"만약 컴퓨터가 없으면 사이버 보안 사고가 없을 것이다. 또한 만약 사람이 존재하지 않아도 사이버 보안 사고는 없을 것이다. 그렇기 때문에 기술에만 초점을 맞춰서 문제를 해결하려고 하는 것은 완전한 해결 방안이 될 수 없고, 우리는 보안 문제에 있어서 ‘사람’을 고려해야 한다."
보안 분야 세계적 석학인 미국 퍼듀대학교 유진 스패포드(Eugene Spafford) 교수가 10월 15일 안랩 테마특강에서 한 말이다.
안랩 테마특강은 안랩 임직원에게 다양한 지식과 문화교양에 대한 교육 프로그램. 이번 테마특강은 세계지식포럼 참석차 방한한 유진 스패포드 교수가 “기존 사이버 보안의 방식을 깨고자 하는 사람의 사이버 보안에 대한 몇 가지 생각”이라는 강연으로 진행되었다.
스패포드 교수는 퍼듀대학교 컴퓨터공학과 교수이자 보안연구센터(CERIAS) 소장으로 컴퓨팅 시스템에 대한 보안 관련 연구 및 강의를 오래 해왔으며, 미국컴퓨터협회(ACM), 미국과학진흥협회(AAAS) 그리고 국제전기전자기술자협회(IEEE) 펠로우이다.
김홍선 대표의 소개로 단상에 올라선 스패포드 교수는 상당히 푸근한 모습이었다. “Good afternoon!”이라는 인사로 시작했는데, 안랩인들이 다 같이 “Good afternoon!”하고 인사하는 모습은 마치 영어 수업에 온 듯 했다. 하지만 이내 곧 본 강연에 들어갔다.
먼저 스패포드 교수가 소장으로 있는 CERIAS에 대한 짧은 소개가 이뤄졌다. CERIAS는 퍼듀대학교에 소속된 곳으로 정보 보호와 보안에 관련된 교육과 연구를 하고 있는 기관이다. 단순히 전산학과와만 관련 있는 것이 아닌 다양한 학과의 분야를 넘나들고 있다. 실제로 보안과 관련된 연구와는 다소 동떨어졌다고 생각할 수 있는 경제학이나 언어학, 원자력공학, 정치학, 심리학, 사회학, 로보틱스 등 다양한 분야를 같이 다루고 있다. 이러한 사실은 강연 뒷 부분에서 다루는 내용과 관련이 있었다.
CERIAS를 소개한 후, ‘사이버 보안에 대한 몇 가지 생각’이라는 주제에 대해 본격적으로 이야기하기 시작했다. 이야기는 크게 두 부분으로, 하나는 “현재 발생하는 보안 문제에 대한 기본적인 배경과 현재의 상황”, 다른 하나는 “본인이 생각하는 미래에 발생할 수 있는 새로운 보안 문제”였다. 다음은 주요 내용.
대부분의 사람은 큰 그림을 본다든지 장기간의 안목으로 보는 것 대신 문제를 해결하는 것에만 집중한다. 또한 세상이 빠르게 변하는 것에 휩쓸려서 그 순간순간에만 집중을 한다. 만약 우리가 잠깐 멈추고 한 발짝 뒤로 물러서서 긴 안목으로 본다면 미래에 어떤 일이 발생할 지에 대한 실마리를 얻을 수 있다.
IT로 인해 세상은 어떻게 변화해 왔나
마이크로 칩에 들어가는 트랜지스터의 숫자는 무어의 법칙에 따라 몇 년 전까지 18개월에 2배씩 증가하였고, 가격은 급격하게 떨어졌으며, 매년 생산되는 양은 엄청나게 증가하였다. 또한 저장 장치의 경우 집적도는 증가하고, 가격은 떨어져서 우리가 컴퓨터를 사용하는 환경에 큰 영향을 주었다. 예를 들어 1958년 IBM에서 만든 컴퓨터는 건물에서 공간을 많이 차지한 대단히 큰 컴퓨터였는데, 현재 가치로 4300만 달러의 가격이었다.
