[인터뷰] (ISC)2 데이비드 쉬어러 회장, 그가 기타를 든 까닭

2년째 한국 방문해 CISSP 회원들 및 ISLA 수상자들과 만나
보안은 항상 파라독스...보안업계, 성급한 일반화 없어야

[보안뉴스 문가용] 지난 8월 30일 밤, 용산 국방컨벤션에서 열린 (ISC)2 회원의 밤. 데이비드 쉬어러(David Shearer) 회장이 무대에 올랐다. 그리고 ‘집으로 간다’는 컨트리풍 노래를 불렀다. 직접 기타 반주까지 해가며 꽤나 높은 음까지 오르내리는 모습은, 방금 전 무대에 올라가기 직전 “이거, 전통이 될까 두렵다”며 수줍어하던 것과는 완전히 달랐다. 그러고 보니 작년 이맘때도 같은 자리에서 기타를 치며 노래를 불렀던 그였다.

▲ I am coming home~ (사진 : 유수현)

보안 분야에서는 가히 세계에서 1위라고 볼 수 있는 교육기관인 (ISC)2의 회장인 그는 1년의 절반 정도를 해외에서 보낸다. 정보보안 이슈가 급속도로 늘어나고, 정부 및 주요 대기업의 가장 큰 사안으로 떠오르다보니 더 바빠진다. 사실 작년 한국에 들어왔을 때만 하더라도 머리가 이토록 하얗지는 않았다. 도대체 1년 만에 무슨 일이 있었던 건가.

보안뉴스 : 고향, 집에 대한 노래를 불렀다.
데이비드 쉬어러 : 출장을 떠날 때마다 집에 두고 가야 하는 아내 생각이 난다. 여건만 된다면 늘 같이 다니고 싶지만, 그게 쉽지는 않다. 내가 하고 있는 일은 분명히 즐겁고 신난다. 하지만 그럼에도 아내가 그리운 건 어쩔 수가 없다. 문 기자도 결혼을 했으니 무슨 말인지 알 것이다.

보안뉴스 : 아주 잘 알고 말고. 100%, 아니 200% 이해하고 찬성한다. 그런데 유명 교육기관의 회장으로서 동분서주, 머리가 셀 정도로 활동하고 있는데 오히려 최근엔 보안교육 무용론이 대두되고 있다. 사용자들은 변하지 않으니, 그걸 상정해서 보안 솔루션을 만들고 정책을 세워야 한다고 하고, 인공지능이나 자동화를 도입해 보안업무를 더 빨리 처리해야 한다는 주장이 슬금슬금 나오는 것이다.
데이비드 쉬어러 : 그런 의견들이 있는 모양이더라. 가능한 얘기라고 생각한다. 그런데 여기서 내가 교육의 효과를 말하면, 솔직히 ‘교육기관 회장이니까 장삿속으로 하는 말’이라고 생각하고 말 것 아닌가. 물론 (ISC)2는 사용자 교육이 아니라 전문가 교육을 하는 기관이지만 말이다.

보안뉴스 : 사용자가 좀처럼 변하지 않는 건 사실 아닌가?
데이비드 쉬어러 : 먼저 내 타이틀을 다 벗어두고 이 인터뷰에 임하고 싶다. 난 교육기관의 CEO가 아니라 일개 인터넷 및 모바일 사용자인 데이비드 쉬어러다. 그리고 그런 사용자로서 보고 느끼는 ‘보안교육’의 문제는 사용자가 아니다. 오히려 교육의 방식에 문제가 많다. 보안 사고 사례만 잔뜩 늘어놓은 1시간짜리 영상 틀어놓고 끝이다. 교육 참석한 사람들도 그렇고 담당자도 그냥 핸드폰만 보다 나온다. 읽으나 마나한 뻔한 교육 자료들, 사람들의 흥미를 전혀 끌지 못한다. 정말 따분하다. 그런데 어떻게 교육 효과가 나길 바라는가?

