언론 보도에서 완벽한 객관성과 중립성을 담보하기는 사실상 불가능하다고들 말한다. 어떤 사안이나 사건을 취재해 보도할지 선택하는 순간부터 일정 부분 편견이 작용할 수밖에 없기 때문이다. 그 편견은 한 개인의 주관적 편견일 수도 있고, 역사와 문화에 의해 뿌리 깊게 형성된 사회적 편견일 수도 있다.
이러한 본질적 딜레마는 '데이터(data)'에도 적용된다. 저자는 편견 없는 데이터 분석학을 개발하기는 어렵다고 말한다. 왜 그런가? 데이터를 만들고 수집하는 방식은 애초에 그 목적과 따로 분리할 수 없기 때문이다. 리사 기텔만(Lisa Gitelman)의 저서 『Raw Data Is an Oxymoron(로우 데이터는 모순어법이다)』(The MIT Press, 2013)에서 '처리되지 않은 데이터'라는 뜻의 '로우 데이터(raw data)'는 엄격한 의미에서 존재하지 않는다고 주장하는 이유도 그와 무관하지 않다. 저자는 주목할 만한 역사적 사례를 통해 데이터의 수집과 사용이 어떻게 왜곡됐는지, 지배 계급의 권력을 강화하고 이익을 극대화하며 불평등을 더욱 심화하는 데 오용되거나 남용됐는지 생생하게 설명한다. 이는 데이터를 공공재(public good)로 바라보고, 사회의 발전과 공익을 위해 활용해야 할 필요성을 독자들에게 강조하기 위한 포석이다.
'빅데이터'라는 단어가 현대의 키워드로 떠오르고, 디지털 시대의 새로운 석유로 각광받는 현대 사회에서 데이터가 우리의 일상과 사회 전반에 미치는 영향과 파장은 과거 그 어느 때보다도 더 깊고 광범위할 수밖에 없다. 『대량살상 수학무기: 어떻게 빅데이터는 불평등을 확산하고 민주주의를 위협하는가』(흐름출판, 2017)에서 캐시 오닐(Cathy O'Neil)은 그릇되거나 왜곡된 데이터에 기반한 알고리듬은 간접적인 '대량살상' 무기가 될 수 있다고 경고한다. 그런가 하면 사피야 우모자 노블(Safiya Umoja Noble)은 저서 『구글은 어떻게 여성을 차별하는가』(한스미디어, 2019)에서 검색 알고리듬이 어떻게 인종적, 성적 차별을 더욱 강화하는 암울한 결과로 이어질 수 있는지 실증한다. 검색 알고리듬이 인종적 편견에 휘둘린 데이터를 근거로 작성된 탓이다.
문제는 '데이터' 하나에 있는 것처럼 보이지만 그 배후에는 개인, 인종, 사회, 역사, 문화, 정치 등 사뭇 다양하고 종합적인 인간사가 뒤얽혀 있다. 저자는 "단어의 모음이 이야기를 만들듯이 또는 물감을 사용하는 미술가가 세상의 이미지를 보여주듯이, 데이터는 아이디어를 축조하고 전달하기 위한 매체다. 종이 위의 단어나 캔버스에 칠해진 물감처럼 데이터를 통해 공유되는 메시지는 당사자의 생각과 아이디어를 대표한다."고 비유한다. 그 때문에 데이터는 인권 유린과 침해, 사회적 불평등을 더욱 악화시키는 위험을 안고 있는가 하면, 도리어 그런 사회적 병폐를 치유하고 공익을 신장시키는 잠재력도 지니고 있다. 『공익을 위한 데이터』는 이 같은 데이터의 정치성과 그것을 만들고 수집하고 사용하는 사람들의 이데올로기를 반영한다는 점을 인식하고, 어떻게 하면 사회 발전과 공익을 위해 선용할 수 있는지 고민한다. 그리고 어떻게 하면 데이터를 억압이 아닌 권리 증진의 수단으로 만들 수 있는지를 제안한다.
이 책의 장점은 데이터의 위험과 기회를 논의하고 고민하는 데 그치지 않고 구체적인 행동 강령을 제시하는 데까지 나아간다는 점이다. 책의 제목이자 방법론이기도 한 '데이터 액션'은 지금까지의 데이터 사용 방식을 비판적으로 바라보고, 그로부터 정책을 바람직한 방향으로 개선할 수 있는 길을 모색한다. 저자의 '데이터 액션' 캠페인은 데이터를 만들자(Build it!), 데이터를 해킹하자(Hack it!) 그리고 데이터를 공유하자(Share it!)는 세 갈래로 구성된다.
o 데이터를 만들자!: 데이터는 결코 날것이 아니라 의도에 따라 수집된 것인 만큼 어떤 계층, 계급의 목소리가 빠졌는지 파악한 다음, 지역 공동체와 데이터 전문가가 포함된 각계 당사자들이 공조해 모두의 목소리가 골고루 반영되도록 정책 개발과 실행에 필요한 데이터를 구축하자는 제안이다.
o 데이터를 해킹하자!: 이미 공개적으로 존재하는 데이터의 양은 방대하다. 혁신적으로 데이터를 찾아 취득하고 분석해 정책 변화를 이끌어내자는 제안이다. 이를 위해서는 분석 결과를 영리하게 소통하는 일이 필수적이며, 데이터 사용을 둘러싼 여러 윤리적 논의가 필요한 대목이기도 하다.
o 데이터를 공유하자!: 데이터 공유는 일반의 정보 접근과 지식 습득을 돕고, 궁극적으로 더 나은 시민적 결정을 가능케 한다면서 데이터를 원시적(raw) 형태로, 그리고 시각화를 통해 적극 공유하자는 제안이다.
빅데이터로 대표되는 디지털 사회는 또 다른 형태의 불평등을 초래한다. 바로 데이터에 접근할 수 있는 사람들과 그렇지 못한 사람들 간의 간극이다. 얼마 전까지도 정부의 독점적 권력에 가깝던 데이터 수집과 축적, 활용 트렌드는 이제 빅테크를 비롯한 민간기업으로 빠르게 이동하고 있다. 빅테크가 우리의 개인정보를 자원으로 채취해 통제의 수단으로 이용하는 '데이터 식민주의(data colonialism)'에 대한 우려도 여기서 나온다.
저자는 『공익을 위한 데이터』의 행동 강령이 그런 문제점에 대한 일종의 해법이 될 수 있다고 강조한다. 데이터를 모든 사람에게 유용한 '공공재'로 간주하고, 적절한 규제를 통해 누구나 평등하게 사용할 수 있게 해야 한다는 주장이다. 그리고 그런 주장은 저자가 직접 참여한 여러 프로젝트의 사례를 통해 구체적 방법론으로 제시하고 있다.
You are not a gadget. 당신은 도구가 아니다.
재런 레이니어의 선언은 도발적이다. 언뜻 생각하면 당연한 말 같은데도 그 느낌이 사뭇 다르고 새삼스럽게 들린다. 그 이유 중에는 '디지털 기기'라고 번역한 영어 원문이 '툴(tool)'이 아니라 '가젯(gadget)'이라는 점도 포함될 것이다. 가젯은 툴보다 그 가리키는 범위가 훨씬 더 협소하고 구체적일 뿐 아니라 시사적 연관성도 더 강하다. 가젯은 '신기하고 기발한 소형 기계장치나 도구, 부속'을 가리킨다. 스마트폰, 아이폰, 아이팟, 아이패드, 전자책 리더 등이 모두 '가젯', 즉 통칭하여 디지털 기기다. 요즘 얼마나 다양하고 많은 디지털 기기가 쏟아지고, 얼마나 많은 사람들이 그에 관심을 보이고 열광하는지 떠올린다면, 우리는 실로 디지털 기기의 사회, 디지털 기기의 시대를 살고 있다고 해도 과언이 아니다. 아니, 혹시 우리 자신이 그 디지털 기기의 일부가 되어 가는 것은 아닐까? 혹시 우리가 디지털 기기의 종으로 전락하는 것은 아닐까?
