세계 보안 엑스포 전자정부 솔루션 페어 스마트팩토리 개인정보보호 페어  세계 다이어트 엑스포  세계 태양에너지 엑스포  국제 사이버 시큐리티 컨퍼런스  INFO-CON
[영화&보안] 미시 정보보안과 거시 정보보안 필요할까?
입력날짜 : 2016-11-15 10:05
트위터 보내기  페이스북 보내기  네이버 밴드 보내기  싸이월드 공감 보내기  카카오 스토리 보내기  구글 보내기   
영화 ‘동주’와 경제학의 분류 통해서 점쳐보는 정보보안의 미래
분야의 성장세 아직 ‘경제 가치’로 환산되지 않았지만 예사롭지 않아


▲ 영화 ‘동주’ 포스터

[보안뉴스 문가용 기자] “시도 자기 생각 펼치기에 부족하지 않아. 사람들 마음 속에 있는 진실을 드러낼 때 문학은 온전하게 힘을 얻는 거고, 그런 힘이 하나하나 모여 세상을 바꾸는 거라고.” 한 청년이 뭔가를 억누른 듯한 목소리로 말했다. 반대편의 청년도 지지 않고 일갈한다. “그런 힘이 어떻게 모이니? 그저 세상을 바꿀 용기가 없어 문학 속으로 숨는 것밖에 더 되니?”

다시 시 짓는 청년이 응대한다. “문학을 도구로만 이용하려는 사람들 눈에 그렇게 보이는 거겠지. 문학을 이용해서, 예술을 팔아서 세상을 어떻게 변화시켰는데? 누가 그렇게 세상을 변화시켰는데? 애국주의니 민족주의니 공산주의니, 그딴 이념을 위해 모든 가치를 팔아버리는 거, 그게 이념과 관습을 타파하는 거야? 그거야 말로 시대의 조류에 몸을 숨기려는 썩어빠진 관습 아니겠니?”

‘하늘과 바람과 별과 시’의 저자인 윤동주와 그의 평생지기인 송몽규의 대화 내용이다. 그 둘이 각기, 그리고 함께 살아내야 했던 시대를 그린 흑백영화 ‘동주’의 가장 중요한 장면이기도 하다. 적극적인 운동으로 사람들을 일으켜야 시대가 변한다고 믿었던 송몽규와 한 사람 한 사람에게 조용하지만 진심어린 목소리로 다가가고 싶어했던 윤동주의 바람은 그들의 평생을 통해 흩어졌다 만났다를 반복한다.

비주류 기사만 계속해서 써내고 아침 회의 시간에만 3연속 한심을 기록했던 보안뉴스의 국제부는 최근 페이스북 좋아요 수를 일주일에 두 번이나 세 자리 수만큼 달성하는 전무후무한 쾌거를 이루었는데, 공교롭게도 두 기사가 모두 보안담당자들의 역할론에 관한 것이었다. 14일, 미래부 주최로 열린 CISO 심포지움도 비슷한 노선에서 이루어졌다.

도대체 보안담당자가 뭘 해야 하는 건가? 아니, 정보보안이란 게 도대체 무슨 분야인가? 지금 이게 사람들에겐 너무나 궁금한 일이다. 게다가 NIST까지 나서서 CISO의 역할을 정해줬을 정도니, 시간이 더 흘러가기 전에 한 번쯤 분명히 짚고 넘어가야 하는 중요한 문제라는 것이 공식적으로 인정된 것이나 다름없다.

정보보안이 기술에만 천착하는 분야가 아닌 것으로 탈바꿈하고 있다. 경영과 관리라는, 기술에 특화된 이과 전공 두뇌들에게는 매우 생소한 문과 속성이 탑재되기를 시대가 요구하고 있다. 각종 네트워킹 및 IT 기술에 더해 해커들의 공격기술과 그에 맞는 방어 기술을 익히기도 어려운데, 법도 공부하고 조직관리 기술도 터득하라고 하더니 이젠 사업에 대해서도 알아야 한다고 한다.

