사람들
오래 전 미국에 사는 지인이 요청해 워싱턴 DC의 한 단체를 방문했다.
그 단체는 일종의 싱크탱크로 사이버 정책을 모토로 내세우고 있었다.
사이버 보안은 기술적 색채가 강한 분야인데 정치, 금융, 외교, 안보에서 잔뼈가 굵은 분들이 두루 참여해 눈길을 끌었다.
당시 대한민국에서는 북한발 디도스 공격(분산 서비스 거부 공격)이 발생하면서 긴장감이 고조됐고 CNN 등 세계 유수의 언론이 이를 보도했다.
때마침 단체가 주관한 행사에 모인 참석자들은 일선 현장에서 대처했던 한국의 보안 기업 CEO에게 큰 관심을 보였다.
발표와 질의응답을 끝내고 그 단체가 발간한 여러 권의 연구 보고서를 보게 됐는데 지정학적 외교 안보 시각에서 사이버 보안을 집중 조명하고 있었다.
신선하면서도 ‘이렇게까지 거창하게 볼 필요가 있을까?’라는 생각이 들 정도로 생소하게 느껴졌다.
그러나 이후에 10여 년간 세상을 놀라게 하는 사건이 일어날 때면 그들이 보여준 예지력이 떠오르곤 했다.
이란의 핵무기 개발을 지연시킨 사이버 공격, 이에 대한 복수의 일환으로 보이는 사우디아라비아 국영 석유 회사 아람코의 컴퓨터 파괴, 미국 대통령 선거에서 일어난 해킹과 가짜뉴스 유포, 북한을 영화 소재로 만든 소니 픽처스에 대한 사이버 보복, ‘역사상 최대 부의 이동’이라고 불리는 중국의 핵심 기술 탈취, 우크라이나 국민을 추위와 공포에 떨게 한 난방과 전력 차단 등 대표적인 사건만 해도 차고 넘친다.
이처럼 정치 안보적 요인과 밀접한 관련이 있는 굵직한 보안 사고가 세계 곳곳에서 일어났고 전 세계인의 안전과 인권을 위협했다. 한국에서는 사이버 보안이라면 으레 기술적 측면을 떠올린 시기에 지구 반대편에서는 이미 국가 차원에서 사이버 전략에 대한 연구를 하고 있었다.
외교 안보만의 문제이겠는가? 오늘날 사이버 공간에서 전개되는 각종 위협은 우리 사회와 개인의 삶에 지대한 영향을 끼치고 있다. 금품 갈취, 사생활 침해, 기밀 자료 탈취, 보이스피싱 등 사이버 범죄 피해 사례가 급증하고 있다. 디지털 기술이 우리 삶을 더욱 편리하고 윤택하게 했지만 언제 닥칠지 모르는 사이버 피해에 불안이 가중되고 있다.
사이버 보안의 영향력
본래 사이버 보안은 계정 관리, 인증, 권한 통제 등 컴퓨터 시스템의 기본 기능에서 시작했고 기술자의 영역이었다. 그런데 컴퓨터와 인터넷이 대중화되면서 상황이 바뀌었다.
기업은 인터넷으로 빗장을 열고 개방과 공유를 기치로 내걸었으며 온라인 거래와 비대면 서비스가 급격하게 늘어났다. 비즈니스의 전반적인 업무가 디지털 기술에 기반해 돌아가는 시대가 되면서 사이버 보안은 기술 문제를 넘어서 이제는 경영 리스크가 됐다.
한편 사이버 공격의 주체가 국제적 범죄 조직 혹은 국가에서 직간접적으로 지원하는 형태로 발전하면서 공격이 더 대담해지고 스케일이 달라졌다.
개인정보 탈취나 디도스 공격에 그치지 않고 더 나아가 랜섬웨어를 이용한 협박, 전력이나 송유관과 같은 기간 시설의 장애 유발, 사회관계망서비스(SNS)를 동원한 사회 혼란, 하이브리드 전쟁, 공급망 파괴, 국제 송금 위조, 암호화폐 탈취 등 민간과 공공, 국방과 금융의 영역을 가리지 않고 공격 범위가 확대됐다.
