보안을 위해 우리는 프라이버시와 편의, 심지어 인간이 가진 존엄까지도 침해당했다. 그래서 우리가 안전해졌는가? 아니면 그건 단지 허상뿐이었는가?
보안 분야에서 세계적으로 명성이 높은 브루스 슈나이어는 ‘인간’이 보안에 가장 위협적인 존재임을 깨달았다. 블로그 글과 기사의 모음집인 이 책의 저자인 브루스 슈나이어는 보안 강화를 위한 조치가 사람들을 보안 위협에 빠뜨리게 되는 이유에 대해 설명한다. 아울러 온라인뿐만 아니라 항공, 직장, 학교를 비롯한 일상에서 사람들이 진정으로 안전해지기 위해서는 어떻게 해야 하는지도 알려준다. 보안에 대한 망상증에 사로잡힌 현대인들에게 슈나이어는 가장 현실적인 해결책을 제시한다.

“보안 업계의 록 스타”
-＜더 레지스터＞

“최고의 보안 전문가 중 한 명”
-＜와이어드＞

“보안 분야의 베테랑”
-＜더 이코노미스트＞

“보안의 현자이자 악명 높은 냉소주의자”
-＜씨넷＞

왜 아무리 데이터를 수집해도 테러리스트를 막을 수 없는가

보안을 제대로 이해하지 못함에서 기인하는 두려움과 보안 조치

왜 컴퓨터 보안은 경제 문제와 긴밀한 연관이 있는가

‘믿을 수 있는 여행자’ 프로그램은 신뢰해도 좋은가

프라이버시를 포기하면 보안은 진정 향상되는가

불법이민자의 운전면허를 발급하지 않는 것이 왜 보안상 위험한가

왜 기업은 사용자의 컴퓨터를 제어하려고 애쓰는가

보안 위협에 따라 과소평가 되거나 과대평가 되는 이유는

왜 ID 카드는 국민을 안전하게 만들지 못하고 위험에 빠뜨리는가

이 책은 보안에 관한 에세이 모음집이다. 보안 기술, 보안 정책, 보안이 어떻게 적용되는지 다르고 있다. 투표 기계, 국내 ID 카드 같은 특정 주제도 있다. 공항 또는 올림픽 같은 특정 대상도 있다. 복잡도의 증가나 사람의 행동 양식과의 관련등의 글도 담고 있다.
나온 글들은 2002년 6월에서 2008년 6월 사이- 신문, 잡지, 웹사이트, 크립토그램에 실린 것들이다.
이것들을 주제대로 모아 정리했더라도 각 에세이는 모두 개별적이다. (개 중에는 비슷한 내용이라하더라도 발생한 장소의 차이 때문에 실린 것도 있다.) 흥미 있는 주제를 먼저 읽고 난 다음 시간이 나면 내가 누구인지 또 왜 이런 글을 썼는지 읽어보는 것도 좋은 방법이다.

나는 보안 기술자다. 크고 작은 규모의 회사에서 직원, 컨설턴트로 일했다. 지난 수년 간 했던 일은 일종의 총괄직이었다. 암호문과 수학적인 보안에서부터 컴퓨터와 네트워크 보안, 그리고 일반적인 보안기술까지를 다루었다. 최근에는 보안 기술과 사람, 보안 경제와 사람, 보안 심리학과 사람의 관계에 대해 집필하고 있다.
보안이 사람에게 미치는 영향은 중요하다. 보안은 기술에 관한 것이 많지만, 사람과의 관계를 빼놓을 수 없다. 사람이 있기에 보안이 있다. 그리고 보안이 취약해지는 원인의 중심에 사람이 있다. 보안 기술이 발전할수록 공격과 방어(물론 성격이 서로 다르지만)에 모두 도움을 준다. 그리고 보안은 사람에 대한 것에서 시작한다.