반면 우리가 일상생활에서 쉽게 볼 수 있는, 음악이 나오도록 칩이 들어있는 축하카드는 가격이 보통 10달러 정도이다. 그런데 그 카드에 들어가 있는 칩이 1958년 당시의 비싸고 거대한 컴퓨터보다 성능이 더 좋다. 또한 25년 전 가장 빠른 슈퍼 컴퓨터였던 Cray-1과 현재의 아이폰을 비교해보면 현재의 아이폰이 25년 전 가장 빨랐던 컴퓨터보다 성능이 좋다.
이러한 것을 고려하면 미래엔 더 작아지고 쉽게 사용가능하도록 될 것이라 생각한다. 물론 나도 어떻게 변화할지는 모른다. 하지만 여러분이 그러한 미래를 생각해보면 좋겠다. 왜냐하면 미래에 여러분의 생활이 될 것이고, 그렇게 만들어지는 제품들 역시 안랩인들이 안전하게 보호해야 할 제품들이 될 것이다.
보안을 다룰 때 고려할 문제의 큰 부분이 'Legacy Loop'이다. 'Legacy Loop'이란 하드웨어의 복잡도가 높아지는 것과 소프트웨어가 진보되는 것이 서로 끊임없이 영향을 준다는 의미이며, 우리 주변에 있는 모든 제품에 적용된다.
우리가 소프트웨어에 더 많은 기능을 추가할수록 기능이 느려지고 문제가 생겨서 하드웨어를 업그레이드하면 그 하드웨어의 업그레이드에 맞춰서 다시 소프트웨어가 더 발전한다. 그러면 또 다시 더 높은 성능의 하드웨어가 필요하고 이것이 끊임없이 반복된다. 과거에 만들어진 틀에 갇혀서 그것을 기반으로만 발전하는 경우가 많아서 과거에 겪은 문제들을 우리는 지금까지도 비슷하게 겪고 있고, 과거의 기준으로 만들어진 것들을 여전히 따라야 하는 경우가 많다.
최초의 방화벽은 윈도우의 문제를 해결하기 위해 1989년에 만들어졌다. 또한 모리스 웜이 만들어진 지 벌써 25년이 지났다. 1988년 당시에 알려진 바이러스는 우리가 직접 하나하나 셀 수 있을 정도로 몇 십 개에 불과했지만 현재는 1억 8천만 개의 바이러스가 알려져 있고, 매주 180만개씩 증가하고 있다. 매년 다양한 플랫폼의 소프트웨어에서 8000개의 보안과 관련된 결함이 밝혀지고 있다. 또한 스팸도 꽤나 큰 문제인데, 일반적으로 스팸메일과 스팸이 아닌 메일의 비율이 약 3대 1 수준이다.
핸드폰이나 모바일 기기에는 3000개가 넘는 악성 소프트웨어가 존재하고, 패스워드를 빼내려는 악성 트로이목마가 매년 1백만 개씩 새로 만들어지며, 가짜 바이러스 백신 프로그램이 150만 개가 넘는다. 또한 2011년에는 475건 이상의 정보 유출 사고가 일어났는데, 그 결과 3천만 개가 넘는 기록들이 유출되었다
하지만 여기에는 문제가 있다. 이러한 모든 위협들이 새로운 것이 아니라는 점이다. 우리는 항상 이런 것을 예측해왔고, 항상 이러한 문제 떄문에 시달려왔다. 전세계적으로 보안 분야 재설계, 보안 관련 시스템 구매 등 매년 수백억 달러 이상이 쓰이지만, 우리는 여전히 계속 새로운 문제를 겪고 있다..
미래에는 어떤 일이 일어날까
이러한 과거를 통해 미래에 어떤 일이 일어날지 예측할 수 있다. 먼저 기술 측면에서 플랫폼의 다양화, 상업적인 측면과 센서, 커뮤니케이션, 저장장치, 의도하지 않은 부작용, 지적 재산권 문제 등을 예측해보겠다.
1. 플랫폼의 다양화
많은 것이 모바일화함에 따라 기기가 작아지고, 이동성이 높아지고 있다. 또한 대중교통이나 냉장고, 자동차 등 기존 다른 것들에 임베딩되는 것이 많아지고 있다. 많은 장비들이 서로 연결되며, 센서나 원격 제어 및 감시 시스템을 활용하는 것도 많아진다.
