Security theater라는 용어가 있다. theater(영국식 : theatre)는 극장을 뜻하는 단어이지만, 문맥상 적절하게 번역하자면 '보여주기식 보안조치'정도가 되겠다. 이 용어는 세계적인 보안 전문가인 브루스 슈나이어가 '두려움을 넘어서(Beyond Fear: Thinking Sensibly about Security in an Uncertain World)'라는 책에서 언급한 것으로 알려져 있다. 

'보여주기식'이라는 표현에서 알 수 있듯이, 이 용어는 실제로 보안을 위해 거의(또는 전혀) 노력을 들이지 않았음에도 불구하고, 마치 뭔가 엄청나게 안전도가 향상된 것 처럼 느끼게하기 위해 사용하는 대응책이나 그러한 관행들을 일컫는다.


에드워드 펠튼(Edward Felten) 등의 보안전문가는 이와 관련하여 가장 직관적인 예시는 바로 미국의 911테러 이후 강화된 공항 보안검색대 사례이다. 현대의 최대의 비극사건 중 하나인 911테러 당시, 비행기 납치범들이 조종석을 탈취하여 파일럿을 살해한 후 WTC 건물에 테러를 가하였다. 이 사건 이후 공항항에서는 비행기에 탑승하는 고객들의 소지품을 철저히 검사하여 흉기 등을 반입할 수 없도록 강제하도록 하였다. 

비행기를 탑승해본 사람이라면 누구나 알 것이다. 보안 검색대를 통과하는 과정은 굉장히 길고 복잡하며, 무엇인가 수색당한다는 기분을 들게 한다. 이는 때론 귀찮고 유쾌하지 않지만, 안전을 위해서는 반드시 감수해야할 과정이라 생각하며 버틴다. 이러한 것에는 '나 말고 다른 사람도 다들 이렇게 하니까, 안전을 위한 최선의 선택이겠지..'라는 심리가 반영된다.


공항 검색대를 수색하는 동안 다양한 사회공학 기법을 사용하여 우회하는 장면들은 영화에도 자주 등장한다. 영화 스노든의 한 장면을 보라. 스노든은 CIA 요원으로 근무하였는데 출퇴근 할때마다 삼엄한 보안검색대를 통과해야 한다.

경비원에게 반갑게 인사하며 큐브 장난감을 건넨다. 경비원은 "오 이거 어릴때 많이하던건데 ㅎㅎㅎ"이러며 장난감을 가지고 논다.

검색을 마친 스노든은 유유하게 "즐거운 주말 보내세요!"라며 인사를 건물을 빠져나온다. 사실 큐브 안에는 SD Card가 들어있었다.

영화의 한장면이지만 마냥 무시할 수는 없다. 만약 당신이 공항의 책임자라고 하자. 당신에게는 두가지 선택지가 있다. 147억을 들여서 공항 검색대를 도입하는 것과 1억을 들여서 조종석의 출입구를 완전히 밀폐시킬 수 있는 안전장치를 방호벽처럼 설치하는 것이다. 당신은 어떤 것을 선택하겠는가?


연구자들은 이같은 cockpit door를 설치하는 것이 실제로 훨씬 더 안전하다고 한다. 

그런데 왜, 수많은 공항에서는 막대한 돈을 투자하여 공항 검색대를 도입하는 것에 혈안이 되어있는가? 그것이 바로 Security Theater이다.  사람들은, 눈에 보이는 보안을 더 안전하다고 느낀다. 즉, 어떤 결정을 할 때에 그것이 실제로 더 안전한지보다는 사람의 눈에 어떻게 보이는지가 더 중요하게 작용한다. 이는 결국 현실적인 안보의식보다는 그저 그럴듯해보기 위한 조치를 수행하게 만든다.


그런 의미에서 '시각화'는 중요하다. Ahnlab V3는 아래와 같이 현재 실황을 보여주는 대쉬보드를 제공한다. 그런데, 실제 백신프로그램이 아닌 가짜 백신프로그램도 이와 비슷한 전략을 사용한다. 무엇인가 빨간불이 번쩍번쩍하면서 "당신의 PC는 안전하지 않습니다!! 치료하시겠습니까?"라는 글귀를 띄운다. 대부분의 사용자는 불안함을 느낄 것이다. 그것이 실제로 안전한지에 대한 정보가 없이도..

국내 금융시장의 공인인증서 또한 Security Theater가 아닐 수 없다. 주로 사용하는 아래 모바일 뱅킹앱들을 보면 하나같이 키보드가 반짝반짝하고, 배열도 약간씩 떨어져 있으며, 마치 엄청난 암호기능이 내장되어 있는 느낌을 준다. 물론 실제로도 암호화 처리는 당연히 이루어지겠지만 사용자는 그러한 작동을 느끼지 못한다. 그렇기 때문에 이렇게 뭔가 그래픽상으로 있어보이는 느낌을 주는 것일 뿐이다. 그냥 보통의 키보드 자판처럼 디자인했어도 암호화 과정을 수행하는데에는 전혀 지장이 없는데도 말이다.

사실 진짜 중요한 것은 공인인증서 뒤에 덕지덕지 떡칠된 ActiveX와 기타 여러 보안 플러그인들에 대한 것인데, 제발 이러한 것들이 해결되었으면 좋겠다. 다음 대통령선거에 대한 이야기가 스멀스멀 나오고 있는 시점에, 다수의 대선주자들이 ICT 정책들을 언급하며 공인인증서 폐지를 선언하고 있다. 제발, 그럴싸한 보여주기식 공약이 아닌, 진짜 보안정책을 세워주길 바란다.


참고 : 

ED FELTEN, Security Theater


CPUU님의 창작활동을 응원하고 싶으세요?