[TE머묾] 미래시제는 종종 부정문이다

크리스마스 캐럴 중 ‘루돌프 사슴코’에는 현대인들에게 꼭 필요한 메시지가 담겨 있다. 특히 이 부분이 백미다. “그 후로 사슴들은 그를 매우 사랑했네.” 여기서 ‘사슴들’은 한 소절 전에 루돌프를 조롱하던 세력이었다. 산타가 그를 썰매 안내자로 임명하자 금방 마음을 바꿔 그를 사랑하기에까지 이르렀다는 이 재빠른 태세 전환은, 이제는 좀처럼 보기 힘든 광경이다. 어떻게 해서든 ‘내가 옳았다’를 주장하며 단 1밀리도 굽히지 않는 게 트렌드인 요즘, 자기들의 잘못을 이렇게까지 진심으로 뉘우치는 것을 우리는 언제 마지막으로 보았던가.

모든 보안 사고를 농축해 액기스를 짜내면 어떤 원리가 하나 나올 텐데, ‘소 잃고 외양간 고친다’ 일 가능성이 높다. 미리 목수 불러 외양간 최신식으로 다 바꾸고 구멍까지 빠짐없이 메우는 등 최선을 다했는데도 공격자가 너무 집요하고 뛰어나 당할 수밖에 없었다는 피해자는 소수 중 소수다. 미리 할 수 있는 일을 하지 않아서 당하는 사람/조직/기관이 압도적으로 높은 비율을 차지한다. SKT가 그렇고, 예스24도 그랬고, SGI서울보증도 그렇다.

동서양을 막론하고 보안 사고를 당해 공개적으로 망신을 당한 기업들이 다 그렇지만, 요즘 한국 사회를 뒤흔들고 있는 이 세 보안 사고의 당사자들도 “보안에 더 많은 관심을 쏟고, 더 많은 돈을 투자하겠다”라고 약속했다. 외양간 고치겠다는 건데, 이 말이 지켜질지는 두고 볼 일이다. 물론 그렇게 해서 보안을 강화한다고 하더라도 이미 ‘한국 대기업들은 랜섬웨어에 걸리면 돈을 준다’는 이미지가 전 세계 해커들 사이에 박혔다는 사실을 되돌릴 수는 없겠지만, 그래도 공개적으로 내뱉은 말을 잘 지키는 게 이들 기업에 거는 사용자들의 마지막 기대일 것이다.

안타깝지만 우리는 처음부터 완벽한 것을 바랄 수 없다. 세상에 그런 건 존재하지 않는다. 천재들이 대거 몰리는 유명 대기업에서 나온 소프트웨어에서도 기어이 제로데이 취약점이 나오고, 완전무결해 보이는 지성인도 실언 한 번 하지 않을 수 없다. 이번에 별세한 프로레슬링계의 별 헐크 호건의 인기도 흠집 하나 없는 건 아니었고, 많은 업적을 이룬 팀장이나 선배도 치명적 오판을 할 때가 있다. 아무리 대단한 기업이라도 해킹 공격 한두 번 당하는 게 이상하지 않다. 루돌프의 진가를 몰랐을 뿐, 잘못을 빠르고 진심으로 인정할 줄 아는 성숙한 사슴들이 조롱으로 관계를 시작했듯이 말이다.

몇 년 전 만난 한 보안 담당자는 당시 일이 너무 많아서 정신이 없다고 했다. 그런데, 그래서 신이 난다는 게 그의 설명이었다. 그 회사에서 작은 보안 사고가 있었고, 그래서 CEO가 보안에 아낌없이 돈을 쓰고 있기 때문이었다. 원래 보안 담당자들은 도무지 들으려 하지 않는 고막에 소리를 치고, 협조 없이 홀로 밤새서 보안 아키텍처를 구성하고, 꼭 필요한 예산인데도 결정권자들에게 무릎 꿇고 읍소하느라 바쁜데, 이 분은 반대였다. 이미 열린 고막이 너무 많아서, 협조하려는 태도가 과분해서, 예산이 하늘에서 쏟아지는 듯해서 바빴다. 그는 자신의 CEO를 존경하고 있었다. “이렇게라도 마음을 진심으로 바꿔주는 것도 흔치 않은 일이거든요.” 그러면서 그는 새로 구매할 장비들의 카탈로그를 꼼꼼하게 살폈다.

