컴퓨팅이라는 것이 눈에 보이거나 만져질 수 있는 것이 아니라, 벽, 옷, 그리고 일상적 사물에 내장되어 나와 살 닿아 있는 공간 속을 흐르는 세상, 이것이 바로 Ubicomp의 Vision이다. 이 Vision은 수없이 들어왔고, 아마 이해가 되기 전까지 수없이 머리 속으로 되뇌면서 생각해야 할 내용이 될 것이다.
하지만 그 Ubicomp 세상에서 보안은 특별하게 단순한 기술적으로 추가된 요소라는 생각을 넘어, 모든 사물과 모든 상호작용에, 때로는 눈에 띄지 않게, 깊이 스며들어 있어야 하는 근본적인 관심사일 수밖에 없다.
Frank Stajano의 글(1)은 바로 그러한 과제에 대한 어떻게 보면 명쾌한 성찰이라고 할 수 있다. 컴퓨터 디바이스가 어디에나 있고 사람들이 알아차리지도 못할 수도 있는 세상에서 드러난 위험, 새어 나가 침해 받을 수도 있는 사생활보호, 깨질지 모르는 신뢰, 그리고 안전하게 나의 삶과 엮여 내가 몰입하게 되는 공간과의 인터페이스에 대해 어떻게 생각해야 할지 말이다.
Frank Stajano는 Mark Weiser의 비유를 떠올리며 글을 시작한다. ‘글쓰기’ 같은 것은 어디에나 존재하며 우리 삶에 너무 깊이 뿌리내려 있어서 더 이상 알아차리지 못한다고 했다. 마찬가지로 오늘날 우리는 휴대폰, 자동차, 가전제품 등 수많은 마이크로프로세서와 매일 상호작용하지만, 그것들에 대한 생각은 거의 하지 않는다. 문제는 컴퓨팅이 점점 눈에 띄지 않게 되면서 그 취약점을 인식하지 못할 위험이 있다는 것이다.
Frank Stajano는 간단하지만 중요한 원칙을 강조하고 있다. 즉 보안은 위험을 관리하는 것이라는 원칙을 강조한다. 즉, 무엇이 잘못될 수 있는지, 그 가능성은 얼마나 되는지, 그래서 어떤 영향을 미칠지, 그리고 어떤 대응책이 합리적인지 파악해야 한다는 것이다. 맹목적으로 그저 방어 체계나 수단을 강화하는 것이 아니다. 금전적인 비용, 사용성 상에 들어가는 비용, 인지적 측면에서의 비용을 ‘이점’과 비교 검토해야 한다.
실제로 어떤 디자인이든 보안 부분에 있어서 보호를 강하고 더 많이 한다고 해서 항상 더 나은 해결책이 되는 것은 아니다. 왜냐하면, 그것이 방지하려는 위험보다 삶을 더 어렵게 만들거나 더 많은 비용을 초래할 수 있기 때문이다.
집을 보호하고자, 집 주변에 빙 둘러 연못을 만들 수도 있고, 높은 담을 쌓고, 게다가 경비원이나 경비견을 고용하여 집을 보호할 수도 있다. 그렇게 하면 집이야 안전해질 지 모르겠지만, 동시에 거주하기에는 매우 불편하고, 물론 비용도 많이 들것이다. 추가적으로 보완한 안전으로 인한 ‘이점’이 들어가는 비용, 불편함, 그리고 그로 인한 스트레스의 비용에 비해 가치가 없을 수도 있다는 것이다.
