트폰으로 보고, 사무실에 와서는 PC로 보고, 거실에서는 TV로 본다.

스마트폰을 단순히 PC나 휴대폰에서 진화된 개념이라고 생각한다면 이러한 큰 변화를 놓치고 있는 것이다. 지능적이고 스마트하고 감각을 갖춘 스마트폰은 PC와는 차원이 다른 휴먼 인터페이스를 보여 주었다. 컨버전스 시대를 이끄는 대표적 기기 중의 하나라는 인식으로 스마트폰을 바라보아야 현재의 변화 코드를 읽을 수 있다.

도약과 도태의 갈림길은 중소기업에 달렸다

스마트폰 산업을 이끄는 기업으로 통신 사업자나 단말기 업체가 아닌 애플과 구글이 거명된다. 이 사실 자체가 지축이 흔들리는 변화가 아닌가? 지금은 사업모델, 시장지배력, 가치사슬의 전반적 구조가 재편되는 생태계의 재탄생 시점이다. 새로운 생태계의 철학은 상생 수평구조 파트너십이다.

대기업 위주의 한국은 이 시점을 위기로 인식해야 한다. 도약하느냐 도태되느냐의 갈림길은 소프트웨어와 콘텐츠를 전문으로 하는 중소기업이 얼마나 되느냐에 달려 있다. 탄탄한 중소기업이 받쳐 주는 생태계가 전세계로 뻗어가는 대기업에게도 큰 힘이 될 것이다. 양질의 일자리도 바로 이러한 중소기업에서 창출된다.

영화나 소설을 보면 정보나 물건을 탈취하기 위해서 잠입을 하는 장면이 종종 등장한다. 그런데, 당연한 얘기지만 정문을 공략하는 경우는 거의 없고, 감시의 사각 지대인 빌딩 공간의 허점을 활용하거나 내부인을 매수하는 방법을 구사한다.

사이버 공간에서도 마찬가지다. 해커는 구태여 철통 같은 네트워크 정면을 뚫지 않는다. 그 조직의 가장 취약한 홈페이지나 PC를 점거하는 우회 침투 공격을 취한다. 최근에는 특정 웹 사이트에 들어가기만 해도 악성코드에 감염될 수 있다. 온갖 화려한 웹과 소프트웨어 기술이 사용되는 대가로 우리 PC는 더 많은 위험에 노출되어 있다고 할 수 있다.

기업내 PC의 위협 환경

이제 바이러스로 대표되던 악성코드는 완전히 다른 모습으로 변했다. 과거에 자기 과시를 위해 불특정 다수에게 보내던 바이러스는 낭만적으로 느껴질 정도다. 오늘날 악성코드는 사이버 범죄를 위해 치밀하게 설계되며 특정 목적을 염두에 두고 해커가 직접 제작한다.

온 나라를 떠들썩하게 했던 7.7 디도스(DDoS) 대란만 해도 해커가 일반인의 PC를 자신들의 무기로 탈취한 행위다. 마치 아무 죄 없는 민항기가 탈취되어 세계무역센터 빌딩을 폭격한 9. 11 테러처럼 7.7 디도스 공격도 해커에 의해 조종된 PC는 4일 간 사이버 테러를 감행했다.

그런데 한 가지 주목할 것은 해커가 IT 인프라를 공격하는 데 필요한 정보를 IT 인프라를 통하지 않고도 얻을 수 있다는 사실이다. 이를테면, 조직의 내부 정보를 통해 보안에 취약할 것 같은 특정 PC와 사용자를 미리 파악하는 것이다. 그렇다면 이런 고급 정보는 어디에서 얻는가? 내부 정보는 대부분 공식적인 통로가 아니라 내부자에 의해 유출된다. 가령 어느 임원이 무심코 친구나 선후배에게 알려준 회사의 조직도가 바로 사이버 공격의 시발점이 될 수 있는 것이다. 정보 보안이 IT 부서만의 문제가 아니라는 점을 시사하는 대목이다.

예외가 많은 정책은 실효성이 떨어져

말콤 글래드웰의 저서 ‘아웃라이어’에는 괌에서 사고가 난 국내 항공사의 이야기가 나온다. 2명의 조종사를 배치하는 것은 서로를 견제해서 바른 결정을 하게 하려는 취지다. 그러나, 인간적으로 냉정하게 이견을 달 수 없는 문화적 환경에서는 그 취지대로 실행되기 어려우며, 괌 사고의 원인 중 하나도 그것이었다고 이 책은 지적한다.

정보 유출은 끊임없는 숙제다. IT 기술을 통한 정보의 활발한 소통은 조직의 경쟁력을 위해서 당연하다. 그러나, 보안에 관해서는 투명하게 소통이 안 되는 경향이 있다. 추상과 같은 규율과 명령이 과도

그런 점에서 보안의 실행력을 좌우하는 것은 최고 책임자의 리더십이다. 윌리엄 파렛은 ‘위기의 CEO’에서 “CEO와의 대화 속에서 보안이라는 단어가 반복되는 것은 놀라운 일이 아니다. 기업의 총체적인 리스크 관리와 정보 보안은 CEO의 몫이다”라고 설명한다.  

회사의 자원을 종합적으로 동원하고 관리하는 권한은 CEO에게 있기 때문에 보안은 그 조직의 최고 책임자가 주도해 종합적으로 제시하고 관리해야 한다. 최고 책임자의 보안 인식은 그 조직의 보안 수준에 막대한 영향을 준다.