2. 상업적인 측면과 센서
우리가 상상하는 제품이 나올 수 있다. 예를 들면 음악이 나오는 신발이나 RFID 기술을 이용한 칩, 그리고 최근 화두인 몸에 착용해서 사용하는 기기 등으로 우리가 생각하는 제품이 만들어질 수 있다.
3. 커뮤니케이션
IPv6를 기반으로 컴퓨터가 모든 곳에 임베딩되고 있다. 또한 애드혹 네트워크를 기반으로 지금까지 생각하지 못했던 기기 간에 서로 통신하는 것이 많아질 것이다. 중앙에 집중되는 것이 아닌 분산된 네트워크라는 특성 때문에 로그에 남지 않는 것이 많아질 것이다. 이러한 부분은 포렌식(forensic) 분석이나 클라우드와도 관련이 있다. 만약 보안 사고 등이 발생했을 때 어떻게 분석을 할 것인가도 큰 문제가 될 것이다. 또한 애드혹 네트워크에서 어떻게 시스템을 보호할 것인가도 이슈가 될 수 있다.
4. 저장장치
지금까지 저장장치가 발전해왔듯이 앞으로도 많이 발전해 나갈 것이다. 그래서 하나의 기기에서 모든 것을 해결할 수 있는 시대가 될 텐데, 어떻게 나쁜 프로그램을 찾고, 분석할 것인지 그리고 백업이나 프라이버시 문제는 어떻게 할 것인지가 화두가 될 수 있다. 지금은 단지 여러 테라바이트 단위인데, 대역 문제도 생길 수 있고, 지금까지는 단순히 백업하는 것이 가능했지만, 앞으로는 좀 다른 형태로 될 것이다. 또한 클라우드를 통해 저장하는 것이 저장소 장치의 발달에 따라 의미없는 일이 될 수도 있다.
5. 의도하지 않은 부작용
기술의 발전에 따라서 우리는 많은 것을 가능하게 해 왔다. 예를 들면 OLPC(The One Laptop per Child)라는 운동이 있다. 매우 저렴한 가격에 안드로이드를 기반으로 만들어지는 것으로 아프리카나 남미 등 물이나 전기가 없어도 인터넷이 무선으로 가능하도록 하는 미니 노트북이다. 이것은 새로운 기술에 대한 접근성이 떨어지는 아이들에게 인터넷 연결이나 프로그램, 이메일 등 컴퓨터를 사용하는 방법을 배울 수 있게 해주고, 전세계와 소통할 수 있도록 하고자 만들어졌다.
그런데 이상적으로는 매우 좋은 프로젝트이지만, 그러한 나라를 보면 많은 아이들이 부모님을 잃고 본인의 의지와 상관없이 소년병이 되는 경우가 많이 있다. 거기에는 법이 없고, 문화적 상식과 매너가 없다. 그런 아이들에게 컴퓨터를 주게 되었을 때 만약 매우 나쁜 해커로 발전하게 된다면 어떨까. 그러한 의도치 않은 부작용 역시 고려할 부분이다.
6. 지적 재산권 문제
지적 재산권과 관련한 문제는 갈수록 증가하고 있다. 그런데 현재의 방식으로 계속 적용된다면 문제가 많이 생길 수 있고, 저작권과 관련해서 새로운 지식재산권 모델이 필요하다. 현재의 방식은 지속가능성이 부족하고, 개인정보와 관련된 문제도 많이 생기게 한다.
신기술은 나쁜 세력도 활용한다
이처럼 기술의 발전에 따라 미래에는 새로운 것이 많이 생길 것이라 예상된다. 하지만 사람들은 그러한 신기술을 좋은 의도로만 사용하지 않는다. 나쁜 사람들도 새로운 기술을 배우고 있다. 그들은 어떻게 하고 있을까.
해킹을 하는 사람들
그들은 개개인의 정보를 빼내거나, 어떤 기관의 정보를 빼내는 행위, DDoS 공격, 사기, 신원 도용 등의 문제를 일으킨다. 실제로 보이스 피싱과 비슷한 형태의 범죄로 인해 외국의 어떤 은행 지점은 은행의 많은 자산을 잃었다고 한다.