레이니어는 이런 의문이 한낱 실없는 기우에 불과한 것이 아님을 다양한 차원과 각도에서 설명하고 경고한다. 컴퓨터 프로그래밍의 진화, 온라인 익명성의 빛과 그늘, 디지털 문화에 대한 무비판적 신봉과 그 위험성, 흔히 '웹 2.0'으로 뭉뚱그려지는 소셜미디어와 소셜네트워킹의 본색, 클라우드 컴퓨팅이 가져온 '집단적 사고(hive mind)' 의 반인간적 속성 등을 레이니어는 여러 사례를 들어 설득력 있게 묘사한다. 요즘의 유행어 중 하나인 '집단 지성', 혹은 '군중의 지혜'에 대해서도, 그 개념의 적실성은 인정하는 한편, 그에 대한 지나친 열광이 인간의 개인적 창의성, 더 나아가 인간성을 컴퓨팅의 하위 개념으로 격하시키는 위험한 이데올로기로 변질될 수 있다고 경고한다.
이처럼 컴퓨터와 디지털 문화의 진보성을 강조하기 위해 우리 자신을, 사람을 구시대의 유물로 치부하는 논리를 레이니어는 '인공두뇌적 전체주의(Cybernetic Totalism)'라고 부른다. 그리고 소셜미디어로 대표되는 웹 2.0이 겉으로는 '열린 문화(Open Culture)'를 외치지만 실상은 인간의 개별적 창의성과 독립적 사고를 클라우드 컴퓨팅의 집합적, 전체주의적 문화에 봉사하는 일개 벌의 무뇌적 봉사로 위축시키고 있다고 비판한다.
"정보는 자유로워지고 싶어 한다" (Information wants to be free)라는 말에 대한 비판에서도 레이니어의 우려는 잘 드러난다. "정보는 자유로워질 만한 자격이 없다"고 그는 말한다. "인공두뇌적 전체주의자들은 정보가 마치 살아 있고, 그 나름의 사상과 야심을 가진 것처럼 생각하기를 좋아한다. 하지만 정보가 생명이 없는 것이라면 어떡할 텐가? 아니, 생명이 없는 정도가 아니라 우리 생각의 단순한 부산물에 불과하다면? 오직 사람만이 진짜이고, 정보는 그렇지 않다면?"
'오직 사람만이 진짜'라는 말이야말로 레이니어가 이 책을 통해 전하고 싶어하는 가장 강력한 메시지로 보인다. 부제가 그 성격을 뚜렷이 규정하듯, 이 책은 '선언'이다. 사람이 기술에 종속되고, 사람이 컴퓨터보다 열등한 존재로 취급되고, 사람이 클라우드 컴퓨팅이라는 벌집의 일개 벌로 격하되는 이른바 '웹 2.0' 세상의 함정과 허상을 깨야 한다는 레이니어의 '인간 회복 선언'이다. 밖으로 내세운 '열린 문화'라는 구호와 달리, 실제로는 개개인의 독립적 사고와 의지를 '군중의 지혜'나 '집단 지성'이라는 개념 속으로 녹여버리는 벌집형 이데올로기에 대한 해부이자, 익명성으로 무장한 온라인 정글의 비정하고 비인간적 문화에 대한 비판이다.
번역은 쉽지 않았다. 머리로는 명징하게 이해되는데 정작 글로 풀어내면 모호한 횡설수설처럼 변해버리는 경우도 적지 않았다. 내 부족한 번역 솜씨와 모자라는 한글 어휘력이 물론 가장 큰 주범이었다. 적절한 한글 표현을 아직 갖지 못한 영어의 기술적 용어가 많다는 점도 만만찮은 걸림돌이었다.
그러나 레이니어의 글은 내게 일종의 '개안(開眼)'이었다. 웹 2.0이나 소셜미디어/네트워킹에 대한 신간의 8, 9할이 어떻게 하면 이를 기업 경영에 활용할지, 또는 어떻게 그로부터 큰 돈을 벌지를 소리높이 외치는 '실용서'인 현실의 대세를 용감하게 거슬러, 과연 웹 2.0과 소셜미디어가 우리 사회에, 문화에, 그리고 궁극적으로는 우리 자신의 인간성에 어떤 영향을 끼칠 것인지 탐구하고, 그 위험성을 경고하는 레이니어의 글은 큰 충격이었다. 레이니어가 마치 웹 2.0이라는 광야의 예언자처럼 보이기도 했다.
페이스북이 비콘(Beacon)이라는 앱으로 낭패를 본 뒤 어떤 움직임을 보일지를 예견한 다음과 같은 글은 레이니어를 '예언자'라고 부르기에 손색이 없어 보인다.
"하지만 그러한 비콘의 낭패 뒤에도, 소셜네트워킹 사이트들에 돈을 쏟아붓는 흐름은 둔화되지 않고 계속되었다. 비즈니스적 시각으로 본 소셜네트워킹 사이트들의 유일한 희망은 프라이버시와 인간적 존엄성을 침해하는 것이 용인되도록 하는 어떤 마법같은 공식을 찾아내는 것이다. 비콘의 사례는 그것이 지나치게 빨리 나타날 수는 없음을 증명했다. 그렇다면 이제 질문은 페이스북 이용자들의 제국이 그러한 프라이버시와 존엄성 침해를 서서히 수용하는 쪽으로 꼬드겨질 수 있는가이다."
요즘 큰 인기를 끌고 있는 페이스북과, 그것이 차용한 '친구'라는 단어에 대한 레이니어의 지적은 또 어떤가. "나는 수천 명의 친구를 페이스북에서 모았노라고 자랑스럽게 말하는 사람을 꽤 많이 알고 있다. 대부분 젊은 층이지만 다 그런 것은 아니다. 물론 이러한 주장은 우정에 관한 정의를 희석시켰을 때만 맞다. 진짜 우정은 서로에게 자기 안에 있는 예기치 못했던 괴짜스러움을 보여주어야 성립된다. 각각의 지인은 이방인이며, 상상할 수도 없고, 오직 진실된 상호작용을 통해서만 접근할 수 있는, 우리 경험에서 아직 탐구되지 않은 다름의 원천이다. 데이터베이스를 통해 걸러지는 소셜네트워크에서의 우정이란 그보다 확실히 더 왜소한 것일 수밖에 없다." 내가 느낀 것과 같은 공감과 충격을, 이 책의 독자들도 맛볼 수 있기를 기대한다.
원서 제목은 도발적이다. 『Zucked(저크트)』의 저크(Zuck)는 페이스북의 설립자이자 최고경영자인 마크 저커버그(Mark Zuckerberg)를 가리킨다. 북미의 언론은 종종 그의 이름을 '저크'라고 부른다. 그러니까 저크트는 '저커버그에게 속았다'라거나 '저커버그에게 당했다', '저커버그의 포로가 됐다' 쯤으로 해석할 수 있을 것이다. 2018년 초 세상을 뜨겁게 달군 초대형 프라이버시 침해 사건인 케임브리지 애널리티카 스캔들을 기억하는 사람이라면 이 표현이 함축하는 바를 선뜻 이해할 수 있을 것이다.
이 책은 저자가 어떤 이유와 근거로 페이스북의 열렬한 후원자에서 강력한 반대자로 변신하게 됐는지 흥미진진하게 들려준다. 온 세상 사람을 연결하고 온라인 공동체를 건설하게 해준다는 페이스북의 비전이 현실에서 어떤 부작용과 비극을 불러일으켰는지 보여준다. 특히 네트워크 인프라가 상대적으로 취약한 아시아의 여러 나라에 페이스북이 어떤 방법으로 진입하고 확산돼 사실상 '인터넷=페이스북'의 지위를 굳히게 됐는지, 어떻게 사실상의 국민 뉴스 채널로 자리잡았는지, 정부의 효과적인 정보 통제와 왜곡의 수단으로 이용되기에 이르렀는지 보여준다. 그리고 미얀마 정부가 로힝야(Rohingya) 소수민족에게 끔찍한 인종 청소를 자행하고 정당화하는 도구로 어떻게 이용됐는지도 알 수 있다.
