[주말판] 초연결사회 초입에서 적자생존을 훌훌 털고

과학의 발견이 사회에 미치는 영향 지대해...이제 적자생존 버려야
쓸모없는 그루터기 500년간 키워온 숲 공동체...중소기업이 집중과제

[보안뉴스 국제부] 지금은 교육 과정에서부터 문과와 이과를 철저히 분리시켜 놓고 있어 수학 잘 하고 기계 잘 다룰 줄 알면 아름다운 시를 읽거나 숨 막힐 듯한 예술 작품을 눈앞에 놓고도 졸 것이라고 생각하고, 반대로 문학 소년 유형의 사람들은 전구도 갈아 끼지 못할 것 같지만, (그리고 실제 그런 사람들이 적잖이 존재하지만) 이 두 범주를 자유롭게 오가는 사람을 주위에서 접하기란 어려운 일이 아니다.

[이미지 = iclickart]

과학계에서 등장한 이론은 철학으로 옮겨가 새롭게 해석되기도 하고, 사회학적인 이론이나 구전으로 전해 내려오던 전설이 과학적 연구 과제가 되거나 증명되기도 한다. 세상의 많은 현상을 관찰하고 파헤치는 물리학자가 그 어떤 철학자보다 깊이 있는 성찰의 글을 써내는 건 드문 일이 아니고, 음악에 숙련된 사람들은 산술 계산에 능한 모습을 종종 보여준다. 인물화 잘 그리려면 해부학에 능통해야 한다고도 한다.

숲지기에게서 듣는 네트워크의 참 모습
그래서 깊이 있게 한 가지를 파는 것도 중요하지만, 자기 전문분야와 이런 저런 모습으로 얽혀 있는 타 분야를 배척하지 않는 것도 견지해야 할 일이라고 독일의 숲지기(Forrester) 페터 볼레벤(Peter Wohlleben)은 말한다. 25년 넘게 매일을 흙먼지 속에 온갖 장비를 휘두르며 나무를 심고 지키고 가꿔온 그의 때 묻은 작업복 속에는 나무 과학자인 동시에 철학자인 이가 있다. 또한 그는 과학도 아니고 철학도 아니라 오히려 각광받는 베스트셀러를 이미 10권 이상 집필한 작가이기도 하다.

평생 동안 ‘숲’을 키워온 페터 볼레벤은 “과학계의 이론이 사회는 물론이고 사람들의 살아가는 방식 자체를 완전히 바꿔놓는다”고 말한다. 그러면서 근현대는 ‘다윈의 시대’였다고 설명한다. “다윈이 주장한 적자생존(survival of the fittest)이 당대와 후대에 너무나 지대한 영향을 미쳤어요. 진화론의 찬반을 말하는 게 아닙니다. 강한 자만 살아남는다는 그의 이론이 등장하고부터 세상은 강자가 되기 위한 싸움터로 변질되었죠. 물론 그 전에도 강자가 살아남는 세상이 맞았습니다만, 과학계에서 홀연히 등장한 주장 하나가 강자가 되기 위해 동원되는 모든 수단들에 면죄부를 줬다는 겁니다.”

그가 숲에서 수십 년 동안 본 자연은 달랐다. “이미 생물학자들도 널리 알고 있는 바인데요, 나무들은 숫자를 세고, 기억을 하고, 경험을 통해 학습하기도 합니다. 그리고 그 지식을 주변에 있는 묘목들에게 전파해요. 숲에서 가장 오래된 나무는 모든 나무들의 엄마 역할을 하고, 아픈 나무는 가까운 곳에 있는 나무들이 돌보고 키웁니다. 적자생존의 원리 아래선 엄마 역할을 하는 나무가 모든 걸 독차지해서 크고 우람해야 하고, 아픈 나무는 일찌감치 죽어 없어져야 맞는데, 숲에서는 그런 일이 일어나지 않아요.”

그러면서 그는 자기가 관리하는 숲에서 생명을 유지하고 있는 그루터기를 예로 든다. “400~500년 전에 이곳 사람들이 벤 나무입니다. 뿌리만 남아있지 그 위로는 아무 것도 없어서 광합성이 불가능하죠. 살아남을 수가 없어야 정상이고, 안쪽은 분명히 썩어 있는데, 나무껍질과 그 바로 아래 있는 변재와 형성층은 계속 새롭게 생기고 있습니다. 즉 광합성도 못하는 나무 밑둥이 400~500년 동안 생명을 유지하고 있는 겁니다. 이웃해 있는 나무들이 뿌리를 통해 중요한 영양분을 공급해주고 있었기 때문이죠. 살아 있어봐야 솔직히 숲이란 커뮤니티 전체에 아무런 쓸모도 없는데 말이죠.”