미국 출장 시에 어떤 회사를 방문할 때에 일어난 해프닝이다. 대도시였기 때문에 렌터카를 빌리지 않고 택시로 이동하려고 했다. 택시 운전사는 길을 잘 모르겠다며 그 회사에 전화를 했다. 기계로부터 자동 응답이 나왔다. 계속 몇 번 지시에 따라 버튼을 누르다가, 웬지 이 운전사가 갑자기 전화를 집어 던지면서 “제기랄(Damn It)! 이러니까 미국이 망하고 있지!”라고 하지 않는가?

왜 그러느냐고 물으니 “몇 번 어떻게 누르라고 하더니, 결국 회사 내부에서 아무도 전화를 당겨 받지 않으니까 초기 메뉴로 돌아갔다”라며, “도대체 외부에서 길 하나 물어 보려고 하는데 이렇게 불편해서 어쩌란 말인가?”라며 투덜거렸다. “미국에서 서비스는 기대하기 어려운 단어가 되었다”라며 그 이후 내내 미국의 문제점을 10분 이상 토로하는 것을 들어준 기억이 있다.

커뮤니케이션의 윤활제 역할 – 비서(Secretary)

약 15년 전 내가 미국 회사에 근무할 시절에는 모든 직원들의 전화를 받아 주는 비서가 있었다. 회사 직원들에게 걸려오는 전화를 확인 후 연결해 주는 형태였는데, 내 전화를 받아 주던 비서는 아주 나이도 많고 친절한 할머니였다. 그 분은 돈도 아주 많아서 나는 꿈도 못 꾸는 동네에서 살고 있었는데, 소일거리로 회사에 나와서 전화도 받고 안내도 했다.

아무리 비서라도 어머니 연배가 되는 분에게 이것 저것 지시하자니 불편하기 그지없었다. 하도 미안해서 내가 직접 복사를 하려고 하면, “이건 내가 여기에 있는 이유(That’s why I am here)”라며 친절하게 내 서류를 가져 가곤 했다. 물론 이 분이 유난히 친절한 성격이기도 했지만, 회사에서 이 분의 역할은 아주 유용했다. 게다가 웬만한 고객이나 파트너의 목소리를 전화를 통해 잘 알고 있어, 그들에게서 전화가 오면 사적인 농담과 인사를 몇 분 하고 나서 나에게 전화를 넘겨준 적도 허다했다.
 

무엇보다 전화 연결에 있어서는 아주 편리했다. 당시는 휴대폰이 보편적으로 사용되기 전이라서, 대부분의 통화는 안내를 통해 이루어졌다. 지역이 넓어서 서로 만나기가 힘이 든 미국에서의 비즈니스는 대부분 전화와 이메일로 진행된다. 그럴 때마다 전화 메시지 전달, 전화 컨퍼런스 연결, 불필요한 통화 차단 등의 비서 업무는 아주 효율적이다. 오죽하면 미국 사회에서 비서의 날(Secretary's Day)이 있을까?

그런데, 서서히 안내 전화가 자동 응답기로 바뀌더니, 이제는 대부분의 회사가 아예 음성 안내(Voice Mail)로 대체해 버렸다. 한국에서도 많이 도입되었지만, 그 용도가 주로 안내로 연결되기 전에 방향을 잡아 주는 수준이다. 그런데, 미국에서는 아예 비서를 대체해 버렸다. 문제는 지극히 개인적이고 조직 문화에 익숙하지 않은 미국인들이 자기와 관련없는 전화를 구태여 잘 받으려고 하지 않는 다는 점이다. 적절한 전화 예절도 교육받은 적이 없다.

아무리 비서를 고용하는데 드는 비용이 만만치 않더라도, 절약이라는 명분 속에 놓치는 것은 없는지 생각해 볼 만하다. 오히려 인간적 커뮤니케이션의 상실로 중요한 기회를 놓치는 것은 아닐까? 물론 대부분의 업무는 휴대폰과 블랙베리, 이메일로 충분한데 웬 구석기 시대 얘기를 하느냐고 할 지 모른다. 그러나, 이런 도구는 본래 알고 지내는 사람들에게는 편리하지만, 새롭게 접근하려는, 혹은 오랫만에 연결되려는 이들에게는 불편하기 그지없다. 신기술을 일반인들이 수용하기까지 들어가는 절대적 시간도 필요하다.

애프터 서비스를 받기 힘든 미국 제품

미국에서 제품을 구매하고 나서 서비스를 받기 위해 전화하는 것은 골치거리다. 미국 표현에 의하면 소위 ‘골칫덩이(pain in the ass)’이다. 물론 어느 지역에 있든지 무료로 전화할 수 있는 번호 (Toll-free Number)는 있다. 그러나, 일단 전화를 해서 안내원과 직접 연결되는 것은 언감생심이다.

미국 제품의 안내를 하는 자동 응답 내용을 곰곰히 들어 본 적이 있다. 그랬더니 자신들에게 도움이 되는 것은 선택하기 쉽게 해 놓고, 자신들이 지원해야 하는 항목은 아주 찾기 어렵게, 그것도 몇 단계를 거쳐서 찾게 되어 있었다. 자신들의 이익(profit)에 결부되는 항목은 찾기 쉽게, 비용(cost)에 해당하는 것은 찾기 어렵게 잘 설계된 시나리오였다. 비즈니스 적으로는 교활할 정도로 이익에 맞게 구성되었다고 자랑할지 모르지만, 중요한 고객의 마음을 잃고 있다는 점에서는 빵점이라는 생각이 든다.