정보보안 내에서 유통되는 유명한 말들 중에 이런 게 있다. 한 번에 모든 걸 해결할 수는 없다는 거. 솔루션을 개발할 때나 신기술을 도입할 때, “만병통치약(silver bullet)은 없다”고 그렇게 강조하면서 왜 교육은 일 년에 한두 시간으로 모든 걸 해결하지 못한다고 해서 사용자 탓을 하는가? 교육이 더 재미있어져야 한다. 좀 더 창의적이고, 좀 더 적극적으로 사람을 끌 수 있어야 한다. 그리고 더 자주해야 한다.

사용자가 변하지 않는다고 했는데, 그렇다면 정보보안이 대화의 톤을 달리 해야 한다. ‘왜 이게 위험한 걸 몰라? 왜 이렇게 무식해?’ 하면서 가르치는 게 아니라 ‘당신의 이런 인식이 사업적으로 봤을 때 얼마만큼의 손해 혹은 이윤이다’라고 사업적인 대화를 시도해야 한다. 결국 교육 무용론을 주장하는 사람들은 ‘보안담당자들의 대화 스킬’ 문제를 지적한다고 봐야 한다.

보안뉴스 : 하긴 IT 기술 발전 속도가 빨라서인지 여론이 확확 뒤집히는 느낌이 있다. 불과 수개월 전만해도 교육이 최고의 솔루션이었다.
데이비드 쉬어러 : 결론을 너무 쉽게 내리는 경향이 있다. 일반화가 너무 성급하달까. 한 가지 현상만을 가지고 전체의 흐름이 이럴 것이다, 라고 말한다. 예를 들면 어떤 지역의 댐 관리 시스템에 해킹 공격이 일어났는데, 그걸 가지고 “이제 인프라 위기 시대가 열렸다”라고 한다든지, 인공지능이 등장하자마자 “조만간 보안에도 자동화가 도입되어 전문가들이 직업을 잃을 것이다”라는 예측을 하는 것을 말한다. 어제는 ‘빠른 조치가 답’이라고 하다가 오늘은 ‘사전 방어가 최고’라고 한다.

물론 시야를 폭넓게 하는 것일 수도 있고, 맞는 예측이 될 수도 있다. 유연성의 영역에 속하는 문제일 수도 있다. 그러나 누구나 다 모든 사건에 대해 맞는 예측을 할 수 있는 건 아니다. 그리고 섣부른 예측은 불필요한 공포감을 조성하고, 틀린 예측이 쌓이고 쌓이면 무감각증으로 이어진다. 물론 누구나 빠른 결론과 시원한 답을 원한다. 그러나 모든 것에 대한 정답을 즉각 내려줄 수는 없다.

보안뉴스 : 그렇다면 클라우드 시대나 인공지능 시대에 대한 보안업계의 우려에 대해서는 어떻게 생각하는가? 솔직히 한국에서는 클라우드로의 대거 이동이 눈에 띄지 않는다. 아직은 너무 비싸다. 해외 사정은 어떤가?
데이비드 쉬어러 : 정확히 얼마나 어느 정도로까지 클라우드로의 이주를 하고 있는지는 모르겠다. 하지만 클라우드 가격이 빠르게 내려가고 있는 건 사실이다. 수요가 많다는 소리이기도 하고, 동시에 미래 수요를 높일 요인이기도 하다. 다만 정보보안 전문가들로서는 ‘가시성’과 ‘신뢰’가 가장 큰 문제다.

클라우드로 내 소중한 데이터를 옮겼는데, 보이지도 않고 보안이 잘 되었는지 안 되었는지 솔직히 알 수가 없다. 다 보고 싶어 하는 보안담당자의 입장과 몽땅 다 보여줄 수는 없는 클라우드 제공업체의 입장 차이가 좁혀질 필요는 있다. 인공지능 역시 화두이긴 한데, 이게 활발히 도입되려면 아직 몇 년은 더 있어야 하지 않을까. 다만 ‘인공지능=만병통치약’이란 인식은 틀렸다고 감히 말할 수 있다.

