당장 아파 죽겠는데, 그저 건강해지라고?
정보보안, 올바른 처방은 ‘원인요법+대증요법’
바이러스, 백신 등 쓰는 용어만 보더라도 정보보안은 면역학과 임상의학을 빼닮았다. 어떤 체계 속에 들어온 이물질에 대항하는 항체를 생산해 독소를 중화하거나 물질을 제거함으로써 재발을 방지하는 일련의 과정도 그러하다. 따라서 정보보안 담론 또한 의사의 진단 그리고 처방과 비슷한 꼴로 전개되는 듯싶다.
열 나면 해열제, 허리 아프면 소염진통제, 피부 이상하면 스테로이드, 불안해서 잠 못 자면 신경안정제나 수면제를 처방하는 등, 어떤 증세에 대해 1:1 처방하는 치료법을 ‘대증요법’이라 한다. 반면 발병 원인을 찾아 근본적으로 치료하자는 주장이 ‘원인요법’이다.
대증요법은 원인요법 근본주의자들에 의해 무책임한 미봉책 의료행위라고 비난받기도 하고, 주로 사이비 대체의학 및 유사의학 장사꾼들에 의해 철폐되어 마땅한 구태로 매도되기도 한다. 후자는 남 말 할 자격도 없는 사회적 공적이지만 말밥이 밥벌이라 그런지 참 요란하고 근절도 불가능한 듯싶다. 할아버지 할머니들, 부디 조심하세요.
마케터들에게 개인정보는 그야말로 밥줄이다. “고객이란 무엇인가? 도대체 무엇인가?” 정체를 파악하기 위한 결정적 도구라고 주장하는 상품들은 많았지만 대부분 실패했고, 개중 최근 등장한 것이 바로 빅 데이터. 성공 여부는 앞으로 두고 볼 일이지만 지금껏 등장했던 그 어떤 수법보다도 더 성공 가능성 높은 방법이라는 건 틀림없다.
그러고 보니 정책, 주로 부동산 관련해 ‘대증요법’은 막말의 재료로 자주 동원되더라. “정부가 내놓은 OOO정책은 문제를 근본적으로 해결하지 못하는 미봉책 대증요법에 불과하다” 식으로.
하지만 대증요법 무조건적 폄하는 상당히 억울하다. 발병 초기 위급한 상황에서 원인을 따질 경황이 없거나 바이러스성 질병 등 아직 원인이 밝혀지지 않아 확실한 치료법이 없는 경우에는 대증요법을 쓸 수밖에 없다. 그리고 당장 너무 아파서 본격적인 치료에 앞서 일단 드러나는 증상부터 우선 달래야 할 때도 있다.
그 흔한 ‘감기’를 보자. 감기의 정체는 아직도 명확히 밝혀지지 않았고, 정밀검사를 하더라도 특별한 징후가 따로 발견되지도 않는다. 그런데도 열 나고 목 아프고 기침 나니 아주 괴롭다.
그래서 의사 찾아갔더니, “감기약은 대증요법에 불과하니 그냥 꾹 참고 자체 면역력에 의해 자연 치유되기를 기다리며 규칙적인 생활과 적절한 운동, 균형 잡힌 식사, 충분한 숙면을 위해 노력하라”고 말한다면? 화끈하게 열 받아 그렇잖아도 뜨거운 이마 더 뜨거워지겠지.
이럴 때는 일단 증상부터 가라앉혀야 한다. 몸에 열이 나는데 원인을 모를 때, 처음 할 일은 일단 열을 내리는 일이다. 고열은 ‘증상’이고 해열제 처방은 ‘대증’이다.
정보보안의 예를 들면, 최근 발생한 크고 작은 정보보안 사고의 절대다수는 ‘웹 보안’ 사고다. 이는 어쩌면 당연한 현상인 까닭은, 애초에 웹이란 수많은 익명 사용자가 서비스를 요청할 수 있도록 열어 둔 대문이다. 비즈니스 환경 전역을 철통 같은 태세로 막는다더라도 웹만큼은 열어 둘 수밖에 없는 것이다.
원래 임상이란 게 시원시원한 맛이 없이 좀 복잡하고 쩨쩨하게 마련이니 한 걸음 더 들어가 보면, 사고원인 1위는 SQL 인젝션 등 ‘웹 애플리케이션 취약점’을 악용한 공격, 2위는 사용자 인증 및 세션관리 등 ‘인증보안’ 실패다. 대부분의 정보보안 사고가 여기에 해당한다.
이를 ‘증상’으로 본다면, 두 가지 치료법을 거론할 수 있다. 엄격한 시큐어 코딩을 적용해 취약점을 봉쇄하고 계몽을 통해 사용자의 보안의식을 재고해 사고를 미연에 방지하자는 주장이 말하자면 원인요법에 해당한다. 하지만 어느 세월에? 당장 우리 애가 이렇게나 아픈데?
반면 대증요법은 우선 증상에 따른 문제 해결에 집중한다. 웹 애플리케이션 취약점은 웹 애플리케이션 파이어월로 막고 인증보안 실패는 시큐어 SSO 등의 방법으로 해결할 수 있다. 물론 이게 전부는 아니다. 우선 급한 불부터 끄지만, 사고를 미연에 방지하려는 원인요법도 동시에 일상적으로 진행하는 게 정답이다.
그런데 우리나라의 정보보안 담론은 원인요법 일색으로만 흘러가는 경향이 있다. 그 취지가 근본적으로 옳은 건 틀림없지만, 원인 분석이 충분치 않고 당장 적용하기 어렵거나 불가능한 추상적 해법 제시로 그치는 경우가 대부분이다. 옳은 말이라는 게 참, 이거 정말 곤란하다. 아니라고 틀렸다고 반박하기도 애매하니 탁상공론만 끝없이 이어진다.
개발을 잘하라? 물론 잘하고 싶지. 그 말을 ‘개발 환경의 척박함’ 주제와 함께 떠든다는 게 모순일 뿐. 소위 ‘현장’에서 원인요법은 실전용 기술에 대한 이해 부족에 따른 원론적 주장으로 매도되기도 하지만, 그 또한 딱 잘라 말할 수 있는 진단은 아닐 것이다.
가장 위험한 건, 상황 고려치 않고 무조건 어떤 처방만이 근본적으로 우월하다는 주장이다. 근본주의는 요새 왜 그리 잘 팔리는가? 불확실한 시절에 왠지 정답 같은 보이는 걸 당당하게 내미니까 왠지 좀 멋있어 보여서. 물론 정답은 아니지만, 정답 그딴 건 중요하지 않은 시절이라.
단언컨대 가장 완벽한 처방은, 원인요법과 대증요법의 적절한 혼용이다. 정말 그렇다. 그리고 그게 어디 정보보안의 문제일 뿐이랴.