여기서 큰 역할을 하는 게 땅속에 복잡하게 얽혀있는 나무뿌리들이다. 여느 네트워크 조직도만큼이나 숲의 땅 속은 얇고 굵은 뿌리들로 구성되어 있다. 이 뿌리들을 통해 지상에서는 뚝 떨어져 있는 나무들이 서로에게 소식을 전하고 영양분을 나누고 정보를 공유한다. “과학적으로 뿌리들끼리 균사체를 통해 전기 신호를 주고받는다는 건 밝혀졌습니다. 이런 복잡한 뿌리 네트워크를 과학자들은 우드 와이드 웹(WWW)이라고 부르기도 합니다. 전 나무들이 ‘말을 한다’고 표현하고요.”

페터 볼레벤에 따르면 나무들은 이 WWW를 통해 방어 체계도 구축한다고 한다. “나뭇잎을 먹는 곤충들에 공격을 당하면 나무들은 독특한 향을 발산해 서로에게 경고 신호를 보냅니다. 바람이 매개체가 되어 이 향을 실어 나르죠. 당연히 WWW의 전기 신호로도 메시지는 발산되고 또 수신됩니다. 숲 전체에 알람이 조용히 울리기 시작한다고 생각하시면 됩니다. 그러면 각 나무가 자신만의 방어 체계를 운영하기 시작하지요.”

재미있는 건 숲이 있다고 해서 나무들이 죄다 공동체로 움직이는 건 아니라는 것이다. “나무들의 목소리를 들을 수 있는 건 굉장히 오래된(ancient) 숲에서만 가능합니다. 현대 사회에서 숲을 조성할 때는 나무 한 그루 한 그루의 외관적인 배치에만 신경을 쓰다 보니 나무의 집단이 되어버릴 뿐 숲이 되는 건 아닙니다. 그 증거로 숲 유지에 반드시 필요한 곰팡이나 각종 균들이 활동하지 않고 뿌리 네트워크가 미비하죠. 이런 환경에서는 베인 나무 그루터기가 생명을 유지하지 못합니다.”

숲의 모양만 겨우 갖추었지 그 안에 있는 보이지 않는 것들이 무시되어 진정한 숲이 되지 못하는 이유에 대해 볼레벤은 “나무가 빨리 자라는 것 자체가 목적이기 때문”이라고 설명한다. “빨리 자라야 보기 좋게 울창해지고, 굵은 목재를 마음껏 쓸 수 있게 되니까요. 그렇지만 이런 식으로 자란 나무들은 목재로서도 가치가 떨어집니다. 숲다운 숲의 공동체 안에서 자란 나무들보다 내실이 있지 못하죠. 그 차이는 만져만 봐도 느껴질 정도입니다. 그래서 시장에서 가격 차이도 제법 나는 편이죠.”

결국 나무를 목재, 즉 지나치게 경제학적으로 이해하기 시작했을 때 숲이 사라지고 튼튼한 나무를 잃어가게 되었다는 것이다. “25년 전 전임자에게 숲 관리에 대해서 배웠을 때 ‘큰 그림을 보고 나무를 돌봐야 한다’는 말을 들었어요. 나무들의 WWW가 살아있고, 그걸 통해 ‘이야기를 나누는’ 숲을 만들어야 튼튼한 나무가 자란다는 것이라는 걸 당시는 깨닫지 못했습니다만, 여기서 나무들을 만지고 공부하다보니 그 말이 제 것이 되더라고요.”

그 큰 그림을 보게 되니 자기가 ‘나무를 위한답시고’ 했던 일들이 오히려 나무들을 망치고 있다는 사실을 번뜩 깨닫게 되었다고 볼레벤은 말한다. “아무렇지도 않게 사용했던 중장비 기계들을 보니 땅을 다 뒤엎고 다른 나무의 뿌리들을 상하게 하더군요. 자연스럽게 다져진 땅이 갑작스럽게 흐트러지면 균사체 층이 파괴됩니다. 나무들 사이의 통신 매개체가 사라지는 것이죠. 그래서 전 다시 말(horse)을 사용하기 시작했습니다. 숲 전체를 키워낸다는 개념으로 보니, 살충제 사용도 멈출 수밖에 없더군요. 자연의 ‘소셜 네트워크’를 함께 보존해주는 것이 나무 한 그루 한 그루 잘 키워내는 길입니다.”