맥나미는 페이스북을 더 이상 자유롭게 방치해서는 결코 안 된다고 강조하며 정부의 적절한 규제 조치가 하루빨리 마련돼야 한다고 주장한다. 페이스북만이 아니다. 소위 'FAANG'으로 축약되는 초대형 IT 기업, 즉 페이스북, 아마존, 애플, 넷플릭스, 구글을 더 이상 자유 경쟁에 맡겨서는 안 된다고 역설한다. 이들은 이미 스탠더드 오일이나 U.S. 스틸, AT&T 같은 과거 독점 기업들이 행사하던 영향력을 훨씬 뛰어넘었고, 하루빨리 이들을 적절히 규제하고 분리하지 않으면 경제적 측면뿐 아니라 정치적, 사회적, 문화적으로도 돌이킬 수 없는 부작용을 초래할 것이라고 경고한다.
이제 점점 더 많은 사람들이 페이스북을 비롯한 소셜미디어에서 뉴스와 정보, 혹은 가짜 뉴스와 거짓 정보를 얻고 있다. 그럴수록 이들의 정치적, 사회적, 문화적 중요성은 더 커질 수밖에 없다. 더욱이 올해는 미국의 대통령 선거가 있는 해다. 2016년에 벌어진 것 같은 거짓 정보의 창궐과 러시아 세력의 음험한 선거 개입이 다시 일어나지 않을 것이라고 장담할 근거는 어디에도 없다. 페이스북과 트위터, 구글 같은 빅테크가 적절한 규제와 견제를 받지 않는 한, 오히려 더욱 심각한 정보 왜곡과 좌우 대립 현상이 초래될 것이라고 봐야 옳다.
이 책에서 맥나미는 개별 이용자의 입장에서 어떤 시각과 자세로 페이스북을 바라봐야 하는지 중요한 통찰을 제공한다. 그에 따르면 페이스북은 아예 끊는 게 좋다. 하지만 극단적 조치가 어렵다면 몇 가지 조심하고 명심해야 할 내용이 있다. 맥나미는 그런 내용을 찬찬히, 설득력 있게 독자에게 들려준다. 부디 맥나미의 조언을 듣는 독자가 많이 생기기를 기원한다.
"모두를 죽이려면 여기를 클릭하세요.(Click Here to Kill Everybody)"
책 제목으로 이만큼 강렬한 낚시성 제목도 드물 듯싶다. 저자인 브루스 슈나이어도 이를 인정했다. 하지만 그런 센세이셔널한 제목에도 불구하고, 그것이 경고하는 내용의 핵심은 여전히 유효하다. 머지않아 제목과 같은 상황이 발생할 위험성도 충분히 존재한다는 것이다. 우리의 컴퓨터와 인터넷 환경은 클릭 한 번으로 수많은 인명을 -'모두'는 아니더라도- 살상할 수 있는 세계로 나가고 있다.
그런 흐름의 중심에 '모든 것의 컴퓨터화'가 자리 잡고 있으며, 더 구체적으로는 '인터넷에 연결된 컴퓨터화'이다. 우리 삶의 질과 편의성을 더 높이기 위해 이런 흐름에 이른 것이지만 그 이면의 부작용도 만만찮다. 모든 것이 인터넷에 연결돼 원격 조종이 가능한 만큼 악의적인 해커나 정부의 스파이가 이를 악용할 위험성도 그에 비례해 증폭된다. 브루스 슈나이어가 주목하는 것은 바로 이런 이면이다. 인터넷에서 클릭 한 번이면 수많은 인명이 살상될 수 있는 위험이다. 이 위험은 온갖 기기의 컴퓨터화 속도를 미처 따라잡지 못하는 보안의 취약성 때문에 더욱 높아진다. 설상가상으로 기업이나 정부는 무엇이든 컴퓨터화하고 인터넷에 연결하려 계획하는 초기 단계에서 '보안'이라는 중대 변수를 경시하거나 아예 무시해버리기 일쑤다. 때로는 의도적으로 보안에 허점을 만들기까지 한다.
슈나이어는 우리의 인터넷과 컴퓨터가 이제는 자동차업계나 항공업계, 제약업계처럼 인명 살상의 잠재적 위험성을 갖게 됐다고 지적한다. 이처럼 새롭게 발전되고 확장된 소위 '인터넷 플러스(Internet+)' 환경은 더 이상 방임 상태로 내버려 둘 수 없다고 강조한다. 3D 프린터를 통해 간단히 권총을 제조하고, 자율 주행 차를 해킹해 사고를 유발하고, 생체 프린터로 치명적인 바이러스를 유포하는 등 책 제목과 직결되는 몇 가지 사례는 그런 주장의 적실성을 잘 보여준다.
슈나이어는 '모든 것의 컴퓨터화'는 보안 패러다임에도 결정적인 변화를 몰고 올 것으로 전망한다. (1) 먼저 소프트웨어나 시스템의 취약점이 발견되면 온라인으로 패칭(patching)하던 방식은 사물인터넷 환경에서 제대로 통하지 않을 것이다. 패치 과정이 해킹 채널로 악용되는 상황을 막기도 더 어려워질 것이다. (2) 내가 다른 서비스나 객체를 인증하는 방식도 근본적으로 바뀔 것이다. IoT는 '나(사람)'의 개입 없이 기계와 기계, 장비와 장비끼리, 이를테면 자동차와 도로 신호등이 서로를 인증하는 상황이다. 이 과정에 어떤 위험이 도사리고 있는지 제때 파악해 해결하기는 더욱더 어려울 수밖에 없다. (3) 최초 디자인부터 제조, 조립, 운송, 판매, 유통의 출처가 모두 다른 상황, 더욱이 부품 하나하나까지 그 출처가 각기 다른 나라인 상황에서 '공급망' 관리는 더욱 어려워질 것이다. 러시아의 보안회사 카스퍼스키(Kaspersky), 중국의 화웨이(Huawei)와 ZTE를 과연 어느 정도까지 믿을 수 있을까?
이렇게 보면 '인터넷 플러스'의 신세계는 결코 장밋빛만은 아니다. 혜택이 큰 만큼 부작용도 커 보인다. 부작용을 최소화할 수 있는 해법은 무엇일까? 슈나이어는 표준, 규제, 국제 협약, 국가 단위의 법률 같은 '정책'으로 풀 수밖에 없다고 주장한다. 그리고 그런 정책 수립의 기반으로 '방어 우선' 원칙을 강조한다. 지금의 사이버 전쟁과 사이버 스파이 활동은 의심할 바 없이 공격 우선이다. 방어보다 공격이 훨씬 더 쉬운 사이버 스페이스의 특성도 한몫한다. 그 때문에 시스템이나 소프트웨어의 보안 취약점이 발견되면 정부기관이나 해커들은 이를 공개해 패치를 유도하기보다 발견 사실을 숨기고 공격 무기로 활용한다. 이런 흐름은 공격의 악순환으로 이어진다.
슈나이어는 '모두를 죽이려면 여기를 클릭하세요'의 시나리오가 더 이상 허황하게 보이지 않는 요즘 상황에서 정부의 관여 여부는 이미 논란거리가 아니라고 강조한다. 인명 살상의 위험이 있는 것은 정부가 규제할 수밖에 없고, 인터넷 플러스는 바야흐로 이 범주에 들어가고 있기 때문이다. 이제 정부의 규제는 불가피해 보이고 중요한 것은 규제 대책을 얼마나 영리하게, 혹은 어리석게 내놓느냐에 달려 있다고 저자는 말한다.
브루스 슈나이어는 IT 보안 분야에서 최고의 '공공 지식인'이라고 할 만하다. 복잡하고 자칫 지루할 수 있는 컴퓨터 보안 문제를 평이하면서도 흥미진진하게 풀어내는 솜씨가 대가 급이다. 이 책 또한 예외가 아니다. '스마트' 기기, '머신 러닝', AI, IoT 같은 신조어가 봇물 터지듯 나오는 요즘 상황에서 대체 뭐가 어떻게 된다는 것인지 갈피를 잡기가 쉽지 않다. 이 책은 독자로 하여금 제대로 방향을 잡을 수 있게 해줄 뿐 아니라, 낙관적이고 멋지게만 보이는 일방적 미래상 대신 현실에 발을 딛고 그런 장밋빛 미래를 만들기 위해 각자가 어떻게 일익을 담당할 수 있는지 친절하게 일러준다.
