보이지 않는 위협

기술은 인간과 한 몸처럼 움직이는 수준에 이르렀기에 기술만의 문제로 치부해서는 안 된다.
사이버 위협은 기계와 연관된 인간의 일거수일투족에 관여되어 있다.

책의 띠지에 적힌, 이 책의 모든 내용을 관통하는 그런 문장이다. 이 책의 저자이신 김홍선 님은 안랩 CEO를 거쳐 현재 SC 제일은행 부행장과 정보보호최고책임자(CISO)를 역임하고 계시는 30년 가까운 경력을 평생 보안과 함께하신 분이다. 소중한 지식과 경험을 이렇게 쉽게 책으로 얻을 수 있다는 것이 신기하기도 하고 감사하기도 하고 그렇다.

 

이 책은 우리 개개인의 보안에 대한 의식을 바꿀 수 있는 세계의 다양한 사례와 저자의 풍부한 경험으로 구성되어 있다. 다루는 주제가 마냥 가볍지많은 않지만 보안 관련 배경 지식이 없더라도 충분히 잘 읽힌다.

 

소주제 하나하나가 다 좋은 내용들이라 몇 가지 기억에 남는 이야기에 대해 풀어보려고 한다.

 

모르는 것을 지킬 수는 없다.
대부분의 사이버 공격은 새로운 취약점을 노린 경탄할 만한 방법이라기보다 이미 운영 중인 통제 약점을 노린 것이 대부분입니다.

4차 산업 혁명, 신기술, AI 등 최첨단 기술 이야기를 하기 전에 스타팅 포인트를 반드시 짚고 넘어가는 것이 중요하다. 공격의 열쇠는 해커가 쥐고 있고 보안 위협은 내가 무언가를 갖고 있기 때문이다. 내가 무엇을 가졌는지 제대로 아는 것이 시작점이 되어야 한다.

 

사이버 보안은 '아무것도 신뢰하지 않는다'가 원칙이다.
그래서 확인과 모니터링에 기반한 이중 삼중 방어 체계가 사이버 보안의 기본 골격이다.
아무것도 신뢰하지 말고 끊임없이 검증해라.

사람의 마음은 큰 힘을 가지고 있지만 사소한 계기로도 잘못을 범하는 나약함도 가지고 있다. 그래서 어쩔 수 없는 사람의 마음이 가지는 나약함으로부터 사람과 회사를 지키기 위해선 반드시 이중 체크가 필요하다. 이중 체크를 번거로운 작업이라고 생각하는 것이 아니라 사람과 조직의 건전성을 지키는 보호 메커니즘으로, 어떤 사정이 있더라도 결코 소홀이 해서는 안 된다.

 

그 조직의 보안 수준은 가장 취약한 연결 고리에 달려 있다.

팬데믹은 국가별로 가장 취약한 연결고리를 적나라하게 드러냈고 막연하고 외면했던 구조적인 문제점을 표출시켰다. 해커는 언젠가 나타날 수밖에 없는 '약한 고리'를 찾으며 기다린다. '약한 고리'를 없애겠다는 의지와 리더십이 필요하다.

 

사후 대응은 사전 방지를 따라갈 수 없다. 그럼에도 많은 피해 기업의 경우 전자를 택한다.

예방과 방지가 사고 수습보다 훨씬 돈이 적게 든다는 사실을 외면하는 것을 지적한다. 병에 걸리든 사고가 나든 사후 처방은 당연히 돈이 많이 들고 협상력도 줄어든다. 그럼에도 불구하고 우리는 훨씬 효율적인, 합리적인 선택인 사전 예방을 게을리한다.

 

이 책의 소주제에는 한 개 이상의 인용이 있는 것 같다는 생각이 들 정도로 인용이 많이 담겨 있다. 생각을 풀어내는데 적절한 인용은 다소 어렵고 부담될 수 있는 주제를 이해하는 난도를 낮추는 좋은 장치인데 부담스럽지 않은, 정말 딱 알맞게 들어간 인용 문구를 보면서 소주제, 문장 하나하나를 작성하시면서 정말 공을 많이들이셨겠구나라는 생각이 들었다. 불특정 다수를 대상으로 전문 지식을 전달하는 것이 굉장히 어려운데 사이버 보안이라는 어려운 주제를 이렇게 풀어냈다는 점에서 감탄했고 많은 노력이 들어간 책이라는 느낌이 들었다.

 

개발자인 나에게도 보안은 뗄 수 없는 분야 중 하나다. 반드시 해야 하지만, 자세히는 모르는 그렇지만 신경 써야 하지만 마냥 가볍지많은 않은 그런 것이 보안이지 않을까 싶다. 정보가 넘쳐나는, 초소형 컴퓨터와 매일을 살아가는 우리들에게 무뎌진 보안 경각심을 다시 한번 일깨우는 시간이 되었다.

 

그리고 IT 산업 종사자가 아니더라도 한 번쯤은 읽어보는 것을 추천한다. 아까도 살짝 언급했지만 정말 잘 적힌 책이고 그 누가 읽더라도 한 가지는 건져갈 만한 것이 있을 것이라고 확신한다.

 

 

한빛미디어 <나는 리뷰어다> 활동을 위해서 책을 제공받아 작성된 서평입니다.