다음은 보안 전문가인 슈나이어가 쓴 글을 적은 것이다.
CYA 보안
2007. 2. 22 기고
9/11 테러 이후, 대테러 비용으로 수천억 달러를 썼다. 이 때 사용했던 보안 정책이 실효가 없었다는 것은 다들 알고 있는 사실이다. 그런데 왜 정책이 실패했을까?
단도직입적으로 말하면, 대테러 보안정책이 테러리스트들로부터 우리를 보호하기 위한 것이 아니라, 공직자들이 향후 발생할 지 모를 테러사건으로 받게 될 비난을 피하고자 임시방편적으로 세운 대응책에 불과하기 때문이다.
지난 1월 31일 보스턴: 카툰 네트워크 쇼는 게릴라 마케팅의 일환으로, Aqua Teen Hunger Force의 캐릭터를 깜빡이는 신호를 붙여 다리 아래, 의료 센터, 고속도로 교차로 아래, 사람이 붐비는 공공 장소등 여러 곳에 배치하였다. 경찰 측에서는 이 불빛을 폭발물로 착각하여, 도시의 통행을 차단하기도 했다. 결국엔 이를 해결하는데 1백만 달러 이상의 손해가 발생했다. 당국은 테러리스트의 폭발물로 오인해 과도한 대응을 하였고, 한편에선 이런 보스턴 당국의 대응을 비웃었다.
대다수의 사람들은 비난하기 바빴지 왜 보스턴 당국이 이런 과민반응을 보였는지에 대해서는 관심이 없었다. 정부 입장에서는 이 캐릭터가 폭발물처럼 보였기에 민감한 대응을 했다.
만약 사람들로 넘쳐나는 극장가에 누군가 폭탄을 담은 가방을 매고 나타난다거나, 터널 안에서 트럭에 실은 폭탄을 폭발시킨다면 경찰이 왜 이런 일을 사전에 예방하지 못했는지 묻지는 않을 것이다.
그러나 만약 불빛이 깜빡거리고 전선이 감긴 이상한 물체가 -영화에서 흔히 보는 폭탄처럼- 정말 폭탄으로 판명된다면, 이에 대한 조사 및 책임자 사퇴에 대한 요구가 있을 것이다.
경찰이 사건을 해명하는데 2주가 걸렸다. 알면 별 것 아닌 것 같지만 그들의 일자리가 걸린 문제이기 때문에 파악하는데 신중을 기한 것으로 보인다.
이것이 “내 한 몸 지키기(Cover your ass) : CYA” 보안이다. 사실 이런 경우는 아주 흔하다.
공항 보안은 언제라도 방심할 수 없다. 9.11테러 이전에도 폭발물, 총, 칼, 단도나 작은 커터 칼조차도 검문했다. Richard Reid라는 자가 비행기를 폭파시키려고 시도한 적이 있었는데, 그 후로 잠시 공항에 가게 되면 모두 신발을 벗어야 했다.
지난 여름 이후엔 액체 폭탄이 화두에 오른 적이 있었는데, 그 이후론 우습게도 액체로 된 병이나 젤 종류도 검문항목에 포함되었다.
이런 관점에서 CYA(Cover Your Ass)라는 말이 꽤나 의미심장하게 다가올 것이다. 수송보안국(TSA)은 비행기가 테러 당하면 책임 회피할 방법부터 생각한다.
일년 전까지만 해도, 수송보안국(TSA)에 왜 액체로 된 물건을 검문하지 않느냐고 비판하는 사람은 없었다. 하지만 언제나 그렇듯 꼭 일이 터지고 나서야 대책이 세워진다. 지난번에 테러리스트가 했던 공격을 예방하는 것은 당연히 해야 할 것이다.
우리는 이런 종류의 CYA보안 정책을 자주 볼 수 있다. 미국 보스턴과 뉴욕에서는 런던 폭탄테러 사건 이후 지하철마다 가방을 검사하기도 했고, 오클라호마 폭탄테러 이후 빌딩에 콘크리트 방어벽을 새로 짓기도 했다.
또한 정부가 핵미사일을 찾아내기 위해 행한 비효과적인 시도도 많이 볼 수 있다. 하지만 여전이 정부당국은 매스컴의 비난을 피하기 위해서 CYA보안 방식을 고수한다. “우리는 최선의 노력을 다하고 있습니다.”
동시에 뉴스화 되지 않은 위협 가능성은 무시하곤 한다. 예를 들어, 화학공장이 공격당하지 않아서 그렇지 화학공장 같은 건물이 공격 받았다면, 화학공장 주변에는 방어물들이 새로 생겼을 것이다.
CYA정책은 수송보안국(TSA)이 아무 잘못도 없는 사람에게, 출국 금지조치를 내리는 이유를 설명해 준다. 그 누구도 출국 금지조치를 받은 사람을 비행기에 태워서 -그 가능성이 아무리 적더라도-내가 테러범과 한패였다는 경력을 남기고 싶지는 않을 것이다.
다른 형태의 CYA보안은 특별한 경우로, 올림픽, 오스카상 수상식이나 기타 큰 행사로 소규모 도시전체를 안전하게 해야 할 경우 볼 수 있다.
여기서 사용할 보안 자금을 “이 돈을 더 효과적이고 일상적인 안전대책에 써 주시오.” 라며 다른 용도로 돌릴 수는 없을 것이다. 그러다 만일 일이 잘못되거나 어떤 일이 일어나기라도 하면 행사 진행요원들은 곧 실업자 신세가 될 것이다.
마지막으로, 국가적인 차원에서 정치인의 CYA보안 형태를 볼 수 있다. 해외 펀딩이나, 아라비아와 교역하며 예전보다 풍요로운 삶을 누리게 되었다. 그러나 이는 정치인의 재선을 위한 전략일 뿐이다. 눈에 보이지만, 그러나 아무 쓸모없는 것 -국가 ID카드, 미국과 멕시코간의 장벽 같은- 을 세우기 위함이다.
수상한 전략에서 나라의 안전을 지키는 것, 어떤 일이 일어나기 전에 대처하는 것, 매스컴의 비난을 사전에 차단하는 것, 특별한 행사에서 발생할 위협을 대비하는 것들 모두가 CYA보안의 예가 될 수 있다.
이는 정부 공권력 -보스턴 경찰, 수송 보안국(TSA) 등- 이 무능하다거나 할 일을 하지 않기 때문에 발생하는 것이 아니다. 국가의 충분한 관리나, 계획, 협력이 없기 때문에 발생한다.
사람과 기관은 인센티브에 따라 움직인다. 보스턴 경찰, TSA, 오스카 시상식 안전요원, 지역 공무원이 자기들이 맡은 책임 외에 다른 기관과의 협력을 통한 통합 보안 대응책을 생각하는 것은 비용이 지불되지 않는 한 쉽지는 않을 것이다.
그들은 상부에서 지시하는 대로 일이 대응한다. 하지만 실제 원하는 건 국가적 차원에서의 확실한 대 테러 정책이다. 지레 겁먹고 행하는 임시대응이나, 재선 당선을 위한 전략 또는 겉치레 정책이 아닌 실제적인 평가를 거친 대응책을 원한다.
그러나 슬프게도 현재 모든 자금은 임시대응, 재선전략, 겉치레 정책들에 투자되고 있다. 게다가 보안 정책도 결국은 자금에 좌우된다. 이런 상황에서 어떤 것이 정답이라고 말하기는 어렵다.
His story and technical story 