여러분이 이 책을 읽으면서 혹은 보안과 관련된 문제에 직면할 때 다음의 4가지를 마음에 새기길 바란다.
1. 보안은 트레이드오프 관계다.
절대적인 보안이라는 것은 없다. 피해라는 척도로 볼 때 보안은 트레이드오프가 필요하다. 어떤 것은 포기하고 어떤 것은 취한다. 돈, 시간, 편리함, 성능, 자유 등등을 고려한다. 트레이드 오프 관계를 의식적으로 때로는 무의식적으로 만든다.
2. 당신은 보안 소비자다.
당신은 개인적이든, 공동적이든, 국가적이든, 또는 어떤 입장이든 선택을 하고 소비를 한다. 그런데 “보안 대응책이 효과적인가?” 라는 것은 좋은 질문이 아니다. 좀 더 나은 질문은 “이것이 합당한 트레이드오프인가?”라고 묻는 것이다. 물론 트레이드오프를 만드는 것은 주관적이다. 비용이 평가의 모든 것이 아니기 때문에 쉽게 평가할 수 없다. 불편함, 시간, 그리고 정신적 안정감이라는 비용도 주관적이다. 소비자들이 서로 다른 청소기 제품, 텔레비전 쇼, 휴가지를 고르는 것처럼 사람마다 다른 트레이드오프 관계를 선택한다.
3. 보안은 하나의 시스템이다.
사람들은 보안을 공격이나 방어의 일종이라 생각한다. 그러나 실제로는 간단하지 않다. 보안은 항상 한 시스템의 일부이기에 복잡하다. 신원확인 시스템은 ID 카드보다 좀 더 복잡하다. 은행의 천장 보안 장치는 금속 박스 보안 장치보다 더 복잡하다. 어떤 시스템이든, 보안은 다른 시스템과의 관계에서 생각해야 한다.
4. 기술이 보안 불균형의 원인이다.
기술이 트레이드오프에 영향을 미친다. 어떤 요소를 좀 더 싸게 만들거나, 또는 좀 더 비싸게 만든다; 좀더 빠르고, 또는 좀 더 시간이 걸리게도 한다. 기술적인 발전은 공격이나, 방어를 좀 더 쉽게 만들 수 있다. 빠르게 변화하는 과학기술의 세상 속에서, 보안 기술이 어떻게 발전하는지 지켜보는 것이 중요하다.
이 책은 위의 4가지 원칙을 적용하기에 맞지 않는 부분도 간혹 있지만 대부분은 모두 적용하며 읽어볼 수 있다.

만약 좀 더 많은 내용을 알기 바란다면, 다음 두 가지를 참고하자. 첫 번째는 내가 쓴, 『Beyond fear』라는 책으로 보안에 관한 시각을 넓혀준다. 두 번째는 나의 무료 월간 이메일 뉴스레터인, 크립토그램(CryptoGram)을 보자. 나의 블로그와 에세이를 볼 수 있다. 내가 쓴 책에 관한 뉴스레터, 블로그, 그리고 정보는 모두 http://www.schneier.com/ 에 있다.

브루스 슈나이어(Bruce Schneier)

보안 업계에서 록 스타로 불리며, 국제적으로 유명한 보안 기술자다. 솔직하고 명료한 보안 평가와 해설자로 유명하다. 와일리에서 출간된 『Applied Cryptography』와 『Secrets and Lies』, 슈프링거에서 출간된 『Beyond Fear』를 비롯한 베스트셀러의 저자로서, 수많은 유명 간행물에 기사와 논평을 썼으며, 보안 이슈와 관련해 의회에서 진술을 하기도 했다. ‘슈나이어 온 시큐리티(www.schneier.com/blog)’라는 매우 유명한 블로그를 운영 중이다.

