이 글은 ‘미래의 범죄는 신기술을 따라 발전한다’란 글에 대한 개인적인 생각이다. 위의 글에서 글쓴이는 <누가 우리의 미래를 훔치는가>라는 책을 소개하며, 사이버 세상의 어두운 면에 대한 경각심을 잃지 말 것을 당부한다.
어두운 사이버 세상의 존재는 엄연한 사실이다. 사이버 세상은 해킹, 피싱 등으로 발 디딜 틈이 없어 보이고, 관련 언론 지면은 하루가 멀다고 등장하는 새로운 보안 취약점으로 도배되다시피 하고 있다.
어떻게 하면 안전해질 수 있을까? 해당 책의 저자인 FBI 보안 전문가 마크 굿맨은 개개인의 주의 노력 및 미국이 세계 유수의 과학자들을 모아 원자폭탄을 만든 것처럼 사이버 보안계의 ‘맨해튼 프로젝트’를 진행해서 사이버 테러 행위에 대한 장기적인 대처 방안을 마련하자고 주장하는 듯.
좋은 의견이긴 한데, 어차피 미국이 북 치고 장구 치고 다 할 거 같은데 ㅡㅡ; 아니면 ‘사이버 게놈’(2010년부터 했는데 성과가 있나? 요새 인공지능 적용하려나 보던데) 비슷하게 이미 하고 있지 않을까? 외계인 고문하면서^^;
어쨌든 위험은 실존하니 대책을 강구하는 게 맞다. 실제 세계 각국은 사이버 보안을 강화하기 위한 다양한 정책을 강구 중이거나 이미 시행 중이며(우리나라 역시 말 많고 탈 많은 ‘사이버테러방지법’ 입법 논의 중), 업계 역시 빅데이터와 인공지능까지 섭렵하며 기술 개발에 열을 올리고 있다.
익숙한 교통사고와 낯선 사이버 보안
그런데 이런 상황과 관련해서 역시 미국의 보안 전문가 브루스 윌리스슈나이어는 꽤 오래전부터 비용편익 측면에서 보안을 생각해야 한다는 흥미로운 주장을 펼치고 있다. 그만큼의 돈을 쓸만한 가치가 있는지 따져보자는 얘기.
그리고 대부분의 상황에서 눈으로 직접 보고 확인한 실제 상황과 느낌을 일치시키는 경험의 반복을 통해 낯설고 생소한 위험은 과장하고, 친숙하고 흔한 위험은 경시하는 편견을 갖게 된다고 한다.
사람들이 자동차 사고보다 통계적으로 안전성이 입증된 비행기 사고를 더 무서워하는 사례가 대표적이다. 특히 9.11 테러 이후 2년간 도로에서 발생하는 사망자 수가 그전보다 2,000명 이상 증가했다는 사실은 보안 관계자들이 주목할만한 부분이다. (<위험인지능력> 23페이지)
비행기보다 자동차를 더 친숙하게 느끼는 경향과 함께 9.11 테러 이후 강화된 공항 보안 검색에 피로를 느낀 사람들이 비행기 대신 자동차를 선택하는 경우가 늘면서 발생한 결과였기 때문이다.
공항 보안 검색이 강화됐다는 뉴스는 분명 많은 사람에게 과거보다 더 안전해졌을 거라는 느낌을 주었겠지만 피해는 오히려 더 커진 셈.
안전해지는 두 가지 방법
안전해지는 두 번째 방법이 무조건 나쁘다고 할 수 있을까? 실제로 안전해지기 어렵다면 마음이라도 편해야…^^; 사실 완전하게 통제 가능한 위험을 찾기란 쉽지 않다. 아니 그런 위험은 없다고 봐도 무방하다. 자동차 사고와 같이 뉴스에도 잘 나오지 않을 정도로 흔해진 위험에 대해 회피하거나 요인을 줄여나가는 과정에서 통제하고 있고, 통제할 수 있다고 착각하는 것뿐이다.