안철수연구소 고객지원팀의 전문 상담원

“DDoS를 완전히 막을 수는 없는 것인가?” 이런 질문을 많이 받는다. 혹은 “DDoS는 일시적으로 트래픽이 폭주할 뿐인데 왜 그렇게 호들갑인가?” “DDoS는 기술적으로 단순한 원시적 공격일 뿐이다”라는 얘기도 들린다. 문제의 본질적 요소에 대해 공감대가 없다 보니 이런 대화가 오고 가는 것 같다.

DDoS 성격에 대한 논란

잘 알다시피 DDoS공격이라는 것은 악성코드에 감염된 컴퓨터들이 특정 시간대에 특정 웹사이트나 서버로 수많은 접속을 시도하도록 해서, 해당 웹사이트나 서버가 정상적인 서비스를 하지 못하도록 하는 것을 말한다. 그러면, 일반적으로 웹사이트가 트래픽 폭주로 마비되는 것과 차이는 무엇인가?

KBS 긴급 좌담회에 나가서 다음과 같은 예로 설명해 보았다. “DDoS의 현상만 보면 추석 연휴의 기차표를 인터넷으로 예매하기 위해 예매 게시 시간에 많은 사람들이 한꺼번에 접속을 해서 예매 사이트가 마비되는 것과 같다. 그런데, 차이라면 사람들이 직접 사이트를 접속하는 것이 아니라 악성코드에 감염된 컴퓨터들이 스스로 또는 원격 조정에 의해 접속한다는 것이다.”

사실 금전 탈취를 위한 DDoS 공격은 이미 오래 전부터 빈번히 발생했다. 너무나도 극성을 부려서 밤 근무를 하는 우리 회사의 관제센터 요원들은 야참을 먹지 못할 정도다. 일반적으로 DDoS 공격은 내부를 해킹하는 행위에 비해 기술적 난이도가 낮다고 간주한다. 구태여 힘들이면서 내부로 침투하기 위해 애를 쓸 필요가 없이, 밖에서 서버를 다운시켜 돈을 달라고 협박하는게 공격 측면에서는 아주 효율적이다. 그래서, DDoS 공격은 원시적 공격이라고 평가절하하는 것이다.

그러나, 이번 공격의 형태는 좀 특이하다. 그런 점에서 기존의 특정 사이트를 상대로 한 DDoS 공격과 같은 부류로 보는 것은 적합하지 않다. 그 특징은 다음과 같이 요약된다.

의도를 몰라서 더욱 두렵다

영화에서 보면 테러범들이 일부러 자신의 의도를 숨기곤 한다. ‘다이하드 3’에서 주인공 맥클레인(브루스 윌리스 역)형사에게 사감(私感)이 있는 것처럼 퀴즈를 내서 테러범은 경찰을 우롱한다. 그러면서 지하철을 폭파하기도 하고, 엉뚱한 곳에 폭탄을 숨겨 놓은 것처럼 흘려서 경찰을 뉴욕 각처로 분산시킨다. 정작 목표는 방어가 허술해진 월스트리트에서 금괴를 훔치는 것이었다. 이와 같이 테러범의 의도를 모를 때 우왕좌왕하게 된다. 이번 사태가 당혹스러운 이유는 범죄자의 의도를 모른다는 것이다.

방송통신위원회에서 기자회견을 마치고 나오는데 어떤 기자가 쫓아 나와서 “혹시 안철수연구소의 보안 전문 분석 요원들을 여기에 전념하게 해서, 주의를 다른 곳으로 돌리는 것 아닙니까? 엉뚱한 곳에서 사고를 일으킬 목적으로..”라는 질문을 받았다. 나도 거기까지는 생각하지 못했었다. 그러나, 다행히 우리 ASEC(안랩시큐리티대응센터; 안철수연구소의 악성코드 분석대응 조직) 직원들은 기존 업무를 병행하면서 했고, 그렇기 때문에 더욱 밤샘작업이 많을 수 밖에 없었다. 앞으로 이런 점도 고려해야 한다는 인식을 하게 되어, 그 기자에게 감사한 마음이 들었다. 우리뿐만 아니라 전국적인 보안 전문 인력은 여유 인력까지 충분히 갖추어야 한다는 생각이다.

이번 사태는 명백한 범죄 행위고, 뚜렷한 목적을 가지고 치밀하게 계획되었다. 그런 점에서 인터넷 웜이 서버의 취약점에 의해 급격하게 퍼진 1.25 인터넷 대란과는 전혀 성격이 다르다. 오히려 2000년 초에 CNN, Yahoo 등 글로벌 포털 사업자들을 상대로 했던 해커들의 DDoS 공격과 성격이 비슷하다.

누가 이런 범행을 저질렀는지에 대해 가장 많은 질문을 받게 되는데, 민간업체인 안철수연구소로서는 추적할 수사권도, 법적 권한도 없다. 추적할 만한 사이트는 한국에서 원천적으로 차단된 상태였다. 이는 당연히 정부 기관의 고유 업무다.

또한 해커의 기술적 능력에 대해 많이 물어 온다. 어떤 이들은 아주 초보적이라고 격하시키기도 하고, 누구는 고도의 기술을 가진 해커라고도 한다. 그런데, 앞서 설명한 이번 공격의 특징만 보아도 단순 해커의 소행으로 보는 것은 적절치 않다.

