2015년 2월 27일 금요일

[독서] 천일야화 1 - 셰에라자드

이야기 속의 이야기 속의 이야기 속의 이야기.  이야기에서 나오는 교훈을 설명하는 이야기에서 나오는 교훈을 설명하는 이야기.

이런 구성을 액자형 구성이라고 했던가?

수많은 이야기, 짧고, 길고, 교훈적이고, 잔인하고, 야하고, 슬프고, 기이하지만 한가지 공통점은 모두 흥미로운 이야기.  다들 알고 있는 것 처럼 셰에라자드가 죽지 않고 하루는 지나가기 위해 왕에게 들려주는 이야기들의 이야기이다.  특정 계기로 여성 혐오증을 갖게 된 술탄이 하루 밤을 지낸 여자들을 죽여 나가는 것을 막기 위해 셰에라자드는 용감하게도 자진해서 술탄에게 간다.

흥미로운 이야기를 들려주고, 그 다음 이야기가 궁금해서 자신을 살려둘 수 밖에 없도록 만드는 영리하고 똑똑한 여자.  1권은 그렇게 이야기의 시작을 열어나간다.

원작은 엄청나게 야하다고 하여 기대를 잔득하고 읽기 시작했으나, 초등학교 때 읽었다면 두근두근 했을테지만 지금은 그냥 흥미로울 뿐, 그렇게 야하다고 느껴지지 않는다.  다만, 이야기를 해주는 셰에라자드는 자신의 여동생을 침실에 불러다 놓고 아침해가 뜨기 전에 자기를 깨워서 왕에게 이야기를 시작할 수 있도록 하는 역할을 부여하는데, 부부가 같이 자는데 여동생이 같이 있다니...  이 부분이 살짝 당혹 스러웠다.  스토리 진행 상 아주 순수한 왕 같아 보이지는 않았는데 말이다.  므흣 *-_-*

뒤로 갈수록 점점 재미있어진다.  막연하고 희미하게 기억나던 어릴 때 어디선가 들었던 이야기들이 갑자기 툭툭 튀어나오는 재미도 있다.  아, 이게 여기 나오는 이야기였구나!!

나의 이 책에 대한 지극이 개인적이고도 편향적인 별점은 ★★★★

저 많은 집들 중 내가 살 집은 없구나 라는 생각

제목 처럼, 저 많은 집들 중 내가 살 집은 없구나... 라는 생각을 최근에도 했다.  이 생각을 처음 했던 때가 아마 아무 생각 없이 살다가, 결혼을 앞두고 신혼집을 구할 때 였다.  그때는 정말 가지고 있던 얼마되지 않는 돈으로 서울에서 살기 위해 전세 집을 알아보고 다녔는데, 서울에 아파트가 이렇게나 많이 있다라는 사실을 그 때 처음 깨달았었다.

저녁에 지하철 3호선을 타고 한강을 건너면서, 강건너 보이는 불빛은 모두 아파트였다.  집집마다 백열등과 주황색 조명으로 거실을 밝히고, 큰 TV에서는 빛의 향연이 펼쳐지는 따뜻해 보이는 집들이 한 건물에 적어도 30세대 이상씩 집단을 이루고 또 수백, 수천이 모인 단지를 이루고, 또다시 수만개의 빛들로 이루어진 하나의 동네는 마치 은하계 별 무리였다.  바로 그때 떠올랐던 생각이 "내 집은 어디쯤 있을까?" 였다.

뭐 그런 시기가 지나간 후 나도 내 집을 찾을 수 있었고, 그때 들어온 동네에 벌써 6년이나 머물고 있다.  하지만 이제 그것도 여기까지.  집을 내어주고 다른 곳으로 가야 할 때가 왔다.  좋은 집주인을 만나 주변 시세보다 그리 높지 않게 잘 지내다 가는 것 같다.  사실, 주인도 우리 부부를 잘 만나 아주 깨끗한 상태로 집을 잘 써서 집도 금방 나갔다.

사람이 참 웃긴게, 처음 이곳에 들어와 살 때는 2년 뒤 금방 나갈 것 같았는데 나도 모르는 사이 정신차리고 보니 6년이 흐른 후 였다.  뉴타운이었던 관계로 주변에 아무런 편의시설도 없었지만 최근 2년 동안 편의점도 생기고, 작은 술집도 생기고, 떡볶이 집도 생기고 하면서 살기 좋아질만 하니 나가게 되었다.  하긴, 살기 좋아질만 하니 집 값이 오르고, 오른 집 값 때문에 우리가 떠밀려 나가는 거겠지만.

그래도 부부가 맞벌이로 열심히 모은 덕분인지, 은행돈을 내돈 처럼 여기는 마음 덕분인지 그리 어렵지 않게 다른 집을 구할 수 있을 것 같다.  이제, 그 곳에서는 또 얼마나 오래 지내게 될까?  또 어떠한 이야기들이 만들어질까?  궁금하기도 하고, 두렵기도 하고, 기대되기도 하고 그런다.  기왕의 변화, 변화에 끌려가기 보다는 내가 먼저 덮치는게 좋겠지?

