IoT 또는 사이버 스페이스와 물리적 세계의 조합인 '사이버 물리(cyberphysical)' 시스템으로 시작하자. 소형화된 센서, 제어기, 송신기를 더하자. 그리고 자동화된 알고리즘, 머신 러닝, 인공지능을 더한다. 이를 클라우드 컴퓨팅에 던져 넣으면 그에 부응해 저장과 처리 용량이 증가할 것이다. 인터넷 연결, 어디에서나 가능한 보편적 컴퓨팅과 널리 사용 가능한 고속 무선 접속 환경도 빼놓을 수 없다. 마지막으로 로봇공학 기술도 첨가한다. 그 결과 우리가 얻는 것은 세계에 직접적이고 물리적인 방식으로 영향을 끼칠 수 있는 단일한 글로벌 인터넷이다. 감지하고, 생각하고 행동하는 인터넷이다.
우리는 이 새로운 '시스템들의 시스템'에 붙일 이름이 필요하다. 이것은 인터넷 이상이고, 사물인터넷 이상이다. 실상은 인터넷과 사물의 결합, 즉 '인터넷+사물'이다. 더 정확하게는 '인터넷+사물+우리'다. 혹은 줄여서 '인터넷 플러스(Internet+)'이다. 솔직히 나는 새로운 용어를 지어낼 필요가 없기를 바라지만 앞에 설명한 모든 흐름을 묘사할 수 있는 기존 용어를 찾아낼 수가 없다. 그래서 적어도 이 책에서는 '인터넷 플러스'라고 부르고자 한다.
인터넷 플러스는 우리가 구축하는 모든 인터넷 연결망을 통해 더욱 강력해진다. 그리고 보안상 점점 더 취약해진다. 이 책을 통해 왜 그것이 사실인지 그리고 어떻게 그것을 보완할 수 있는지 논의하고자 한다.
나는 이 문제들을 다소 거리를 둔 '메타(meta)' 수준에서 바라본다. 나는 기본적으로 공학자다. 정책 입안자도, 정치 분석가도 아니다. 나는 우리의 보안 문제에 대한 기술적 해법을 설명할 수 있다. 그러한 기술적 해법을 판별하고, 생성하고, 구현하는 데 필요한 새로운 정책 유형까지도 설명할 수 있다. 하지만 그러한 정책 변화를 가능케 하는 정치 역학에 대해 쓰지는 않는다. 정책 변화에 대한 지지를 어떻게 끌어낼지, 어떻게 실제 변화를 일궈 낼지, 혹은 그런 변화의 적실성을 어떻게 논의할지에 대해 말할 수 없다. 이것은 이 책의 가장 큰 허점이다. 나는 그런 점을 인정한다.
또한 나는 미국의 시각에서 글을 쓴다. 대다수 사례는 미국에서 나온 것이며, 그에 따른 권장 내용 역시 대부분 미국의 상황에 적용된다. 그것이 내가 가장 잘 아는 내용이기 때문이다. 하지만 미국은 사안이 어떻게 잘못될 수 있는지를 보여주는 대표적인 사례일 수 있고, 무엇보다 그 방대한 규모와 시장에서의 지위로 인해 문제를 개선할 수 있는 중요한 위치에 있기 때문이기도 하다. 이 책이 국제 문제와 인터넷 보안의 지정학에 관한 저술은 아니지만 그런 측면들이 여러 장에 산재해 있다.
인터넷 플러스에 대한 보안의 미래, 혹은 군대식 용어를 선호한다면 '사이버 보안의 미래'는 방대한 주제이고 이 책을 구성하는 장들 대부분은 그 자체만으로도 단행본으로 엮어낼 수 있을 만큼 큰 주제다. 특정 주제를 깊이 파기보다 보안과 연관된 다양한 분야를 폭넓게 다룸으로써 나는 독자들에게 현재 상황을 알려주고, 문제의 성격을 짚어주며, 이를 개선하기 위한 로드맵을 보여줄 수 있다고 생각한다. 내 목표는 가능한 한 많은 독자들이 이 중요한 논의에 참여하도록 유도하는 한편, 충분한 기반 지식을 갖추고 그러한 논의에 참여할 수 있도록 정보를 제공하는 것이다. 우리는 향후 몇 년에 걸쳐 중요한 결정을 -설령 그런 결정이 아무 일도 하지 않는 것이 될지라도- 내리게 될 것이다.