- 참고 : 공포와 통제
테러나 사이버 범죄가 두려운 이유는 결국 정보 부족에서 기인한다. 교통사고만큼의 충분한 대응 경험을 쌓지 못했기 때문에 아직도 생소하며, 그래서 우리의 주의를 끈다. 그러나 미국 국제전략연구소와 인텔시큐리티가 조사한 2014년 자료를 보면 좀도둑이나 교통사고의 피해가 사이버 범죄보다 더 크다는 사실을 알 수 있다.
우리가 더 주의를 기울여야 할 위험은 따로 있었던 것이다. 물론 그럼에도 여전히 사이버 범죄가 더 두렵다. (보험도 들어놨고, 좀도둑 정도는 어떻게 해볼 수 있을 것 같기도 하고ㅡㅡ^) 어떻게 하면 이 두려움에서 벗어날 수 있을까? 사실 방법은 간단하다.
사회 병리 현상을 기술로?
사이버 범죄를 기술이 아닌 사람의 문제로 바라보는 것이다. 사이버 보안 계의 ‘맨해튼 프로젝트’와 같은 주장이 나오는 이유는 사이버 보안을 기술 문제로만 바라보기 때문이다. 살인 범죄나 전쟁을 막기 위한 ‘맨해튼 프로젝트’를 상상해보자. 살인을 막으려면 살인자를 미리 잡으면 될까? 전쟁을 막으려면 군대를 없애면 될까?
간단하지 않다. 불완전한 사람이 하는 일이라 기술만으로 해결하기 어렵다. 경찰이 있어도 범죄는 발생하고, 군대가 있어도 전쟁은 일어나지 않는가? 다만 대응 체계가 있으면 마음의 위안을 얻을 수 있고, 운 좋으면 피해를 줄일 수도 있을 뿐이다.
사이버 범죄도 마찬가지다. 사람들이 모여 살다 보니 발생하는 사회 병리 현상의 하나일 뿐이고 문명이 유지되는 한 사라지지 않는다. 교통사고로 언제 죽을지 모르지만, 자동차 없인 못 사는 것처럼 적당한 대응 체계를 만들어가면서, 운 나쁜 누군가의 사고를 지켜보면서 익숙해지는 길뿐.
적당한 대응 체계
안전하다는 느낌만을 주는 데서 멈추지 않고 실제 안전에 도움을 줄 수 있는 적당한 대응 체계는 어떻게 만들 수 있을까? 앞서 인용한 기사에서 힌트를 얻을 수 있다.
“사이버 범죄에 대해 조치를 취하려면 우선 측정부터 가능해야 한다.”
당연한 얘기 아닐까? 현실을, 현황을 알아야 행동을 결정할 수 있다. 어디에서, 어떤 위험이, 얼마나 발생하는지에 대한 현황을 측정할 수 있다면, 도무지 어떻게 해야 할지 모르겠는 ‘공포’도, 어떻게 하면 되는지 알 수 있는 ‘위험’으로 바꿀 수 있다는 뜻.
테러는 잘 모르겠지만 사이버 보안 분야는 결국 네트워크와 시스템, 트래픽과 로그에 모든 흔적이 남기 때문에 그 분야에 집중하면 된다. 정부나 업계 모두 잘 알고 있는 사실. 문제는 기술자들만 알고 있다는 사실.ㅜㅜ
주제넘게 이런 저런 얘기 떠들었지만, 결론은 이렇다. 서두른다고 될 일도 아니고, 최신 기술 같은 걸 끼얹는다고 될 일도 아니며, 그렇다고 마냥 두려워할 일도 아니다. 세상은 정반합으로 흘러간다. 하나의 기술은 곧 취약점이 알려져 털리겠지만, 결국 더 나은 기술로 재탄생하며, 그 기술이 다시 털리고 다시 재탄생하면서 우리는 조금씩 더 안전해진다.
마지막으로 전국민 피싱 피해 방지 교육용 웹툰 하나 소개할까 한다. 정부는 뭐하나, 이 웹툰 작가상 주시라!
원문 : 케세라세라
표지 이미지 출처 : FPT Shop