[독서] 가면산장 살인사건

이 책은 뜻 밖에 사게 되었다.  업무로 일주일 간 청주로 출장을 가게 되었는데, 저녁에 숙소로 돌아온 후 할 일이 없어 주변에 뭐가 있는지 둘러보기 위해 모텔방을 나섰었다.  청주에 모텔이 많이 모여 있는 곳이 아무래도 고속터미널이나 시외버스터미널 일 것 같아 그곳에 숙소를 잡았는데 다행이 그 주변이 상당한 번화가였다.

날은 추웠지만 숙소로 돌아가면 할 일도 없고 해서 이리 저리 배회하다가 새로 생긴 듯 보이는 큰 건물에 영풍문고가 있는 것이 눈에 띄었다.  지금 지도로 찾아보니 아래 체크한 위치가 바로 영풍문고가 있는 위치이다.  새로 지은 듯한 건물은 롯데마트였나보다.  참고로 동그란 영역이 모텔들이 즐비한 곳이다.

[청주고속버스터미널 주변, 대형서점 - 영풍문고 위치]


사실 출장 오기 전에 심심할 것 같아서 두꺼운 책을 한권 들고 내려가려고 준비는 했었는데 너무 무거워 그냥 폰에 들어있는 리디북스 전자책을 읽으려고 집에 두고 온 터였다.  그런데 아무래도 폰을 들여다 보고 있으면 인터넷도 해보고 싶고, 자주 가는 커뮤니티 앱도 실행 시켜 보고 싶고...  여러가지 방해 요인들이 많은 것은 사실이라 서점을 둘러보며 한 권 사 볼까 라는 마음으로 둘러보기 시작했다.

원래 추리소설을 워낙 좋아하는지라 추리소설 분야에서 한참을 서성거리다가 항상 눈에 밟혀서 꼭 읽어보고 싶었지만 전자책이나 빌려봐도 될 것 같은 생각에 계속 뒤로 미루던 이 책이 눈에 띄었다.

히가시노 게이고 저/김난주 역
재인 | 2014년 09월


믿고 읽는 작가 중 한명인 히가시노 게이고의 「가면산장 살인사건」이었다.  히가시노 게이고는 「용의자 X의 헌신」 이후로 팬이 되어 버려서 가능하면 많이 읽으려고 노력한다.  일본 작가로는 내가 아마 두 번째로 좋아하는 작가인 것 같다.  첫 번째?  미미여사로 불리는 미야베 미유키 여사님이시다.  뭐 나같은 경우, 좋아하는 작가는 책을 읽을 때 마다 바뀌는 것 같아 순위는 중요하지 않다.

여튼, 이 책은 이렇게 지방 출장 중에 일주일간 천천히 읽으면서 나의 저녁을 심심하지 않도록 도와주었어야 하는 책이었다.  왜 "도와주었어야 하는" 이라는 표현을 썼냐면, 읽다보니 첫날 저녁에 다 읽어버렸기 때문이다.  일주일을 버텨 주었어야 하는데...

내가 원래 책을 빨리 읽는 편이 아니어서 아무리 얇은 책이라도 5시간 이상은 걸리기 때문에 이 책도 아껴서 읽으면 3일, 아니 조근 조근 씹어서 읽으면 일주일동안 읽을 수 있으리라 생각 했었다.  그런데, 모텔로 돌아가서 씻고 침대에 기대어 앉아 책을 펼친 후 내리 새벽 3시까지 다 끝내버렸다.  덕분에 다음날 무척 피곤한 하루를 보냈었고 또 그 덕분에 그날 저녁은 쓰러지듯 잠들어 모텔의 불편함에 완전히 적응할 수 있었었다.

다시 책 이야기로 돌아와서, 이런 말을 하면 어쩌면 스포일러가 될 수도 있지만 애거서 크리스티의 「애크로이드 살인사건」을 읽는 기분이었다.  반전이 있는데 솔직히 예상은 했으나 그 예상은 소설 중간 즈음에서 아니라고 확신을 가졌다가, 다시 마지막에 뒤통수를 맞는 기분이라고 할까?

물론 반전이 재미있기는 하지만 반전만이 이 책의 묘미는 아니다.  주인공과 다양한 주변 인물들의 개성이 그대로 드러나는, 사람들이 살아있는 이야기라 생각된다.

원인모를 사고로 절벽 아래로 떨어진 예비 신부.  슬픔을 안은 그녀의 가족과, 사위가 될 뻔 했던 주인공이 다 함께 산장에 죽은이를 기리면서 모였다.  하지만 강도 둘이 산장에 침입하고 가족 중 한 사람이 의문의 살인을 당한다.  밀실 살인 트릭도 함께 맛볼 수 있는 추리 소설의 뷔페라고 할 수도 있겠다.