이번 DDoS 대란으로 일반 PC가 사이버 공격의 무기로 사용될 수 있다는 점을 온 국민이 알게 되었다. 마치 미국에서 발생한 9. 11 테러에서 아무 죄없는 민항기를 탈취해서 공격 무기로 사용한 것처럼, 해커가 PC의 소유권자인 사용자의 허가없이 PC를 탈취해서 자신의 공격을 위해 악용한 것이다.

이렇게 전국민의 PC까지 악용되는 현실에서도 우리는 가슴앓이만 한다. 문제는 근본적인 대책의 알맹이가 빠져있기 때문이다.

(다음 회에 계속)  

발단(Trigger) IV-(3): 정보의 디지털화와 정보 보안

오늘날 정보는 디지털화되어 거미줄처럼 연결되어 하나의 거대한 컴퓨터에 들어있다고 해도 과언이 아니다. 이러한 정보는 인터넷과 다양한 미디어를 통해 디지털화된 형태로 소통되고 공유된다. 디지털 정보는 사회의 여론을 주도하기도 하고 새로운 가치를 창조하기도 한다. 그만큼 폭발적인 전파력과 영향력을 지니고 있다.

 

이와 같이 정보의 디지털화는 우리의 생활에 많은 혜택을 줌과 동시에 위험 요소를 내포하고 있다. 한편 이는 우리가 과거에 경험해 보지 못한 위협도 동반한다. 우리는 두 가지 관점에서 위협을 조명해야 한다. 하나는 비즈니스를 구성하는 IT 관점의 위협이고, 또 다른 하나는 우리 생활 속에 스며들어온 문화 속의 위협이다.

전자는 주로 기업과 기관을 대상으로 한 정보 유출, 해킹, 인프라 공격 등의 의도적 위협이고, 후자는 개인정보보호(privacy), 불법 복제, 유해 정보 등 디지털 시대의 개인들이 개념을 정립하고 컨센서스(consensus)를 이루어가야 하는 덕목과 관련되어 있다. 이번 글에서는 전자에 초점을 맞추고, 다음 호에 후자에 대해 기술하고자 한다.

 

주체할 수 없는 디지털 정보의 활용

 

우선 기업에 있어서 디지털 정보의 영향력은 가히 혁명적이다

우리의 제반 업무는 디지털 정보를 통해 수행된다. 회계 장부, 기술 문서, 인사 정보, 마케팅 자료 등 회사가 보관하고 활용하는 정보는 디지털 형태로 저장된다. 어떤 개인에 대한 정보, 예를 들어, 출생증명, 호적, 예방 접종 기록, 병적 업무, 이력서 등의 기록들은 여러 기관과 기업에서 디지털로 저장되어서 배포되고 교환된다. 심지어는 태어나기 전의 초음파 기록도 디지털로 저장될 수 있다.

이렇게 모두가 정보를 생성하고 활용하는 데 혈안이 되어 있다. 필자가 15년 전 미국 회사에 근무할 당시 방대한 이메일 내용을 프린트해서 법원에 제출하는 것을 보고, 과연 저것이 법적 효력이 있을까 생각한 적이 있다. 그런데, 실제로 법적으로 전자 메일 기록은 증거 자료로 가치가 있고, 기업의 내부 감사에도 많이 활용되고 있어서, 최근에는 전자메일 아카이브(email archive) 기술도 각광을 받고 있다. 이렇게 디지털 정보의 처리가 당연시되면서, 정보의 남용과 의도적 위협이 증대하고 있다. 그렇다면 이런 위협의 주요 양상은 어떠하고 그에 대응하는 보안은 어떤 관점에서 보아야 하는가?

돈과 연결되는 정보 탈취 행위와 사이버 조폭

해킹, 트로이 목마, 피싱 등 수많은 종류의 위협이 급증하고 있다. 게다가 정보가 돈이 되면서 공격은 더욱 집요하고 조직화되고 있다. 심지어 해커들과 바이러스 제작자들은 글로벌한 기업이 되었다. 1980~90년 대에 미국 정부가 마약과의 전쟁을 선포할 정도로 마약 판매업자들의 조직이 글로벌화된 바 있다.

이제 그런 전면 전쟁이 해커들과 벌어진다고 예상할 정도로 치명적인 위협으로 부상하고 있다. 게다가 과거 마약이나 폭력을 주 업무로 삼던 폭력 조직(syndicate)이 해커들과 만나는 수상한 조짐이 일부 국가에서 나타나고 있다. 실제 국내에서도 사이버 조폭이 기업을 협박해 돈을 갈취하는 일도 벌어진 바 있다. 이렇게 현실에서의 폭력조직이 사이버 상의 폭력조직인 해커들과 만난다면 그로 인한 폐해와 범죄 규모는 상상을 초월할 것이다. 

IT 인프라를 보호하기 위한 대부분의 정보 보안 제품은 여기에 초점을 맞추고 있다. 바이러스 백신, 방화벽, 침입 탐지, DDoS 방지, 웹 방화벽 등 수많은 개념의 제품이 출현했다. 각각의 제품은 그 나름대로 자신에게 주어진 역할을 충실하게 수행한다. 그러나, 해커들은 항상 그 틈새를 비집고 들어오고 있고, 관리 미숙과 시스템 취약점을 파악해서 침입한다. 때문에 제품 중심에서 위협 중심으로 관점을 바꾸지 않으면 이런 공격에 종합적으로 대처할 수가 없는 상황이다.