또한 볼레벤은 ‘시간 개념’에 대한 이해도 중요하다고 강조한다. “나무의 시간대(time frame)와 사람의 시간대는 다릅니다. 같은 공간에 있긴 하지만 전혀 다른 시간의 흐름 속에서 살고 있는 거예요. 그래서 나무들의 상호작용이 우리 눈엔 보이지 않는 것이죠. 아니, 우리 눈으로는 도저히 무슨 일이 일어나고 있는지 알아챌 수가 없어요. 나무의 시간이 너무 느린 것일까요? 우리가 너무 빠르게 살아가는 건 아닐까요?”

모두가 IT 기술로 연결된 초연결사회에 대해서 그는 “잘 모른다”고 말한다. 대략의 개념을 설명해주자 “그런 환경 속에서 각 기업이나 사람이 튼튼한 나무가 되는 것보다 모두가 숲이 되는 법을 배우지 않으면 힘들 것 같다”고 조심스럽게 의견을 제시한다. “모두가 연결된 사회라는 게 반드시 필요한 것처럼 보이진 않습니다만, 그것이 시대의 흐름이라면 숲에서 나무들이 살아가는 방식을 배워야 할 것 같습니다. 다윈의 시대에 적자생존을 배워 사회 모든 분야에 적용했듯이 말입니다. 사실 나무뿐만 아니라 많은 자연의 생물들이 협조하며 살아가고 있죠. 다윈이 그걸 강조했다면 지금 우린 어떤 사회 속에서 살아가고 있을까요?”

초연결사회의 초입, 중소기업을 고민해야
보안 업체 IDRAA의 창립자이자 보안 전문가인 조슈아 골드팝(Joshua Goldfarb) 역시 “초연결사회로 접어드는 지금이 중소기업을 품어야 할 때”라고 강조하는 인물이다. 보안 전문가이기 때문에 그가 내세우는 주장의 근거는 “보안은 가장 약한 곳만큼만 강력하다”라는 이 계통의 오래된 격언이다. “지금도 우회 공격이 판을 치고 있는데, 중소기업들용 인터넷과 대기업용 인터넷을 분리시킬 것이 아니라면 공격자들은 반드시 대기업이나 정부기관으로 가는 길을 중소기업에서부터 찾아낼 것입니다.” 다음은 그가 기고한 칼럼 전문이다.

정보보안부터 중소기업을 품어야 한다
미군은 ‘전사의 기풍(Warrior Ethos)’을 자부한다. 하나의 문화라고 할 수 있는데, ‘단 한 사람도 버리고 떠나지 않는다’는 게 핵심 원칙이다. 실제 복무신조에도 “나는 절대 쓰러진 전우를 남겨두고 떠나지 않을 것입니다”라는 문장이 있다. 독자가 복무 경험이 있든 없든, 보안 업계는 이런 군 문화에서 분명히 배울 점이 있다.

현재의 보안 업계는 신뢰에 크게 의존한다. 철저하게 검사하고 긴밀하게 연결된 신뢰의 공동체라고 할 수 있다. 그렇기에 보안 전문가 개인이라면 스스로 믿을만한 존재라는 걸 완전히 입증하기 전까지는 보안 사회의 신뢰를 얻을 수 없다. 기업이라면 민감한 정보를 적절하게 다룰 수 있다고 신뢰되기 전에는 특정한 장(場)에 참여하거나 정보 공유 모임에 낄 수 없다. 보안 업체들은 보안 사회의 구성원으로 따라오는 책임을 이해했다고 증명하기 전에는 대학 동아리처럼 여겨질 뿐이다.

안전을 꾀하는 집단이니 최대한 검증을 하겠다는 것이 나쁜 건 아니다. 그러나 문제가 없다고 할 수도 없다. 지나친 엘리트주의 혹은 ‘끼리끼리 문화’가 형성되기 딱 좋은 토양이 되기 때문이다.

잠시 한 걸음 물러나, 보안 업체 입장에서 한 번 생각해보자. 수많은 보안 업체들이 동일한 회사와 수년 간 함께 작업한다. 적게는 5년에서 길게는 20년까지 협력한다. 즉, 회사들이 새로운 보안 업체를 잘 구하지 않는다는 거다. 이 업계에는 새로운 만남이 좀처럼 일어나지 않는다.