나의 이 책에 대한 지극이 개인적이고도 편향적인 별점은 ★★★★☆




2015년 2월 13일 금요일

[독서] 은하영웅전설 10 - 최종편


오지 않을 것으로만 생각했던 이 책의 마지막 권이다.  (외전을 제외하고)


다나카 요시키 저/미치하라 카츠미 그림/김완 역
디앤씨미디어(D&C미디어) | 2011년 10월


예전에 아주 재미있게 읽었던 책들 중 가끔 끝나지 않았으면 하는 책들이 있었던 반면, 이 책은 그렇다기 보다는 어떻게 마무리가 될까가 궁금해서 순식간에 읽게 되었다.  전체 10권을 놓고 보자면, 1~3권은 몰입해서 빠른 속도로, 4~7권은 이야기에 끌려 틈틈히 시간 날 때 읽었고, 마지막 8~10권은 전개가 놀라울만큼 빨라서 보통 한 권을 읽는 시간을 들여 세 권을 읽었다고 보면 된다.

공화국과 제국, 두 축의 주인공들인 양 웬리와 라인하르트의 숙명적인 대결을 그린 이 작품은 그 결말이 누구의 승리도 아닌채로 끝난다.  아니, 비록 한쪽 진영이 승리를 한 것으로 그려지나 나머지 진영의 희망도 남겨놓는다.

일본 제국주의를 우호하고 찬양한다는 관점에서 이 책을 읽게 된다면 그렇게 생각이 될 수도 있고, 민주주의의 힘에 대해서 고민을 하고 읽는다면 또 그렇게 읽을 수도 있다.  하지만 책에도 여러번 언급 되듯, 제국주의의 가장 큰 결함은 모두가 행복한 독재체계가 되기 위해서는 독재가가 매력적인 인물일 경우로 한정된다.

라인하르트는 전략형 카리스마의 표본으로 보이고, 양 웬리는 전술적 지휘관의 교과서이다.  이 둘을 같은 잣대로 비교할 수는 없을 것 같다.  책읽기는 끝났지만, 이 둘은 마음속에 오래 남아 여운을 주는 캐릭터 일 것 같다.


나의 이 책에 대한 지극이 개인적이고도 편향적인 별점은 ★★★★☆

2015년 2월 5일 목요일

우리 인류 문명이 멸망하지 않는다고 누가 장담 할 수 있으랴

내가 좋아하는 영화 중 하나인 "아이, 로봇 (I, robot)"에 이런 이야기가 나온다.



해석을 하자면,

윌스미스 : 로봇이 심포니를 작곡할 수 있나?  로봇이 화폭을 아름다운 걸작으로 만들 수 있어? 
로봇 : 당신은요? 
윌스미스 : ...

생각을 해보면 맞는 말이다.  인간이 다른 종에 비해 우월하다는 근거로 많이 활용이 되는 이 이야기는 인류를 개인으로 놓고 질문을 하게되면 답이 궁하다.  이것을 살짝 내가 지금 속한 IT 분야에 적용을 해봐도, 아무리 나에게 시간이 무한이 주어진다고 한들, 지금 이 글을 쓰고 있는 노트북이나 글이 올라가게 되는 웹서비스 그리고 서버, 네트워크 등 필요한 모든 자원들을 만들 수 있을리가 없다.

실제로 우주가 생긴 이래 짧은 우리 인간의 역사를 되돌아봐도, 번창했던 문명들이 아주 약간의 흔적만을 화석처럼 남기고 사라진 것을 알 수 있다.  이집트 문명, 마야 문명, 아즈텍 문명, 수메르 문명 등 거슬러 올라가면 지금 생각해도 어마어마한 업적으로 보이는 땅위에 세워놓은 몇가지 건축물과 아주 약간의 유물들을 제외하면 그 문명의 대를 이은 인류는 잘 보이지 않는다.  당시 만들어졌다는 피라미드를 비롯한 거대 유적들은 아직도 연구 대상이며 「코스모스」의 칼 세이건이 그렇게 안타까워 하는 알렉산드리아 도서관의 파괴로 인해 천문학을 비롯한 학문은 그 이후 재발견 되기 까지 한참의 시간을 필요로 하게 된다.

하지만 지금은 그정도는 아닐 수 있다.  이미 지식은 가진자의 소유물이 아니고 수많은 책들과 자료들은 필요로만 한다면 구할 수 있는 상태이긴 하다.  하지만, 정보의 접근이 차단되는 등의 인류 문명의 큰 사건으로 인해 현 인류가 멸망할 수 있을까?  예를 들어 사람들이 흔히 이야기하는 인류멸망 시나리오 중 하나인 3차 세계대전이 발발하여 핵구름에 쌓인 지구에서 과반수 이상의 인류가 사라져버린다면, 나머지 살아남은 자들이 과연 지금과 같은 기술력을 복원할 수 있을 때 까지의 기간이 얼마나 걸릴까?  훗날 다시 문명을 일으킨 인류는 지금의 유적들 처럼 우리 문명을 폐허속에서 발굴하여 당시의 뛰어났던 기술을 감상하며 찬탄을 하게 되지는 않을까?