발단(Trigger) IV-(1): 정보의 디지털화와 정보 보안

로맨틱 코미디 영화 ‘노팅힐(Notting Hill)’에서 나온 장면이다. 유명한 영화배우인 애나 스콧 (Anna Scott, 줄리아 로버츠)이 젊은 시절 찍었던 누드 사진이 언론에 공개되어 무명의 연인인 윌리엄 대커(William Thacker, 휴 그랜트)의 집으로 몰래 피신한다.

노팅힐 (www.cinecine.co.kr)

그 때 두 사람은 당혹감 속에 이런 대화를 나눈다. 윌리엄이 “단지 하루야. 오늘 신문은 내일 쓰레기통에 들어갈 뿐이야”라고 위로하자 애나는 어이없다는 표정으로 “이 스토리는 파일로 저장될 거야. 나에 대한 기사를 쓸 때마다 내 사진을 끄집어낼 거다. 신문은 영원한 거야”라고 화를 내며 떠나간다.

애나(Anna)는 정보가 축적되어 잊혀지지 않는 것이 얼마나 무서운지를 알고 있었던 것이다. 국내에서도 신정아 씨 사건을 비롯해 유명인과 스타들의 개인 사진이나 사생활 정보 유출이 문제가 되는 일이 자주 발생하고 있다. 그 만큼 개인정보를 포함한 정보 보안의 중요성도 크게 대두되고 있는 것이다.

기록 문화의 발전 과정

마틴 루터의 종교 개혁이 성공한 중요한 이유 중 하나는 인쇄술의 발명으로 다량의 선언문을 손쉽게 배포할 수 있었기 때문이다. 인쇄술 덕택에 교황청의 카톨릭 사제들에 의해서 독점되던 정보가 지식인들에 의해 읽혀 질 수 있는 계기도 되었다. 자크 아탈리는 '미래의 물결'에서 역사의 교훈을 지적하고 있다.

"권력의 중앙집권을 용이하게 하리라고 믿는 새로운 통신기술이 실상은 그와 반대로 기존 권력을 분산시키는 막강한 적이다"

세종대왕의 한글 창제는 수많은 일반 백성들이 문화의 혜택을 누릴 수 있게 했다. 지식을 독점해서 권력을 영위하려는 사대부들의 집요한 반대를 물리치기 위해 극비리에 진행된 훈민정음 창제는 백성들의 계층간 소통을 원활하게 해야 한다는 집념을 보여 준다. 

유교와 중국화에 비중을 둔 당시의 시대적 상황은 지도층의 반발이 거셌음을 충분히 짐작할 수 있다. 그러나, 활자와 한글의 발명은 향후 500년 조선을 받쳐주는 국가적 업그레이드의 계기였다. 우리 나라의 가장 위대한 왕으로 존경받는 근본적 이유가 여기에 있다.

마틴 루터

세종대왕

이처럼 기록 문화는 기술의 발달에 힘입어 지속적으로 발전해 왔다. 기록 기술은 정보의 독점력을 제거함으로써 권력의 중심축을 옮기는 역사적 마일스톤이 되어 왔다.

역사적 사건 - 컴퓨터의 등장과 정보의 디지털화

무엇보다 획기적으로 패러다임을 바꾼 파격적인 기술(Disruptive Technology)은 컴퓨터의 등장과 정보의 디지털화를 들지 않을 수 없다. 디지털화로 정보는 영구적인 저장이 가능해졌고 실시간 검색이 가능하게 되었기 때문이다.

컴퓨터는 본래 연산 처리를 하기 위해 만들어졌다. 주판이나 암산으로 하는 것과는 상대가 되지 않는 수치 연산 능력은 수작업에 들어가는 많은 시간을 줄여 주었다. 컴퓨터가 나온 초반기에 메인 프레임을 도입한 목적은 방대한 연산 처리를 컴퓨터로 함으로써 시간을 줄이고 자동화하기 위함이었다. 그래서 70-80년대에는 ‘데이터 프로세싱(Data Processing, 약칭 DP)’이 각광을 받았다.

워드 프로세싱(Word Processing)이 문서를 작업하는 것을 의미하듯, 데이터 프로세싱은 방대한 회계나 관리용 데이터 처리를 자동화하는 데 초점을 맞추었다. 그 작업은 많은 인력이 데이터를 입력하고 프린트해 출력물을 보는 과정으로 되어 있었다. 메인 프레임이 연산 처리와 I/O 입출력 역량, 프린팅(인쇄)에 강한 기능을 보이는 이유가 여기에 있다. 메일 프레임을 도입하는 목적 자체에 충실하기 위함이었다.

입체적으로 증대하는 디지털 정보의 활용

이와 같이 디지털 정보의 저장과 활용 측면이 부각되자 기술 혁신도 속도를 더했다. 하드 디스크(HDD), CD, DVD, 플래시카드, USB 등 다양한 저장 매체가 등장했다. 또한 경량화에 따라 휴대하기 편한 형태(portable)로 되었고, 가격은 지속적으로 하락했다. PC만 해도 연산 처리 능력을 필요로 하는 연구 목적으로 활용되다가 일반에 보급된 동기는 정보의 저장과 활용 때문이었다.

