세상 모든 사물을 인터넷에 연결했는데, 취약점이 발견되어 기기 업데이트를 해야 한다면, 그건 정말 시작할 엄두조차 나지 않는 어마어마한 일일 거다. 일단 연결하고 취약점이 발견되면 그때 되어서야 보안 조치를 취하는 기존 IT 보안 '선연결-후보안' 방법론을 적용해선 안 되는 이유다.
"IP 카메라"가 또 털렸다. 혼란 와중에 "이때다!" 달려드는 장사치들이 있다. 그리고 엉뚱한 말로 겁주며 뭘 자꾸 사라고 한다. 물론 헛소리다. 이번 사건 경위와 1도 관계 없다. 왜들 이러나, 이 시장은 왜 이리 혼탁한가, 뭘 어떻게 해야 깔끔해질까, 어지럽다. 이번에 터진 사건은 "해킹"이라 할 만한 짓도 아니다.
지금도 차량 1대에 100개 정도의 ECU와 1억 줄 정도의 코드가 탑재된다. 고가의 차량일수록 탑재된 전장부품의 수가 많고 더 많은 코드를 넣었다고 자랑 아닌 자랑을 하기도 한다. 하지만 통계적으로만 보자면 상업용 소프트웨어는 일반적으로 코드 1,000줄에 7개의 버그를 가지고 있다. 그렇게 보자면 자동차에는 10만 개의 버그가 있다고 가정할 수 있다. 지금도 끊임없이 발생하는 원인을 알 수 없는 온갖 사고들이 이와 무관하지 않을 것이다.
이후 대책이라고 내미는 것들은 모두 다 철통방어를 보다 철통답게 만들어야 한다는 주장뿐이다. 현관 게이트 통과 시 신분증과 신분 일치를 일일이 확인하라! 출입문 옆에 비밀번호 제발 좀 적지 마라! 온통 물리보안 이야기뿐이다. 그런데, 만약 청사에서 일하는 내부자가 성적을 조작하려 든다면 도대체 어쩔 작정인 걸까? 내부자는 게이트로 막든 뭐로 막든 그냥 통과하잖은가? 결국 지켜야 할 게 뭔지 모른다고 볼 수밖에 없다. 결국 지켜야 할 것? 두말할 것 없이 데이터다. 송씨의 목적 또한 청사 침입이 아니라 데이터의 조작이었잖은가.
사람들이 실제 이용하기 전 단계에서 안전점검과 평가가 이뤄지는 공공시설과 달리 소프트웨어는 미완성인 채로 출시되는 특성이 있다. 출시 이후 업그레이드와 패치를 통해서 수시로 수정·보완할 수 있기 때문이다. 대표적인 게 페이스북의 "빠르게 움직여 혁신을 꾀하라(Move fast and break things)"라는 모토다. 정보기술기업들은 교량이나 댐처럼 거대 건축물의 설계 시공 엔지니어들이 사전에 무결성과 안전성을 중시하는 작업 문화와 다르다. 완성도는 중요하지 않다. 빨리 시장에 내보내서 사용자들의 피드백을 받아 그를 반영한 새로운 제품을 만드는 게 중요하다.