보안뉴스 : 이것도 역시 성급한 결론일 수 있겠는데, 기자로서 ‘분산(decentralization)’의 트렌드가 눈에 띈다. 비트코인으로 인해 활발하게 연구되고 있는 블록체인 기술도 그렇고, 소프트웨어 개발 방법론 중 애자일 혹은 데브옵스가 확산되고 있다는 것도 그렇고... 유닛화가 이루어진다는 건 보안으로선 안 좋은 소식 아닌가?
데이비드 쉬어러 : 얼른 생각해서는 그렇다. 중앙에서 한 번에 모든 것을 통제할 수 있는 시스템이 보안으로선 훨씬 좋은 게 맞으니까. 신경 써서 지켜야 할 게 많아진다는 건 반길 일만은 아니다. 게다가 ‘자율 보안(autonomous security)’은 실패 사례가 더 많다. 그러나 분산(decentralization)이 일어난다고 보안이 실패하는 건 아니다. 이건 운영의 문제다.

예를 들어 나는 해안경비대에서 근무한 적이 있었는데, 그 때 우리 부대가 담당했던 구역에서 일어나는 사고들을 늘 백악관까지 보고를 올려서 해결하지 않았다. 어떤 건 부대 내 책임자가, 어떤 건 현장의 담당자가 직접 판단을 내려서 해결해야 하는 문제들도 있다. 중앙화와 분산화의 문제는 결국 운영의 문제라고 본다.

보안뉴스 : 결국 균형의 문제라는 말인가?
데이비드 쉬어러 : 보안이 늘 그렇다. 왜냐하면 보안은 결국 파라독스(역설)이기 때문이다. 모든 행동은 위험 부담을 내포하고 있고, 그렇기에 안전하려면 아무 것도 하지 말아야 한다. 전진하고 발전하려는 목적을 가지고 안전을 말하는 건 역설일 수밖에 없다. 둘이 다 존속해야 한다면 결국 균형을 맞춰야 한다.

균형의 첫 걸음은 ‘위험이 사방에 존재하고, 어떠한 행위나 사업적인 움직임이라도 모두 위험(risk)을 가지고 있다’는 걸 인정하는 것이라고 생각한다. 보안담당자도 이걸 인정하고, 일반 임직원들도 이를 받아들여야 한다. 위험은 사방에 있고, 사고는 언제고 터질 수 있다는 연대감이 있어야 대화가 시작된다.

보안뉴스 : 단도직입적으로, 우리는 지금 위험에 처해 있는가?
데이비드 쉬어러 : (ISC)2의 회장의 입장에서 ‘그렇다’고 하면 다들 사업을 키우기 위한 언급이라고 생각할 듯 한데, 한 명의 자연인으로서 난 그렇다고 생각한다. 가능하다면 내 속을 보여주고 싶다. 난 진심으로 우리의 모든 온라인 생활이 위험에 처해 있다고 본다. 뉴스에 나오는 사건들은 우리에게 매일 일어나는 사건들 중 극히 일부일 뿐이다. 해킹 시도와 사기 범죄는 매일 일어나고 있고, 실제로 범죄 시장은 급격하게 자라고 있다. 시장이 자라니 인재들도 유혹을 받는다. 우린 정말로 위험하다.

그런 면에서 사이버 보안 보험이 자연재해 모델을 가지고 보험금을 산정하는 게 부적절하다고 생각한다. 사이버 보안과 자연재해는 일견 닮은 면이 있긴 하지만 확률에서 비교가 불가하다. 사이버 보안은 실제로 매일 일어나고 시도는 거의 끊임없이 발생하기 때문이다. 게다가 큰 피해가 일어나고도 모르는 경우가 많다는 게 자연재해와 사이버 보안 사고의 다른 점이다. 보험 산업에서 획기적인 모델이 나오길 바란다.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)