[주말판] 보안 전문가들이라면 한 번쯤 봐야하는 영화 10

해커들 다룬 영화, 대부분 비현실적이고 전형적인 틀 못 벗어나긴 하지만
유명 IT 공상 과학 소설가인 깁슨의 영화부터 스노든 다큐멘터리까지

[보안뉴스 문가용 기자] 해커들이 등장하는 영화에 대해서 보안 커뮤니티는 그리 좋은 눈길을 보내지 않는다. 영화에 등장하는 해커들은 사회적 부적응자이지만 어쩐지 뛰어난 두뇌를 가지고 있는 유형들이고, 실제 해킹 과정은 어물쩍 넘어가거나 비현실적이며, 그 자리를 섹스, 폭력, 자동차 추격전, 폭발로 채워 넣고 있다면서 말이다.

[이미지 = iclickart]

뭐, 틀린 지적은 아니다. 사실 할리우드에서 나온 대부분의 영화는 저런 공식을 따르고 있다. 그럼에도 보안 업계에 종사하는 사람들이라면 해커 영화들을 한 번쯤 봐야한다고 생각하는 사람들도 있다. 예를 들어 보안 인식 제고 전문 업체인 노비포(KnowBe4)의 CEO인 스튜 슈베르만(Stu Sjouwerman)은 “공격의 기술을 세부적으로 보여주지 않을지는 몰라도, 공격의 동기와 시나리오라는 큰 그림을 그려내는 데에 있어서 영화들은 부족함이 없다”고 주장한다. 또한 “보안 위협에 대해 C레벨 임원들과 이야기를 할 때 좋은 소재가 되기도 한다”고 짚는다.

사이버 보안 분야를 전문으로 하는 캐피탈벤처 회사인 레인 캐피탈(Rain Capital)의 창립자 첸시 왕(Chexi Wang)은 “꽤나 현실적으로 해킹을 묘사한 좋은 영화나 드라마들도 존재한다”고 설명한다. “일반인 눈에는 잘 보이지 않거나, 잘 이해가 가지 않는 묘사들이 나오기도 하죠. 예를 들어 미스터로봇(Mr. Robot)이라는 드라마는 작가진이 실제 해커들의 상담을 받으면서 시나리오를 씁니다. 그래서 거기에 나오는 많은 일들과 대사들이 현실적인 해커 정보를 담고 있죠. 실제 IP주소가 언급되고, 실제 익스플로잇 코드가 읊어지기도 합니다. 사실 그런 작은 부분들은 저희 같은 해커들이나 알아챌 수 있긴 하지만요.”

보안 업체 비트 디스커버리(Bit Discovery)의 CEO 예레미야 그로스만(Jeremiah Grossman)은 “스노든(Snowden)과 같은 영화는 현재 발생하고 있는 시사 문제에 생각해보게 해주기 때문에 중요하다”고 짚는다. “스노든은 현 시대에 발생한, 어쩌면 가장 중요한 정부 기관 관련 폭로 사건을 다루는 영화입니다. 이 사건 속에 컴퓨터 보안, 개인의 사생활, 데이터 보안, 정부의 감시, 공공 정책, 국가 안보 등 많은 고민거리가 녹아 있다는 걸 알 수 있을 겁니다. 사이버 보안과 얽힌 이런 다양한 문제는, 이 업계에 종사하는 전문가라면 항상 염두에 두어야 할 것들입니다.”

이런 여러 전문가들의 의견을 모으고 모아 본지는 이번 주 주말, 목련이 팝콘처럼 터지는 봄을 맞아 보안 전문가들이 볼 만한 영화를 10개 모아보았다. 혹여 본지가 놓친 것들이 있다면 댓글로 공유해주시기를 부탁드린다.

1. 시티즌포(Citizenfour)

[이미지 = 네이버 영화]

에드워드 스노든(Edward Snowden)이 NSA의 검열과 감시 행태를 글렌 그린월드(Glenn Greenwald)라는 기자 등에게 폭로하는 과정을 실제로 찍어서 만든 다큐멘터리다. 로라 포이트러스(Laura Poitras)라는 영화 감독이 만들었다. 물론 스노든을 영웅이라고 보는 시각도 있고, 국가 반역을 저지른 범죄자라고 보는 의견도 있다. 스노든을 어느 쪽으로 바라보든 이 영화는 이 사건의 핵심 인물인 그린월드, 스노든, 포이트러스를 실제로 볼 수 있고, 그들이 어떤 식으로 이 사건을 접근해 가는지 그 현장을 생생히 접할 수 있다는 점에서 꽤나 흥미로운 볼거리가 될 것이다.

