보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[보안&영화] ‘퍼시픽 림’에서의 바다, 보안에서의 내부자 위협, 그리고 번아웃

입력 : 2024-06-09 18:36
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
덩치들이 치고 받고 싸우는 게 다인 것처럼 보이는 영화이고, 어쩌면 그게 맞을지도 모르지만, 눈 크게 뜨고 찾아보면 의외의 재미 요소가 있더라.

[보안뉴스 문가용 기자] 보통 수학에서 무한이라는 개념을 배울 때 우리는 ‘더하기’라는 개념을 활용한다. 어떤 숫자라도 ‘더하기 1’을 할 수 있으므로 숫자는 끝없이 커지고, 그것을 ‘무한하다’라고 규정한다. 수학의 초보라도 이 설명은 얼마든지 이해할 수 있고, 상상하기도 쉽다. 하지만 수학에는 ‘나누기’에 기반을 둔 무한도 존재한다. 1과 2 사이를 끝없이 ‘나누기 2’ 할 수 있으므로 숫자는 영원히 작아지고, 그것 역시 ‘무한하다.’ 이 개념은 정수를 넘어 분수와 소수까지도 알고 있어야 이해할 수 있다.

[이미지=네이버 영화]


사람이 일생 동안 경험하기 힘든 큰 숫자 너머의 무한은 도리어 쉽게 납득이 가는데, 1과 2라는 가장 기초적인 숫자 사이에 깊은 무한의 구덩이가 존재한다는 것은 새삼스럽고 신비롭기까지 하다. 어차피 모르는 것 너머에 모르는 게 하나 더 있다고 심리적 장벽이 발동되지 않는데, 확실히 안다고 생각하는 것들 사이에서 모르는 게 등장하면 받아들이는 게 어렵기 마련이다. 그래서 우리는 꺼진 불도 다시 봐야 한다고 서로를 상기시키는 지도 모르겠다.

영화 ‘퍼시픽 림’은 거대 괴물과 거대 로봇이 격투를 벌이는 것으로 집중을 받는 영화이지만, 사실 외계인의 침공을 다룬 SF 영화의 흔한 공식을 깬 영화이기도 하다. 대부분 SF 영화에서 지구를 침략하는 외계인들은 저 멀리 우주 바깥에서부터 날아온다. 그런 소재를 통해 안드로메다라는 천문학 이름이 일반 대중들에게 친숙해지기도 하고, 가끔은 캄캄한 하늘의 별들이 미지의 눈동자가 보내는 응시처럼 보이기도 한다. 하지만 ‘퍼시픽 림’에서 침략자들은 우리의 바다에서 나온다. 날마다 해산물을 잡아올리고, 온갖 물건들을 유통하고, 여름마다 풍덩 뛰어드는 바로 그 바다 말이다.

사실 조금 더 알고 보면 이 ‘퍼시픽 림’의 설정은 그리 엉뚱하거나, 판을 뒤집는 정도의 기발한 발상은 아니다. 인류는 바다(정확히 말하면 심해)보다 우주를 더 잘 알고 있기 때문이다. 우주에 대해서도 우리는 뭘 알고 있다 말하기 힘들 정도의 희박한 지식만 가지고 있는데, 심해에 대해서는 거의 아는 게 없다고 한다. 해변과 해변 사이에 긴 세월 미지로 남아있는 어두운 구덩이가 존재한다는 건, 1과 2 사이에 무한이 존재한다는 것과 비슷한 정도의 아찔한 신비감을 자아낸다. 우주의 광활함이 보는 사람을 겸손하게 만든다고도 하는데, 1과 2를 들여다봐도 결론은 비슷하다. 굳이 허블망원경을 통하지 않더라도 우리를 겸손하게 만드는 것들은 도처에 널려 있다.

그런 것들 중 하나가 바로 ‘내부자’이다. 우리가 매일 얼굴을 마주하고 이야기를 나누는 상대들이다. 스스럼 없는 옆 자리 동료나 부하직원, 조금은 어렵지만 방향 설정이나 조언을 위해서 늘 접해야 하는 상사나 임원진, 사업 진행을 위해 주기적으로 연락하는 서드파티 모두가 내부자에 속한다. 한 길 사람 속을 알기 힘들다고, 이 익숙한 얼굴들이 만들어내는 무한한 종류의 위협들은 보안 전문가들을 때론 허탈하게, 때론 겸손하게 만든다. 보안의 측면에서는 국경 너머 먼 나라에서 불쑥 침입해 들어오는 해커들보다 더 무서울 수 있는 게 이들이다. 직장 내 친숙한 이들로부터 시작되는 위협들을 ‘내부자 위협’이라고 한다.

내부자 위협은 크게 세 가지로 요약할 수 있다.
1) 소셜엔지니어링이나 피싱 공격에 속아서 회사의 문을 열어주는 사람.
2) 보안 규정을 숙지하지 않거나 실수로 어겨 공격 통로를 뚫어주는 사람.
3) 회사에 앙심을 품고 각종 기밀을 빼돌리거나 중요 데이터를 삭제하는 사람.