사이버 공격으로 벌어들인 검은 돈은 핵무기를 만들거나 범죄 용도로 사용되면서 악의 생태계를 키우고 있다. 사이버 보안은 민주 질서를 뒤흔들고 국제 정세에 영향을 주는 중대한 과제로 등장했고 국가적 화두로 떠올랐다. 이러한 시각은 미국 외교 안보 전문지 포린어페어스와 워싱턴포스트, 뉴욕타임스 등 주요 외신의 기조를 이룬다.
우리나라의 정치, 정부, 언론의 오피니언 리더들을 만나보면 한결같이 사이버 보안이 중요하다고 얘기한다. 그런 인식을 갖고 있는 것은 그나마 다행이다. 그런데 아무도 사이버 보안을 자신의 당면 문제라고 생각하진 않는다. 기술자의 영역이라는 생각에 머물러 있기 때문이다.
내 문제가 아니니 직접 들여다볼 필요가 없고 제대로 보지 않으니 문제의 본질을 모른다. 그러니 ‘보안이 중요하다’는 원론적인 구호만 외칠 뿐이다.
악마는 디테일에 있다. 사이버 보안을 향한 막연한 근심은 도움이 안 된다. 구체적이고 실질적이어야 한다. 누가 우리를 공격하며 그들이 원하는 것은 무엇인가?
내 눈앞까지 다가온 위협의 실체는 무엇인가? 우리의 방어 역량은 어느 정도인가?
범죄 세력을 박멸하기 위해 어떤 외교적 협조가 필요한가? 사이버 공격은 과연 진짜인가?
언론이나 보안 전문가들이 괜히 과장하는 것은 아닌가?
이런 근본적인 질문을 던지면서 실체에 접근해야 한다. 사이버 위협은 막연한 공포의 대상도 아니고 범접하지 못하는 해킹 기술만의 문제도 아니다.
우리가 처한 냉엄한 현실이다.
인류는 디지털 문명을 선택했다.
앱과 인터넷을 끊고 살 수없다면 디지털 세상의 질서를 제대로 세워나가야 한다. 우리는 지금 역사적인 분수령을 맞고 있다.
디지털 시대의 숙명
인류 역사는 속고 속이고 빼앗고 빼앗기는 싸움을 거치며 발전했다. 범죄, 사기, 절도, 전쟁은 고대 신화부터 최신 영화까지 이야기의 단골 소재다. 그만큼 인간 삶에 깊숙이 들어와 있다. 그래서 크고 작은 공동체에는 다양한 사회 유지 시스템이 존재한다.
법과 규범에 기반해 질서를 유지하고 국방과 치안 시스템이 국민의 안전을 보호하며 국가 간에는 신뢰의 프로토콜이 형성되어 있다.
범죄와 위협은 절대로 없어지지 않는다. 환경 변화에 맞추어 끊임없이 진화할 뿐이다. 디지털 시대에는 온갖 악행이 사이버 공간으로 옮겨와 활개 치고 있다.
기계는 알고리즘에 의해 의도와 다르게 작동하는 특성이 있기 때문에 악의를 갖고 기술을 사용한다면 누군가 피해를 받게 된다.
무신불립(無信不立) 『논어』에 나오는 말로 신뢰가 없으면 설 수 없다는 뜻이다.
신뢰는 공동체의 생존과 직결되는 필수 요소다. 위조 화폐가 뿌려지고 암거래가 기승을 부린다면 사회의 혼란은 불 보듯 뻔하다.
디지털 인프라를 신뢰할 수 없다면 그 위에 형성된 경제 체계와 사회 활동이 바로 작동하겠는가?
