[김홍선의 보안이야기]정보 보안사업은 '장사'가 아니다


정보 보안의 산업 특성(4) 공익성

안철수 박사가 컴퓨터 바이러스를 처음 경험했던 서울대 의과대학 대학원 시절을 회고하면서 다음과 같은 표현을 했다. “당혹스럽고, 화가 나기도 하고, 한편 호기심이 들었다.”

아마 바이러스에 감염된 경험을 가졌던 많은 이들이 비슷한 느낌을 가지지 않았을까 한다. 그런데, 똑같은 체험을 겪으면서 대처한 방식은 확연히 달랐다. 안철수 박사는 스스로 문제를 해결했을 뿐만 아니라, 피해를 입은 다른 이들을 돕기 위해 치료용 소프트웨어인 백신을 공개했다. 바로 이것이 한국의 대표적 바이러스 백신인 V3가 탄생하게 된 배경이다.

애당초 안철수 박사는 이 소프트웨어로 돈을 벌겠다는 생각이 없었다. 자신의 문제를 해결하면서 주위 사람들을 돕겠다는 소박한 생각이었다. 그 이후 바이러스에 감염되어 난감해 하던 이들이 이 소프트웨어로 치료를 할 수 있었고, 때로는 안철수 박사에게 개인적으로 도움을 호소했다.

안 박사는 돈 한 푼 받지 않은 채, 더욱이 자신의 전공 분야도 아닌데 새로운 바이러스가 나오면 백신을 개발해서 공급해 왔다. 남을 돕는 것에 보람을 느끼는 인생 철학과 자부심이 있었기에 가능한 일이었을 것이다.

안철수연구소의 창업 과정을 돌이켜 보면 태생적으로 일반인을 도와주기 위한 ‘공익성’을 근본 철학으로 하고 있음을 알 수 있다. 안티바이러스 소프트웨어의 전문가들과 얘기를 하다 보면 비슷한 배경을 가진 이들을 많이 보게 된다. 미국에서 만난 어떤 이는 물리학 논문을 쓰다가 바이러스 때문에 곤혹스런 상황을 경험하고, 스스로 백신을 만들면서 커뮤니티에 참여했다고 한다. 맥아피(McAfee) 씨도 록히드 사에서 소프트웨어 컨설턴트로 재직 중 브레인 바이러스를 접한 후 백신 소프트웨어를 개발했고, 이것이 오늘날 세계적인 정보 보안 기업을 이루는 모태가 되었다.

공익성을 철학으로 가진 것은 바이러스 백신만이 아니다. 네트워크 보안 등 모든 정보 보안 분야에 공히 해당되는 덕목이다. 일례로 2000년도에 CNN, Yahoo와 같은 세계적 사이트들이 해커의 집중적인 DDoS 공격을 받았을 때를 돌이켜보자. 이것은 정보 보안이 최초로 TV 톱뉴스에 나온 역사적 사건이었다. 또한 이 때 처음으로 보안 전문가들이 백악관에 모이기도 했다.

국내에서도 보안업계 지도자들이 바로 그날 오후에 모여서 대책을 논의했으며 전국민 메시지를 공동으로 만들었던 기억이 생생하다. 1.25 대란이 터졌을 때에도 보안 업체들은 바로 밤을 새워가며 대국민 서비스를 했다. CIH 바이러스와 같은 크고 작은 사고 때마다 보안 인력들은 누가 시키지 않아도 일사불란하게 움직였다.

‘공익성’은 정보 보안의 고유 특성

이와 같이 정보 보안이 다른 IT 업종과 다른 특성은 ‘공익성’에 대한 태생적 본능이다. 이것은 정보 보안 전문가가 반드시 가져야 하는 철학이자 품성이기도 하다. 그렇다면 왜 유독 정보 보안은 ‘공익성’을 지닐까? 이에 대한 배경을 어느 정도 이해해야 정보 보안의 산업과 인력에 대한 정확한 시각을 가질 수 있다.

첫째, 정보 보안은 자신의 의도와 상관 없이 누군가의 영향을 받는, 보편적 피해 의식에 기반하고 있다. 보통 기업 내에서 많이 사용되는 소프트웨어, 예를 들면 데이터베이스, ERP와 같은 소프트웨어는 조직 내에서 훈련된 이들이 업무를 위해 사용한다. 타이프라이터(typewriter)에서 진화한 워드 프로세서만 해도 개인적으로 많이 사용되기는 하지만, 일단 문서를 편집하기 위한 업무적 목적이 뚜렷하다. 따라서, 스스로 익혀서 다룰 수 있어야 한다는 인식이 지배적이다.

그러나, 정보 보안은 이러한 업무적 목적으로 얻는 혜택이라기보다 예상치 못한 사태를 경험함으로써 실감하는 이슈이다. 바이러스에 감염되거나 개인 정보가 유출된 경우는 본인이 의도한 것이 아니다. 1.25 대란처럼 어느 날 갑자기 인터넷이 되지 않거나, 애용하던 포털 사이트가 몇 시간 다운될 때 심한 답답함을 체험하게 된다. 온라인게임에서 누군가가 게임핵을 통해 자신보다 잘 하거나 해킹으로 아이템을 강탈당하면 얼마나 화가 나는가?

이와 같이 정보 보안은 전혀 의도하지 않은 상황에서 우리에게 다가오는 삶 속의 불편함이다. 따라서, 업무 목적으로 스스로 사용하는 IT 제품과는 근본이 다르다. 그렇기에 누군가에게 도움을 요청해야 할 경우가 많다. 정보 보안 산업 초기에 어떤 이들은 왜 아무런 혜택을 주지 않는 보안 제품을 돈 주고 사느냐며 못마땅해하는 이들도 있었다. 그러나, 이는 산업으로 형성되어야 질적 향상을 기할 수 있는 비즈니스 특성을 제대로 이해하지 못했기 때문이다. 어쨌든, 이런 배경 때문에 정보 보안은 공익적인 모습으로 일반인이 인식을 하게 된다.