이런 위험 요소들은 저절로 사라지지 않는다. 상대적으로 인프라가 취약한 나라나 전체주의 정부가 지배하는 나라에만 나타나는 문제도 아니다. 마비 상태인 미국의 정치 체제 탓으로 돌린다고 해서 문제가 줄어들지도 않는다.
시장의 힘을 통해 마법처럼 스스로 문제를 해결하지도 못한다. 우리가 문제를 해결하는 수준이나 범위는, 그 해법에 요구되는 정치적, 경제적, 사회적 비용을 어느 수준이나 범위만큼 수용할 것인지와 직결된다.
세계는 컴퓨터들로 구성되고, 우리는 이들의 보안을 확보하지 않으면 안 된다. 그러자면 사고방식을 바꿔야 한다. 2017년에 열린 한 인터넷 보안 콘퍼런스에서, 전직 연방통신위원회(FCC) 의장 톰 휠러(Tom Wheeler)는 "우리는 21세기의 문제에 대해 20세기의 언어로 논의하고 19세기의 해법을 제안하고 있다"라고 꼬집은 매들린 올브라이트(Madeleine Albright) 전 국무장관의 발언을 인용했다. 그의 지적은 맞다. 우리는 더 잘 대응해야 한다. 우리의 미래가 거기에 달려 있다.
이 책은 보안에 관한 에세이 모음집이다. 보안 기술, 보안 정책, 보안이 어떻게 적용되는지 다르고 있다. 투표 기계, 국내 ID 카드 같은 특정 주제도 있다. 공항 또는 올림픽 같은 특정 대상도 있다. 복잡도의 증가나 사람의 행동 양식과의 관련등의 글도 담고 있다.
나온 글들은 2002년 6월에서 2008년 6월 사이- 신문, 잡지, 웹사이트, 크립토그램에 실린 것들이다.
이것들을 주제대로 모아 정리했더라도 각 에세이는 모두 개별적이다. (개 중에는 비슷한 내용이라하더라도 발생한 장소의 차이 때문에 실린 것도 있다.) 흥미 있는 주제를 먼저 읽고 난 다음 시간이 나면 내가 누구인지 또 왜 이런 글을 썼는지 읽어보는 것도 좋은 방법이다.
나는 보안 기술자다. 크고 작은 규모의 회사에서 직원, 컨설턴트로 일했다. 지난 수년 간 했던 일은 일종의 총괄직이었다. 암호문과 수학적인 보안에서부터 컴퓨터와 네트워크 보안, 그리고 일반적인 보안기술까지를 다루었다. 최근에는 보안 기술과 사람, 보안 경제와 사람, 보안 심리학과 사람의 관계에 대해 집필하고 있다.
보안이 사람에게 미치는 영향은 중요하다. 보안은 기술에 관한 것이 많지만, 사람과의 관계를 빼놓을 수 없다. 사람이 있기에 보안이 있다. 그리고 보안이 취약해지는 원인의 중심에 사람이 있다. 보안 기술이 발전할수록 공격과 방어(물론 성격이 서로 다르지만)에 모두 도움을 준다. 그리고 보안은 사람에 대한 것에서 시작한다.
여러분이 이 책을 읽으면서 혹은 보안과 관련된 문제에 직면할 때 다음의 4가지를 마음에 새기길 바란다.
1. 보안은 트레이드오프 관계다.
절대적인 보안이라는 것은 없다. 피해라는 척도로 볼 때 보안은 트레이드오프가 필요하다. 어떤 것은 포기하고 어떤 것은 취한다. 돈, 시간, 편리함, 성능, 자유 등등을 고려한다. 트레이드 오프 관계를 의식적으로 때로는 무의식적으로 만든다.
2. 당신은 보안 소비자다.
당신은 개인적이든, 공동적이든, 국가적이든, 또는 어떤 입장이든 선택을 하고 소비를 한다. 그런데 "보안 대응책이 효과적인가?" 라는 것은 좋은 질문이 아니다. 좀 더 나은 질문은 "이것이 합당한 트레이드오프인가?"라고 묻는 것이다. 물론 트레이드오프를 만드는 것은 주관적이다. 비용이 평가의 모든 것이 아니기 때문에 쉽게 평가할 수 없다. 불편함, 시간, 그리고 정신적 안정감이라는 비용도 주관적이다. 소비자들이 서로 다른 청소기 제품, 텔레비전 쇼, 휴가지를 고르는 것처럼 사람마다 다른 트레이드오프 관계를 선택한다.
3. 보안은 하나의 시스템이다.