스노든의 폭로가 있은 후 실제로 변한 것이 무엇이 있나, 라고 묻는 사람들도 있다. 그의 폭로 이후에도 개인의 사생활 침해 문제는 더 나빠졌다고 볼 만한 일들이 발생했다. 하지만 스노든의 고발 덕분에 인터넷 시대에서 국가의 역할이란 무엇인가에 대한 중요한 논의가 촉발된 것도 사실이다. 그에 대한 결론이 나지 않았더라도 이야기가 진행 중이란 건 고민이 이어지고 있다는 것이라 충분히 긍정적이라고 볼 수도 있다. 또한 이 영화를 통해 내부자 위협이 발생하는 이유에 대해서 엿볼 수 있다는 것도 장점으로 작용할 수 있다.

2. 리스크(Risk)

[이미지 = 네이버 영화]

시티즌포를 만든 로라 포이트러스의 후속작인 리스크는 위키리크스(WikiLeaks)와 그 창립자인 줄리안 어산지(Julian Assange)를 다룬다. 특히 미국 아프가니스탄과 이라크에서 미군과 미국 정부가 펼치는 작전과 관련된 중요 정보들을 공개하는 ‘시민의 변호인’에서, 2016년 미국 대선 당시 민주당전국위원회(DNC) 해킹과 연루되면서 이미지가 추락하는 과정을 이 영화에서 그려냈다. 물론 모든 보안 전문가들이 정치에 관심을 둘 필요는 없지만, 시티즌포와 리스크는 실제 사건을 기반으로 내부자 위협을 다룬다는 면에 있어서도 정보보안 전문가들이 반드시 봐야 하는 영화다.

3. 밀레니엄 : 여자를 증오한 남자들(Girl with the Dragon Tattoo)

[이미지 = 네이버 영화]

스티그 라르손(Stieg Larsson)의 밀레니엄 3부 시리즈의 첫 번째 소설을 영화화한 작품으로, 할리우드 영화 공식인 섹스, 폭력, 배신, 자동차 추격신이 전부 들어있다. 게다가 꽤나 흥미로운 해킹도 등장한다. 심지어 주인공 해커는 사회 부적응자와 같은 면모를 가지고 있다. 모든 면에서 ‘프로토타입’과 같은 해킹 영화이지만, ‘해킹의 윤리’라는 측면에 대해서 중요한 질문을 던진다. 살인 사건을 해결하기 위해 하는 해킹은 윤리적일까? 욕심 많은 대기업은 해킹을 당해도 괜찮은 대상들인 걸까? 그렇다면 작은 기업들은 전부 정직한 조직일까? 영화 속에서 주인공 기자가 해커에게 “그 파일은 암호화 되어 있어요. 열 수 없다고요”라고 말했을 때 해커가 아무렇지도 않게 “그럴까요?”라고 말하는 장면은 꽤나 생각할 것을 많이 던져준다.

4. 트랙다운(Track Down) 혹은 테이크다운(Take Down)

[이미지 = 위키피디아]

2000년에 만들어진 이 영화는 보안 전문가 츠토무 시모무라(Tsutomu Shimomura)가 낸 동명(테이크다운)의 논픽션 책을 바탕으로 하고 있다. 츠코무 시모무라는 FBI와 함께 90년대 유명 해커인 케빈 미트닉(Kevin Mitnick)을 추적하는 과정에 참여했고, 그 경험을 ‘테이크 다운’이라는 책에 녹여냈다. 재미있는 건 이 책과 영화가 수사 윤리라는 측면에서 논란을 일으켰다는 것이다. 조나단 리트먼(Jonathan Littman)은 같은 사건을 미트닉 시점에서 다룬 책 ‘The Fugitive Game: Online with Kevin Mitnick’을 펴내면서 수사관 시점의 ‘테이크다운’을 비판하기도 했다. 실제 사건을 다뤘고, 해킹과 수사에 관한 윤리적 질문을 던진다는 의미에서 볼 만한 영화다. 책을 읽으면 좋겠지만 시모무라의 책이나 리트먼의 책 모두 한국에 출간되지 않아서 한계가 있다.

5. 인셉션(Inception)
2010년 센세이션을 일으키며 극장가를 휩쓸었던 영화인 ‘인셉션’은 타인의 무의식을 해킹해 정보를 탈취한다는 흥미로는 줄거리를 선보인다. 당연히 ‘컴퓨터 해킹’을 다룬 영화는 아니다. 그러나 실제 현상과 꿈속 세계에서의 색다른 경험과 통찰을 제공하고, 이 두 다른 세계가 어떤 식으로 교차할 수 있는지를 흥미로운 방식으로 제안하며, 인공지능, 머신 러닝, 가상 현실의 기술이 점점 더 발전하고 있는 지금, 기술의 역할과 기술을 다룰 줄 아는 자의 할 일에 대해서 생각해보게 해준다. 게다가 재미있다. 너무 유명한 영화라 포스터를 생략한다.

