[서평은 아닙니다만] ‘보이지 않는 위협 속’에서 살아가는 모든 이들에게
“자는 척하는 사람은 깨울 수 없다.”
미국 원주민 나바호족의 속담을 인용하며 “해결책을 안다고 착각하며 흉내만 내고 있지 않느냐”는 매서운 지적. 책 프롤로그에 적힌 일성은 얼핏 게으르게 살지 말라는 자기개발서의 한 구절로 읽힌다. 눈에 보이는 게 다가 아니라거나 ‘리더의 미션’ ‘빌드업’ ‘융합의 마인드’ 같은 소제목이 인생 조언을 전하는 자서전 같은 느낌도 준다.
반전은 이 책이 아직도 현업에서 정보보호최고책임자(CISO)로 뛰고 있는 사람의 ‘사이버 보안’ 이야기라는 것. 디도스나 랜섬웨어 대규모 감염 사태를 되돌아보거나 안티바이러스부터 클라우드 네이티브 보안까지 30년의 사이버 보안 역사를 되짚은 기술서이자 에세이다. 나를 지키고 내 가족과 재산, 나아가서는 내 삶을 지키는 일 모든 게 보안인 현실에서 생생한 현장 이야기를 빌어 왁자지껄한 사회에 묵직한 제언을 던진다.
안랩 CEO 출신인 김홍선 SC제일은행 부행장이 쓴 도서 ‘보이지 않는 위협’은 그가 직접 경험한 보안 사고와 그간의 에피소드, 기술 이야기를 도구 삼아 삶에 적용할 인사이트를 전한다.
“사이버 보안도 기술과 사람의 심리, 지정학적 배경, 공동체의 목적 등을 고려해서 문제를 해결해야 한다. 이를테면 보이스피싱은 경제적으로 어려운 사람들의 절박한 심정을 파고든다. 피해자의 심리적 약점을 노리는 범죄자의 행동 양식을 알아야 한다.(…) 사이버 보안을 기술 문제로 치부하는 것은 시대적 착오다. 인문학적 소양과 기술의 융합적 사고가 더욱 성숙하고 안전한 사회로 이끌 수 있다.”
이를테면 이런 문구들이다. 사이버 보안의 전장 속에서 건진 경험으로 풍진 한국사회를 살아가는 이들에게 방패를 건넨다.
이 책이 매력적인 이유는 또 있다. 복잡한 기술용어를 알지 못해도 술술 읽힌다. IAM, MITRE ATT&CK, SBOM, APT처럼 사이버 보안에 관심이 없는 이가 접하면 암호문같이 어려운 개념이 등장하긴 한다. 하지만 이 단어들을 지워내도 읽는 데는 전혀 문제가 없다. 저자는 스스로 “사이버 보안을 말하면 기술 용어가 난무해 이해하기 어렵다는 인식이 많다”며 “나와 같은 보안 전문가의 잘못”이라고 말한다.
전자공학을 전공하고 평생을 사이버 보안에 투신한 그는 사실 우리나라 보안 업계의 산증인이라고 해도 부족함이 없다. 대표를 맡았던 안랩부터 지금 CISO로 일하고 있는 SC제일은행까지 모두 온 국민이 아는 기업이다. 저자의 약력만 보면 짐짓 무거운 자세로 입단속을 해야 할 것 같지만 그동안의 경험을 아낌없이 풀어놓는다. 부끄러움 없이 임하고 결과로 말한 자신감으로도 비친다.
안랩을 이끌던 2011년 대규모 디도스 공격 예고를 받고 즉각 준비에 나섰지만 정부가 브레이크를 걸었던 이야기, 평생 사이버 리스크를 주장했지만 은행에 다니면서 리스크의 중요성을 다시금 깨달았다는 고백, 지금의 인공지능(AI)과 데이터 중심 IT 환경 속에서 다시 사이버 보안에 집중해야 한다는 주장까지… 사례를 더한 생생한 설명이 보안 전문가와 일반 독자 모두를 책 속으로 빨아들인다.
저자는 닫는 글에서 “보안을 모르는 은행 임직원에게 경영 언어로 보안 리스크를 설명하는 역할을 이어갔다. 기술이 영향을 미치는 사회 곳곳의 이야기와 함께 설명하려고 했다”고 말했다.
그 어려운 사이버 보안을 이렇게 쉬운 언어와 재미로 풀어낼 수 있었던 건 전 직원에게 매달 보냈던 ‘CISO 메시지’를 바탕으로 한 것과 무관치 않다.
회계와 IT는 물론이고 온갖 출신 성분이 뒤섞인 글로벌 대형 은행의 구성원들에게 보냈던 글. 모두를 아우르려니 계속 쉬운 전달법을 고민했을 테다. C레벨이 전 직원에게 보내는 글이니 인사이트도 풍성해야 했을거고 맡은 업무인 사이버 보안의 중요성도 강조해야 한다.
“ 우리는 평범한 진실을 외면하고 있다. 예방과 방지가 사고 수습보다 훨씬 돈이 적게 든다는 사실이다. 병이 걸리든 사고가 나든 사후 처방은 당연히 돈이 많이 들고 협상력도 확 줄어든다. (…) 사후 대응은 사전 방지를 따라갈 수 없다. 그럼에도 많은 피해 기업의 경우 전자를 택한다. 그렇지만 피해자가 돼보지 않으면 그 아픔과 혼란을 잘 모른다. 리더라면 뼈저린 피해 사례를 분석해서 그런 피해를 안 당하는 게 우선이다.“
이게 어디 보안만의 일이겠나. 어떤 분야에 통달한 현자의 조언처럼 더 깊게 다가오는 이유다.
한 달 가까이 읽었다. 아니 한 달 동안 두고두고 들춰봤다는 말이 맞겠다. ‘나에게 사이버 보안은 인생 그 자체’라고 말하는 저자에게 “그래 어디 얼마나 전문적인지 확인해보자” 같은 도전의식(이라 쓰고 자격지심이라 읽는다)으로 시작한 일독이 비로소 끝났다. 아키텍처나 시스템 도식도 그림이 많으면 더 좋았겠지만 그건 욕심이겠지.
사이버 보안이라는 렌즈로 평생을 살아온 사람의 시각으로 쓴 글. 한 사람의 내러티브가 이렇게 많은 깨우침을 줄 수 있다니. 어느 페이지를 펴도 가치있는 이야기가 눈을 번쩍 뜨이게 했다. 신문에서 접할 수 없었던 에피소드만으로도 이 책은 가치가 있다. 더 깊게 들어가고 싶은 보안 꿈나무(?)라면 책에 나온 개념 하나하나를 검색해 보는 재미도 좋겠다.
보이지 않는 위협 – 김홍선 지음, 300쪽, 한빛미디어 펴냄, 2023년 8월. 1만8800원.
글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network
![[까다로운 리뷰] 과연 IT 기자들은 숨은 PC를 찾을 수 있을까](https://byline.network/wp-content/uploads/2019/12/dellCompThumb_00714.jpg)
