[넋두리 2] 10. 정보보안 분야의 화두(3)

악당은 부지런하다

  드라마나 영화를 볼 때 몇몇 장면에서 답답함을 느끼는 경우가 있는데 그중 하나가 바로 주인공과 악당이 대결하는 경우이다. 흔히들 하는 말로 '권선징악'이니 '사필귀정'이니 하는 말들을 읊어대고 있는데 실제로는 하나도 들어맞지 않는다고 느끼고 있다. 항상 주인공은 악당에게 끌려다니면서 당하고 다치고 피해를 본다. 아무런 거리낌 없이 행하는 악당에 비해 도덕과 법률, 관습이라는 제약에 묶여 행동하는 주인공은 항상 한발 늦게 되고 그 피해를 고스란히 덮어쓰는 존재로 묘사되기 때문이다. 결국에는 주인공이 이기는 것으로 결론이 나지만 상처뿐인 영광으로 보이는 경우가 많다. 현실에서는 악당이 이기는 경우가 태반임을 알기 때문에 더욱 답답하고 분노를 느끼는지도 모르겠다.

  정보보안과 관련해 기업이나 기관의 최고 경영진이 하는 가장 큰 착각은 정보보안 조직을 두면 해킹에서 안전할 것이라고 생각하는 것이다. 이는 정보보안의 현실을 이해하지 못하는 무지에서 비롯된 것이다. 실제 정보보안 업계에서 치러지는 해커와 정보보안조직 간의 전쟁에서 많은 경우 해커가 승리한다. 악당이 승리하고 있는 것이다. 정보보안 분야에서 일하고 있는 사람으로서 진심으로 분하지만 인정할 수밖에 없는 냉혹한 현실이다.

왜 그럴까? 왜 정보보안조직은 해커에게 이기지 못하는 것일까? 왜? 왜?

  정보보안을 주인공, 해커를 악당으로 비유하면 세상의 냉정한 현실이 정보보안 업계에도 동일하게 적용된다.

해커는 악당이고 "악당은 부지런하다"는 표현은 정보보안 업계에서도 오래된 화두로서 적용되고 있기 때문이다. 주인공이 불리할 수밖에 없는 몇 가지 이유만 짚어보자.

첫째. 해커는 고용주, 정보보안조직은 고용인

  해커의 영혼은 자유롭다. 악당이기 때문에 그 어떤 규율과 속박에도 구속되지 않고 그저 마음대로 못된 행동을 저지른다. 고용된 상태가 아니므로 누구의 눈치를 보거나 하지도 않는다. 상대방의 IT장비들이 고장이 나거나 자료가 사라져도 상관없다. 남의 일일 뿐 나와 무슨 상관인가. 그저 하고 싶은 대로 마음껏 분탕질을 칠 뿐이다. 그 결과 사람이 다쳐도 상관없다. 역시 남의 일일 뿐이기 때문이다.

  정보보안조직의 영혼은 자유롭지 않다. 국가에 속한 국민이면서 조직에 속한 직장인이기 때문이다. 조직에서 요구하는 각종 규칙과 규율을 지키면서 정보보안업무를 수행해야만 한다. 해커의 공격으로 일분일초가 아쉬운 급박한 상황에서도 상관이나 경영진이 요구하면 보고서를 만들어 보고해야만 한다. 해커의 공격으로 IT장비들이 고장 나거나 자료가 유실되는 경우 해야 될 일은 더 많아진다. 자신이 저지른 사고가 아님에도 최악의 경우 일을 못한다는 이유로 징계를 각오해야만 한다.

둘째. 해커는 프리랜서, 정보보안조직은 직장인

  해커의 수입은 일정하지 않다. 악당으로서 열심히 나쁜 일을 부지런히 한만큼 자신의 몫을 가져간다. 따라서 더 많이 벌기 위해서라도 더욱 부지런하게 열심히 해킹을 할 수밖에 없다. "악당은 부지런하다"는 화두가 탄생하게 된 이유이다. "어떻게 하면 더 많이 벌 수 있을까"라는 창의적인 고민을 통해 다양한 해킹 기법을 개발하고 이를 통해 더 많은 수입 획득을 시도한다. 많은 기업에서 업무처리를 신속하게 하기 위해 Agile이나 DevOps와 같은 기법을 도입하기 위해 노력하고 있는데 이러한 기법들이 이미 해커에게는 일상화된 업무이다.

  정보보안조직의 수입은 일정하다. 더 열심히 일한다고 수입이 더 많이 생기지도 않고, 대충 일해도 들키지만 않으면 수입이 감소하지도 않는다(대부분의 경우 경영진과 타 부서들은 정보보안부서의 업무에 관심이 없다). 열심히 야근하면서 밤을 새워 보안을 강화한다고 해서 특별히 인정받아 승진을 한다거나 특별수당을 주지도 않는다. 해커의 공격을 잘 막아내어 사고 없이 회사 업무가 정상 동작하도록 열심히 기여했다면 그것이 회사가 바라보는 정보보안조직의 기본 역할이다. 당연한 일을 했을 뿐이므로 추가적인 성과 부여는 대체로 없는 편이다.

  악당은 부지런하다. 해커는 악당이다. 따라서 해커도 부지런하고 밤낮없이 해킹을 시도한다. 여러 규범에 속박된 주인공인 정보보안조직은 부지런할 수는 있으나 밤낮없이 일할수는 없다. 이런저런 이유로 해커를 이기기는 어렵고, 항상 표현하듯이 해커와의 무승부를 노린다.

  혹자는 이렇게 생각할 수도 있다. "어차피 이기지도 못할 거라면 정보보안 조직은 왜 필요하지?"라고 말이다. 그러나 이 역시 정보보안을 이해하지 못한 무지에서 비롯된 의문이다. 경비가 있어도 도둑을 맞는데, 경비가 없으면 어찌 될지 조금만 고민해 보면 된다.