한 사람이 기술에 법, 경영과 조직 관리까지 다 맡아야 하니 어려운 게 너무나 당연하다. 그런데 나라 안팎으로 이에 대한 답을 ‘제도’와 ‘정책’에서 찾으려고 한다. 혹은 자동화나 클라우드, 빅데이터 등 기술적으로 해결을 보려고도 한다. 기자로서 이 흐름을 지켜보고 있자니 매우 생뚱맞다는 느낌을 지울 수가 없다. 저 모든 전문분야를 한두 사람 혹은 한 팀한테 다 익히라는 미션 자체가 말이 안 되는데, 무슨 정책이며 신기술인가.

잠깐 이야기를 경제라는 학문으로 돌려보자. 경제학은 여러 대학의 학문들 중에서도 어렵기로 소문난 과목이다. 일단 전 세계적인 돈의 흐름부터 우리 어머니의 가계부와 유부남의 얇은 호주머니까지 아우르는 분야의 방대함부터 사람 질리게 한다. 게다가 브렉시트니 트럼프의 당선과 같은 각종 뉴스들에도 민감하게 반응하는 것이 경제니, 이게 장부만 꼼꼼하게 잘 쓰고 암산 좀 잘한다고 해결되는 과목이 아니다.

이 복잡하고 다사다난한 학문은 그래서 크게 두 가지로 나뉜다. 거시 경제학과 미시 경제학이 그것이다. 큰 시각을 가지고 이해하려는 분야가 있고, 작고 미세한 돈의 흐름을 전문적으로 파악하는 전문가들이 따로 있는 것이다. 물론 두 개를 다 이해하는 능력자도 적지 않지만, 아무튼 경제는 큰 틀에서의 이해와 작은 틀에서의 이해를 구분하고 있다.

서두에 묘사한 영화 ‘동주’의 한 장면이 보안 기자로서 흥미로웠던 것은 일제강점기라는 시대를 과제처럼 마주한 두 사람의 접근법에서 드러난 차이가 미시와 거시로 분류 가능했기 때문이다. 나라를 뺏겨 한글도 쓸 수 없고 이름도 세 자로 적을 수 없는 마당에, 문학을 하고 글을 쓰는 것도 모두 나라를 되찾고 시대를 바꾸는 데에 초점을 맞추어야 한다는 거시적인 시각이 송몽규의 주장이라면, 한 사람 한 사람의 마음을 움직여 그것을 모으는 것이 변화의 시작이며 진정한 운동이라는 것이 윤동주의 미시적인 뜻이었다.

아침에 눈을 뜨면 어느새 더 덩치를 불린 ‘정보보안’이라는 분야에 이를 대입해보면 어떨까. 다크웹과 같은 잠재적 혹은 조직적 범죄 현장을 통해 세계적인 범죄 트렌드를 파악하고, 관련된 공격 기술 및 유행하는 범죄 표적을 알아내면서 동시에 사용자가 전 세계적으로 퍼져 있는 소프트웨어들의 취약점을 파악하고 패치를 받아 배포하는 것은 거시적인 정보보안이라고 볼 수 있다. 그렇게 파악한 것들을 가지고 인터폴이나 유로폴 등과 국제 수사 공조를 벌여 실크로드를 폐쇄시키고 주요 범죄 수뇌부를 검거하는 것 역시 거시적인 일이다.

또한, 한 조직의 CISO로서 경쟁사의 움직임과 시장의 흐름을 파악해 시시각각 변하는 리스크를 이해하고, 그에 대한 등급을 수시로 업데이트 시켜 보안 정책을 가장 알맞게 변화시키고 적용하는 것 또한 거시적이라고 볼 수 있다. 하지만 모두가 이미 알다시피 보안담당자의 할 일은 여기서 그치지 않는다.