내가 거래하는 상대방이 사기꾼이거나 내가 수집한 자료가 날조된 정보였다면? 누군가 메시지를 훔쳐보고 소중한 자료가 순식간에 삭제된다면 사이버 공간의 안전과 질서 유지는 사회 구성원 간 신뢰와 직결된다.
사이버 범죄는 은밀하게 우리 사회를 뒤흔들고 있다.
거대한 네트워크로 연결된 디지털 사회는 빠른 속도로 변화하는 진행형이라 명문화된 법 규정과 정책으로는 쫓아가기에도 벅차다. 적어도 사회 구성원이 그 방향성만이라도 공감하고인식하는 자세가 필요하다.
기술은 인간과 한 몸처럼 움직이는 수준에 이르렀기에 기술만의 문제로 치부해서는 안 된다. 사이버 위협은 기계와 연관된 인간의 일거수일투족에 관여되어있다.
맨 밑단에 있는 하드웨어부터 기계를 살아 움직이게 하는 소프트웨어, 그로부터 창출되는 비즈니스, 역동적으로 생성되는 데이터, 극히 사적 영역에 이르기까지 우리 주변과 밀접하게 관련돼 있다.
이를테면 보이스피싱은 스마트폰에 악성코드를 심어 통신 채널을 장악하는 데서 시작한다. 장악된 스마트폰으로 아무리 경찰에 신고해봐야 범죄자들의 손아귀에 놀아날 뿐 수사기관이나 금융감독원을 사칭한 수법에 속을 수밖에 없다.
범죄자들은 당황한 피해자를 심리적으로 압박해 온라인 송금을 유도한 후 조직책을 동원해 현금화한다. 이외에도 공갈 협박으로 수집한 동영상을 사이버 공간에서 판매한 N번방 사건 등 사건들이 사이버 세상과 현실을 오가며 일어난다.
해킹과 결합돼 유포되는 가짜뉴스와 댓글 조작은 민주주의 체제를 흔들기도 한다.
사이버 범죄에 의한 피해자가 속출하고 사이버 문제가 기업 간 공정한 경쟁을 방해하며 국가 안보를 위협한다. 현실과 사이버 공간을 누비며 자행한 행위는 인간에게 큰 피해를 주며 사회 안전과 신뢰를 뒤흔들고 있다.
왜 책을 쓰게 됐는가?
나에게 사이버 보안은 인생 그 자체다. 그 여정은 반도체, 컴퓨터, 정보통신, 인터넷, 스마트폰, SNS, 클라우드, 인공지능(AI) 등 기술 패러다임이 디지털 세상을 만든 역사와 함께 해왔다. 수많은 혁신 기술이 탄생해 실현되는 모습을 지켜봤고 스타트업과 벤처기업에서 지내며 새로운 비즈니스 시장을 개척했다.
또한 국내 최대 보안 기업에서 온갖 사이버 공격을 막아보았고 100년 넘은 영국계 은행에서보수적인 리스크 관리 체계를 터득했다. 냉·온탕이라는 양극단을 체험한 셈이다.
사이버 보안은 기업 경영과 사회 활동의 기반이 되는 과정에 깊이 관련돼 있다. 한 분야에 오래 몸담고 있다 보면 사회가 돌아가는 모습을 그 관점에서 보게된다.
나는 책을 읽거나 영화를 보거나 이야기를 나눌 때면 보안이라는 관점에서 해석하고 그 가운데서 깨달음을 얻는다. 일종의 직업병이다.
보안이 머릿속에 가득 차 있고 동료와 선후배에게 끊임없이 배운다. 화제가 되는 새로운 이슈에서 흥미로운 점을 찾아 고민하는 게 일상이다. 이 책에서 에피소드를 끌어들여 설명하는 방식은 그러한 습관에 기인한다.
줄곧 보안과 함께했기 때문인지 세상이 디지털 혁명에 흥분할 때 나는 걱정 어린 시선으로 바라본다. 디지털 기술이 생활과 업무에 적용되는 모습을 줄곧 지켜보는 동시에 그로 인해 발생하는 사이버 위협을 일선에서 방어하며 살아왔다.