보안의 미학
'아름다운'이라는 형용사 뒤에 어떤 명사가 들어갈 수 있을까? 설마… 보안?
여인, 신부, 순간, 풍경, 이별, 사랑, 산, 바다 같은 말은 일반적으로 쉽게 떠오를지언정 '보안'은 그렇지 못하다. 심지어 보안 분야에 종사하는 사람이라고 해도 '아름다운'과 '보안'을 연관 지어 떠올리기는 쉽지 않을 것 같다.
직역하면 '아름다운 보안(Beautiful Security)'이라는 제목이 될 이 책은 그런 면에서 도발적이고 신선하다. '보안은 아름답다.'라고 선언하고 있기 때문이다.
하지만 컴퓨터 보안, 혹은 IT 보안에 대한 일반적 이미지를, 특히 세간의 잦은 사건, 사고와 연결 지어 떠올려보면, '아름다운'보다는 '끔찍한'이나 '무서운', '걱정스러운' 같은 형용사가 더 잘 어울리는 것 같다. 당장 이 서문을 쓰던 지난 6월 중순만 해도 '어나니머스'라는 해커 그룹이 캐나다 연방 정부의 컴퓨터 서버를 공격해 여러 부처의 웹사이트를 마비시키는 사건이 발생했다. 유튜브를 통해 유포된 어나니머스의 메시지에 따르면 문제의 사이버 공격은, 캐나다 정부가 여러 시민 단체와 프라이버시 옹호 단체들의 강력한 반대에도 불구하고 '국가 안보'라는 명분으로 국민의 기본권을 자의적으로 침해할 소지가 다분한 '반테러 법안 C-51'을 통과시킨 데 대한 상징적 보복 행위였다.
어나니머스의 해킹 공격이 과연 정의로운 행위였는지의 여부는 여기에서 논의할 사항이 아니다. 그러나 이 책의 시각에서 보면, 그리고 캐나다 정부, 특히 IT 담당자들의 시각에 보면, 어떤 대목에서든 '보안' 대책이 미흡했고, 그 때문에 웹사이트 마비라는 결과가 초래되었다는 점은 명백하다.
보안 문제, 혹은 보안이 중요하면서도 어려운 것은, 보안 사고가 실제로 터져야만, 더 정확하게는 터진 다음에만 세간의 주목을 받고, '아! 어딘가에 보안상의 취약점이 있었던 모양이다.'라고 깨닫게 만들기 때문이다. 대규모 개인정보 유출, 민감한 금융정보의 도난, 중국과 미국의 불꽃 튀는 사이버 보안 전쟁 같은 굵직굵직한 뉴스들로부터 잠시 눈길을 돌려, 우리의 일상적인 업무 환경에다 보안을 대입해봐도 사정은 크게 달라지지 않는다.
우리의 평범한 직장 생활에 컴퓨터나 IT 보안을 넣었을 때 선뜻 튀어나오는 형용사는 '귀찮은', '짜증스러운', '골치 아픈', '따분한', '그 투자나 비용 효과를 쉽게 계량화할 수 없는' 등이다. 아침에 출근해 컴퓨터를 켰는데 '비밀번호가 만료되었습니다. 비밀번호를 변경해주세요.'라는 메시지가 뜬다. "아, 또? 벌써 두 달이 지났어?" 웬만한 기업들은 보안 목적상 직원들로 하여금 매달, 격월, 혹은 90일 단위로 비밀번호를 바꿀 수밖에 없도록 강제해 놓았다. 그뿐인가? 비밀번호가 쉽게 추정되거나 노출되지 않도록 하기 위해 '영문 대문자와 소문자, 숫자, 특수문자 등을 넣어 최소8자 이상'과 같은 규칙까지 요구한다. 이전 비밀번호와 숫자만 바꾼다든가 하면 다른 비밀번호를 넣으라고 퇴짜를 놓는다. 서너 달 전에 썼던 비밀번호의 재활용도 안 된다. 몇 번인가의 시도와 재시도 끝에 비밀번호를 바꾸는 데 '성공'했지만, 다음날 그 비밀번호를 기억 못해 또 머리를 싸매는 사태가 발생한다. 어찌어찌 헤매다가 새 비밀번호를 생각해내고 로그인해보니 시스템 관리자의 메시지가 도착해 있다. 백업 폴더를 만들어라, 보안 패치를 당장 업데이트해라, 비밀번호를 바꿔라… 아, 귀찮다. 가만, 또 비밀번호를 까먹는 상황이 나오면 안 되잖아. 어디에 적어놓아야겠다. 포스트잇에 새 비밀번호를 적은 뒤 키보드 밑에 붙인다. 이러면 안 된다는 얘기를 얼마 전에 보안 담당자한테 들었는데, 어쩌지?
한편 기업 경영진의 시각에서 볼 때 보안 부서는 종종 계륵이나 '캐치 22'처럼 여겨지기 일쑤다. 부서를 아예 없애자니 불안하고(금융기관이나 의료기관들은 보안 전담 인력을 의무적으로 두도록 법률로 규정하고 있으니 어쩔 수 없기도 하다.), 그렇다고 보안 부서에서 요구하는 수준의 예산을 편성하자니 괜한 낭비 같기도 하다. 보안 부서에서 자조적으로 '보안 사고가 터져도 문제, 너무 없어도 문제'라고 한탄하는 것도 그와 연관된다. 보안 사고가 터지면 경영진은 "보안 부서가 어떻게 했길래 이런 사고가 터졌느냐?"라고 화살을 돌리고, 아무런 사고도 없이 지나가면 "아무 일도 없는데 이렇게 많은 보안 인력과 예산이 꼭 필요한 거야?"라고 의문 부호를 던지기 때문이다.
이 책은 그러한 일반의 부정적인(그리고 잘못된) 이미지를 바로잡는다. 효과적이고 효율적인 보안은 값비싼 첨단 기능을 갖춘 특정 시스템이나 기술이 아니라, 상시적인 긴장과 경계, 분야와 경계를 넘나드는 유연성임을 기고자들은 알려준다. 또 바람직한 보안이란 첨단 IT 기술이나 고성능 컴퓨터 시스템, 최신 안티바이러스 프로그램에 의존하는 것이 아니라 각 분야에 종사하는 임직원 한 사람 한 사람이 보안을 침해할 수 있는 온갖 위험 요소와 위해 가능성을 늘 의식하는 데, 그리고 안이한 편견과 억측을 경계하는 데 있음을 보여준다. 프로그램이나 시스템이 기능이 무엇이든 상관없이 초기 디자인과 아키텍처 단계에서부터 '보안'을 변수가 아닌 상수로 포함시켜야 함을 강조한다. 보안이 사실은 지극한 창의성과 상상력을 요구하는 분야임을 알려준다.
이 책은 정보통신 보안업계의 여러 전문가, 리더, 선량한 해커들이 보안 분야의 핵심 이슈와 과제에 관해 쓴 에세이들을 모은 책이다. 총 16장에 걸쳐 놀라울 정도로 다양한 보안 분야들을 짚고, 각 분야에 대해 심층적이고 풍요로운 통찰을 제공한다. 보안의 심리학, 무선 네트워킹의 끔찍한 취약성, 클라우드 컴퓨팅의 보안 문제, 온라인 광고 시장의 보안, 정보 보안과 법의 상관관계, 보안 수준을 계량화해 측정하는 방법 등 몇 가지 사례만 들더라도 얼마나 다양한 주제를 다루는지 쉽게 짐작할 수 있다.
예컨대 보안에 대한 심리적 고정 관념(그것이 옳든 그르든) 이 어떤 위험 요소를 안고 있는지 실제 사례를 들어 친절히 분석하고 알려주는 장, 그리고 보안 역사의 드라마틱한 한 장을 펼쳐 보여주는 'PGP의 진화'는 보안에 조금이라도 관심이 있는 독자라면 누구라도 읽어볼 만한 내용이다. 소프트웨어나 시스템의 설계 단계에서부터 보안 요소를 고려해야 한다('security by design')고 조언하는 장, 적정한 보안 투자 수준을 결정하는 데 도움을 주는 '보안 메트릭스'의 장 등은 보안 부서의 중요성에 대해 확신을 갖지 못하는 경영진이 읽어봐야 할 내용이라 할 수 있다. 그런가 하면 정보 보안 분야에 특화된 법률 전문가가 떠오를 것이라는 전망, 보안 사고가 터졌을 때 효과적으로 대처하는 방법, 민감한 실제 데이터 없이도 업무를 수행하는 방법이라든가 로그 관리법, 허니클라이언트 등은 보안 분야에 어느 정도 지식과 관심이 있다고 자부하는 이들의 관심을 끌 만하다.
