이번 사태 이후에 각종 언론매체에서 말합니다. - 보안에 투자하는 예산 문제다, IT강국에서 이게 무슨 망신이냐, 통합관리가 더 문제다, 국가적인 보안 시스템을 갖추어야 한다, 김정일 사이버 공격이 걱정된다, 등등 별 의견이 다 나오네요.  일본 원전사고에 관하여 말씀 드린 내용과 중복되지만 이번 사건은 제가 볼 때는 보안기술의 열등함 때문은 아닌 것으로 보입니다. 영화에 보면 해킹 고수가 복잡한 프로그램을 돌려서 뭔가를 깨곤 하는데 실제 고수는 그런 기술적인 방법 이상의 전략을 사용합니다. 예를 들어 전설의 해커 케빈 미트닉(Kevin Mitnick)의 글에 보면 해킹의 원칙이 소개되어있는데요.  오래전이지만 그 책을 읽고 많이 놀랐습니다. 물론 컴퓨터 지식이 출중해야하지만, 그는 인간에 대한 완벽한 이해를 가진 사람이었습니다. 전설의 해커라고 해도 우리와 같은 상황에서 지금의 인터넷 뱅킹을 돌파하기란 무척 어렵습니다. 미트닉이 사용한 방법은 해당 업체의 쓰레기통 수거, 비서실 여자직원 꼬시기, 사기 전화로 담당직원 불러내서 역정보 흘리기, 배달 직원으로 가장해서 직원책상에 붙은 쪽지 훔쳐오기 등 어떻게 보면 매우 저차원적 방법입니다. 그러니까 해커라고 앉아서 컴퓨터만 두들기는 것은 아니고 전통적인 사기수법을 총동원하는 것입니다. 해커도 부지런해야 하겠더라고요. 영화에서 보여주는 스테레오 타입의 해커, 콜라와 초콜릿과 치즈버거를 입에 달고 사는 근시 눈의 백인 뚱땡이는 실제와는 좀 동떨어진 설정입니다. 미트닉은 전통적인 사기수법으로 시스템 관리자 정보를 확보한 다음, 해킹 후 나갈 퇴로(흔적 지우기)를 확보한 다음, 오랜 시간을 두고 완벽하게, 그리고 은밀하게 오랫동안  해킹을 하는 것입니다. 해킹이나 전쟁이나 기술에만, 무기에만 의존해서는 궁극의 승리자가 될 수 없습니다. 해킹은 기계가 아니라 인간의 마음에 침투하는 기술이라는 것이 미트닉의 교시입니다.       마음으로의 침입이라.. 멋있는 말이네요. 
   

요즘 들어 부쩍 증가하는 은행사고의 70% 이상은 내부직원 또는 경비업체, 청원경찰의 소행입니다. 이번 농협 건에서도 원인이 뭔지 아직도 잘 모른다고 하네요. 협력업체 직원의 노트북에서 일어난 일이다 아니다 말이 많은데, 저는 좀 이해가 안 가는 것이 수리업체 직원에게 서버를 그렇게 막 열어줘도 되는 것인지, 그 과정을 규제하는 절차가 없는지 좀 의아합니다. 원래 전산실 직원은 매우 정교하게 상호 확인(? 감시)을 하게 하고요, 좀 이상한 조짐이 보이면 다른 부서로 발령을 낸 뒤에 조용히 해고 시키는 것이 원칙이라고 알고 있습니다. 그러니까 서버실에 들어오는 사람은 모두 기록하고, 사용하는 프로그램이나 노트북은 사전에 검사하여 그 기록을 모두 남기고, 더 잘 하고자 한다면 접속용 관리 노트북을 따로 둬서 외부에는 그 노트북이나 컴퓨터에게만 접속을 하도록 해야 하는데.. 농협은 고장 나면 바로 협력업체 직원을 부른다고 합니다. 농협의 문제는 사고를 발생한 것이 아니라 그 사고를 복기해서 조사할 수 있는 기본적인 절차가 없다는 것이라고 보입니다.    
   