작게는 윤동주의 시처럼 내 주변인 혹은 내가 관리하는 조직의 일반 직원 한 사람 한 사람에게 다가가야 한다. 물론 보안과 관련된 시를 써주진 못하겠지만, 기발하고 창의적인 교육 자료로서, 쉬운 말로 바꾼 정책 내용으로서, 흥미를 유발하는 사내 캠페인 등을 개발해 조직 내 모든 사람들의 마음을 바꾸고 보안 실천을 위한 동기를 부여해야 한다. 이런 활동을 위해서 윗사람들을 설득해 예산도 더 받아낼 줄 알아야 한다. 미시적인 보안 활동이다.

하지만 누구나 윤동주의 시집을 보고 감동을 받는 게 아니듯, 갖은 노력에도 꿈쩍 않는 사람들이 있다. 이런 사람들에게는 점심 시간을 이용한 자동 패치 시스템을 적용한다든지, 실전과 같은 피싱 메일 모의 테스트를 실시해 때론 무심하게, 때론 따끔하게 다가갈 수도 있어야 한다. 그러면서 법에서 보장한 개인의 권리를 침해하지 않기 위하여 법률적인 부분도 잘 알고 있어야 한다. 이런 사소하고 자잘한, 그러나 반드시 필요한 노력들 역시 미시적인 보안 활동이라고 볼 수 있다.

흑백영화로 그려진 그 시대를 윤동주가 바꾸었다, 송몽규가 바꾸었다고 판가름 하기는 힘들다. 하지만 시는 시로서, 학생 운동은 학생 운동으로서 분명히 나름의 역할을 한 것은 분명하다. 더군다나 송몽규가 가진 거시적인 시각이 윤동주의 시와 삶에 영향을 준 부분도 있다고 학자들은 말하기도 하고, 윤동주가 가진 따듯한 시인의 시각이 송몽규가 나라를 바라보는 마음에도 배어들었으리라는 것도 얼마든지 생각할 수 있다. 쇠가 쇠를 깎듯, 서로의 첨예한 시각이 서로를 다듬기도 했다는 것이다.

정보보안이라는 분야가 점점 커지고 있고, 이는 예사롭지 않다. 어떤 미래가 이 분야를 기다리고 있는지 점치기도 힘들다. 다만 이렇게 커지기만 해서는 한 사람이나 한 팀이 온전히 담당하리라 기대하기 힘들게 될 것은 거의 확실해 보인다. 그렇다면 언젠가 이 분야도 미시 정보보안과 거시 정보보안으로, 혹은 그와 유사한 형태로 나뉘어야 하지 않을까 한다. 그래야 어느 정도 좇아볼 만한 분량이 된다. 이미 CISO가 되었거나 그에 준하는 전문가 호칭을 가진 사람들이야 잘 느끼지 못하겠지만, 정보보안은 질리도록 거대한 분야가 되었다고도 볼 수 있다.

인재를 뽑을 때도 정보보안 전공자라는 두루뭉실한 이력 묘사보다 미시 정보보안 전공에 커뮤니케이션학을 부전공했다거나, 거시 정보보안을 전공하고 국제정치학을 부전공했다고 한다면 좀 더 조직에 더 어울리는 사람을 선택할 가능성도 높아질 것 같다. 이 사람은 내부 소통이나 교육으로 일반 직원들을 잘 거둘 수 있겠구나, 라든가, 이 사람은 인터폴과의 정보 공유 및 공조 업무를 잘 하겠구나, 하는 식으로 말이다.

CISO에 대한 기대치는 늘어만 가고 있다. 단지 CISO의 할 일을 수평적으로 늘여놓는 것으로는 실용적인 답을 제시할 수 없는 지경에 이르른 건 아닌지부터 물어야 할 것으로 보인다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

동주   영화   분야   확장                     


보안뉴스에서 관심이 가장 많이 가는 기사 유형은?
사건·사고(최근 발생했던 보안사고)
공공·정책(보안정책과 정부기관 관련 뉴스)
비즈니스(정보보안 시장 및 업계 전반 이슈)
국제(정보보안 분야 해외 소식)
테크(신기술과 취약점 관련 뉴스)
오피니언(다양한 외부 전문가의 기고)
기타(댓글로)