요컨대 이 책은, 난이도로 보면 보안에 대한 특별한 지식이 없더라도 별 어려움 없이 읽어낼 만한 수준이고, 독서의 필요성이나 가치의 기준으로 보면 모든 사람들이 읽어봐야 마땅할 만한 내용을 담고 있다. 요즘 세상에 스마트폰을 쓰지 않는 사람이 얼마나 될까? 와이파이를 쓰지 않는 사람은? 하지만 자신의 스마트폰에, '앗 공짜다!'라며 별 생각 없이 접속해 쓰게 되는 와이파이에, 어떤 보안상의 취약점이나 위험이 도사리고 있는지 잠깐이나마 고민해본 사람은 생각보다 많지 않을 가능성이 크다. 『보안의 미학』은 그런 사람들에게 특히 더 중요한 지침서가 될 수 있다.
이 책은 정말 좋은 책이다. 출간된 지 몇 해가 지났지만 거기에 내장된 생명력과 시의성은 조금도 퇴색하지 않았다. 본문 곳곳에서 발견되는 '좀 오래된' 사례들에도 불구하고, 그를 통해 개진하는 보안 이론, 더 나은 보안을 위한 제언, '보안'이라는 어찌 보면 모호하고 지나치게 포괄적으로 여겨지는 단어가 포괄하는 IT 세계의 다종다양한 풍경은, 여전히 유효하고 더없이 흥미롭다. 이 책에 실린 추천사의 표현을 빌린다면 'FUD1의 그릇된 신화를 넘어, 제대로 시행되고 적용된 보안의 미묘한 아름다움을' 독자들에게 전하면서 '보안의 음과 양, 보안의 가공할 만큼 파괴적인 속성과 눈부실 만큼 건설적인 속성 사이의 원천적이고 창의적인 긴장 관계를' 잘 보여준다. 시간의 시험을 잘 견뎌내고, 더 나아가 극복할 수 있는 책 중 하나로 꼽을 만하다.
인터넷 보안 사고나 개인정보 유출 사고 소식을 하루라도 듣지 않고 지나가기가 어려운 요즘이다. 그만큼 인터넷이 빼놓을 수 없는 우리의 일상이 되고, 그를 통한 개인정보의 유통이 일반화했다는 뜻이겠다. 다른 한편으로는 그에 걸맞은 보안 기술과 개인정보 보호 대책이 제대로 마련되지 않았다는 뜻이기도 할 터이다. 이스트소프트와 에퀴팩스의 사고 사례는 '그럼 도대체 누구를 믿어야 하지?'라는 다소 무기력한 질문을 자연스럽게 제기한다. 전설의 해커이자 이 책의 저자인 케빈 미트닉은 그에 대해 '누구도 믿지 말라.'고 단호하게 대답한다. "당신의 개인정보와 프라이버시를 안전하게 보호할 수 있는 첫걸음은 '누구도 믿지 말라(Trust No One).'는 것이다." 모든 것이, 심지어 냉장고와 커피 머신까지 온라인으로 연결된 세상이다.
그리고 그 '연결'의 밀도는 점점 더 높아져만 간다. 그저 편리한 줄만 알았던 '스마트 TV'는 우리가 TV를 시청할 때, 우리를 감시한다. 알렉사, 에코 같은 인공지능 스피커 겸 디지털 조수는 목소리로 조작할 수 있다고 좋아했는데, 알고 보니 우리가 원치 않는 일상의 시시콜콜한 대화 내용까지 다 듣고 녹음하며, 심지어 다른 곳으로 전송하기까지 한다. 스마트폰은 꺼놓아도 나의 위치를 중계한다. 온라인으로 쉽고 편리하게 택시를 잡을 수 있다고 좋아했던 우버는 추적 소프트웨어로 우리가 차를 이용하지 않는 경우에도 위치를 추적하고 기록한다. 그뿐인가, 기업과 정부 기관은 천문학적 규모의 데이터를 수집하고 분석해, 개인정보를 직접 수집하지 않고도 누가 어디에서 어떤 일을 하는지, 할 것인지 추정한다. 바야흐로 '빅브라더'와 '빅데이터'의 시대다.
미트닉은 인터넷과 디지털의 신세계가 안겨주는 편의와 혜택보다, 그 뒤에 도사린 위험성과 파장에 초점을 맞춘다. 비밀번호가 사실은 얼마나 쉽고 허망하게 깨질 수 있는지 보여주며, 지메일이나 야후 메일 같은 공짜 메일이 상시 감시되고 스캐닝된다는 사실을 일깨운다. 암호화 기술이 첩보 영화나 해커 드라마에만 해당하는 것이 아니라, 실상은 누구나 이용해야 하는 최소한의 보안 대책임을 강조한다. 우리가 웹사이트를 서핑하거나 웹 페이지의 링크를 클릭할 때 어떤 정보가 새어 나가는지, 그리고 그런 정보가 역으로 어떻게 우리의 정체와 위치를 노출하는지 구체적으로 보여준다. 랜섬웨어가 무엇이며, 어떻게 하면 이를 막을 수 있는지도 알려준다. 네트워크로 연결된 이른바 '커넥티드 카'가 어떤 위협으로 작용할 수 있는지, 그리고 그런 차를 구입하거나 되팔 때 어떻게 해야 개인정보를 제대로 보호할 수 있는지도 일러준다.
소셜 미디어의 인기가 시사하듯 요즘의 온라인 이용자들은 저마다 자신을 더 드러내고 과시하고 노출하지 못해 안달이라도 난 것 같다. 그러나 이런 경향은 온라인 세계에 도사린 위험을 모르거나 무시한 데서 나온 결과다. 그 위험성을 조금이라도 파악한다면 온라인 이용자들의 행태는 180도 달라질 것이라고 미트닉은 강조한다. "디지털 세계에서 가장 바람직한 행태는 눈에 띄지 않는 것, 즉 투명 인간이 되는 것이다."
이 책은 그 방법을 일러준다. 그것도 어렵고 복잡한 기술 용어나 은어를 거의 쓰지 않고, 마치 친구끼리 이야기하듯, 찬찬히, 구체적으로 알려준다. '비밀번호' 대신 '비밀 표현(passphrase)'을 권하고, 첨부 파일에 암호를 정하는 수준보다 훨씬 더 견고한 '암호화(encryption)' 방법을 일러주며, 카페나 공공장소의 무료 와이파이를 쓸 때는 '가상 사설 네트워크(VPN)'를 쓰고, 무료 이메일이나 온라인 서비스에는 단순한 비밀번호 대신 이중 인증(2FA) 기법을 쓰라고 강조한다.
케빈 미트닉은 1990년대 가장 악명 높은 이른바 '블랙 해커'였다. 미국 국방부(펜타곤)와 국가안보국(NSA)의 전산망에 침투하고, 모토로라, 썬 마이크로시스템즈, NEC 같은 유명 기업의 전산망을 해킹한 혐의로 FBI와 쫓고 쫓기는 추격전을 벌이다 1995년 체포됐다(그 내용은 『네트워크 속의 유령』에 잘 묘사돼 있다). 이후 '화이트 해커'로 전향한 미트닉은 자신의 해킹 지식과 경험을 바탕으로 컴퓨터 보안 전도사가 됐다. 이 책은 그러한 컴퓨터 보안 비법의 정수만을 모았다고 해도 과언이 아니다.
디지털 세계는 우리에게 아직 낯설다. 그 방대한 가상 공간 안에 어떤 위험이 도사리고 있는지, 그리고 어떻게 해야 그런 위험을 피할 수 있는지에 관해 케빈 미트닉보다 더 잘 알 만한 사람은 그리 많지 않다. 디지털 세계, 사이버스 페이스의 음지와 양지를 누구보다도 더 깊고 다양하게 체험하고 탐험해본 인물이기 때문이다. 이 책을 통해 미트닉의 꼼꼼하고 친절한 안내를 받는다면 누구든 이전보다 훨씬 더 현명하고 신중한 사이버 시민, 인터넷의 투명 인간이 될 것이라고 확신한다.