1990년대 초반에 ‘멀티미디어(Multimedia)’라는 말이 유행했다. 지금도 자주 사용되는 용어이지만 그 당시는 강력한 시대적 메시지였다. IT를 하는 사람치고 멀티미디어를 얘기하지 않는 사람이 없을 정도였다. 그 이유는 1980년대에 PC의 보급으로 문서가 디지털 형태로 PC에 저장되었고, 여기서 더 나아가 일반 텍스트보다 훨씬 많은 데이터를 저장하는 CD-ROM이 등장했다. 저장 용량이 커지자 드디어 텍스트가 아닌 영상이나 음성도 디지털 형태로 저장하고 처리할 수 있게 되었다. 이는 디지털 정보 처리의 외연을 입체적으로 확장하는 계기가 되었다. 당시 빌 게이츠가 아직 앳된 모습으로 수줍어하며 발표한 CD-ROM 컨퍼런스는 멀티미디어 컨퍼런스와 동의어였다.

그로부터 15년쯤 지난 지금에 이르러 멀티미디어는 MP3 플레이어, 디카(디지털 카메라), PDA, 포토샾, 유튜브(YouTube) 등의 형태로 우리 생활 속에 깊숙하게 자리잡고 있다. 한 마디로 컴퓨터 보급의 확대로 정보의 디지털화는 급속도로 진행되었다. 저장 기술도 혁신적으로 발전되어 무어의 법칙에 따라 디지털 저장 기기를 길거리에서도 살 수 있는 시대가 되었다. 

그만큼 일반인의 생활 속에 디지털 정보는 빠른 속도로 다가왔다. 이렇게 무한한 혜택의 세상을 가져다 주는 화신과 같은 디지털 정보는 아날로그 시대와는 차원이 다른 문화적 변화를 야기시켰을 뿐만 아니라, 한편으로 정보 관리의 새로운 문제점도 드러내는 계기가 되었다.

  (다음 회에 계속)

발단(Trigger) III-(2): 생활 혁명 속의 보안

GS 칼텍스에서 개인정보가 유출되었다는 소식을 접하고 많은 이들이 어리둥절해 했다. “나는 주유소에 내 개인 정보를 준 적이 없는데, 아마 그곳에서도 회원을 수집하나 보지? 그런데, 1000만이 넘는다면 4명당 1명이라는 얘기인데...” 개인 정보를 많이 취급하는 인터넷 기업이나 기관에서 정보 유출 사고가 났을 때 “혹시 내 정보도..” 했던 경우와는 판이하게 느낌이 달랐다.

알려진 대로 소비자 마케팅의 일환으로 카드, 금융, 음식점과 같은 다른 업종간에 이루어지는 제휴 사업이 그 원인이었다. 주유소에서 카드를 받지 않았더라도 제휴사의 회원이 연결되는 고리가 있었기 때문이다. 소비자들이 회원 가입할 때 그다지 심각하게 생각하지 않는, 아니 거의 읽지 않는 약관에 그렇게 개인정보가 활용될 수 있도록 장치가 마련되어 있었다. 게다가 주유 사업은 정보통신망법의 사각 지대이다 보니 사후 관리나 감사도 어려웠다.

업종간 제휴와 결합은 비단 우리 나라만의 현상은 아니다. 그러나, 선진국에서는 프라이버시에 대한 규정과 문화가 어느 정도 형성되어 있다. 어떤 국가는 개인정보보호 최고 책임자 (Privacy Commissioner)가 막강한 권한을 가지고 있다. 개인 정보가 침해되었다는 정황이 있으면 수색할 수 있는 권한도 있다. IT 강국이면서 뒤늦게 정보 보안과 프라이버시 문제를 신경 쓰는 우리 나라와는 시스템 자체가 틀린 것이다.

더 심각한 문제는 개인 정보에 대한 관리 주체나 범위에 있어서 공감대도 아직 이루어져 있지 않다는 것이다. 기업들은 개인 정보를 무분별하게 수집해 왔고 정보를 마케팅 목적으로 활용하는데 혈안이 되었다. IT 구축과 관리는 사업 모델과 마케팅 목적을 지원하는 정도로 간주 되다 보니 보안이나 개인정보보호의 개념이 들어설 자리가 없었다. 개인들도 개인 정보의 관리에 대한 인식이 약하다. 친한 사람에게 패스워드를 알려 주는 것은 공동체 속의 나눔을 미덕으로 여기는 우리 문화에 기인하는 것인가? 이런 공감대가 없다 보니 법과 규정이 뒤늦을 수 밖에 없다.

개인정보보호는 이러한 위험성의 단편일 뿐이다. IT가 우리 생활 속으로 스며들어오면서 보안 문제는 더욱 구조적이고 입체적이 되었다. 생활 혁명의 현장에서 어떤 관점에서 보안 문제들을 바라보아야 하는지 조명해 본다.

첫째, 보안이 돈과 직접적인 관련이 되게 되었다.
 
전자상거래, 인터넷 뱅킹, 사이버 주식 거래 등등. 모두가 돈이 오고 가는 경제 활동이다. 이런 행위가 인터넷 공간을 중심으로 우리 삶의 현장에서 벌어지고 있다. 돈이 있는 곳에는 항상 범죄의 유혹이 있기 마련이다. 개인적 호기심으로 만들었던 바이러스가 범죄와 연관된 색채를 드러내면서 급증하기 시작했다. 특히 2005년 이후에는 범죄로 간주되는 악성코드의 위협이 눈에 띄게 늘었다. 기하급수적으로 증가하는 악성코드 중에서도 정보탈취를 목적으로 한 트로이 목마가 80% 이상을 차지한다는 사실은 그만큼 범죄 행위가 증대되고 있다는 점을 입증하고도 남는다.

