[포럼]원래부터 나쁜 기기는 없다

신대규 인터넷진흥원 정보보호산업본부장

[아시아경제]1970년대 '마징가 Z'가 있었다면, 요즘엔 '범블비'란다. 새 시리즈로 돌아온 영화 '트랜스포머' 얘기다. 영화에서는 핸드폰, 자동판매기 등 일상의 전자기기가 로봇이 되어 사람을 공격하거나 시스템을 탈취하는 장면이 나오는데, 이는 묘하게 비현실적이라기보다는 친숙한 느낌을 준다. 이미 일상에서 눈에 보이지 않는 형태로 매일 일어나는 일들을 '로봇'이라는 물리적 형태로 보이게 만들었을 뿐, 현실과 무관한 픽션이기보다 '디지털 현실의 물리적 은유'에 가깝기 때문이 아닐까.

우리가 사는 세계도 기계가 일상과 생존을 위협할 수 있는 수준에 도달한 것 같다. 자율주행차, 사물인터넷(IoT) 기반 약물주입기 등 생명과 직결된 일부 산업 분야에만 국한된 얘기가 아니다. 실제로 국내 IP카메라를 해킹하여 촬영된 여성의 사생활 동영상이 중국 성인사이트에 올라왔고, KAIST 연구팀은 대중화하는 1인용 이동수단인 세그웨이의 블루투스 취약점을 스마트폰으로 해킹했다. 지난해 10월 프랑스 OVH를 대상으로 발생한 사상최대 규모(1TB)의 DDoS 공격에도 15만대의 취약한 IoT 기기들이 동원됐고, 비슷한 시기 아마존 등 미국의 1200개 사이트를 마비시킨 Dyn사 DDoS 공격에도 취약한 IoT 기기들이 동원됐다. 당장 퇴근하며 IoT에어컨을 작동시키는 직원이 농담처럼 해킹 우려를 제기한다. 머지않아 '좀비PC'라는 단어는 마징가 Z처럼 과거의 유물이 되고 '모든 기기의 좀비화'가 될 지 모를 일이다.

'나쁜 로봇'이 문명파괴를 목적으로 온 것이라면 방위를 전담하는 정부 등에 의존할 것이지만, 현실의 '나쁜 기계'들은 바로 우리가 생산하고 이용하고 관리하는 영역에 있다. 때문에 실효성 있는 정책의 부재, 보안을 내재화하지 않은 제품, 이용자의 소홀한 관리들이 낳은 악용된 '나쁜 기기'에 대한 대응은 우리 모두의 몫이다.

'안전한 일상'은 정부, 기업, 이용자간 책임의 삼각대 위에서만 세워진다. 안전한 음식, 안전한 자동차와 같이 정부는 국민안전을 지킬 기준과 규정을 법으로서 부과하고, 기업은 이를 준수해야 한다. 소비자도 구매제품의 안전성을 엄밀히 요구하며, 안전성 유지를 위한 책임을 다해야 한다. 맛있는 음식 이전에 안전한 음식, 빠른 차 이전에 안전한 차가 당연하다면, 앞으로는 인터넷 기반 모든 기기들에게 '사이버위협에 대한 안전장치가 기본'이 됨도 당연하다.

이를 위해서는 먼저 그간 산업별로 위험성을 별도로 관리하는 것이 당연했던 과거의 패러다임은 전환되어야만 한다. 한 분야의 취약한 보안이 모두에 영향을 미친다는 '연결된 안전'의 패러다임이 대안이다.

이를 바탕으로 정부는 보안이 내재화된 제품, 서비스를 출시할 수 있도록 하는 사전보안방식의 정책을 늦지 않게 마련하며, IoT 보안 전반을 아우르는 거버넌스를 구축해 갈 수 있을 것이다. 기업들은 제품 개발에 있어 보안은 선택이 아닌 필수이며, 핵심 경쟁력이라는 인식이 필요하다. 그간 '최소한'의 보안만을 유지하거나 보안을 비용으로 치부해온 잘못된 관행들을 타개해 나가야 할 것이다.

새로운 기술은 언제나 기대와 우려를 동반하며 등장했다. 또 제대로 된 관리와 생산, 사용을 통해서 더 나은 발전을 만들 수 있었다. 모든 것이 연결된 시대, 폭발하는 IoT기기에 대한 수많은 낙관론과 비관론 사이에서 우리가 집중해야 할 것은 이 기술을 이롭게도 해롭게도 만들 수 있는 '보안'에 분명한 인식과 제대로 된 실천이다. 기기는 원래부터 나쁘게 태어나지 않는다. 책임에 의해 만들어진다.

신대규 인터넷진흥원 정보보호산업본부장