6. 이미테이션 게임(The Imitation Game)

[이미지 = 네이버 영화]

세계 2차대전 당시 암호 전문가 알란 튜링(Alan Turing)의 활약상을 그린 2014년 영화다. 알란 튜링과 그의 팀이 크리스토퍼(Christopher)라는 암호 해독 기계를 만들어 나치의 독일군이 매일 전송했던 에니그마(Enigma) 암호를 해독함으로써 연합군의 승리에 큰 기여를 했다는 역사적 사실과 더불어 알란 튜링의 개인적인 삶까지도 들여다보게 해준다. 다만 암호학과 전쟁에서의 공헌보다 그의 동성애 성향에 너무 초점을 맞췄다는 비판이 있기도 하다. 알란 튜링의 업적은 현대 정보보안 전문가들의 ‘일반 상식’이라는 측면에서 관람을 생각해봄직 하다.

7. 블랙코드(Blackhat)

[이미지 = 네이버 영화]

마이클 만(Michael Mann) 감독의 영화 ‘블랙코드’는 보안 전문가, 해커, IT 과학 전문가 모두에게 큰 비판을 받았다. 레인 캐피탈의 웡은 영화 속 대사를 하나 지적한다. “주인공 해커가 512비트 암호화 키를 해독하려면 1달이 필요하다고 말하는 장면이 있어요. 하지만 영화가 나온 2015년을 기준으로도 공공 키 암호화의 경우는 수 시간이면 크래킹이 가능한 게 현실입니다.” 포브스도 과학자인 제임스 콘카(James Conca)를 인용해 영화가 묘사한 핵 시설이 얼마나 잘못되었는지 하나하나 짚어내기도 했다. 그럼에도 블랙햇은 현대의 기술이 일상의 삶을 무서운 속도로 잠식하고 있다는 사실을 묘사하고 있다는 점에서 중요한 영화다. 특히 ICS를 둘러 싼 사이버 공격의 가능성을 시사한다는 점에서 빼놓을 수 없는 작품이기도 하다.

8. 후앰아이(Who Am I : No System Is Safe)

[이미지 = 네이버 영화]

독일의 해커 영화인 ‘후앰아이’가 던지는 질문은 보안에 있어 가장 기본적이고 근본적인 지점을 향해 있다. 바로 인간이 시스템의 가장 약한 고리라는 것이다. 대중 문화 매체인 INQPOP!은 이 영화를 ‘미스터로봇’과 비교하며, “해커들의 세계를 보여주되, 공포와 두려움을 조장하기 위해 마스크라는 장치를 사용하고, 음산한 분위기를 더하고 있다”고 설명한다. 해커에 대한 꽤나 실질적인 묘사를 하고 있다는 점에서 주목할 만한 영화다. 한글 자막만 있으면.

9. 코드명 J(Johnny Mnemonic)

[이미지 = 네이버 영화]

‘뉴로멘서(Neuromancer)’로 유명한 공상 과학 작가 윌리엄 깁슨(William Gibson)이 대본을 쓴 영화 ‘코드명 J’는 깁슨의 단편을 바탕으로 하고 있다. 영화는 95년 작품으로, 2021년을 그린 공상 과학 영화고, 주인공은 데이터를 운반해주는 용병이다. 영화 속 2021년에는 지구 위 대부분의 사람들이 지나치게 기술에 의존한 나머지 신경쇠약증과 비슷한 NAS라는 질병을 가지고 있다. 주인공 조니는 이를 낫게 할 ‘데이터’를 운반하고 있는데, 이 미션은 위험천만하다. 영화 속에 나오는 2021년은 지금과 비교했을 때 상당히 비슷한 부분이 많아 깁슨의 상상력이 얼마나 정확한지 확인할 수 있다. 다만 320기가바이트의 데이터를 옮기는 게 너무 무거워 보이는 것만 빼고 말이다. 이 영화를 추천한 건, 이 분야의 뛰어난 창작자인 깁슨에 대한 헌사다.

10. 론머맨(The Lawnmower Man)

[이미지 = 네이버 영화]

유명 작가 스티븐 킹(Stephen King)의 단편이 원작인 영화로, 과학과 군방산업이 잘못된 만남을 가졌을 때 어떠한 위험이 인류에게 있을 수 있는지를 다룬다. 물론 오래된 영화임을 감안해도 마치 50년대에 만든 공상 과학 영화 같은 느낌이 현대의 관객들에게는 거부감을 줄 수도 있다. 주인공은 한 과학자를 통해 슈퍼맨과 같은 존재로 거듭나며, 새로운 힘을 통해 메인프레임에 침투하고, 국제 전화망을 통제하기 시작하며 이야기가 끝난다. 전 세계 전화기가 동시에 울리는 장면으로 영화가 끝나는데, 이것의 꽤나 충격적이다.

이 영화가 나오고 나서 우리는 실제로 국가 첩보 기관이 놀라운 기술로 국민들을 감시하고 있었다는 걸 알게 됐고, 군과 기술 기업의 은밀히 이뤄지는 것도 보았다. 이 영화의 시나리오가, 그 오래된 때깔에도 불구하고, 마냥 비현실적이라고 볼 수는 없다.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)