"네가 무슨 짓을 하든 아무도 보는 사람이 없고, 그래서 처벌받을 가능성이 전혀 없다면 어떤 일을 하겠니?" 어린 시절 친구들과 한두 번쯤 주고받았을 법한 질문이다. 그게 아니라면 상상이라도 해봤음직한 가정이다. 흔히 '비트코인'으로 통칭하는 암호화폐 또는 가상화폐의 신세계는 그런 질문이나 가정을 실제 상황으로 옮긴 것처럼 보였다. 비트코인은 사용자의 익명성을 보장해 그것을 거래의 지불 수단으로 삼는 한 거래 당사자의 신원이 공개되거나 범행의 꼬리가 잡힐 염려가 없는 것으로 여겨졌다.
앤디 그린버그가 이 책에서 상세하고도 흥미진진하게 그려내는 사건과 사고는 그런 믿음이 얼마나 허황한 것인지 잘 보여준다. 「와이어드」의 베테랑 기자이자 『샌드웜』 같은 베스트셀러로 유명한 그린버그는 사이버 보안, 해킹, 온라인 감시, 암호화폐 같은 분야의 잘 드러나지 않은, 하지만 국제정치학 차원에서 심대한 의미가 있는 신기술의 범죄적 사안에 천착해 왔다. 이 책은 사이버 공간을 무대로 온갖 음험하고 부도덕한 범죄 행각을 저지르는 악당들의 거래 및 축재 수단에 주목한다. 바로 비트코인, 더 넓게는 암호화폐다.
그린버그는 몇 년에 걸친 심층 취재를 바탕으로 사이버 공간을 넘어 현실 세계까지 큰 파장과 물의, 공분을 불러일으켰던 대표적 범죄 행위들을 소개한다. 온라인 최대 규모의 마약 밀매 사이트로 악명을 떨친 실크로드를 비롯해 그보다 더 큰 규모로 이른바 '다크웹' 시장을 주도했던 알파베이(AlphaBay)부터 몇백만 달러 상당의 비트코인을 잃어버리면서 돌연 파산한 수수께끼의 암호화폐 거래소 마운트 곡스(Mt. Gox), 범죄자들의 비트코인 현금
화를 주도한 또 다른 거래소 BTC-e, 네덜란드 경찰이 다크웹 사이트 운영자로 가장해 함정 수사를 펼친 한사(Hansa), 악명 높은 아동 성 학대물 매매사이트인 웰컴투비디오(Welcome to Video)에 이르기까지 그린버그는 암호화폐를 이용한 끔찍한 범죄 행각과 그를 수사해 철퇴를 내린 담당 수사관들의 활약상을 꼼꼼하고 생생하게 그려 보인다.
이런 수사 내용을 묘사하는 가운데 그린버그가 되풀이해서 강조하는 메시지가 있다. 비트코인 같은 암호화폐는 추적되지 않는 통화(通貨)이기에 완전한 익명성이 보장된다는 믿음은 그릇된 신화에 지나지 않는다는 것이다. 실크로드와 알파베이의 킹핀들은 그런 신화에 기대어 '아무도 보는 사람이 없고, 그래서 처벌받을 가능성이 전혀 없다면 어떤 일을 하겠는가'라는 질문에 어떻게 대답하는지 보여준다. 그들이 제시하는 풍경은 전혀 아름답지 않다.
이 책은 암호화폐, 토르(Tor) 같은 신기술의 은폐 기능을 범죄에 악용하는 악당, 그럼에도 불구하고 놀라운 창의력과 끈질긴 추적으로 사법적 정의를 구현하려는 수사관의 쫓고 쫓기는 '고양이와 쥐'의 형세를 잘 보여준다. 그런가 하면 수사관들이 누구나 정의로운 것은 아니며 수사 과정에서 얻은 기밀 정보로 변절해 막대한 이익을 취하는 일도 발생한다는 사실을 드러낸다. 사이버 공간의 범죄와 수사 기법은 새롭고 놀라울지 몰라도, 결국 사람들끼리 지지고 볶는 범죄 드라마는 현실과 별반 다르지 않다는 점을 깨닫는 순간이다.
-2023년 6월 캐나다 빅토리아에서
지난 2월말 벌어진 러시아의 우크라이나 침공은 비단 물리적 환경에만 국한된 것은 아니었다. 아니, 그보다 앞서 사이버 환경에서 먼저 벌어졌다. 러시아의 사이버 군대는 우크라이나의 주요 기간 시설에 대한 전방위적 해킹을 시도했다. 우크라이나도 그에 맞서 러시아의 기간 시설에 대한 사이버 공격을 감행했다. 즉, 사이버 공방전은 실제 물리적 전쟁의 전조였던 셈이다. 뉴스에는 자주 언급되지 않지만 양국의 사이버 전쟁은 물리적 전쟁 못지않게 치열하다. 전쟁이 두 달째에 접어든 지난 4월 초, 우크라이나의 컴퓨터 긴급대응 팀(CERT-UA)과 슬로바키아의 사이버보안 회사인 ESET는 러시아의 샌드웜 해커 그룹이 인더스트로이어(Industroyer), 혹은 크래시 오버라이드(Crash Override)로 알려진 멀웨어의 한 변종을 사용해 우크라이나의 주요 고압 변전소들을 마비시키려 시도했다고 폭로했다. 러시아의 군사정보국(GRU) 산하 74455 부대로 알려진 샌드웜 해커들은 2015년과 2016년 우크라이나의 전력망을 해킹해 사상 초유의 피해를 입혔고, 그 내용은 이 책에 잘 묘사돼 있다. 러시아의 침공과 병행한 이번 공격은 전력 공급을 조절하는 변전소 장비들을 무력화하기 위한 것으로, 최악의 경우 2백만 가구 이상의 전력을 끊는 치명적 피해로 이어질 수 있었다.
그러나 우크라이나 측은, 이번 샌드웜 그룹의 공격을 성공적으로 저지했다고 밝혔다. 재난적 피해를 입은 2015년과 2016년의 뼈아픈 경험이 우크라이나의 사이버 전력을 한껏 강화하는 '쓴 약' 구실을 한 것으로 보인다. 더욱이 러시아의 침공을 계기로 우크라이나는 전세계 해커들의 지원도 받고 있다. 「가디언」과 「와이어드」를 비롯한 여러 매체에 따르면 러시아는 우크라이나 침공 이후 사상 초유의 규모로 집중 해킹 공격을 받고 있다. 우크라이나의 자원봉사자들과 전세계의 화이트햇 해커들로 구성된 'IT 군대'가, 우크라이나 정부가 매일 오전 5시(현지 시간), 비밀 메신저 프로그램인 텔레그램을 통해 러시아측 해킹 표적을 전달받으면 해킹 공격에 돌입하는 것이다.
세상은 온통 인터넷으로 흘러넘친다. 좀 지나친 게 아닌가 싶을 때가 많다. '인터넷만으로 살아가는 세상'운운하는 TV광고를 볼 때는 살짝 소름까지 돋는다. 인터넷은 정말 그렇게 만병통치약일까? 존 페리 발로의 말대로 '불의 발견 이후 가장 위대한 발명'일까? 인터넷은, 정말 우리를 구원할 수 있을까?
솔직히 말해, 나는 그에 대해 망설임 없이 고개를 끄덕일 자신이 없다. 그렇다고 '인터넷은 단지 우리 삶의 한 도구일 뿐'이라고 과감하게 축소할 용기도 없다. 다만, 인터넷에 쏟아붓는 그 시간만큼, 뭔가를 못하고 있다는, 혹은 희생하고 있는지 모른다는 생각을 종종 한다.
인터넷은 우리에게, 우리 일상과 문화에 무엇일까? 어떤 영향을 끼칠까? 내가 늘 안고 있는, 그러면서도 여전히 풀지 못한 질문이다. 이 책은 그에 대한 내 나름의 대답인 셈이지만, 흡족하지 못하기는 마찬가지다.