여기에는 물론 타당한 이유들이 있다. 정보보안 부문에서 신뢰 받는, 질 좋은 솔루션을 개발하는 데 엄청난 시간과 노력, 그리고 자금이 필요하다. 게다가 곳곳에 솔루션을 홍보하고, 팔고, 배치하는 데에도 엄청난 시간이 걸린다. 이런 다양한 변수들을 제대로 조합해낼 수 있는 업체도 그리 많지 않다. 보안 할 줄 안다는 일방적인 주장만 듣고 덥석 파트너십을 맺을 수 없는 노릇이다. 그러나 그렇기 때문에 시장으로의 진입 장벽이 높고, 신생 기업은 M&A만 노릴 수밖에 없게 된다. 문제 해결의 다양성이 뿌리부터 제거된다는 뜻이다.

그러니 보안 서비스를 받는 기업들 역시 ‘획일화된’ 방식으로 보안에 접근한다. 그 획일화된 방식이 무엇일까? 위험을 우선순위에 따라 정리하고, 구멍이 어딘지 파악하고, 그 구멍을 메우고 위험을 줄이기 위해 필요한 사람, 절차, 기술을 파악하고 적용하는 것이다. 이는 가장 확실하고도 방법적인 접근법인 것 같지만 엄청난 자원을 필요로 한다. 시간, 사람, 돈의 3박자가 딱 갖춰진 기업만 사용할 수 있는 사치스러운 모델인 것이다.

그러니 소규모 기업은 이 해결방법이 부담스러울 수밖에. 예를 들어, 전형적인 중간 규모의 회사를 생각해보자. 그 회사의 보안 팀은 기껏해야 한 명에서 다섯 명으로 구성돼있을 것이다. 보안 예산도 회사 규모, 산업 부문, 지리적 위치 등에 따라 수백만 달러 선에서 그칠 것이다. 이들은 이런 전형적인 문제 해결 모델을 포기할 수밖에 없다. 아니면 일부만 사용해, 사실은 있으나 마나한 서비스를 받는 데 만족해야 한다.

안타깝게도 이런 기업들은 보안 사회에서 종종 버려진다. 신뢰의 공동체에 낄 수 없게 돼 보안 개선에 도움을 받지도 못한다. 자체적으로 보안 전략을 평가하고 개발하는 것 정도에서 연간 보안 예산이 다 쓰일 것이다. 중간 규모의 기업이 맞닥뜨리게 될 위험을 줄이고 보안 구멍들을 메우기 위해서는 여러 종류의 기술이 필요한데, 이런 것들을 확보, 배치, 운영, 유지하는 데 들어가는 비용은 말할 것도 없다. 간단히 말해, 중소기업은 매일 실제적으로 보안을 적용하는 데 필수적인 인력, 절차, 기술 등 이 모든 것을 운영할 여력이 충분치 않다. 결과적으로 이런 기업들은 뒤에 방치된다. 불행한 일이다.

보안을 중심으로 한 우리 업계가 조금은 더 열려 있어야 한다. 다가오기 쉽게 스스로를 바꿀 필요가 있다. 물론 완전히 열어 신뢰에 금이 가서는 안 되겠지만 말이다. 이를 위해선 스스로 중소기업들에 다가가 자발적인 교육 기회를 제공하고 상담도 해줄 수 있어야 한다. 또한 보안 커뮤니티 내부적으로도 중소기업의 고민들과 당면과제를 이해해야 한다. 나무 한 그루 잘 기르려면 숲 전체를 고려해야 한다는 볼레벤의 말을 배울 필요가 있다.

지난 수년 간, 위협 행위자는 그 관리자가 누군지 상관 않고 일상적으로 개인정보 보유 기업들을 공격해왔다. 기업의 규모나 산업 부문, 지리적 위치도 가리지 않았다. 중소기업의 보안을 향상하는 건 하룻밤 사이에 이룰 수 있는 과제는 아니다. 그러나 나무의 시간처럼, 눈에 보이지 않는 것 같아도, 간과하지 말고 꾸준히 추진해야 할 프로젝트이기도 하다. 그것이 결국은 보안 커뮤니티란 커다란 숲과 그 속에 속한 우리 한 사람 한 사람이 건강해지는 길이다.
[국제부 문가용 기자(globoan@boannews.com)]
[국제부 오다인 기자(boan2@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)