어쩌면, 컴퓨팅에서 ‘비용’은 그런 기술에 투자한 비용이나 보안 단계를 처리하는 데 낭비하는 추가 시간에 들어가는 비용, 또는 비밀번호를 기억하거나 복잡한 시스템을 탐색하는 데 드는 정신적 노력과 같은 인지적 비용을 의미할 수 있다. ‘이점’은 실제 위험이 얼마나 감소하는지, 즉 시스템이 얼마나 더 안전해지고 더 신뢰할 수 있는지를 나타낸다. 따라서 훌륭한 설계자라면 균형을 찾으려고 하지 않을까? 사람들을 안전하게 보호할 만큼 충분한 보호가 필요하지만, 시스템을 제대로 사용하지 못하게 되거나, 또는 속도가 늦춰지지 않도록 주의해야 한다. 보안은 사람들을 보호해야 하는 것이지 처벌해서는 안 되는 것이기 때문이다.
어떻게 보면, 이것은 방어하는 사람과 공격하려는 사람 모두의 입장에서 생각하는 것을 의미할 수도 있다. 악의적인 공격자가 목표로 삼을 수 있는 숨겨진 자산은 무엇일까? 혹 그들이 깨뜨리려는 것이 어떤 가정(假定)일까? 가장 위험한 공격은 시스템 설계자가 미처 생각하지 못했던 것을 악용할 수도 있다.
Frank Stajano는 옛날부터 알려진 익숙한 3대 요소, 즉 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 강조하지만, Ubicomp 환경에서는 이들의 우선순위가 달라진다는 점을 일깨워 준다(1).
네트워크로 연결된 디바이스 시스템에서는 공격이나 장애 발생 시에도 서비스가 계속 작동할 수 있는지에 대한 가용성이 기밀성보다 더 중요해지는 경우가 많다. 더욱이, 이 모든 것을 뒷받침하는 것은 누가 무엇을 하는지 그 인증(Authentication)이 있으며, 그 바로 뒤에는 진정성(Authenticity)과 익명성(Anonymity) 사이에 동시에 두 가지를 완전히 만족시킬 수 없는 둘 사이의 밀고 당기는 긴장 관계가 존재한다. 우리는 어떤 행동이 유효한지 알고 싶어 하지만, 많은 경우 모든 상호작용이 고정된 신원에 얽매이는 것을 원하지 않는다.
디지털 시스템에서는 누가 행동했는지가 아니라 행동 자체가 신뢰할 수 있는지 여부가 매우 중요하다. 예를 들어, 출입 카드로 공공장소의 문을 연다고 했을 때, 시스템은 항상 사용자의 성명이나 신분증 번호를 알 필요는 없다. 단지 사용자의 카드가 문을 여는 데 사용 가능한지 여부만 알면 된다. 따라서 “유효한 행동”이란 시스템이 안전하거나 허용되는 것으로 인식하는 행위를 의미한다. 하지만 “고정된 신원”은 사용자가 하는 모든 활동과 행위를 개인 프로필이나 데이터에 영구적으로 연결하는 것을 의미한다. 즉, 이름, 계정, 디지털 기록처럼 나의 모든 행동을 항상 추적하는 시스템을 의미한다.
내가 방문한 모든 웹사이트, 내가 열었던 모든 문, 내가 만진 모든 물건이 나의 모든 신원을 자동으로 기록한다고 했을 때, 단순히 누군가 사용했다는 사실뿐만 아니라 내가 개인적으로 사용했다든가, 내가 어떤 행동을 했다는 그 사실까지 말이다. 이것이 바로 “고정된 신원”의 결과로 가지는 것들이다. 다시 말해, 나의 디지털 활동은 항상 나의 신원에 기반을 두게 되어 그 신원에 따라 결정되기 때문에 익명성이나 사생활보호를 보장할 여지가 없게 된다.
하지만 많은 디자인 시스템에서는 이러한 수준의 추적이 항상 필요하지 않다. 때로는 누가 그 행동을 했는지 영구적으로 기록하지 않고도 어떤 행동이 안전하거나 적절하다는 것을 아는 것만으로도 충분하기 때문이다. 대부분의 현대 디지털 시스템의 표준 논리에 의하면, 전통적인 개인정보 보호 및 보안 디자인 관점에서 시스템은 사람들의 안전과 편의를 위해 필요한 정보만 수집해야 한다는 것이다.