문득 인터넷에 돌아다니던 글이 생각이 난다.

미래 인류가 과거 유적을 발굴하는데 발견할 수 있는 고대 문서가 J.R.R. 톨킨 아저씨의 「실마릴리온」이나 「반지의 제왕」이라면 아마도 혼란스러워 하겠지?
재미있는 생각이다.  아니, 어쩌면 우리도 그런 오류에 과거 인류를 오판하고 있을지도 모르겠다.  쓸데 없는 생각은 여기까지.

2015년 2월 4일 수요일

나는 FDS(이상징후탐지 시스템)가 없었다는 것이 더 놀랍다

최근 신문 기사들을 보면 놀랄 때가 많다.  어떤 기사들이냐 하면, FDS(Fraud Detection System)을 구축해야 한다고 말하는 기사들이다.

신제윤 "은행·증권도 조속히 FDS 구축해야" (2015.02)

금융계 화두된 FDS 구축, 선결 과제는 (2014.12)


솔직히 나는 이 정도일 줄은 전혀 몰랐다.  금융회사라면 당연히 구축이 되어 있을 것으로 생각했다.

2014년 기사에 나온 금융감독원 자료를 보면 FDS 구축 현황은 다음과 같다고 한다.


[기사출처 : 아시아경제 ▶링크]


자, 그럼 FDS가 무엇인가?  FDS는 이상거래탐지 시스템이라고 생각하면 된다.  Fraud, 즉 사기(금융사기)를 탐지하는 시스템이다.  예를 들면, 내가 버젓히 한국에 있는데 내 명의의 신용카드가 미국 특정 매장에서 결제 승인이 일어나면 카드가 도용당했다는 사실을 유추할 수 있게 된다.  이렇게 상황에 맞지 않는 이상거래를 탐지하고 피해가 확산되기 전에 미리 차단을 하기 위해서 도입하는 시스템이다.  결국 다양한 정보들을 수집하고 분석해서 이상 거래 시나리오를 탐지할 수 있도록 구현하는 것이 핵심이라고 할 수 있다.

이야기만 들어보면 당연히 금융회사라면 스스로의 피해 예방을 위해서라도 가지고 있을 것이라고 생각되지 않는가?  적어도 나는 그렇게 생각을 했었다.  하지만 그 생각은 최근 들어 충격과 함께 배신을 당했다.  그나마 신용카드사들은 모두 도입을 해서 다행이라고 해야 하나?

그렇다면 나는 왜 금융회사에는 당연히 이러한 시스템이 구축이 되어 있을 것이라 지레짐작을 했을까?  몇년전 읽었던 「창업국가」라는 책에서 이미 FDS에 대해서 접해서였을까?  이 책의 주요 내용은 이스라엘이 벤처 강국이 된 배경에 대한 설명이다.  이스라엘의 특수한 특성 상 군부대에서 개발된 알고리즘이 사업화 되는 경우가 많은데 그 사례 중 하나로 언급 되었던 것이 Fraud Sciences 라는 회사의 이상거래 탐지 알고리즘이다.

정확히 기억이 나지는 않지만 애써 떠올려보면, Fraud Sciences라는 회사에서 다른 이의 소개로 PayPal (국제 굴지의 지불 대행회사)에 자신들의 솔루션을 소개를 하는 자리를 가질 기회가 있었다.  PayPal은 소개 때문에 시간을 내어 만나주지만 이런 작은 회사의 솔루션에 큰 기대를 가지고 있지 않았으나, Fraud Sciences가 최고의 이상거래 분석 알고리즘을 보유하고 있다는 말에 일단 자신들의 거래 데이터를 전달해주며 이상거래를 찾아보라고 해본다.  아마도 이렇게 하면 자신들을 소개해준 사람에 대한 예의는 다 한것이라 생각 했으리라.  데이터를 맡긴 사람은 맡긴 후 수일이 걸릴 것이라고 예상을 했지만 바로 다음날 도출한 이상거래 내역들과 함께 연락이 온다.  이야기 상 당연하게도 도출된 이상거래 내역들은 PayPal이 어마어마한 공수를 들여 수일 또는 수주일 동안 분석하여 도출한 결과 값들과 일치하였다.  2008년에 PayPal은 Fraud Sciences를 인수한다.

이 이야기가 내 기억속에 오래 남아 있어서였을까?  금융회사라면 나름의 FDS는 다 구축하고 있을 줄로만 알았던 내가 최근의 기사들을 보면 바보가 된 기분이다.