사람들은 보안을 공격이나 방어의 일종이라 생각한다. 그러나 실제로는 간단하지 않다. 보안은 항상 한 시스템의 일부이기에 복잡하다. 신원확인 시스템은 ID 카드보다 좀 더 복잡하다. 은행의 천장 보안 장치는 금속 박스 보안 장치보다 더 복잡하다. 어떤 시스템이든, 보안은 다른 시스템과의 관계에서 생각해야 한다.
4. 기술이 보안 불균형의 원인이다.
기술이 트레이드오프에 영향을 미친다. 어떤 요소를 좀 더 싸게 만들거나, 또는 좀 더 비싸게 만든다; 좀더 빠르고, 또는 좀 더 시간이 걸리게도 한다. 기술적인 발전은 공격이나, 방어를 좀 더 쉽게 만들 수 있다. 빠르게 변화하는 과학기술의 세상 속에서, 보안 기술이 어떻게 발전하는지 지켜보는 것이 중요하다.
이 책은 위의 4가지 원칙을 적용하기에 맞지 않는 부분도 간혹 있지만 대부분은 모두 적용하며 읽어볼 수 있다.
만약 좀 더 많은 내용을 알기 바란다면, 다음 두 가지를 참고하자. 첫 번째는 내가 쓴, 『Beyond fear』라는 책으로 보안에 관한 시각을 넓혀준다. 두 번째는 나의 무료 월간 이메일 뉴스레터인, 크립토그램(CryptoGram)을 보자. 나의 블로그와 에세이를 볼 수 있다. 내가 쓴 책에 관한 뉴스레터, 블로그, 그리고 정보는 모두 http://www.schneier.com/ 에 있다.
해킹은 인공지능과 자동화 시스템의 도입이 증가함에 따라 더욱 파괴적이 될 것이다. 이들은 모두 컴퓨터 시스템이고, 이것은 모든 컴퓨터 시스템들이 그렇듯 필연적으로 해킹될 수밖에 없을 것이라는 뜻이다. 이들은 사회 시스템들에 영향을 미치며 - 이미 AI 시스템들은 대출, 채용, 보석 결정을 내리고 있다 - 이것은 그러한 해킹이 궁극적으로 우리의 경제 및 정치 시스템들에도 영향을 미칠 것이라는 뜻이다. 더욱 심각한 대목은 현대의 모든 AI를 추동하는 머신러닝 프로세스로 인해 사람이 아닌 컴퓨터들이 그런 해킹을 수행하게 되리라는 점이다.
이를 더 멀리까지 추론한다면, AI 시스템은 곧 새로운 해킹 기법이나 채널을 발견하기 시작할 것이다. 그로 인해 모든 상황이 바뀔 것이다. 지금까지 해킹은 인간만이 벌이는 행위였다. 해커들은 모두 사람이고, 해킹 행위는 인간의 한계를 반영해 왔다. 그러한 한계는 이제 곧 제거될 것이다. AI는 컴퓨터만이 아니라 우리의 정부, 시장, 그리고 심지어 우리의 마음까지 해킹하기 시작할 것이다. AI는 과거 어떤 인간 해커도 꿈꾸지 못한 속도와 기술을 갖추게 될 것이다. 이 책을 읽어가는 동안 ‘AI 해커’의 개념을 기억하기 바란다. 나는 마지막 부분에서 그 내용으로 대미를 장식할 것이다.
이 책이 바로 지금 중요한 이유도 거기에 있다. 우리가 해킹을 인식하고 그로부터 방어하는 방법을 이해해야 할 타이밍은 바로 지금이다. 그리고 보안 기술이 도움을 줄 수 있는 부분 역시 여기에 있다.
언젠가 - 그게 어디였는지 기억하지 못해 유감이다 - 나는 수학적 문해력에 대한 다음과 같은 언사를 들었다. “수학이 세상의 문제를 해결할 수 있다는 뜻은 아닙니다. 다만, 만약 모두가 수학을 지금보다 조금만 더 이해한다면 세상의 문제를 풀기도 더 쉬워진다는 뜻입니다.” 같은 논리는 보안 분야에도 고스란히 적용된다. 보안을 염두에 둔 사고방식, 혹은 해킹 의식이 세상의 문제를 해결하리라는 뜻이 아니다. 다만, 모두가 보안을 지금보다 조금만 더 이해한다면 세상의 문제를 풀기도 더 쉬워지리라는 뜻이다.
자, 시작해 보자.