혼란스럽게 만드는 일
산업 스파이나 국가적 차원에서의 스파이, 기술 이전 등의 문제가 있다. 국가나 기업에서 그러한 사람들을 키우고 있으며, 이것은 안랩 같은 기업에서 막아야 할 사람들이다.
정치적 목적의 해킹을 하는 사람들
이것은 일반적인 범죄 형태와는 다르다. 최근 논란이 되었던 어나니머스나 위키리크스 같은 형태로 나타난다. 그 사람들은 그것을 정치적인 시위라고 생각한다. 우리가 그러한 것들을 모두 추적할 수는 없지만, 점점 이런 일이 많이 일어나고 있다. 이러한 활동의 큰 문제는 이것이 위장이나 속임수로 쓰일 수 있다는 것이다. 그리고 데이터 피난처에 대해서 많은 정부가 그 부분에 대해 행동을 늦추고 있지만, 오히려 그것이 역효과를 불러 일으킬 수 있다. 멕시코 마약 조직의 사례가 그 중 하나인데, 어떻게 데이터 피난처에 있는 것들을 조사할 것인가를 고민해봐야 할 것이다.
사용자가 직접 만들어내는 장비
우리나라에서도 ATM기의 카드 넣는 부분에 추가로 해킹장비를 달아서 카드 정보를 빼내는 일이 종종 발생하였다. 추가로 붙인 장비가 너무나도 감쪽같고 똑같이 생겨서 사람들이 쉽게 인지하지 못했기 때문이다. 또한 일반적인 USB 허브처럼 생겼는데 실제로는 연결하면 모든 정보를 빼내서 전달하는 기기도 있다. 이러한 것이 가능해질 수 있는 이유는 트랜지스터의 가격이 저렴해졌고, 3D 프린터가 많이 보급되고 있기 때문이다. 3D 프린터가 이런 측면의 비즈니스에서 매우 혁명적인 도구가 될 수 있다. 그렇다면 우리는 과연 우리가 가진 기기를 계속 신뢰할 수 있을까라는 질문을 하게 된다. 자신이 늘 사용하던 기기가 항상 같은 자리에 있다고 해서 똑같은 장비라는 것을 보장할 수 있을까. 만약 정교하게 복제되어 가짜이면서도 악성인 기기가 있다면 그것은 어떻게 신뢰해야 하는가. 그러한 고민 역시 필요할 것이다.
나쁜 세력에 대응하려면
대부분의 정부는 나쁜 세력의 공격에 잘 대응하고 있다. 또한 보안 업체가 그러한 역할을 하고 있다. 하지만 법의 집행은 잘 이뤄지지 않고 있어서 정부보다는 기업에서의 대응이 더 많이 있는 편이다. 그런데 어디까지 보안 기업이 보호할 수 있게 해주어야 하는가, 보호하는 것과 조사하는 것의 경계는 어디인가를 고민할 필요가 있다. 나쁜 의도를 가진 세력 역시 미래에 많은 변화가 있을 수 있다. 안랩은 보안 업체의 선도 주자로서 아직 일어나진 않았지만 앞으로 일어날 수 있는 일을 생각해보았으면 좋겠다.
전문가 아닌 최종 사용자를 고려하라
위에서 언급했던 것처럼 우리는 근본적인 변화없이 지금까지 해왔던 것처럼 해왔다. 그렇다면 어떤 측면에서 어떻게 바뀌어야 할까.
지금까지의 보안에 관한 접근은 기술만을 위주로 해서 어떤 부분이 뚫리게 되면 그제서야 그 부분을 막는 식으로 대응이 되어 왔다. 우리는 우리의 이런 상황을 바꾸려고 해오지 않았다. 매년 8000개가 넘는 결함이 발생하고 있다. 이것은 단지 보안에 관련된 문제만 해당된다. 실제로 어떤 프로그램이나 데이터 등이 작동하지 않는 그러한 보안과 관련 없는 결함으로 인한 문제 역시 많이 존재한다. 우리는 소프트웨어를 개선하기 위해 어떤 노력을 해왔나. 어떤 기본적인 것들을 가지고 우리가 노력해왔나. 우리는 어떤 연구도 하지 않았고, 노력하지 않았다.