이렇다 보니 디지털 기술이 적용되는 모든 영역에서 본능적으로 리스크를 떠올린다. 사실 나는 누구보다도 기술 혁신을 신봉한다. 그래서 엔지니어가 됐고 기업가의 길을 걸었다.
세상을 뒤흔드는 파괴적 혁신은 내 마음을 들뜨게 한다. 새로운 사업 아이디어를 들으면 귀를 쫑긋 세우게 되고 내가 만든 제품과 서비스를 고객이 사용하는 모습을 볼 때면 희열을 느낀다.
나는 경직된 절차나 통제보다 자유로운 사고와 개방적인 환경을 좋아한다. 그런데 혁신과 도전을 우려와 의심의 눈초리로 바라보게 되었으니 참으로 아이러니다.
젊은 시절부터 사이버 보안에 묻혀 지냈는데 어느덧 은퇴를 앞두고 있다.
시대적으로 중요하고 사명감이 필요하다는 점에서 사이버 보안을 선택한 것은 행운이었다.
그러나 사이버 보안이 중차대한 문제임에도 소홀히 다뤄지고 있으니 답답한 노릇이다. 보안 사고가 나면 시끄러울 뿐 정작 누가 무엇을 왜 노렸는지 차분히 분석하지 않는다.
세계 각국이 신기술과 경영 기법으로 방어 체제를 업그레이드하고 있는데 우리는 자화자찬을 늘어놓거나 비전문가 위주로 모여 막연히 걱정하는 판국이다.
2022년 말 북한의 무인기에 한국 영공이 뚫려 온 나라가 떠들썩했지만 정작 사이버 공간에 공격 코드가 은밀하게 침투할 수 있는 심각한 위기 상황임을 인식하는 사람은 많지 않았다.
자는 척하는 사람은 깨울 수 없다.
미국 원주민 나바호족의 속담이다. 차라리 자는 사람은 깨울 수 있다. 우리는 스스로 잘하고 있다면서 자족하는 건 아닐까? 문제에 대한 해결책을 안다고 착각하며 흉내만 내는 건 아닐까?
디지털화에 빠르게 진입한 한국 사회를 조용히 뿌리째 흔들 만한 위협은 내게만 보이는 것인가? 이런 고민과 그간의 경험을 후배들을 위해, 한국 사회를 위해 나누는 게 도리라고 생각했다.
한국에는 창의력이 뛰어나고 실행력이 빠른 우수한 인력이 많다. 문제는 실상을 제대로 파악하지 않고 안이하게 대처하는 리더에게 있다. 오늘날 디지털 기술 없이는 사회가 돌아가지 않는다.
이런 환경에서 사이버 보안은 기술 문제가 아니라 경영, 안보, 사회 안정을 좌우하는 리스크다. 크고 작은 기업이나 정부기관에서 사이버 리스크의 책임은 CEO와 이사회 혹은 그 조직의 장에게 있다.
국가의 사이버 안보는 대통령의 구체적 계획과 의지에 달려 있다. 물론 사이버 보안은 기술 난이도가 높다. 리더가 복잡한 보안 기술을 모두 이해하는 건 힘들다.
우리가 리더에게 기대하는 바는 기업이든 국가이든 그 공동체를 둘러싼 환경과 생태계, 법적·재무적 책임을 돌아보고, 무엇을 지켜야 하는지 상세히 들여다보고, 고객과 직원과 국민을 보호하는 데 필요한 원칙을 천명하고, 필요한 인적·물적 자원을 적시에 제공하는 일이다.
당연히 보안 전문가는 리더의 조력자로 역할에 충실해야 하지만 사이버 문제의 최종 책임자는 리더다.
