[넋두리 5] 8. 보안의 면역력을 키워라

스스로 해야만 한다

  어른들이 무심코 농담처럼 던지시던 말씀 중 흔히 하시던 말씀이 있었다. “애를 너무 귀하게 키우면 병에 잘 걸려. 여기저기 뒹굴고 뛰놀고 해야 건강하지”라는 말씀. 그저 그러려니 하고 한 귀로 듣고 웃어넘기던 이 얘기가 실제 과학적으로도 논쟁이 되고 있는 얘기로 전문용어로는 “위생가설”이라고 한다. 일부러 더러운 환경에 노출될 필요는 없지만 적절한 자연환경에의 노출은 예방주사를 맞는 것 같은 효과를 보여 면역력 강화에 도움이 될 수 있다는 학설이다.

  이렇듯 오냐오냐 하며 귀하게 커온 것과 관련된 얘기가 비단 아이들에게만 해당하는 것은 아니다. 정보보안과 관련해서 우리나라 기업들도 정부의 과한 보호를 받으며 귀하게 대접받아 왔기 때문이다. 오죽하면 우리나라의 보안 생태계를 두고 세계적인 기류와는 동떨어진 방향으로 혼자서만 간다고 하여 "보안 갈라파고스"라고 반조롱식으로 부르는 용어까지 생겨났겠는가.

  아이가 자라는 동안은 어른들의 보호를 받아야 한다. 아직 혼자 설 준비가 되지 않았기 때문이다. 하지만 나이가 들고 몸이 커지면 어른들은 보호를 멈추고 스스로 일어서고 스스로 걷고 스스로 달리고 스스로 뛰도록 해야만 한다. 그래야만 넘어져도 스스로 다시 일어날 수 있기 때문이다.

 

  정부도 그래야만 했다. 기업들이 외부의 침해공격에 아직 준비되지 않은 취약하고 무방비인 상태였을 때는 적극적으로 나서서 막아주고 보호하는 것이 옳았다. 그리고 목적을 달성하기 위한 도구로 정보보안 관련 법령들과 각종 보안가이드들이 활용되었다.

  하지만 기업들의 보안이 어느 정도 성숙하고 사회적인 분위기도 보안의 중요성을 충분히 인지했다고 판단되는 시점에 정부는 더 이상의 적극적 보호를 멈추고 뒤로 한 발짝 물러섰어야 했다. 자세하고 상세하기까지 했던 법의 요구기준을 완화해서 기업이 자율적으로 판단하도록 해야 했다. 기업이 능동적으로 스스로의 보안을 만들어가면서 성숙하도록 말이다.

  안타깝게도 정부는 그렇게 하지 못했다. 적절한 때를 놓치는 바람에 아직까지도 기업들은 정부가 제시한 각종 법령과 가이드의 기준에 따라서만 보안을 수행하고 있다. 법에서 하라면 하고 법에 없으면 하지 않는다. 나이를 먹고 몸은 이미 어른이 되었음에도 보안에 대한 정신 수준은 자라지 못해 그저 정부의 지시만을 망연자실 쳐다보고 있는 성숙하지 못한 상태가 지금 우리네 기업 보안이 처한 위치다.

  한 보안전문가는 이러한 상황에 대해 이렇게 말했다. "지나치게 자세한 규정들과 과도한 보호 속에서 안주하다 보니 기업들이 스스로 보안 면역력을 키울 기회를 놓쳐버렸다"라고 말이다. 언제 어디서 어떻게 발생할지 모를 해커들의 외부공격으로부터 적극적으로 스스로를 방어하며, 전에 없던 새로운 침해공격에 크게 넘어져도 오뚝이처럼 우뚝 다시 일어나 툭툭 털고 달릴 수 있는 강인한 보안체계라는 면역력을 키울 기회를 말이다.

  보안과 관련해 얘기하면 사람들은 흔히들 이렇게 말한다. "이게 법에 있는 겁니까?"라고. 이 표현은 이제 사라져야 하며 "이걸 하면 뭐가 좋아지는 겁니까?"라고 바뀌어야 한다. 누가 시켜서 하는 것은 아직 자라지 못한 것이며, 성숙하지 못한 것이다. 스스로 판단하고 움직일 수 있어야만 성숙한 것이고 그때서야 비로소 보안의 면역력을 키울 수 있다.