만약 컴퓨터가 없으면 사이버 보안 사고가 없을 것이다. 또한 만약 사람이 존재하지 않아도 사이버 보안 사고는 없을 것이다. 그렇기 때문에 기술에만 초점을 맞춰서 문제를 해결하려고 하는 것은 완전한 해결 방안이 될 수 없고, 우리는 보안 문제에서 ‘사람’을 고려해야 한다. 그래서 경제학이나 심리학, 범죄학, 경영학 등 다양한 학문을 통해서도 접근해야 한다.
대부분의 시스템은 전문가에게 맞게 시스템이 디자인되어 있다. 안랩 마케팅 담당자들과 만났는데 '엔지니어는 어떤 것이 어떻게 작동하는지 얘기하는 것을 좋아하지만 그게 무엇인지는 잘 이야기하지 않는다'고 했다. 소프트웨어를 만드는 사람 대부분은 최신의 소프트웨어가 어떻게 작동하는지, 그리고 어떤 알고리즘이 들어있는지 말하는 것을 매우 좋아한다. 하지만 우리는 컴퓨팅 시스템 디자인에서 사용자를 고려하지 않았고, 그래서 그들이 어떻게 사용했을 때 문제가 생기는지 궁금해하지 않았다. 그렇기 때문에 최종 사용자를 고려해야 한다.
CD를 잘 모르는 사람은 설명서가 없다면 CD 트레이에 커피 컵을 꽂아둘 수도 있다. 이것은 매우 우스운 광경이라서 비웃을 수 있지만 그것은 그 사용자의 잘못이 아니다. CD 트레이를 디자인한 사람이 당연히 그 용도를 아는 사람만 쓴다고 가정한 것이 잘못된 것이다.
우리는 이런 것을 매일매일 한다. 컴퓨터나 소프트웨어를 디자인하지만, 그것은 최종 사용자를 고려해서 설계되지 않고 컴퓨터와 관련된 일을 하는 사람에게 초점을 맞춰서 디자인된다. 이것은 바뀌어야 한다.
또 하나 사용자에게 경고를 주는 방법을 보자. 조금은 과격하지만 무서운 문구와 그림을 통해 주의를 주는 것은 상당한 효과가 있다. 사용자가 쉽게 알아차릴 수 있기 때문이다. 하지만 컴퓨터에서는 흔히 팝업에 텍스트를 잔뜩 집어넣어서 주의를 준다. 하지만 그것으로는 사용자가 쉽게 이해할 수 없다. 우리는 리스크의 위험성에 대해서 일반 사용자와 더 소통하려는 노력이 필요하다.
보안은 '아니, 너는 그렇게 하면 안 돼.'보다는 '여기 더 나은 방법이 있다'고 '내가 어떻게 하면 안전하게 사용할 수 있는지' 알려주는 것이 되어야 한다. 어떤 일이든 우리가 직업이나 취미 등으로 그것을 해야 하는 누군가에게 무엇을 할 수 없다고 말하면, 그 사람은 어떻게든 그것을 하려고 하고, 당신의 말을 무시하기 때문이다.
기술 개발에 그치지 말고 사용하는 사람을 보라
강연을 마무리하며 다음 6가지의 결론을 말하겠다. 특히 첫째 항목은 중요하니 이 부분만큼은 꼭 기억해달라.
첫째, 우리는 기술을 개발함으로써 방어능력을 기르는 것에 한계가 있고, 개발하는 것만으로는 충분하지 않다. 기술은 일반 대중에 의해 사용되며 각자의 상황에 따라 사용된다. 바쁘거나 피곤하거나 졸리거나 그럴 때 실수를 할 수 있는 것이다. 또한 그것을 오남용하려는 사람들 역시 그 기술을 사용한다. 그래서 기술 그 자체로만은 절대 충분하지 않다.