교육과 훈련, 엄격한 규정 도입을 통해 발생 가능성을 줄일 수 있긴 하지만 0%로 만드는 것은 불가능한 것으로 아직까지는 알려져 있다. 다시 말해 위 세 가지 중 하나가 발생할 가능성은 0보다 무한히 높다는 것이다.

‘내부자 위협’은 우주 반대편이나 심해처럼 현재의 기술과 지식으로는 영원히 정복할 수 없을 것처럼 보인다. 아마 꽤 오랜 시간 그럴 것이다. 즉, 영원히 도달할 수 없는 목표라는 건데, 그렇다면 그런 목표에 의미가 있을 수 있을까? 너무 높은 목표는 오히려 좌절감의 원천이 되는 게 보통인데 말이다. 내부자 위협을 잡는다고 임직원들을 계속해서 교육하고 때마다 보안 정책을 개편하는 수고가, 절대로 닿을 수 없는 무언가를 향한 더하기 1이나 나누기 2에 불과하다면, 보안 담당자들이 피로감과 번아웃에 시달리는 게 당연하다. 무한을 향해 달려가더라도 중간중간 휴게소가 있어야 한다.

보안 전문가들의 번아웃의 이유를 논할 때 잘 언급되지 않는 것 중 하나가 바로 ‘목표에 도달할 수 없음’이다. 만약 기자가 아무리 원고를 쓰고 또 써도 영원히 마지막 문단을 작성할 수 없다면 하는 일에 애착이 생기기는커녕 질리기부터 할 것이다. 영원히 플레이팅에 도달할 수 없는 요리사라면, 골인 지점이 없는 경주에 참가한 마라토너라면, 같은 단원을 수년 째 넘어가지 못하는 학생을 지도하는 교사라면, 비슷한 절망감에 부딪힐 것이다. 완료할 수 있다는 것만큼 큰 축복이 없다.

그렇다고 미완의 운명이 꼭 저주인 건 아니다. 예를 들어 궁극의 지식이나 앎을 추구하는 과학이라는 분야를, 여태 해저 속 한 번 제대로 들여다보지 못했다고 해서 의미 없는 학문이라고 폄하하지 못할 것이다. 불로장생의 꿈을 이루지 못하는 의학이라도 오늘 밤 많은 사람들의 고통을 경감시키고 있으며, 느리고 허점 투성이라는 법도 영원한 정의 추구의 과정 속에서 사회 질서의 다양한 모습들(실패부터 성공까지)을 연출해 단조롭지 않은 미래로 우리 모두가 나아가게 한다. 도달할 수 없는 목표는, 오히려 포기하지 않을 때 의외의 것들을 얻게 해 주기도 한다. 완료가 없을지라도, 열매가 없지는 않다는 걸 우리는 알고 있다.

무슨 수를 써도 내부자 위협이 0으로 내려가지 않는다는 건 변하지 않는 사실이다. 하지만 그것 때문에 모든 보안 교육이나 여러 가지 시도가 무의미할 수밖에 없다는 건 거짓이다. 현상을 원인과 결과로밖에 보지 못하는 ‘단순한 세계관’에서부터 이 거짓은 비롯된다. 내가 바라는 열매 외의 열매는 열매일 수 없다는 ‘미리 정해진’ 결론도 이 거짓의 큰 지분을 차지한다. 다른 말로 바꾸면 전자는 ‘편협’이고, 후자는 ‘오만’이다. 작고 사소한 것을 열매로서 즐길 수 있는 마음이 이 두 가지를 해소시킬 수 있고, 거짓을 완화시킬 수 있다. 이 마음을 ‘감사’라고 한다.

커뮤니티 댓글에서부터 방방곡곡 나부끼는 정치인들 현수막까지, 어디서고 불평이 넘쳐나는 때다. 오죽하면 ‘프로불편러’라는 신조어까지 나왔을까. 문제가 있다면 지적해 고치는 게 틀린 일은 아니지만, 모두가 해결사가 되려 할 때 감사할 줄 아는 능력이 희귀해지고 있다. 그러면서 편협과 오만이 만연해지고, 세상살이 자체는 번아웃으로 정의된다. 보안만의 이야기가 아니지만, 모든 상상력을 동원해 구멍과 약점과 공격 가능성을 찾아내야 하는 보안 담당자들이기 때문에 유독 보안에 해당하는 말이 된다. 직업 자체의 특성과 시대의 흐름이 너무나 완벽히 맞물리는 통에 이 계통에서의 번아웃이 두드러진다는 것이다.

이 번아웃을 해결하기 위해 우리가 배양해야 하는 건 업무를 나눠할 수 있는 동료나 후배이기도 하고, 단순 업무에서 우리를 해방시켜줄 인공지능 기술이기도 하지만, 약점과 불안정성을 매일 찾아내야 하는 업무 가운데에서도 발휘되어야 하는 감사의 능력(혹은 습관)일지도 모른다. 첩첩이 쌓인 문제들 속에서 불만을 갖는 건 누구나 할 수 있는 일이다. 그 가운데서 감사거리를 찾는 게 능력이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)