2014년 7월 5일 토요일

정보보안이 중요하다면 - 2nd

얼마 전 '보안전문가들이여, 꼰대를 넘어 스승으로!'란 기사를 접했다. 배경 지식을 공부하고, 기술을 익히고, 유지하고, 발전시키는 걸로는 모자라니 끈질기고 상냥하게 설득하고, 또 설득해서 보안을 중요하게 생각하지 않는 사회적 분위기(또는 직장 상사?)를 바꿔야 한다는 내용.

특정 취약점에 의해 모든 홈페이지가 위험하다는 식의 어느 기사에 대해 자세한 배경 설명 없이 공포를 조장한다고 지적한 일반인에게 레벨이 안 맞는다, 모르면 가만히 있어라 식의 비난이 쇄도하는 걸 보고 느꼈던 점을 적었던 '정보보안이 중요하다면'과 일견 뉘앙스가 비슷해서 읽어봤는데(..)

글쓴이는 업계 종사자, 특히 기술 파트 종사자들이 기술 우월주의라는 그들만의 세상에 빠져서 누구나 이해할 수 있는 쉬운 언어로 사용자를 이해시키려는 노력, 보안의 중요성이 인정받는 문화를 형성하는 노력을 게을리하고 있다는 메시지를 전달하려고 했다.

그런 사람들도 분명 있다

문제는 과연 업계 종사자들만 노력 하면 보안 문화가 형성 되느냐이다. 아니 그 전에 먼저 보안 문화란 게 인위적인 노력을 통한 형성이 가능한 것일까?

군인들이 끈질기고 상냥하게 우리를 설득한 끝에 휴전선을 지키자는 공감대가 만들어졌을까? 전쟁도, 평화도 인류의 본능이었고, 본능이 원하는 분야는 자연스럽게 그 분야의 중요성에 대한 공감대가, 사회적 합의가 이루어졌음을 알 수 있다.

내가 좋아하는 비교 대상인 의사를 보자. 대부분의 의사들은 친절하고 상냥하지만, 설령 무뚝뚝한 의사의 처방이라도 우리는 충실히 따르려고 노력한다. 의사의 노력 때문이 아니라 무병장수하고 싶은 본능이 건강의 중요성이란 만고불변의 공감대를 형성해온 것.

기아, 질병, 범죄, 전쟁같은 인류 문명이 존재하는 한 사라질 수 없는 사회병리 현상들, 인간의 힘으로 어쩔 수 없고 아무리 좋은 기술과 제도라도 악용해버리는 인간 때문에 자연스럽게 발생하는 이런 문명의 폐해에 대해 인류는 자연스럽게 공동의 자구 노력이 필요하다는 공감대를 만들어왔다.

군대, 경찰, 숭고한 구호 활동 등등이 모두 그 공감대의 결과. 사이버보안은 왜 이런 공감대를 쉽게 형성하지 못할까?

정보보안은 정보기술의 한 분야에 불과

정보기술은 기존에 하던 일을 더 편리하고, 더 쉽게 할 수 있도록 도와주는 기술이지 생존에 필수불가결한 기술이 아니다. 속된 말로 없어도 먹고 삼. 정보기술을 악용한 사이버위협은 인류의 새로운 위협이 아니며, 그저 기존 사회병리 현상의 연장선상에 있을 뿐이란 얘기.

기술 문제라는 인식

기존 범죄나 전쟁에 비해 물리적 제한이 거의 없기 때문에 더 쉽게, 더 심각한 피해 발생이 가능함에도 기술은 개발하면 되고, 인력은 양성하면 된다는 마인드로 인해 사이버위협에 공동 대응하려는 문화는 쉽게 형성되지 않고 있다. 이해관계자들만 심각할 뿐. 물론 이해가 어려운 분야인 탓도 있다. 그걸 이용하는 이해관계자들도 많고(..)

권력 문제

세계의 절반이 굶주리고 있지만 나머지 절반은 별로 관심이 없고, 굶주리는 이들은 권력이 없다. 이런 상태에서 문제는 영원히 해결되지 않는다. 결국 사회병리 현상의 문제는 누가 노력을 하고 말고의 문제가 아니라 관심의 문제고, 권력의 문제다. 

그런데 업계 종사자들, 특히 기술자는 대부분 권력이 없다. 그냥 시키는 일 하는 사람. (전문가라 띄워주면서 정작 전문가 말은 잘 듣지 않는다) '오리지널스'란 책에 이런 구절이 나온다.
어떤 집단에서 발언을 제대로 해서 사람들을 설득시키려면, 능력과 지위를 어느 정도 갖추어야만 한다

도대체 어느 정도의 능력과 지위가 필요한 걸까?

이정도 위치에 있어도 말을 잘 듣지 않는다

뭔가를 바꾸는 가장 쉬운 길은 결국 정치나 경제권력을 등에 업는 것이다. 황우석 신드롬만큼의 대중적 화제성을 갖추거나 돈 버는 데 확실한 도움이 된다면 쉬운 일(..)

이해관계자의 한 사람으로써 처방전만 써주면 되는 의사들이 많이 부럽지만 그래도 내 직업에 자부심이 있고, 열심히 하고 싶다. 그러나 사이버위협에 대한 공동 대응의 공감대가 형성되지 않는다고 해서 내 직업의 중요성을 타인에게 강요할 생각은 없다.

그저 내 직업적 역량이 타인에게 이득이 됐을 때, 누군가의 강요에 의해서가 아니라 스스로 필요하다는 판단이 들었을 때 그를 설득할 수 있기를 바라며, 실제 이득을 주고 그만큼의 대가를 받고 싶을 뿐이다.

그러니 사명감 따위를 들먹이며 누군가의 노력과 희생을 강요하는, 행동은 없고 말뿐인 도덕 강의는 그만 좀 봤으면 좋겠다.

댓글 없음:

댓글 쓰기

크리에이티브 커먼즈 라이선스