아마도 굳이 원인을 찾아보자면, 금융사들은 모든 것을 정부과 금융감독원이 정해놓은 아주 세세한 기준에 맞춰 구축하는데 급급했을 것이고, 그렇게 그들의 기준에 맞추는 것이 향후 발생할 모든 사고의 책임소재에서 자유로울 수 있을 것이라고 생각했을 듯 하다.  이런 상황에서는 금융사들이 자발적으로 보안을 강화할 의무가 없어 보이며, 마치 어린아이가 어른을 믿고 의지하듯 정부와 금융감독원의 기준에 의지하여 날로 살벌해지는 위협에 대응하지 못하고 있었던 것은 아닐까?  설상가상으로 정부와 금융감독원이 마련해 준 기준에는 FDS가 없었던 것이다.  최근에 들어서야 금융보안 연구원에서 FDS 구축 가이드라인을 마련하고 배포를 하고 있는 실정인 것이다.

어쨌든 잘 됐다.  늦은감은 있지만 지금이라도 금융권이 규제를 푼다느니, Fin-Tech(핀테크)가 중요하다느니, 거기서 보안이 필수라느니 호들갑을 떨고 있으니 결국에는 좋은 방향으로 정리가 되리라 믿는다.


[독서] 은하영웅전설 9 - 별이 진 후에도

벌써 9권 째로 접어들었다.  신기하게 초반에 열광적으로 읽다가 중반에 살짝 느슨해지나 싶더니 막판으로 갈수록 더욱 손에 땀을 쥐게 하는구나.


다나카 요시키 저/미치하라 카츠미 그림/김완 역
디앤씨미디어(D&C미디어) | 2011년 10월


하나의 별이 진 이후에도 또 다른 별은 편할 날이 없구나.  광대한 우주적 스케일로 펼쳐지는 대서사시이긴 하지만, 실제로 톡 까놓고 보면 두 나라의 전쟁 이야기에 지나지 않는다.  다만 광대한 우주를 배경으로 수 천광년을 훌쩍 뛰어넘는 공간 감각으로 인해 압도적인 스케일을 자랑하는 듯 착각을 불러 일으킨다.  하지만 아무렴 어떠랴, 이렇게 흥미로운 이야기가 될 수 있다면 그 자체로 충분히 속아주고 싶다.  게다가 거기에 삼국지를 연상케 하는 다양한 유형의 인물들과 그들간의 결투와 암투, 그리고 전략과 지략의 대결이 흥미진진하다.

이야기는 막바지로 치닫고 있어 이제 "외전"이 무슨 이야기를 담고 있는지 궁금할 지경이다.



나의 이 책에 대한 지극이 개인적이고도 편향적인 별점은 ★★★★☆

2015년 2월 2일 월요일

외계인이 지구를 방문한다면, 과연 지적 생명체를 인간으로 볼까?


외계인이 지구를 방문한다면, 과연 지적 생명체를 인간으로 볼까?  아니면, 5대양에 헤엄치고 다니는 돌고래나 고래들을 지적 생명체로 보고 대화를 시도하게 될까?

「은하수를 여행하는 히치하이커를 위한 안내서」라는 SF 소설 책에서는 외계인이 지구를 파멸시키기 전에 돌고래들이 미리 지구를 떠나간다고 나온다.  그들은 무척이나 똑똑 하기 때문에 사건의 전말을 미리 알아 차리기 때문이다.  그러면서 인간들에게 남긴 메시지는 간단하다.


So long, and thanks for all the fish!

이 얼마나 유괘한 대사인가?  동제목의 영화를 보면 노래로도 나온다.  유튜브 같은데서 찾아보고 들어보자.  역시 유쾌한 노래이다.

다시 제목의 의문점으로 돌아가서, 인간이 정말 지구상의 유일한 지적 존재인가?  우리는 왜 저 머언 미지의 우주에 눈을 돌리고 지적 생명체의 신호를 기다리고 있는가?  그들이 지구라는 푸른 별에 신호를 보내면 그 신호는 진정 인간에게만 보내는 신호일 것인가?  우리는 우주 밖으로 나갈 것도 없이, 현재 5대양 안의 어떤 생명체들이 살고 있는지도 정확히 모르고 있는 상태 아닌가?  돌고래나, 고래들이 서로 의사소통을 하고 있다는 사실은 알면서도 그 내용에는 무지한것이 사실인데 외계의 생명체가 대화를 시도한들, 우리가 알아들을 수나 있을까?

그렇다고 미지의 우주로 뻗어나가고 있는 우리의 관심을 축소하거나 불필요하다고 폄하하는 것은 아니다.  다만, 그 관심의 절반만이라도 우리가 서 있는 이 별 안에 있는 무수히 많은 생명들에 귀 기울여 보았으면 하는 생각이다.  우주로 관심이 기우는 것에 비해, 저 미지의 바다 속을 그대로 두는 것이 의문이다.  똑똑하신 분들은 이미 별로 유익하지 않을 것이라는 일종의 결론을 내렸을 수도 있겠으나, 아직 나의 가슴은 쥘베른의 「해저 이만리」에 나오는 네모선장과 같이 심해속을 헤매고 있다.


