[기자수첩] 보안 취약점 패치는 최소한의 진심이다

합리적이고 합법적인 것을 추구하는 시대라 진심에 더 목말라

[보안뉴스 문가용 기자] ‘장삿속’이라는 말에는 그리 유쾌하지 않은 뉘앙스가 들어 있다. 사업가에게 장삿속이 보인다는 말은 대부분의 경우 모욕에 가깝다. 돈을 자유롭게, 그리고 정당하게 버는 것이 누구나에게 허락된 자본주의 사회에서도 이 단어는 부정적인 것에 가깝다. 그렇다고 수단과 방법을 가리지 않고 수입을 추구하는 범죄 행위를 가리키는 말은 아니다. 사전을 찾아보면 ‘이윤을 꾀하는 장사치의 속마음’이라고 나와 있을 뿐이다. 그래도 우리는 ‘장삿속’을 말할 때 손가락질을 동반하거나 혀를 반주처럼 찬다.

[이미지 = utoimage]

‘정치적’이라는 꾸밈씨도 비슷한 신세다. 원래는 ‘정치와 관련된’이라는 단순한 뜻을 가졌을 뿐인데 그간 모든 정치인들이 예외 없이 보여준 행동이 그러해서인지 ‘정치적이다’라고 하면 ‘일관된 기준 없이 처지에 따라 이리 저리 영악하게 움직인다’ 즉, ‘간사하다’ 정도의 뜻으로 실생활에서는 사용되고 있다. 건조한 사전적 정의와 일상 속 용례에 괴리가 조그맣게 발견되고 있다.

이 괴리는 무엇일까? 최근 판결난 조영남 씨 대작 사건에 오는 대중들의 일반적인 반응에 힌트가 있다. ‘일반적으로’ 화가라고 하면 손으로 그림을 잘 그리는 사람이라고 우리 비전문가들은 생각하고 또 기대한다. 그러나 이미 미술을 전문으로 하는 전문가 집단에서는 생각과 아이디어만으로도 화가가 될 수 있고, 손으로 그림을 잘 그리는 건 부차적인 능력이라고 합의를 이미 오래 전에 봤다고 하니, 그럴 수도 있겠다고 생각은 하지만 썩 공감이 가질 않는다. 바로 그 괴리. 딱히 반박하기도 쉽지 않은데, 그렇다고 선뜻 동의되지 않는 것들이 있다.

기자는 그 괴리 속에 진실과 진심에 대한 인간의 추구 본능이 숨어 있다고 생각한다. 합리적이고 합법적이면 다 괜찮은 것이 현대 사회가 전면에 내세우는 가치관이지만, 그것만으로 충족되지 않는 공허함이 우리에게 있는 것이다. 물건을 파는 사람이라는 걸 알지만 마음 한 구석에서는 그 사람이 객관적으로 평을 하고 있다고 믿고 싶고, 내 이상을 실현해줄 것만 같았던 정치인이라면 당리 따위 거들떠도 보지 않을 것이라고 기대하고, 화가라면 자기 생각을 자기 손으로 표현할 수 있어야 한다고 으레 받아들이게 되는 건, 사람은 진실이란 것에 항상 목마른 존재라서다.

사물인터넷이 그야말로 폭발하고 있는 시대에 이 진실은 더 많은 형태로 이슈화 될 것이라고 예상한다. 각종 애플리케이션 개발사들이나 장비 제조사들이 ‘우리는 단순히 물건을 만들고 기능을 제공하는 게 아니다’라는 걸 강조하기 위해 생활의 혁명이나, 인간 편리의 추구, 생명 연장 등 커다란 틀에서의 가치를 실현하고 있다고 꾸준히 설파해온 것이 심판대에 오를 차례가 임박했다고 느낀다는 것이 더 정확한 표현일지도 모르겠다. ‘당신이 정말 환자의 건강을 위해 최선을 다하는 기업인가?’ ‘거짓이 없는, 진실된 정보의 유포를 위해 당신 기업이 정말로 헌신하고 있는가?’ 소비자들이 물을 차례라는 것이다.

그것에 대해 기업이나 서비스 제공자들은 어떻게 답해야 할까? 얕은 수에 익숙한 이들은 소셜미디어에서 세치 혀를 놀리겠고, 그래도 어느 정도 정직한 자들은 상품과 서비스의 질로서 답하겠다고 할 것이다. 그런데 사물인터넷 시대에는 진실을 담은 마음, 진심을 증명하는 방법이 하나 더 있다. 바로 패치다. 인간의 건강을 위한다는 장비 제조사가 누군가 제보한 취약점 정보, 그것도 생명과 관련이 있는 것에 오히려 해킹 범죄자라고 노발대발하며 고소를 준비하는 경우와 취약점 패치를 개발하는 경우, 어느 쪽에 소비자들은 진심을 느낄까?

최근 독일의 한 대학에서 서명된 PDF 파일을 조작하는 해킹 기법을 연구해 발표했다. 대표적인 PDF 뷰어 프로그램들에서 이 기법이 통하는 것으로 나타났다. 그러나 이 대학에서 접촉을 시도했을 때 얼른 패치를 개발하고, 그래서 발표 일자에 맞춰 문제 해결책을 내놓은 기업은 딱 세 군데였다. 그렇다면 이 소식을 접한 소비자들은 다음 PDF 뷰어 프로그램을 구할 때 어느 회사 것을 신뢰할까?

약 10일 전, 안전한 가정용 라우터를 만든다는 각종 회사들의 제품을 분석했을 때, 대부분 공짜로 구할 수 있는 오래된 OS를 사용하고 있었고 비밀번호 설정 규정도 엉성하기 짝이 없었다는, 라우터 산업 전체에 대한 혹평 가득한 보고서가 나온 바 있다. 그중에서도 그나마 나은 세 회사가 꼽히고 언급됐는데, 그 이유는 패치를 가장 자주하는 회사였기 때문이다.

혹여 패치가 귀찮은 작업이라고 느끼는 회사가 있다면 사물인터넷 시대가 본격적으로 도래하기 전에 생각을 바꾸기를 권한다. 패치는 귀찮은 A/S의 연장이 아니라, 당신의 진심을 가장 손쉽고 설득력 있게 공표할 수 있는 방법이다. 물론 그 진심이라는 게 애초에 있다면 말이다.
[문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)