아무리 강한 보안 시스템을 구입한들 조직 내부의 문제까지 그것으로 막을 수는 없습니다. 비싼 보안 시스템의 구입보다는 훨씬 더 기본적인 차원의 문제에 좀 더 집중해야 한다는 것입니다. 기계적인 보안체계가 복잡해지면 그것 자체가 보안에 가장 큰 적이 됩니다. 노트북 백신 때문에 고생을 좀 했는데, 한번은 아주 악질적인 바이러스 때문에 고생을 했습니다. 인터넷에 보니 A종류에는 P백신이 좋고, B에는 Q백신이 좋고.. 이렇게 해서 4개를 깔았는데, 나중에 백신들 자기들끼리 치고 박고 서로 지우고 난리도 아니었습니다. 결국은 PCTOOLS에서 추천한 놈을 하나 돈을 주고 사서 정리를 했는데, 문제는 이 도구가 일 년이 지난 후 자동연장을 해서 카드에서 돈을 빼 간 겁니다. 해당 사이트를 찾아보니 사람들의 원성이 하늘을 찌르고.... 이런 무단 카드계약 연장을 통해서 뽑아먹는 Ripoff 사기와 관련된 업체나 사연이 정리된 사이트가 아래에 있습니다. 
 
 http://www.ripoffreport.com/
  
Ripoff 사기는 고객 카드에서 아주 조금씩 자동 인출하는 아주악질적이며 피곤한사기의 전형이빈다. 카드로 자잘한 것까지 구입하는 사람은 일년에 20-50불이면 거의 모릅니다. 메일을 보내도 답이 없고. 겨우 받은 답에 의하면 자신과 수금업체와는 무관하기 때문에 그건 고객과 수금업체와의 문제라고 약을 올리지를 않난. 정말 고생고생해서 3달 만에 그 무단으로 인출해간 37달러를 돌려준다는 답을 받았습니다. (그 후에 실제 돌려주었는지는 확인을 못했습니다. 진짜 5년도 더 지난 일이네요. ) 아크로 회원 여러분들도 Ripoff 카드사기 조심하세요. 혹시 의심나면 꼭 위 사이트에서 관련 단어를 쳐 보고 확인한 다음에 카드구매를 하세요.
  오늘 보니 문제의 백신 Spyware Doctor 판매사는  아직도 Ripoff 사기를 치고 있네요.

http://www.ripoffreport.com/Search/PCTOOLS.aspx 

   

많은 항공사고의 예를 보면 시스템의 설계오류는 사람에 대한 과도한 믿음이나 오해로부터 발생한다는 것을 알 수 있습니다. 나중에 돌이켜보면 왜 그런 사고의 가능성을 몰랐을까 하고 탄식을 하지만, 어떻게 보면 그게 사람이죠. 인간에 대한 이해, 그래서 저는 공학에도 인간이 대한 이해를 가르치는 인문학이 중요하다고 생각을 합니다. 실용적인 면에서도. 저도 시간이 나면 심리학을 좀 체계적으로 배우고 싶네요. 은퇴한 제비족의 주장에 따르면, 늘씬하고 잘 생긴 남자가 여자에게 인기가 있을거라고 생각하지만 그게 아니라고 합니다. 썩 잘 생긴 남자는 도리어 사람에게 관심을 끌기 때문에  은밀한 작업이 어렵고요. 여자의 심리를 잘 이해하는 자만이, 그 바닥에서 살아남을 수 있다고 합니다. 인문학이 제비족에게도 중요하기는 마찬가지이네요.  해커나 제비족이나, 한국원전 안전성을 확신하는 교과부 과학자나,  KAIST 서남표에게도, 인간에 대한 이해를 좀 늪이라고 권고하고 싶습니다. 
  

원자력 발전소 자동제어 시스템이 앙심품은 직원이나 외부 관리업체 직원의 아이패드 프로그램, 보조 배터리의 자그마한 휴즈, 또는 관리자들 간의 모호한 책임권한에 의한 미루기 등으로 오작동 될 가능성이 충분히 있습니다. 기계적인 보안 시스템의 덧칠이 아니라 그 근원적인 운용구조에 대한 이해와 점검이 있어야 할 겁니다. 은행이나 공공기관에서는 동일 성능의  보안장치를 몇 겹 더 쌓을 것이 아니라 내부 조직원들의 보안방식과 그 절차에 대하여 점검하는 계기가 되어야 할 겁니다. 
 

이전에는 늦게 들어오는 아이들에게 열쇠를 전해줄 일이 많았죠. 초강력 티타늄 자물쇠 10개로 문을 잠근들 무슨 소용이 있습니까. 그 10개 열쇠를 모두 한 꾸러미에 묶어서, 입구 우편함이나 화분 뒤쪽에 몰래(?) 숨겨둔다면 소용이 없죠. 이 문제의 Bottleneck은  자물쇠의 공학적인 강도가 아니라 열쇠를 숨기기 위한 인문학적 상상력이겠죠.