- 칼 세이건의 「코스모스」를 읽다가 문득 든 생각

2015년 2월 1일 일요일

출입증, ID카드 복제로 살펴보는 위험관리


글을 읽기 시작하기 전에 우선 아래 뉴스를 확인해보자.

[현장추적] ‘카드 출입증’ 1분이면 복제…정부청사도 뚫려 - 2015년 1월

교통카드 해킹… 삐뚤어진 천재소년 - 2014년 6월

우선 위 두 기사는 유사한 내용이다.  스마트카드가 아닌, 특정 회사의 메모리 방식 RF 카드를 사용하고 있다면 복제는 피할 수 없다.  특히 최근에는 이베이 같은 사이트에 가 보면 해당 방식의 카드를 복제하는 도구를 $50 내외면 손쉽게 구할 수 있다.  (2015년 1월 뉴스에 보이는 도구와 유사하다)

특히, 교통카드도 아닌 일반 사무실 출입카드나 집의 키 카드 등은 오히려 더 손쉽다.  그나마 메모리 카드의 경우 안에 있는 암/복호화 키(key)를 해독을 하는데 시간이 조금 소요되지만, 다른 경우는 단순히 칩의 시리얼 번호 (CSN : chip serial number) 만을 읽어서 해당 번호가 출입이 가능한지 여부를 확인하고 출입문, 스피드게이트 등이 열리게 된다.  이런 방식은 CSN을 쉽게 변경할 수 없고, 속도가 빠르다는 장점 때문에 대부분의 출입통제 방식에서 활용이 되고 있다.  하지만 이런 CSN도 요즘에 손쉽게 복사가 되고 있는 것이 현실이다.

자, 이런 상황에서 "위험(Risk)"에 대해 이야기 해보고자 한다.  우선 위험을 산출하기 위한 여러 방식이 존재하지만 그중 가장 많이 알려진 것을 확인해보자.


  • 위험(Risk) = 자산 X 취약점 X 위협 (Asset x Vulnerability x Threat)
  • 위험(Risk) = 영향 X 발생가능성 (Impact x likelihood)


위 두가지 산식을 가지고 출입증 복제의 보안 위험에 대해서 이야기해보겠다.


취약점 (Vulnerability)


우선 위의 출입증 복제의 경우 아주 옛날부터 위험하다고 이야기가 나왔었던 내용이다.  내가 2004년 서울시 교통카드 프로젝트를 수행 할 때만 해도, 이미 당시 폭넓게 사용되고 있던 선불카드인 Mifare® 카드는 실험실 수준에서 복제가 가능했으며 외국 보안 컨퍼런스 등에서도 마찬가지로 다양한 복제 방식 및 무력화 방식을 발표했었다.

그리고 2008년 즈음, 영국의 교통카드인 Oyster 카드가 복제가 된다는 사실이 증명됐다.

Hackers ‘prove Oyster cards could be cloned’

이렇듯 스마트카드가 아닌, 메모리 방식의 카드가 복제가 되는 경우는 아주 예전부터 있었다고 볼 수 있다.  즉, 취약점(Vulnerability)은 변함 없이 계속 있어 왔다는 사실이다.  하지만 이러한 취약점이 개선 없이 머물러 있었느냐 하면, 사실 그것은 아니다.  Mifare® 쪽에서는 조금 더 보안에 안전한 카드들을 만들어 내기 시작했으며, 더 안전하다고 알려진 스마트카드를 이용해야 한다는 움직임이 일기 시작했다.  하지만 기업들은 카드 자체에 내재되어 있는 이러한 취약점이 "위험"으로 피부에 와닿지 않았기 때문에 계속해서 상대적으로 훨씬 저렴한(스마트카드에 비한다면 거의 1/10 가격인) 메모리 방식의 RF 카드를 계속 이용해왔다.

이런 기업은 당시로서는 위험의 정도가 낮았다고 보았을 것이다.  즉, 충분히 발생은 가능하지만 그러기 위해서는 고가의 장비(실험실 수준)와 공격 시도자의 아주 집요한 의도가 필요한 만큼, 위험에 대응을 하기 위해 1,000원짜리 ID카드를 8,000원짜리 ID카드로 바꾸는데 소요되는 비용을 고려했을 때 기업에 미칠 수 있는 위험 수준이 너무 낮았다고 판단했을 것이다.


위협 (Threat) / 발생가능성 (likelihood) 


이야기 했던 것 처럼, 이런 메모리 방식 RF 카드에 대한 공격시도는 지속적으로 발생하고 있었으나, 해커의 수준이 날로 향상됨에 따라 다양한 자동화 된 도구들이 나오기 시작한다.  그리고 지금과 같이 아주 저렴한 가격의 복제 도구들이 시장에서 구입 가능한 시기가 도래한 것이다.  예전에는 실험실 수준의 장비들이 필요했던 것이 최근에는 기술의 접근성과 하드웨어 성능 증가에 힘입어 누구나 마음만 먹는다면 복제 도구를 만들 수 있게 되었으며, 심지어는 이렇게 만든 도구들을 인터넷을 통해 전세계 누구에게나 판매를 할 수 있게 되었다.