정보 보안은 사회적 공감대가 필요

둘째, 정보 보안은 사회적 문제이다. 정보 보안 문제가 대두되자 1990년대 중반에 경찰청에 사이버 수사대가 선을 보였다. 컴퓨터에 관심이 있는 몇 명에 불과했던 사이버 수사대는 그 후 비약적으로 성장했다. 이는 그만큼 사이버 위협이 급증했음을 반증한다. 그러나, 이런 수사대 조직도 위협에 대처하기에는 아직 태부족이니 컴퓨터 범죄가 얼마나 조직적으로, 또한 국제적으로 극심해졌는지 짐작이 간다.

이런 위협에 대비하는 책임은 누구에게 있는가? 당연히 컴퓨터 사용자와 각종 서비스 제공자가 그 책임의 주체다. 그러나, IT 인프라가 공공재의 성격으로 일반화되고 전자정부, 인터넷 뱅킹과 같은 서비스가 일상화되자 기업과 개인의 경제적 행위만으로는 규정하기 어려운 상황이 되었다. 아울러, 전자서명, 개인정보보호, 지적재산권 등 법적 공감대를 불러일으켜야 하는 문제들이 계속 대두되고 있다. 이렇게 정보 보안은 사회적 이슈이기에 공익성에 대한 기대감은 더욱 커지게 마련이다.

셋째, 사회적 공감대를 확보해야 전반적 보안 수준을 끌어올릴 수 있다. IT의 활용도가 커지면서 위협의 근원을 정의하는 데 어려움이 있다. 스마트폰과 같은 다양한 단말기의 보급, 소셜네트워크와 같은 자율적 웹 사이트의 폭발적 성장, 스팸 메일의 홍수 속에서도 필수불가결한 요소인 이메일 등 IT의 활용 범위가 넓어질수록 위협은 비례해서 성장한다. 게다가 이런 위협은 서로 복잡하게 얽혀 있어서, 어느 한 분야의 문제로 국한해서 보기가 어렵다.

보안 관제 서비스 센터에 24시간 근무하는 요원들은 거의 전쟁 상태다. 늦은 밤에 CERT(컴퓨터침해사고대응센터)에서 근무하는 직원들은 야참을 먹을 시간이 없을 정도로 바쁘다. 오늘날 해커들은 네트워크 해킹, 웹 공격, 악성코드 제작, 개인정보유출 등 동시다발적이고 다양한 공격 방법으로 무장하고 있다. 사이버 위협은 생생한 현실이다. 그렇기 때문에 사명감으로 무장하지 않고는 제대로 된 정보 보안 대책을 마련할 수 없다.

이렇게 총괄적, 입체적 위협에 끊임없이 대응하기 위해서는 철저한 사명감이 필요하다. 돈을 낸 사람만 국한해서 보호할 수 있는 문제도 아니다. 아무리 일부 기업이 정보 보안 대책을 잘 세웠다고 해도, 그 기업이 속한 전반적인 사회적 안전망이 없으면 보안의 효과가 떨어진다. 따라서, 사회적 공감대와 보안 인식을 끌어올리는 것이 중요하다. 그런 점에서 정보 보안 업체들이 방향을 제시하고 교육을 제공하는 공익적 역할이 중요한 것이다.

사명감과 의지가 정보 보안의 본질적 요소

어떤 업종이든지 각각 고유한 특성을 가지고 있다. 이를테면, 보험업은 안정된 자산 운용이 기본적으로 받쳐주어야 고객을 안심시킬 수 있다. IT 산업도 분야별로 특성이 다르다. 네트워크 장비는 속도와 안정성이 받쳐주어야 실제로 사용할 수 있다. 데이터베이스는 데이터가 왜곡되면 안 되기 때문에 정보의 무결성이 무조건 보장되어야 한다.

정보 보안 업종의 가장 중요한 특성을 하나만 꼽으라면 당연히 공익성이다. 정보 보안 산업을 시작한 많은 이들이 이익 창출에 앞서 공익성을 생각했다. 공익적 마인드와 기술적 흥미가 이 산업을 만들어낸 초석이다. 바꾸어 말하면 이러한 철학이 없다면, 정보 보안 업체로서 정체성이 없다고 할 수 있다.

정보 보안을 사업상 한 축으로 삼으려는 많은 시도가 있었다. 보안에 대한 일반적 관심이 커짐에 따라 정보 보안을 카탈로그에 넣으려는 사업적 노력은 당연하다. 그러나, 공익성에 대한 철학을 갖추지 않은 채 정보 보안 사업을 추구하면 고객과 사회로부터 외면을 받게 마련이다. 무료 소프트웨어를 배포하면서 광고 수익을 추구하는 시도가 정보 보안의 경우 심한 거부감을 받는 이유가 그러하다.

정보 보안 사업은 의지와 사명감이 필수이다. 이윤 추구를 목적으로 하는 기업의 속성은 바뀌지 않지만, 정보 보안 기업은 공익성에 대한 사명감을 본질적으로 가져야 한다. 또한, 공익성에 바탕을 둔 의지(Commitment)와 전문성(Professionalism)이 정보 보안에 종사하려는 이들의 중요한 덕목이다.

/김홍선 안철수연구소 대표이사 column_phil_kim@inews24.com






포토뉴스