앞 회에서 브로드밴드의 보급으로 인해 상시접속(Always-on) 상태인 PC가 공격 대상이 되었다고 언급한바 있다. 탈취한 정보로 돈을 벌 수 있다는 인식이 확장되면서 해킹, 악성코드는 물론 키로거, 메모리 해킹과 같은 심층 수준의 공격이 일반화되었다. 키보드, 메모리는 컴퓨터에서 가장 하드웨어 밑바닥에 위치하고 있다. 일반인은 물론 대부분 소프트웨어 전문가도 하드웨어를 에워싸고 있는 운영체제(OS) 내부로 들어갈 경우는 적다. 그런데, 해킹을 위해 이런 하드웨어 수준까지 활용한다는 것은 그만큼 공격이 집요하고 치밀해 졌다는 얘기다.

둘째, 보안이 개인의 문제가 되었다.

개인의 권리와 안전을 보호하는 것은 국가의 의무이다. 급격한 환경 변화에 소외될 수 있는 국민들이 피해를 당하지 않기 위해 정보 보안 문제가 국가적 어젠다가 되었다. IT 분야에서 이 만큼 대다수 개인의 문제와 직결되는 시대적 이슈가 된 적이 있었던가? 이렇게 일반 국민을 위한 서비스를 위해 총체적으로 접근해야만 한 적이 있었던가? 그만큼 정보 보안은 개인의 일상 생활에 영향을 주는 특성이 있어 다른 산업 분야와 동일한 관점으로 인식해서는 안 된다.

셋째, 정보 보안은 각종 서비스에 영향을 주게 되었다. 

넷째, 보안의 문제가 개인의 일반 기기에까지 확장하고 있다. 

인터넷은 이미 우리 가정 속으로 깊이 들어 오고 있다. 인터넷 전화는 유료 전화 시장을 대체해 가고 있다. IPTV는 브로드 캐스트(broadcast) 방송의 개념을 쌍방향 커뮤니케이션의 형태로 바꾸고 있다. 아마 방송국에서 내 보내는 프로그램에 맞추어 사는 우리의 모습을 10년 뒤에 보면 어떨까? 백색 가전 제품들도 인터넷 기기(Internet Device)로 바뀌고 있다.

IT 전문 컨설팅 회사인 가트너(Gartner)에서는 2000년 국제 컨퍼런스에서 “미래의 세상은 한 개인이 여러 개의 인터넷 기기 (Internet Device)를 소유하게 될 것”으로 예측했다. 휴대폰, 디지털 카메라, IPTV, 인터넷 전화, 게임기, 휴대폰은 이미 인터넷 기기가 되지 않았는가? 아무도 책임지지 않는 인터넷 패러다임이 정보 보안의 출발점이라는 명제에 따르면 보안의 문제는 각 개인이 사용하는 장난감에까지 스며들고 있다고 할 수 있다.

결론적으로 생활 혁명은 정보 보안은 각 개인의 문제이자 각 개인을 겨냥한 서비스의 총체적 문제가 되었다. 이는 우리의 일반 생활 기기에도 적용되며, 경제적 가치가 있는 거래가 늘어날수록 사고의 위험성은 더 커지게 된다.

사회적으로 어두운 세력에 의해 우범 지역이라는 것이 형성된다. 돈을 갈취하거나 범죄 위험이 큰 곳이다. 자신의 안전을 위해서는 그런 지역을 피해 다니면 된다. 정보화 사회가 되면서 지능적인 화이트칼라 범죄가 등장한다. 그래도 이러한 범죄는 특정 기업이나 돈 많은 이들이 주요 피해자다. 그러나, 인터넷과 IT를 통한 생활 혁명은 그 피해가 평범한 개인들에게 미치게 된다. 게다가 사이버 공간에서는 우범 지역이 잘 구분되지도 않는다. 이것이 보안이 어려운 이유다.

생활 혁명 속의 보안 문제를 해결하기 위해서는 관련되는 개인과 기업, 기관의 공동 노력이 필요하다. 정부 기관에서는 사회적 안전망을 구축하기 위한 기반을 마련해야 한다.

범죄의 위험 지역을 아무리 국가에서 잘 관리한다 해도 스스로 통제를 못하면 아무 소용이 없다.

정보 보안의 궁극적 목표는 신뢰의 공동 플랫폼을 구축하는 것이고, 이는 공동체 인식으로 나아가야 통제될 수 있다.

발단(Trigger) II: 통신 혁명 (2)

1990년대 초에 대기업 연구소에 다니던 친구와 오랜만에 만나서 이런저런 얘기를 한 적이 있다. 요즈음 무엇을 연구하느냐고 물으니, 그 친구가 “앞으로는 모두가 전화기를 하나씩 들고 다니는 세상이 될 거야. 그런 시스템을 만들고 있어”라고 얘기하는데, 기대는 하면서도 확신은 없는 어조로 말했던 기억이 있다. 명색이 전자공학을 전공한 두 사람이 앉아서도 10년 뒤에 휴대폰이 이 정도로 널리 사용되리라 예상을 못했던 것이다.