이러한 외부 환경의 변화에 대해 우리는 흔히 "위협(Threat)"이 증가한다고 표현한다.  예전에는 흔하지 않았던 공격이 해커의 수준과 하드웨어 성능 증가에 따라 점점 손쉬워지고 흔해지게 되는 상황이다.  마찬가지로 발생가능성(likelihood)이 증가한다는 표현도 같은 의미이다.


여기까지만 본다면 이제는 당연히 안전하지 않은 메모리 방식 RF 카드를 스마트카드로 전부 전환을 해야 한다고 생각을 할 수 있겠지만 그렇게 쉽지 않다.  아직 수 배의 비용이 소요되는 것에 비해 어떤 효과가 있는지가 피부에 와닿지 않기 때문이다.  (사실 보안에서 가장 힘들고 어려운 부분의 하나이다.  ROI(Return of Investment) 라던지 비용대비 효과 등을 경영진에게 설득하기란 보안의 특성상 무척 어렵다.  그래서 이런 "위험" 측면에서의 접근을 요즘 많이 하고 있다.  (물론 예전 부터 위험 형태의 접근은 있어 왔지만, 예전에는 "보안 위험" 이었다면, 최근에는 "경영 위험" 형태로 보고를 하는 경우가 많다.)


자산(Asset)과 영향(Impact) 


이제 남은 것은 자산(Asset)과 영향(Impact) 이다.  자산은 말 그대로 개인/기업이 지켜야 할 것이라고 생각하면 된다.  그래서 자산평가를 할 때는 가장 흔하게 사용하는 방식이 CIA(기밀성-Confidentiality, 무결성-Integrity, 가용성-Availability) 속성으로 점수를 매겨 해당 자산의 중요도를 평가하는 방식이다.  영향(Impact)는 해당 자산이 손실(파괴, 변조, 노출)되었을 때의 영향도라고 생각하면 된다.  기업 경영에 너무너무 중요한 자산의 경우 영향도도 함께 매우 커지게 된다.

그런데, 이렇게 자산의 중요도와 이런 자산에 피해가 갔을 경우의 영향이 기업이 가장 산정하기 어려운 것 중 하나이다.  여태까지의 보안컨설팅 경험에서, 해당 기업이 자신이 보호해야 할 대상이 무엇인지 정확히 알고 있었던 적은 거의 없었던 것 같다.

그러다보니, 출입증을 일반 메모리 방식의 RF카드에서 10배 정도 비싼 (최근에는 4~6배 정도로 가격 차이가 줄어 든 것 같기는 하지만, 어쨌든 비싸다) 스마트카드로의 전환이 가져올 수 있는 이익을 산정하지 못하는 것이다.

단순히 생각해보면, 건물 내 중요 자산이 존재하고 해당 자산에 피해를 입게 되면 손해가 10억이다라고 분석이 되어 있다면, 임직원의 출입증 전체를 교체하는데 소요되는 비용은 그에 비하면 무척 적기 때문에 교체를 하는데 전혀 문제가 없게 된다.

하지만, 손해가 얼마이다라는 것이 산정이 되지 않는다면 모든 초점은 출입증 교체에 소요되는 비용에만 맞춰지므로 이를 설득하기란 쉽지 않다.  이럴 경우 많이 하게 되는 실수 중 한 가지가 아주 발생 가능성이 적지만 영향이 매우 큰 시나리오를 제시하여 설득하려고 하는 경우다.  예를 들어, 사무실 건물에 폭탄테러범이 침투하여 폭발이 일어났을 경우 그 막대한 피해에 대해서 설명을 시도한다.  하지만 이럴 경우 위협/발생가능성 측면에서 현저하게 낮기 때문에 설득력을 가지기가 어렵다.


위험평가는 주기적으로 지속성을 가지고 수행하자


보시다시피 위험평가는 이렇게 보호대상과 위협 등을 가지고 평가를 하는 것이라고 생각하면 된다.  ISMS, PIMS, 그리고 ISO 27001 등 국내외 정보관리체계 인증 요건에도 보면, 위험 평가는 주기적으로 하게 되어 있다.  이런 평가는 시간의 흐름에 따라 계속해서 변하고 있기 때문에 한번만 수행하지 않고 주기적으로 지속성을 가지고 수행하는 것이 중요하다.  출입증 복제의 위협은 과거에는 발생가능성이 현저히 낮았지만, 지금은 높아진 것과 같이 말이다.