정말 흔치 않은 경우다. 대다수 기업들은 보안 사고 후 CISO를 해고한다. 사고 규모에 따라 다르지만, CIO를 넘어 CEO까지 교체될 수 있다. 책임질 사람이 물러나는 게 나쁜 건 아니지만, 기업들의 그런 반응이 너무 즉각적이라 위화감이 들 때가 적지 않다. 기다렸다는 듯이 책임을 한두 사람에게 돌리고 해고하고 끝. 그러고는 ‘보안 강화’에 대한 약속으로 마무리된다. 그나마도 잘 지키면 다행인데, 그런 기업들 중 연거푸 해킹 공격에 당하는 곳들이 적지 않은 거 보면 그 약속은 그저 언론 무마용이 아니었을까 하는 의심이 든다.

누가 바보처럼 연거푸 당했냐고? 야후는 2013년 30억 계정 침해 사건을 겪고도 바로 다음 해에 5억 계정 침해 사고를 겪었다. 에퀴팩스(Equifax)도 2016년 소규모 침해 사고들을 겪은 후 별다른 조치를 취하지 않아 기어이 다음 해인 2017년 1억 4700만 명의 개인정보를 해커들에게 빼앗기고 말았다. 대형 통신사인 티모바일은 더 심하다. 2018년, 2019년, 2020년, 2021년, 2023년 대형 침해 사고를 연달아 겪었다. 이 중 2021년 사고로는 4천만 명이, 2023년 사고로는 3700만 명이 영향을 받은 것으로 알려져 있다. 한결같이 보안 강화를 약속했었다.

“보안 예산을 늘리겠습니다.” “보안을 강화하겠습니다.” “보안 인식 제고에 힘쓰겠습니다.” 지난 십수 년 동안 보안 사고를 취재하며 위 야후나 에퀴팩스 같은 회사들을 너무 많이 봐와서일까, 필자는 더 이상 미래시제를 ‘의지’로 해석하기 힘들다. (그 옛날 성문문법 왈, will과 be going to는 의지를 표현하는 것이라고도 했었다.) 오히려 부정문으로 읽힌다. “보안 예산, 아직 안 늘렸습니다.” “보안 강화, 아직 안 했습니다.” “보안 인식 제고, 아직 신경 안 씁니다.” 새로운 직분을 받은 루돌프를 과거형으로 사랑해 줄 사슴들은 동요 속에만 존재한다.

하긴, 이게 어찌 보안 사고 당한 기업들만의 이야기이랴 싶다. 관심을 가지고 지켜보면, 미래시제를 부정문 대신 쓰는 사람들을 우리 주변에서 흔히 볼 수 있다. 문제 제기를 하거나 제안을 하면 항상 “더 고민해 볼게”라고 대답하는 상사들, 대부분은 부하직원의 고민을 그 말로써 묻어버린다. “더 생각 안 할게”가 그들의 진짜 속마음이다. 아까 시킨 심부름 어떻게 됐냐고 물어보면 도리어 화를 내면서 “하려고 했어요!”라고 답하는 사춘기 자식들, 사실은 하기 싫다는 거다. ‘방금 전화하려 했어요.’ ‘이제 막 답장 보내려 했어요.’ ‘이제 곧 읽어볼 시간을 내려고 했어요.’ ‘이것만 끝나면 검토하려 했지요.’ 늘 아슬아슬하기만 한 미래시제는 어느새 나의 지금을 뒤덮고 있지는 않은지.

그래서 두고 볼 일이다. 보안 사고 후 기업들의 보안 강화 약속이, 그 결연해 보이는 미래시제가 사실 부정문을 숨겨두고 있을 수 있다. 그 약속을 적극 지키기만 해도 필자는 그들의 서비스를 한 번쯤 다시 이용할 의향이 있다. 위에서 언급한 한 CEO처럼 마음을 진심으로 되돌리는 일 자체도 지금으로서는 귀한 일이고, 북돋워야 할 덕목이기 때문이다. 게다가 나 또한 그러한 어법에서부터 완전히 떳떳하지는 않다. 공허한 약속들이 내 입에서도 곧잘 나오는데, 어찌 일방적으로 그 기업들에만 돌을 던질까. 잘못이 없는 사람만 돌을 던지라는 가르침은, 과거와 현재와 미래를 부정할 것 하나 없이 관통하는데.

*이 글은 필자의 브런치(www.brunch.co.kr/anotherphase)를 통해서도 연재되고 있습니다. 거기서 더 많은 소통을 이루실 수 있습니다.