1948년에 정보이론(Information Theory)을 만든 클라우드 샤논(Claude Shannon)은 '무선통신의 아버지', '정보이론(Information Theory)의 아버지'로 불린다. 트랜지스터를 발명해서 노벨상을 받은 윌리엄 샤클리(William Shockley)와 동시대 인물이지만 샤논은 일반인에게 덜 알려져 있다. 전자공학을 전공하려면 이 두 사람을 모를 수가 없다. 유선 통신과 달리 무선은 자연 환경 속의 온갖 소음(noise)과 간섭 속에서 통신을 해야 하는 어려움이 있게 마련인데, 샤논은 이에 대한 이론적 기반을 만들었다.

William Shockley (www.tamu-commerce.edu)

Claude Shannon (www.landley.net)

또 다른 전환점은 휴대전화 기술이 인터넷 기술을 결합한 것이었다.

현재 인터넷과 휴대폰 기술은 상호보완의 개념으로 발전하고 있다. 처음 음성 통신에만 집중하던 휴대폰이 데이터 속도의 증가로 데이터 통신까지 지원하게 되었다. 반면 인터넷 서비스는 초기 데이터 통신에서 현재는 원래 휴대전화 영역이었던 음성 통신까지 무선으로 지원할 수 있게 발전했다. 결국 그 시작이 무엇이었는지 상관없이 데이터 통신과 음성 통신을 함께 사용하는 시대가 이미 시작되었다. 다시 말해 소비자 입장에서는 통신 기술을 나누는 것이 무의미해졌다.

통신시장의 대변혁을 가지고 온 무선랜

한편 인터넷 접속 관점에서 기술 혁신이 발생했으니 바로 무선랜(Wireless LAN)이다. 무선 AP를 통해 기업 네트워크에 접속하는 기술이 보편화되면서 무선랜의 부품 가격이 급락했고 사용자의 수요가 폭발적으로 증가했다. 워낙 급작스러워서 공급자가 충분한 투자 회수 기간을 가지기 어려울 정도였다. 공공 장소, 스타벅스, 대학 캠퍼스는 무제한 접속이 가능하게 되었다.

특히 글로벌 환경에서 기업들은 잦은 조직 변경과 구조 조정을 해야 한다. 이런 변화에 유연하게 대응하는 데 무선랜은 완벽한 통신기술이었다. 자리를 옮길 때마다 케이블을 끌고 다닐 필요가 없기 때문이다. 인프라가 지원되니 업무 형태에도 변화가 생겼다. 이동성 근무자(Mobile Worker)의 비율이 급증했고, 무선랜이 장착된 노트북은 업계 표준이 되었다. 이에 따라 드디어 2007년에 노트북 판매대수는 데스크탑 PC 판매대수를 앞서기 시작했다.

무선 인터넷은 휴대형 기기(portable device)의 성장에도 크게 기여했다. 통신과 정보 관리, 엔터테인먼트, 그리고 인터넷을 결합한 상품의 도래를 기대하는 분위기가 성숙했다.

여기에 화룡점정(畵龍點睛)을 한 것은 애플(Apple)의 아이폰(iPhone)이었다. 한번의 터치로 인터넷의 콘텐츠를 자신의 휴대형 단말기에 연결하는 개념을 혁신적 디자인으로 선보인 것이다. 아이폰(iPhone)이 과연 스마트 폰 시장에서 진정한 리더가 될 지는 장담하기 어려우나 휴대형 기기의 미래 모습을 선보인 선구자의 위상을 차지한 것은 명확하다. 또한 통신사업자가 주도하는 이동통신 시장에서 역으로 단말기 업체가 매달 통신비의 일부를 받는 위상을 차지한 것도 신선한 충격이었다.

다양한 모바일 기기들

통신 혁명의 결과 오늘날 우리는 수많은 인터넷 옵션을 누리고 있다.

이 옵션의 다양한 조합에 의해 항상 온라인 서비스를 받을 수 있다. 해외 출장을 가든지 퇴근을 하더라도 회사 메일을 볼 수 없다는 핑계는 더 이상 통하지 않는다.

이처럼 유비쿼터스 사회는 통신 기술의 발달 속에 우리 곁으로 다가왔다. 중요한 것은 이렇게 기술 혁신과 투자가 이루어지는 와중에도 통신 비용은 지속적으로 떨어지고 있다는 사실이다. ‘인터넷은 무료’라는 명제와 ‘인터넷을 중심으로 모든 활동이 재편되는’ 혁명적 상황이 통신 사업의 수익 모델마저 흔들고 있는 것이다.

다각적 접근이 필요해진 정보보안

그런 와중에 인터넷의 태생적 한계인 ‘보안’의 문제는 더욱 복잡다단해졌다. 통제할 포인트가 다양화되었고 데이터의 성격은 다변화되었다. 통신 환경의 변화로 인해 추가된 보안 개념을 살펴 본다.

아날로그 통신 시대의 다이얼업 모뎀(Dialup Modem)은 PC 사용자가 자신이 필요할 때에 네트워크에 접속해서 할 일을 한 후에 스스로 연결을 끊는 구조였다. 그러나, 상시접속(Always-on)은 PC를 계속 위협에 노출되게 만들었다. 인터넷에 연결되어 있는 상황에서 언제든지 해커가 PC 내부를 헤집고 다닐 수 있게 되었고, 다른 목표를 공격하기 위한 중간 기착지로서도 활용할 수 있게 되었다. 소위 좀비 PC가 되는 것이다.