"세상에는 세 가지 종류의 거짓말이 있다. 거짓말, 새빨간 거짓말, 그리고 통계다." 마크 트웨인을 통해 유명해진 벤저민디즈레일리의 이 말은 통계가 현실에서 얼마나 자주 오용되거나 남용되는지 잘 드러낸다. 통계의 배후에 도사린 정치적 의도를 경계해야 하며, 따라서 통계 자료를 볼 때는 겉으로 드러난 결과와 해석에만 무작정 휩쓸리지 말고 꼼꼼하고 엄정하게 '팩트 체크'를 해볼 필요가 있다는 경고로도 해석된다.
최근 몇 년간 세상을 휩쓴 COVID-19(코로나바이러스감염증-19)와 그를 둘러싼 통계 논쟁은 '거짓말, 새빨간 거짓말, 그리고 통계'의 냉소적 경고를 새삼 상기시켰다. 팬데믹 기간 거짓 정보의 발원지 중 하나로 악명 높았던, 그러나 구독자가 워낙 많아 사회적 영향력 또한 매우 컸던 한 팟캐스트를 통해 나온 "영국에서 60세 이하의 백신 접종자는 같은 연령대의 비접종자보다 두 배 더 높은 사망률을 보인다"라는 주장은 일파만파의 글로벌 논쟁으로 비화했다. 그 주장을 펼친 장본인은 당시 「뉴욕타임스」 기자였고, 더욱이 근거가 영국의 국립통계청이 내놓은 공식 자료여서 더욱 큰 파장을 불러일으켰다. 언뜻 보기에 아무런 왜곡도 없어 보이는 공식 자료에 근거한 그 주장은 백신 접종 거부자들, 그리고 팬데믹 음모론자들에게 엄청난 무기가 됐다.
국립통계청의 공식 데이터를 정확히 반영한 것처럼 보이는 그 자료와 그래프는 그러나 두 가지 치명적인 문제를 안고 있었다. 첫째, 백신이 도리어 사망률을 높인다고 주장한 기자는 통계 자료를 제대로 해석할 아무런 지식과 전문성을 갖고 있지 않았다. 둘째, 자신의 주장과 부합하는 연령대와 시간 간격만 선택하고 그렇지 않은 데이터는 무시했다. 그래서 실상은 백신의 효과를 입증하는 자료로 나온 통계청의 자료를 그 반대의 목적으로 왜곡한 것이었다. 개별 연령대나 성별로 나눠 해당 데이터를 보면 감소 추세 ― 혹은 증가 추세 ― 를 보이는데, 전연령대와 성별을 한데 묶어 데이터를 보면 거꾸로 증가 추세 ― 혹은 감소 추세 ― 를 보이는 소위 '심슨의 역설'이 이 언론인의 백신 위험론에 작용했다.
이 책의 10장 '펭귄, 염세주의자 그리고 역설'은 팬데믹 상황을 더욱 악화하는 데 일조한 위 주장의 허점들을 쉽게 명쾌하게 드러낸다. 남극 펭귄에 대한 측정값의 수수께끼와, 과연 우리는 나이가 들수록 예외 없이 염세주의자가 되느냐는 질문을 풀어가는 일은 그 허점을 명확하게 보여주기 위한 두 가지 관련 사례이다.
저자 앨런은 어려운 ― 혹은 어려워 보이는 ― 통계를 쉽게 풀어내는 데 발군이다. 이 책은 그의 그런 재능을 유감없이 발휘한 증거물이다. 통계를 제대로 이해하면 정치, 경제, 사회, 심지어 우리의 마음까지 좀더 잘 이해할 수 있겠다는 생각이 들게 할 만큼, 그가 제시하는 사례들은 우리 주변에서 흔히 찾아볼 수 있는 내용들이다. 달리기 대회에서 왜 나를 추월하는 사람들은 전부 나보다 엄청 더 빠른 것 같고, 내가 추월하는 사람들은 훨씬 더 느린 것처럼 여겨질까? 왜 지진이나 자연 재난을 예측하기는 어려울까? 왜 똑같은 유형의 암 진단을 받았는데도 생존 기간은 다를까? 왜 '나는 평균이야', 혹은 '나는 정상이야'라는 말은 틀릴까? 왜 운전할 때, 나보다 더 느리게 운전하는 사람은 다 바보처럼 여겨지고 더 빨리 운전하는 사람은 미쳤다고 여기게 될까?
한국 사회는 요즘 너무 낮은 출산율로 고민이 깊다. '인구 절벽'이라는 말이 유행어처럼 회자될 정도다. 이 책의 3장 '전통을 거부하고 세계를 구하라'는 그런 면에서 시의성이 각별한 대목이다. 특히 정책 입안자들에게 일독을 권하고 싶은 장이기도 하다. 저자는 중국의 '한 가정 한 자녀' 출산 정책이 어떤 영향을 몰고 왔는지 통계학의 시각에서 분석하는 한편, 적절한 출산 정책이 감안해야 할 여러 변수도 제시하고 있다. 좀더 눈 밝은 통계적 시각으로 사안을 바라본다면 인구 절벽의 위기에서 벗어날 수 있는 좀더 획기적인 정책과 아이디어가 나올 수 있을지도 모른다.
번역은 다른 한편 좋은 배움의 기회이기도 하다. 내게는 이 책이 특히 더 그런 역할을 많이 했다는 생각이다. 그 다음 내용을 알고 싶어 조바심이 자주 일었다. 그래서 더욱 즐겁게 번역할 수 있었다. 이 책과 만나는 독자 여러분도 모쪼록 그런 즐거움을 느끼실 수 있기를 기대한다.
이 책은 소셜미디어를 비롯한 온라인의 수많은 서비스와 플랫폼이 이처럼 사용자들의 기대를 배반하고 있다고 지적한다. 개중에는 의도치 않은 경우도 있지만 많은 경우는 의도한 것이다. 교묘하고 혼란스러운 이미지나 메시지를 활용해 사용자가 제대로 된 심리 모델을 머릿속에 그리지 못하도록 방해한다. 지은이는 시중의 여러 실제 사례로 신기술의 프라이버시 문제를 짚는다. 그와 더불어 개별 사용자의 동의에 지나치게 의존한 현행 개인정보보호법의 허점과 비현실성을 지적한다. 어떻게 하면 그런 허점을 메우고, 온라인 프라이버시 보호의 책임을 거의 일방적으로 사용자에게 전가하는 현재 관행을 타파할 수 있는지 논의한다.
우드로 하초그 교수는 온라인 프라이버시 분야에서 손꼽히는 전문가다. 그는 개인 사용자와 페이스북, 구글 같은 초대형 플랫폼 기업 사이에 놓인 극심한 힘의 불균형을 바로잡을 방안을 이 책에서 제시한다. 프라이버시 보호와 관리의 책임을 개인 사용자에게만 부과하는 현재 상황을 타파할 방안을 소개한다. 페이스북이나 구글처럼 막대한 규모의 개인정보를 수집하고 분석하고 이용하는 기업에 더 큰 보호 책임을 물어야 한다는 '신탁 의무' 아이디어가 그중 하나이고, 이 책의 핵심이라 할 수 있는 '프라이버시 중심 디자인' 아이디어도 실천 가능성이 높은 제안이다. 프라이버시 법을 개정해 신기술의 디자인 단계에서 프라이버시 보호 방안을 세우고 반영해야 한다는 하초그 교수의 제안은 정책 입안자와 입법자들이 경청할 만한 내용이다.