이 책의 구성
사이버 보안은 고정돼 있지 않은 환경을 다룬다. 사업 모델이 수시로 변하고 누가 어떤 방식으로 공격할지 예측하기 어렵기 때문이다. 스마트폰, 클라우드, 자율자동차, 사물인터넷, 가상화폐와 같은 새로운 기술이 등장할 때마다 한숨과 고민거리가 늘어간다.
그래서 사이버 보안이라면 으레 어려운 기술로 받아들이는 경향이 있지만 사실 사이버 보안의 기본 원칙과 개념은 크게 변하지 않았다. 달라진 점은 IT 환경과 신종 공격 기법이다.
애당초 디지털 환경은 전혀 다른 기술이 결합돼 탄생한 것이 아니라 컴퓨터라는 통일된 구조를 근간으로 하고 있다. 이를테면 인증, 접근 통제, 암호화, 네트워크 보안은 보안의 기본 개념으로 오래 전부터 사용됐다.
기술이 발전하고 옵션이 다양해졌지만 개념은 같다.
우리는 넘쳐나는 기술과 급변하는 환경에 당황하지 말고 기본을 충실하게 이행하는 자세가 필요하다.
사이버 보안이라면 기술 용어가 난무해서 일반인이 이해하기 어렵다.
나와 같은 보안 전문가의 잘못이다.
이 책은 사이버 보안을 기술 중심으로 설명하지 않고 새로운 관점으로 접근한다. 디지털 혁명이 가져온 산업 변화와 사회 변화, 역동적인 국제 관계 속에서 사이버 보안의 의미와 위상을 조명한다.
아울러 시대적 변곡점에서 어떤 안목을 갖고 현재와 미래를 준비해야 하는지 생각해본다.
평생 현장에 있으면서 느낀, 특히 리더가 반드시 인식했으면 하는 사이버 보안의 문제를 강조하고자 한다.
1장은 대표적인 사이버 공격 사례를 지정학적 관계와 역사적 맥락에서 설명한다.
국가가 주도하는state-sponsored 사이버 공격은 대담한 스케일과 창의적 시나리오로 구성된다. 국제 금융의 허점을 노린 사이버 강도, 핵무기 개발 방해, 민주주의 시스템 위협 등 역사적 사건을 되돌아보며 그 의미에 대해 살펴본다. 물론 어느 국가나 단체도 자신이 사이버 공격을 했다고 순순히 인정하지 않는다.
여기에 소개된 사례는 분석 자료와 전문 서적을 근거로 정리했음을 밝혀둔다.
2장에서는 리더의 역할을 제시한다. 정부와 기업의 리더들은 사이버 문제를 자신의 목표로 인식해야 한다. 사이버 보안은 위험을 준비하고 위기에 대처하는 경영의 이슈이며, 최고책임자의 어젠다이다. 리더는 사이버 관점에서 사람, 프로세스, IT 자원에 걸쳐 조직을 통제할 수 있어야 한다.
국가적으로는 사이버 보안이 영향을 끼치는 사회 생태계와 사회 안전, 외교 안보 측면에서 정확한 판단과 방향 설정이 필요하다.
3장은 우리는 사이버 보안이라고 하면 기술 통제, 보안 제품, 모니터링센터 등을 생각하면서 사고가 났을 때 영향에 대해 고민한다. 3장에서는 관점을 뒤집어 생각한다. 내가 몸담고 있는 기업 혹은 국가에 보안 사고가 났을 경우 어떤 충격이 있는가. 그런 충격은 어떤 IT 자산에 대한 위협으로부터 발생하는가. 그렇다면 내가 사용하는 컴퓨터, 서비스, 데이터 등에 대한 리스크는 어떻게 측정하고 각 리스크는 어떻게 줄일 수 있으며, 어떤 위협 모델을 가지고 대응해야 하는가. 리스크 관리 체계로부터 가시성과 거버넌스를 구축할 수 있다.
4장은 한국이 세계적 흐름과 다른 점을 비교하고 앞으로의 방향을 모색해본다.