1월 한 달 읽은 책들과 독서장소

보통 월 단위 정리작업은 하지 않는데, 이번에는 예상보다 많이 읽은 것 같아 기쁜 마음에 정리를 해본다.  원래 새해결심을 세울 때, 1주일에 1권 읽기로 2015년 총 50권 이상 읽기가 목표였는데 벌써 14% 달성을 해버렸다.  거의 10권을 읽은 것 같은데, 한번 살펴보자.

◆ 완료 ◆

  • 은하영웅전설6
  • 은하영웅전설7
  • 은하영웅전설8
  • 산둥수용소
  • 인프라엔지니어의 교과서
  • 애거서 크리스티 전집 25 - 빅포
  • 사물 인터넷


출퇴근 시간은 지하철에서 스마트폰으로!


은하영웅전설은 총 10권짜리 대하드라마여서 이것만 집중 적으로 읽으려니 시간이 너무 더디게 흐르는 것 같아 출퇴근 시간에만 읽고, 나머지 시간에는 다른 책을 읽으려고 노력 중이다.  출퇴근 시간은 아무래도 예전 처럼 책을 들고 다니기에는 날씨가 추워서(손 시렵다!) 가능하면 전자책(e-book) 위주로 읽고 있다.  (전자책 대부분은 리디북스에서 주로 사 읽고 있는데 아주 가끔 원서를 읽을 때는 아마존을 이용하고 있다.)


집에서는 주로 잠들기 전 침대에서 뒹굴거리며~


출퇴근 시간 외에는 집에서 잠들기 전 침대에 누워서 읽는 편이다.  산둥수용소, 빅포, 사물 인터넷은 그렇게 침대에서 뒹굴거리며 읽은 책들이다.  와이프는 옆에서 태블릿으로 지나간 드라마나 미드를 본다.  아주아주 가끔 책을 읽기도 하는데 그 때는 내가 다른 짓을 주로 한다.  같이 책을 읽는 건 정말 드문 일인것 같다.
얘기를 하다보니 생각나는 에피소드는 내가 한창 자격증 시험 공부를 하겠다고 저녁마다 책상에 앉아 공부를 하던 때가 있었는데, 심심해서 인지 몰라도 와이프도 그때마다 책상 앞에 같이 앉아서 공부를 하기 시작했다.  이렇게만 보면 참으로 바람직한 부부구나 생각 할 수도 있겠으나, 와이프가 하기 시작한 공부는 다름 아닌, 영어 공부였다.  그것도 컴퓨터를 켜고 자기 발음을 큰 소리로 마이크에 말을 하면, 평가를 해서 진행하는 형태의 영어 공부!!
그래서 내가 자격증 공부를 하고 있는 와중에 와이프는 옆에서 큰 소리로

"밀크~,  미일크~, 뮈일크~, 밀ㅋ, 밐으"  이러고 있던지,

"오랜지~, 어린지~, 어린쥐~, 얼린지~" 이러고 있었다.

일부러 방해하는 것 같지는 않았으나, 이런 와이프의 영어 공부는 내 자격증 시험 공부가 끝나고나자 귀신같이 안하게 되었다.  그 이후로 한번도 영어 발음을 들어본적이 없다.

다시 책 이야기로 돌아와서, 어쨌든 부부가 함께 동시에 책을 읽는 경우는 매우 드문 것은 사실이다.  누구 한명이 읽고 있으면, 다른 한명은 분명히 방해가 되는 행동을 하고 있다고 보면 된다.  왜 그런지에 대해서는 한번도 깊이 생각해보지 못해서...

그리고 마지막 인프라 엔지니어의 교과서라는 책은 자기 전에 읽기도 참 뭣 한거라 저녁 먹은 직후 후다닥 읽었던 책이다.  이미 알고 있는 내용 절반, 도움이 되는 지식 절반이 아주 얇은 책에 들어있던만큼 읽는데 그리 오랜 시간이 걸리지는 않았다.


◆ 진행 중 ◆

  • 은하영웅전설9
  • 코스모스


현재 읽고 있는 책은 저 두 권이다.  은하영웅전설은 마찬가지로 출퇴근 하면서, 칼 세이건의 코스모스는 잠들기 전에...  코스모스는 잠들기 전에 읽기 좋은게 몸 상태가 안좋을 때는 정말 읽다보면 나도 모르게 잠들게 된다.  재미가 없어서라기 보다는 엄청 흥미롭게 재미있지만 책의 두께 때문인지 몸이 피고할 때는 자연스럽게 눈이 감기더라.  하지만 정신이 제대로 들어와 있을 때는 나를 신비한 우주로 이끌어주는 아름다운 책이다.


보다시피 엄청 두꺼운 책이다


여기서 코스모스 칭찬을 너무 많이 하면, 나중에 책을 다 읽고 별로 쓸 말이 없을 것 같아 아껴둔다.

어째든 1월은 생각보다 많은 책을 읽을 수 있어 뿌듯한 한달이었다.  2월은 날 수도 적은 만큼 조금 더 부지런히 읽어야겠다는 생각을 해본다.