[넋두리 4] 14. 이제는 논리와 설득의 시대

법이라는 전가의 보도를 버려야 할 때

  살다 보면 좋든 싫든 꼭 써야만 하는 혹은 쓸 수밖에 없는 물건들이 있는 법이다. 한 여름의 모기를 물리치기 위한 모기약과 모기채가 그러하고, 음식을 오랫동안 보관해 주는 냉장고가 그러하고, 여러 영상을 즐길 수 있도록 해주는 텔레비전도 그러하다. 우리의 일상은 알고 보면 그렇게 없으면 불편함이 이만저만 아닌 것들의 투성이다. 혹자는 굳이 없다고 문제 되지는 않는다고 주장할 수도 있다. 하지만 한 가지는 확실하다. 없으면 불편하다는 것이다. 그것도 아주 무진장 불편하다. 따라서 대체로 있는 것이 낮다는 논리로 귀결되게 마련이다.

  앞에서 얘기한 것들은 대체로 삶과 연관되어 있다. 모기에 물려 밤잠을 설쳐본 사람은 모기약과 모기채를 사는 것에 있어 이의를 제기하지 않으며, 오히려 조금 더 비싸더라도 편리한 전기모기채를 사기를 선택한다. 냉장고가 없어 애써 만든 음식들이 상해서 버렸던 경험이나 조금씩만 장을 봐서 하루에도 수 차례 음식을 해야 했던 경험들이 냉장고를 필수 혼수품이 되도록 만들었다.

  정보보안 역시도 마찬가지다. DDoS(서비스 거부) 공격으로 인한 피해를 경험해 본 기업들이 DDoS 대응 제품 구매에 기꺼이 결재를 하고, 해킹공격으로 고객의 개인정보가 유출되어 갖은 곤욕을 치러본 기업일수록 더 적극적으로 해킹 대응 제품을 구매하고 주기적으로 꾸준히 모의해킹을 수행한다. 맞아본 아픈 경험과 기억이 보안의 필요성을 체감하도록 만든 것이다.

  개인의 경우도 그렇다. 랜섬웨어로 인해 중요한 자료를 잃어본 사람만이 귀찮음을 이겨내고 주기적으로 백업을 하게 되며, 악성코드에 감염되어 컴퓨터가 먹통이 되었던 경험을 겪고 나서야 지갑을 열어서라도 PC용 백신 제품을 설치하게 되기 때문이다.

  정작 문제가 되는 것은 아직 아파보지 않은 경험들이다. DDoS 공격과 모의해킹은 당해봤지만 임직원에 의한 정보유출 피해는 당해보지 않았거나, 랜섬웨어에 감염되어 DB서버가 잠겨본 경험이 없거나, 피싱메일로 인해 직원의 PC가 좀비 PC(Bot)가 되어버린 경험이 없는 경우처럼 말이다.

  아직 경험이 없어서 맞으면 얼마나 아픈지 모르는 데다 관련 침해 공격에 대한 별다른 인식도 없으니 투자에 대한 경영진의 의지도 당연히 없다. 이런 상황에 보안조직이 나서서 침해 예방을 위한 보안제품을 구매하겠다고 하면 괜한 돈 낭비 하는 것은 아닌가 하는 경영진의 의심의 눈초리를 피할 방법은 없다. 게다가 사야 할 것이 하나도 아니고 이것저것 많아서 더욱 그렇다. 그래서 보안조직은 어렵고도 험한 설득의 과정을 애당초 포기하고 쉬운 지름길을 사용해 왔다. "법에서 사라고 했다"거나 "사지 않으면 법에서 요구하는 인증을 받을 수 없다"와 같은 방법말이다. 법이라는 전가의 보도가 언급되면 최고경영진이래도 별다른 방법 없이 속수무책이다. 그들에게서 선택권을 빼앗아 버린 것이다.

  그래서 문제가 심각해진 것이다. 한동안은 이런저런 구색 맞추기에 필요한 여러 보안제품들을 도입하는데 문제가 없고 보안조직은 승리의 기쁨에 도취되어 있다. 그리고 구색이 완비된 이후 본격적인 후유증이 드러난다. 법을 앞세워 제품을 도입했으니 이후로도 추가 보안제품의 도입에는 법에 따른 근거가 필요하기 때문이다. 즉, 법이라는 구체적 도입 근거가 없으면 최고경영진 설득이 어려운 상황에 처한 것이다.

  해커들의 공격방식은 나날이 고도화하고 치밀해지고 있다. 앞으로의 침해위협은 없던 위협이 갑자기 짠 하고 나타나는 것이 아니라 기존의 위협들이 서로 엮이고 엮여 진보한 복합위협으로 발전하고 있다. 예를 들면 피싱메일 공격과 APT공격 그리고 랜섬웨어 공격까지를 하나의 패키지로 묶어 기업을 공격하는 방식으로 말이다. 더해 피해자를 속이기 위한 사회공학적 공격 기법과 구체적 피해자를 선정하고 사전 학습하는 표적공격은 기본 옵션으로 활용되고 있다.

  기존의 보안제품만으로 이렇듯 나날이 발전하는 침해공격에 대응하는 것은 한계가 있다. 새로운 침해방식에 대응할 수 있는 새로운 방어수단의 도입이 절실한 것이다. 하지만 현재의 보안조직은 법이라는 전가의 보도가 없이는 경영진에게서 예산을 확보하기 어려운 딜레마에 빠진 상태다. 그간 경영진의 능동적이고 자발적인 선택에 의한 도입이 아닌 법이라는 강력한 존재를 활용한 수동적이고 타발적인 선택을 강요해 온 결과인 것이다.

  방법은 오직 하나. 기존에 사용했던 법이라는 보도를 과감히 버리고 논리라는 새로운 보도로 무장하고 경영진을 설득하는 것이다. 설득을 통해 경영진이 직접 능동적이고 자발적으로 도입을 선택하게 하는 것이다. 물론 경영진이 질문할 것이다. "인증에 꼭 필요합니까" 또는 "법에 근거가 있습니까"와 같은 질문을 말이다. 이 또한 지나온 과거의 후유증이고 극복해야 할 과정이다. 이 과정을 극복해내지 않으면 그저 법이 바뀌기를 하염없이 기다리는 지난한 과거가 다시 펼쳐질 뿐이다.