온라인과 오프라인의 경계는 점점 더 흐려지고 있다. 온라인 활동이 오프라인에 직접 영향을 미치고, 그 반대도 마찬가지다. 그런데도 개인정보보호, 좀 더 넓게 잡아 개인의 프라이버시 문제는 유독 온라인에서 더 취약하다. 오프라인의 신체적 프라이버시, 투표 행위와 같은 의사 결정의 프라이버시는 비교적 잘 보호되고 보장되는 반면, 온라인 활동은 그렇지 못하다. 공유와 복제, 유통과 확산이 그보다 더 쉬울 수 없는 디지털이라는 특성 때문이라고 치부하고 넘기기에는 사안이 너무나 중차대하다. 이는 온라인 환경이 이미 우리 삶의 중요한 한 축으로 자리 잡았기 때문이다. 멀리 갈 것도 없이 주요 선거나 정책을 둘러싼 가짜 뉴스와 선동성 루머, 코로나 팬데믹을 둘러싼 거짓 정보의 범람은 그런 현실을 극명하게 드러낸다. 그저 막연히 친구나 친척, 동료들과 사교하는 공간 정도로만 치부했던 페이스북, 카카오톡 같은 소셜미디어 플랫폼이 다른 개인 사용자의 프라이버시를 침해하고, 그를 통해 정치적 선전과 선동의 대상으로 삼는다는 사실이 밝혀진 것이다.
이 책은 소셜미디어 플랫폼에 대한 우리의 안일한 시각에 경종을 울린다. 한 시간만 하자고 계획했던 페이스북이나 유튜브 사용이 세 시간, 네 시간으로 늘어난 게 결코 내 의지력이 부족한 탓만이 아니며, 소셜미디어가 나에 대해 너무나 많은 사실을 파악하고 있는 것이 결코 훌륭한 서비스가 아니라는 점을 하초그 교수는 이들 플랫폼의 본질과 의도를 보여줌으로써 입증한다. 우리의 프라이버시는 중요하다. 그렇다면 어떻게 보호해야 하는가? 이 책에서 그 답의 일단(一端)을 찾을 수 있다.
20세기 초 베트남은 쥐를 박멸하기 위해 쥐꼬리를 가져오는 사람들에게 돈을 줬다. 하지만 쥐는 박멸되지 않았다. 사람들이 쥐를 죽이는 대신 덫으로 잡아 꼬리만 잘라낸 다음 다시 야생으로 보내 도리어 번식과 증식을 부추겼기 때문이다. 정부는 쥐 박멸이 목표였지만 사람들은 거기에서 돈벌이의 기회를 봤다. 한편 멕시코시티는 대기 오염을 줄이기 위해 홀?짝수 차량 운행제를 도입했다. 하지만 효과는 생각만큼 크지 않았다. 사람들이 차를 한 대 더 장만했기 때문이다. 설상가상으로 두 번째 차는 낡고 값싼 중고차인 경우가 많아서 그만큼 더 많은 배기가스를 배출하는 부작용까지 낳았다.
브루스 슈나이어는 사람들의 이런 대응 방식을 '해킹'의 일종으로 본다. 즉, 어떤 제도나 시스템을, 그 규칙이나 규범은 위반하지 않으면서 미처 의도하지 못한 방식으로 전복해 자신들의 이익에 봉사하도록 만드는 행태를 해킹으로 보는 것이다. 해커는 그렇게 기존 제도나 시스템의 허점을 이용해 자신들의 이익에 맞도록 바꾸는 이들을 가리킨다. 그런 점에서 해킹은 사기가 아니고 위법도 아니다. 편법에 가깝다고 할까?
브루스 슈나이어는 정보 보안 분야의 '구루(Guru)'다. 암호화의 기본서를 비롯해 십수 권의 보안 관련 저서를 집필했다. 개중에는 전문서도 있지만 대부분 일반 대중의 보안 지식을 높이고 디지털 세계의 위협을 경고하는 계몽서다. 이 책 『해커의 심리』도 그런 부류에 든다. 하지만 이전의 저서들보다 그 범위와 시각을 더 넓게 잡았다는 점이 다르다. 『해커의 심리』에서 해커는 우리가 언뜻 떠올리는 컴퓨터 해커만 지칭하지 않는다. 여기에서 해커는 비단 IT 부문의 프로그래머나 엔지니어만이 아니라 정치인, 사업가, 은행가, 벤처자본가, 헤지펀드 매니저, 주식 트레이더, 변호사, 운동가, 로비스트, 도박사, 스포츠 감독 등 사회의 거의 모든 분야에 걸쳐 있다. 이 책은 단순히 컴퓨터 분야의 해커 문제뿐 아니라 사회의 온갖 분야에서 혹은 노골적으로 혹은 은밀하게 활동하는 해커들의 문제를 짚는다. 그런 점에서 『해커의 심리』는 정치 비평서, 혹은 사회 비평서라고 볼 수도 있다.
슈나이어가 해킹과 해커의 자장을 컴퓨터의 영역 밖으로 넓힌 이유는 우리 사회가 급속히 그런 방향으로 가고 있기 때문이다. 컴퓨터와 네트워킹은 사회의 필수적 인프라로 자리잡았다. 전 사회가 컴퓨터화했다고 해도 과언이 아닐 정도다. 그 때문에 사회 시스템의 여러 부문에 대한 해킹의 속도와 파장 또한 컴퓨터의 속도와 범위, 정교함에 비례해 더 빨라지고 커졌다. 과거에는 국지적 피해로 그쳤을 사안이 네트워크를 타고 급속히 유포되고 공유되면서 어느 한 개인의 해킹이 돌연 사회 전체를 위협하는 문제로 확대되기 일쑤다.
더욱 크고 심각한 문제는 그런 해킹의 주체가 대부분 기득권층이라는 데 있다. 억만장자, 유력 정치인, 헤지펀드 매니저, 대기업 로비스트 등이 정치, 사회, 경제 시스템을 흔들어 자신들의 권력을 더욱 공고히 하는 데 악용한다는 점이다. 컴퓨터 분야든, 사회의 다른 어떤 분야든 해킹을 하기 위해서는 남다른 자원과 기술이 요구되는데, 그런 능력이 되는 계층은 압도적으로 기득권층일 수밖에 없다. 그렇지 못한 대다수 사람들은 속수무책으로 피해를 입을 수밖에 없고, 빈익빈부익부의 사회적 불평등은 날이 갈수록 심화한다.
사회 시스템에 대한 해킹이 단순한 컴퓨터 해킹보다 더 위험하고 심각한 이유는 무엇보다 그 영향력이 사회 전반에 미치기 때문이다. 더욱이 사회 시스템에 대한 해킹은 쉽게 눈에 띄지 않고 서서히, 대부분의 사람들은 눈치도 채지 못하는 사이에 진행된다. 이를 사전에 막기는 매우 어렵다. 가령 입법 과정에서 민생에 큰 영향을 미치는 새 법안의 문구를 교묘하게 바꾼다거나, 특정 세력에 유리하도록 한두 조문을 추가하거나 빼는 방식의 해킹은 정치적 영향력이 큰 기업이나 로비스트만이 수행할 수 있는 행태이고, 일반 사람들은 꿈도 꾸기 힘든 경로이다. 그렇게 통과된 법은 부자들에 더 큰 면세 혜택을 주거나 오염의 주범으로 꼽히는 대기업에 면죄부를 준다.
브루스 슈나이어는 현대 사회의 컴퓨터화와 더불어 기득권층의 해킹 행위가 더욱 정교하고 치밀한 형태로 사회 전반에서 벌어져 왔다고 경고한다. 그리고 그 추이는 근래 붐을 이루기 시작한 AI 기술의 급속한 발전으로 더욱 가속화할 것이라고 전망한다. 『해커의 심리』는 그런 저자의 우려를 다양한 사례를 통해 생생하게 드러내는 한편, 자신들의 이익을 관철하기 위해 전방위적으로 움직이는 권력층의 해킹 기도에 어떻게 효과적으로 대응할 수 있는지 고민한다. 해킹을 악화하게 될 기술적 진보는, 부정적인 해킹을 막고 긍정적인 해킹을 찾아내는 데 이용될 수도 있음을 지적하면서, 바른 지배 시스템(governance system)이 시급히 정립돼야 한다고 강조한다.
슈나이어는 뛰어난 대중 지식인이자, 자신의 해커 윤리를 스스로 실천하는 사회 운동가이기도 하다. 그가 유명 IT 기업의 최고보안책임자(CISO) 자리를 박차고 하버드 대학교의 케네디스쿨로 자리를 옮긴 것도 특정 기업에 몸담으면 중립적이고 윤리적인 비평을 할 수 없다는 문제의식 때문이었다. 『해커의 심리』는 그런 슈나이어의 윤리의식과 사회적 책임감을 잘 담고 있다.