둘째, 사이버 보안은 다른 컴퓨팅 분야와 독립되어 있는 것이 아니다. 우리는 반드시 더 나은 소프트웨어를 만드는 것에도 노력해야 한다. 만약 버그나 결함이 없는 소프트웨어를 만든다면 우리는 아마 모든 보안 문제를 해결할 수 있을 것이다. 하지만 그것을 하기 위해서는 단순히 프로그램이 뚫리는지 여부를 테스트하는 것뿐만 아니라 디자인, 심리학, 경영학 같은 측면에서 접근하는 것도 생각해야 한다.
셋째, 사이버 보안은 사회에서 일어나는 일들과 독립된 것이 아니다. 단순히 방화벽을 설치하는 행위 등만으로는 불충분하다. 우리는 모두 사회와 관련이 있다. 우리는 경찰이 조사하고 고발하는 것을 도와야 한다. 또한 우리는 컴퓨팅이 우리가 생각하는 긍정적인 부분이 아닌 부분에도 사용될 수 있다는 것을 알아야 한다. 그리고 프라이버시가 중요한 요소라는 것도 고려해야하고, 우리의 지식을 사회에 기여하는데 사용할 수 있어야 한다.
넷째, 보호하고 싶다면 접근이 되지 않도록 분리해라. 모든 것은 언제나 뚫리게 되어 있다. 만약 시스템에 접근하는 것이 가능하지 않다면, 해킹 역시 가능하지 않다. 정말 중요한 것은 온라인에 두지 말아야 한다.
다섯째, 우리는 컴퓨터를 중심으로 시스템을 구축하기보다는 데이터와 운영하는 것을 중심으로 우리가 만들어놓은 시스템의 구조와 운영 방법을 바꾸어야 한다. 이미 당신의 시스템이 피해를 입은 경우에 물론 누가 어떻게 했는지는 모르지만 그 원인은 다양하다. 많은 시스템이 있고, 많은 결함이 있다. 공격을 하는 사람은 몰래 잠입하는 경우가 많다. 그러한 피해는 외부인이나 유지보수하는 사람들에 의해 혹은 내부인에 의해 어딘가는 이미 그렇게 됐을 것이다.
여섯째, 우리가 보호 강도를 높이고, 주의를 집중하는 등 뭘 하더라도 나쁜 사람들이 우리보다 더 빨리 움직인다. 재정적인 부분이나 테스트 같은 것도 더 빠르게 한다. 왜냐하면 그들은 어떠한 규제도 받지 않기 때문이다. 그렇다면 우리도 마찬가지로 규칙을 따르는 것을 멈춰야 하나? 아니다. 우리의 사이클을 좀더 빠르게 해야 한다.
지난 30년 간 나는 이러한 점을 자주 말해 왔다. 하지만 세상은 별로 변화하지 않았다. 사회는 매우 중요한 투자를 해야 한다. 보안은 단순히 방화벽이나 안티바이러스 프로그램 같은 것으로만 해결되는 것이 아니다. 우리 스스로가 지킬 수 있도록 교육, 연구가 이뤄져야 하고, 기본적인 하드웨어와 소프트웨어에 투자해서 근본적으로 바뀌어야 한다.
우리는 비용이나 시간 문제 때문에 우리가 제대로 이해하지 못 한 채 결함이 있는 것을 사용해 왔다. 이것은 쉽게 해결될 문제는 아니다. 그러나 우리 사회가 만약 보안을 심각하게 생각한다면 우리는 새로운 기초를 세우기 위해 매우 중요한 투자를 시작해야 한다. 그렇지 않다면 모든 것이 지금까지 그래왔던 것처럼 더 나빠질 것이다. 우리는 지금까지 항상 사람들에게 No라고만 얘기해 왔는데, 여러분이 더 좋은 방법을 제시할 수 있길 바란다.
스패포드 교수와 일문일답
어렸을 때 무언가를 고치는 것을 좋아해서 많은 것들을 고쳐보았다. 자동차를 고친다든가, 어떤 문제가 있으면 그것을 해결하는 것을 좋아한다. 그러던 중 컴퓨터 소프트웨어에서 치료하는 것에 관심을 갖게 되었다.
- 보안 분야에서 언제 보람을 느끼나.