나중에 다시 살펴볼 기회가 있겠지만, MASERINTS는 이 부분에 대해 약간 다르다. MASERINTS에는 지원과 도움을 받아야 하는 주인공인 PTS(Person to be served)가 있다. MASERINTS의 목표는 단순히 정보를 보호하는 것이 아니라, PTS의 모든 경험의 흔적을 통해 학습하여 PTS를 이해하고 지원하는 것이기 때문이다. 그런 의미에서 추적은 단순한 감시가 아니라, DAGENAM의 작동 방식처럼 ‘간접경험’과 그에 관련된 맥락적 요소를 재현하기 위해 미묘한 데이터를 수집하는 풍부함에 관한 것이다. MASERINTS에서 ‘경험’이란 의미는 과거만을 의미하는 것이 아니라 PTS의 미래에 겪을 경험, PTS가 가지게 될 지식, PTS 자신의 본질, 정체성 등을 나타내는 중요한 표현이라는 것을 염두에 두어야 한다.
따라서 기존 보안 시스템은 개인정보 보호를 위해 데이터 수집을 최소화하는 데 중점을 두는 반면, MASERINTS는 PTS에게 더 나은 서비스를 제공하기 위해 맥락적 이해를 극대화하는 것을 목표로 한다.
이는 MASERINTS가 기존 보안 모델에서 실제로 벗어날 수 있음을 의미한다. 기존 모델을 무시하기 때문이 아니라, MASERINTS가 제공하는 지원과 도움을 위해 별도의 보안체계가 디자인되어야 하고, MASERINTS와 PTS간에 신뢰를 재정의해야 하기 때문이다. MASERINTS는 모든 것을 봉쇄하는 대신, PTS와 MASERINTS 모두가 서로에게서 배우고 함께 적응하는 환경을 구축하며, 안전은 제한하려는 것이 아니라 깊은 이해에서 비롯된다고 할 수 있다.
MASERINTS의 디지털 공간은 단순히 PTS에게 반응하는 것이 아니다. MASERINTS는 PTS의 습관, 기분, 행동 방식에 익숙해지고, PTS는 MASERINTS가 PTS를 어떻게 지원하는지에 익숙해진다. 시간이 지남에 따라, MASERINTS와 PTS는 마치 오랫동안 함께 살아왔고 많은 말이 필요 없이 서로를 이해하는 두 사람처럼 서로에게 더 자연스럽게 맞춰 적응하게 된다.
그래서 MASERINTS와 PTS간에 깊은 이해라는 것이 MASERINTS가 단순히 어떤 버튼을 누르는지, 몇 시에 일어나는 지와 같은 표면적인 정보만을 보는 것이 아니라, PTS가 왜 특정한 행동을 하는지, 다음에 무엇이 필요한지, 그리고 무엇이 PTS에게 감정적 또는 정신적으로 도움이 되거나 해가 되는지 진정으로 파악한다는 것을 의미한다. 따라서 단순히 규칙이나 제한을 가해 안전하게 유지하는 것이 아니라, 환경이 그 사람의 상황, 감정, 목표를 깊이 이해하는 것이다. 다시 말해, MASERINTS는 PTS를 통제함으로써 PTS를 보호하는 것이 아니다. 그것은 PTS를 진정으로 이해하기 때문에 PTS를 보호한다.
그래서 대부분의 시스템은 “너무 많이 수집하지 마십시오”라고 말하지만, MASERINTS는 “필요한 의미있는 흔적들을 수집하되, 수집하는 동안 PTS를 보호하십시오”라고 말하는 것이다.
언급된 각주의 내용
(1) Security Issues in Ubiquitous Computing, Frank Stajano, 2008, https://www.cl.cam.ac.uk/~fms27/papers/2008-Stajano-ubiquitous.pdf