인간은 편안함을 추구하는 게으른 존재다.

최근 쿠팡에서 대규모 개인정보 유출 사건이 발생했다. 쿠팡 서버의 인증 취약점이 악용된 사건으로, 단일 기업을 넘어 사회적으로도 파장이 큰 사고였다.

사실 이번 사건이 특별히 충격적인 이유는 공격 기법이 새롭거나 고도화되었기 때문만은 아니다. 최근 발생한 크고 작은 보안 사고들을 하나씩 들여다보면, 공통점은 분명하다. 대부분의 사고는 고도화되고 정교한 기술의 부재가 아니라, 이미 알고 있던 기본적인 보안 원칙을 지키지 않아 발생했다는 점이다. 이와 관련한 생각은 이전 글에서도 한 차례 정리한 바 있으니, 관심 있다면 함께 읽어보아도 좋겠다.
(https://brunch.co.kr/@digilog/32)

그렇다면 이런 질문이 자연스럽게 떠오른다. 왜 이런 문제는 반복되는 걸까?

이번 주 진행된 교육 훈련에서 교수님께서 이런 말씀을 하셨다.

인간은 편안함을 추구하는 게으른 존재다.

이 말을 듣는 순간, 오랫동안 막연하게 품고 있던 궁금증 하나가 풀리는 느낌이 들었다. 일을 하다 보면 종종 이런 말을 듣게 된다.

"아니 팀장님, 이런 것까지 해야 해요?"

사실 그 질문은 틀리지 않다. 대부분은 당장 하지 않아도 큰 문제가 없어 보인다. 나는 완벽한 인간은 아니라서, 때로는 빈틈이 보이고, 귀찮다는 이유로 그냥 넘어가고 싶은 순간도 많다. 오늘 하루쯤은 괜찮지 않을까, 다음에 해도 되지 않을까 하는 유혹은 늘 가까이에 있다. 하지만 경험상 분명한 사실이 하나 있다. 그 ‘이런 것까지’ 하지 않았을 때, 문제는 반드시 그 지점에서 발생한다는 것이다. 아무 일도 없을 것 같았던 그 빈틈이, 시간이 지나 가장 취약한 지점으로 남는다.

보안 사고는 거창한 해킹 기술에서 시작되지 않는다. 대부분은 인간이 가장 편안해지기로 선택한 순간, 조용히 시작된다. 그리고 우리는 사고가 터진 뒤에야 뒤늦게 깨닫는다. 어쩌면 반복되는 보안 사고를 줄이기 위해 필요한 것은 더 강한 기술이 아니라, 인간은 편암함을 추구하는 게으른 존재라는 것을 전제로 보안을 다시 설계하는 일인지도 모른다.