사이버 보안의 역량과 인식을 한마디로 답하기는 어렵다. 기업·업종·개인별로 천차만별이다. 사이버 보안은 전 세계가 디지털 사회의 질서 유지를 목표로 시행착오를 거치면서 만들어가는 진행형이다. 아쉬운 점은 한국이 글로벌 스탠더드(표준)와 멀어져 간다는 사실이다. 사이버 보안을 리스크와 거버넌스로 보는 관점, 사고의 근본 원인을 규명하는 노력, 정부와 민간의 협력 체계 등 한국의 현실을 냉정하게 살펴야 할 때다.
5장은 사이버를 위협하는 요소를 짚어본다. 사이버 보안은 관리 허점과 소프트웨어가 지닌 취약점을 파고든다. 디지털 혁명은 세상을 소프트웨어에 의해 움직이도록 바꾸었고 끊임없이 클라우드, 사물인터넷, 플랫폼과 같은 다양한 형태의 환경으로 확장되고 있다.
이런 변화는 무어의 법칙에 따른 하드웨어 기술과 네트워크, 저장 기능의 기하급수적 성장을 근간으로 한다. 당연히 IT 자산과 데이터도 급증했다. 기하급수적으로 성장할수록 위협 포인트가 늘어난다. 위협을 일으키는 대상을 정확히 알아야 대책을 세울 수 있다.
6장에서는 사이버 보안의 기본 개념을 소개하고 어떻게 관점을 바꾸어야 할 지 생각해본다. 단순히 보안 제품을 구성하는 접근 방식이 아니라 리스크 체계를 수립하고 이에 대한 보안 통제를 확립하는 것, 복원력이 극적인 목표가 되어야 하는 이유를 설명한다.
7장에서는 사이버 리스크를 융합 마인드의 관점으로 새롭게 조명한다. 물리적 공간과 사이버 공간, 공급자에서 소비자로 축의 이동, 혁신과 보안, 감시 사회와 프라이버시, 온라인과 오프라인 생활 공간, 인문학과 과학 기술, 사이버 무기의 이중성 등 서로 상충되는 개념 속에서 융합하는 길을 찾아야 한다.
그래야 생태계 전반을 위협하는 시스테믹 리스크를 극복하고 안전한 사회를 구축할 수 있다.
8장에서는 사이버 보안의 고유 특성을 소개한다. 사이버 보안이라면 으레 어려운 기술로 받아들이는 경향이 있지만 사실 사이버 보안의 개념과 프레임은 거의 바뀌지 않았다.
달라진 점은 IT 환경과 신종 공격 기법이다. 보안의 틀을 제대로 이해하고 있을 때 급변하는 환경과 그로 인해 발생하는 다양한 스펙트럼의 위협을 직시할 수 있다. 문제의 본질을 파헤치려면 해당 어젠다의 고유 특성을 정확히 알고 있어야 한다.
9장에서는 미래에 신뢰의 플랫폼을 구축하기 위한 이런저런 고민을 담았다. 어떠한 사이버 인력이 필요하며 그들이 가질 수 있는 비전은 무엇인가? 다양성은 왜 중요하며 강한 소프트웨어 역량을 키우기 위해 우리는 무엇을 갖추어야 하는가? OpenAI가 어떤 가치를 사이버 보안에 가져다줄 수 있을 것인가? 현재와 미래의 전쟁은 어떻게 바뀌고 있으며 사이버 무기의 특성과 위험성은 무엇인가? 사람마다 걸어온 길이 다르고 자신의 경험에 비추어 세상을 바라본다.
이 책은 사이버 보안이라는 렌즈로 디지털 혁신 현장에서 평생 살아온 한 사람의 내러티브다. 이 책이 안전한 세상을 만드는 데 조금이나마 도움이 되기를 바란다.
2023년 8월, 김홍선
보이지 않는 위협: 66가지 이야기로 풀어낸 사이버 보안의 전장
최신 콘텐츠