의사소통을 할 기회가 있을 때, 학생들과 같이 일하거나 강의, 강연을 했을 때 상대방에게 설명한 내용을 상대방이 잘 이해했을 때 보람을 느낀다. 또한 가르쳤던 학생이 나중에 졸업 후 찾아와서 '교수님께 예전에 배웠던 것을 삶에 적용해서 지내고 있다'거나 '교수님께 배웠던 것이 가치있었다'라고 얘기할 때 보람을 느낀다.
- 안랩인에게 해주고 싶은 말
지금 하는 직무 외 다른 분야도 공부를 해봤으면 좋겠다. 나는 생물학을 공부하고, 범죄학이나 범죄심리학에 관심을 가졌던 것이 멜웨어에 더 관심을 갖는 계기가 되었다. 또한 서로 모여서 나누고 공유하고 소통하는 것이 매우 중요하다. 엔지니어는 소통을 잘 안 하는 경우가 많은데, 소통이 많아졌으면 좋겠다. 그리고 안랩 차원에서는 교육의 장이 많이 만들어지면 좋겠다. 포럼이나 자격증 등 여러가지의 경험을 할 수 있도록 지원이 되면 좋을 것이다.
- 근본적인 변화를 어떻게 가져올 수 있을까.
소프트웨어와 관련해서 얘기하면, 근본적인 부분에 문제가 있을 때 이것을 한 번에 다 바꿀 수 없다. 작은 것 하나하나 바꿔가는 것이 중요하며, 사고의 전환이 필요하다. 지금 현재 발생하는 여러 문제들은 특정한 소프트웨어만이 사용되기 때문에 발생한다고 볼 수 있다. 예를 들면 윈도우, 워드, 엑셀 등이 독점적으로 사용되고 있다. 만약 어떤 특정한 기능이 필요한 것이 확실하고, 완벽한 보안이 필요하다면 매우 강력한 하드웨어와 소프트웨어를 만드는 것이 좋을 것이다. 그것을 보고 다른 사람들이 좋은 솔루션이라고 생각하면 그들 역시 따라서 도입할 것이다. 하지만 문제는 시간과 비용이 많이 든다는 것이다.
- 스노든 사건을 어떻게 생각하나. 그리고 SNS의 이용이 더 많아지고 있는 지금 어떻게 하면 좋을까.
스노든 사건은 예전부터 경고해왔던 문제이다. 구글이나 페이스북 같은 회사는 더 좋은 서비스를 제공하기 위해 개인정보가 필요하다고 말하고, 그렇게 수집을 하고 있다. 또한 국가 역시 국민의 안전을 위한다는 명분으로 수집이 많이 일어나고 있다. 하지만 이것을 다시 생각해보면 그렇게 수집된 정보는 얼마든지 나쁜 목적으로 사용될 수 있는 것이었다. 또한 많은 사람들이 자발적으로 본인의 정보를 소셜네트워킹서비스 업체에 제공을 하는데, 본인의 프라이버시를 위해서라면 사용을 자제하는 것이 좋다.
이렇게 1시간 반 가량의 강연이 끝났다. 지금까지 사이버 보안이라고 하면 보안 그 자체로만 생각하였고, 그동안 너무나도 당연하게 받아들이던 것을 많이 뒤집을 수 있었다. 우리는 항상 비슷한 방식으로 보안 위협을 받아왔지만, 근본적인 변화 없이 어려움을 겪었고, 사람을 중심으로 접근하기보다는 기술을 위주로 접근하는 방식이 많았다. 또한 사용자에게 안전하게 사용할 수 있는 방법을 알려주기보다는 오히려 그렇게 하면 안 된다는 것만 전달하는 것이 당연하다고 생각하였다.
보안 분야뿐만 아니라 우리의 일상에서 당연하게 받아들이는 것 중에도 이와 비슷한 사례가 있을 것이다. 그러한 부분에서 근본적인 변화를 일으킬 수 있다면 좀더 나은 세상으로 변화시킬 수 있을 것이다. 보안 분야의 세계적인 석학의 강연을 눈 앞에서 보고 듣고, 직접 얘기해 볼 수 있는 보람찬 시간이었다. 앞으로 다음 테마특강에서 만나게 될 분도 기대가 된다. Ahn