요즘 개인 가정마다 무선 공유기를 설치해서 사용하고 있다. 여기서 질문 하나. 무선 네트워크에 암호를 걸고 사용할 것인가 아니면 걸지 않고 사용할 것인가?
또 다른 질문 하나 해 보겠다. 투표와 관련된 것이다. 전자 투표가 보안에 좋을까? 아니면 전통적인 종이로 투표하는 것이 보안에 좋을까?
여러분의 답은 무엇인가? 그러면 슈나이어는 위의 질문에 대해 어떻게 생각할까?

우리는 보안이라는 말을 많이 듣는다. 대규모 개인 정보 유출 사건, 신용정보도용 사건 등 여러 가지 이슈가 발생할 때마다 우리는 보안에 대해서 생각한다. 우리는 정말 안전한 곳에서 살고 있는가? 처음 IT 보안 회사에 근무할 때 보안을 강화 한다는 말은 단순히 암호화 키의 길이를 늘리거나 RSA나 SEED같은 기존 암호 알고리즘 말고 새로운 암호 알고리즘을 만드는 것, DB 보안을 하거나 HSM 장비를 사용하는 것이라 생각하였다. 그러나 이 책을 보면서 보안에 대해 다시 생각하게 되었다.

암호학의 바이블이라는 Applied Cryptography 책을 쓴 브루스 슈나이어는 이 책에서 보안을 다양한 측면에서 바라보고 있다. 슈나이어는 암호 해독가와 컴퓨터 보안 전문가이지만 그가 생각하는 보안은 기술에만 한정되어 있지 않다. 테러리즘, 심리적, 경제적 측면등에서도 보안을 얘기하고 있다.

테러리즘 측면이라 함은 9/11 등 세계 곳곳에서 발생하는 테러에 대해 사람들의 안전을 위한 보안을 얘기한다. 필자는 미정부의 예를 들며 안전을 위한다는 조치가 실제로는 그리 큰 효과가 없음을 설명하고 있다.
심리적인 측면에서는 실제 상황은 안전하지 않지만 안전하다고 사람을 안심시키는 보안에 대해 설명하고 있고 경제적인 면에서는 보다 효율적으로 보안을 강화하기 위해 돈을 투자해야 할 대상이 무엇인지를 설명하고 있다.

그는 보안 전문가로서의 견해를 다양한 실례를 들며 재미있게, 예리하게 담아내고 있다. 이 책을 보다 보면 보안에 대한 눈이 달라지게 될 것이다. 우리는 보안에 대해서 어떻게 생각하는가? 프로그래밍 서적을 보면 보안에 대해 적은 책들을 간혹 보는데 보안에 대한 내용은 저 뒤쪽에 있고 그것도 조그만 분량의 내용만을 담고 있다. 시중의 보안 관련 서적도 판매량이 많은 책은 아니다. 이것이 사람들의 보안에 대한 시각이 아닐까? 하지만 보안 종사자 분들은 그런 것에 상관하지 않고 자부심을 갖고 책임감을 갖고 일하고 있다.
컴퓨터 보안 회사에 근무한 적도 있고 IPS나 관제 시스템에서 일하시는분과 같이 일한 경험이 있는 사람으로서 보안 쪽에서 일하시는 분들의 수고를 잘 알고 있다. 그 분들에게 감사의 말을 전하고 싶다.

고현영

광운대학교 전자통신공학과와 동대학원을 졸업했다. 성경 읽기와 찬양을 좋아한다. 파이썬 프로그래밍과 컨텐츠 관리 시스템(CMS)에 관심을 갖고 있다. 역서로는 The IDA Pro Book (2nd Edition), 구글 앱스 활용과 관리, 유닉스 시스템 프로그래밍 등이 있다.

금중현

광운대학교 컴퓨터 공학과를 졸업하였고 컴퓨터 보안에 관심이 많다. 어학과 컴퓨터 실력을 닦은 후에 해외 업체로의 진출을 생각하고 있다. 세계로의 진출을 통해 자신의 분야에서의 전문적인 지식으로 어려움 가운데 있는 많은 사람들을 돕고자 하는 꿈이 있는 청년이다.