"우리 같이 게임할래?"
제목이 좀 의미심장하죠. 옛날 영화 워게임(WarGames)의 그 유명한 대사 "우리 게임 한 판 할까?"를 떠올리게 하는데요. 보안을 게임 이론(여러 사람이 각자 이익을 좇을 때 어떤 결과가 나오는지 따지는 학문)의 눈으로 바라보자는 글이에요. 핵심 메시지는 단순해요. 보안은 나 혼자 열심히 한다고 해결되는 문제가 아니라, 여럿이 발을 맞춰야 풀리는 문제(협조 게임, coordination game)라는 거죠.
협조 게임이 뭐냐면
게임 이론에 협조 게임이라는 개념이 있어요. 이게 뭐냐면, 모두가 같은 선택을 하면 다 같이 이득을 보지만, 혼자만 그 선택을 하면 오히려 손해를 보는 상황이에요. 쉬운 예가 도로 통행 방향이에요. 모두가 우측통행을 하면 안전한데, 다들 좌측으로 다니는 동네에서 나 혼자 우측으로 가면 사고만 나죠. 어느 쪽이 정답이냐보다, "다 같이 한쪽으로 맞추는 것" 자체가 중요한 거예요.
보안이 딱 이래요. 나 혼자 비밀번호를 철통같이 관리해도, 같이 일하는 동료가 피싱에 한 번 당하면 회사 전체가 뚫리거든요. 한 회사가 보안에 투자해도, 협력업체나 오픈소스 의존성에 구멍이 있으면 그리로 털려요. 즉 보안은 "가장 약한 고리"가 전체를 결정하는, 철저히 집단적인 문제예요.
인센티브가 어긋나 있다는 진단
이 글이 짚는 진짜 문제는 "인센티브의 어긋남"이에요. 보안에 투자하면 비용은 지금 당장 내가 다 부담하는데, 그 덕분에 사고가 안 나는 건 눈에 잘 안 보이거든요. "아무 일도 안 일어난 것"을 성과로 인정받기가 어렵잖아요. 반대로 보안을 대충 하고 운 좋게 안 털리면 비용을 아낀 셈이 되고요. 그래서 각자 합리적으로 행동하면 오히려 사회 전체적으로는 보안에 덜 투자하게 되는, 모두가 손해 보는 결말로 흐르기 쉬워요. 게임 이론에서 말하는 전형적인 "나쁜 균형"이죠.
그래서 해법도 개인의 노력이나 정신력 강조가 아니라, 구조를 바꾸는 데서 찾아요. 안전한 선택이 가장 쉽고 편한 선택이 되도록 기본값을 설계하고(기본값이 안전하면 다들 자연스럽게 안전해지죠), 정보를 투명하게 공유해서 "남들도 다 한다"는 신뢰를 만들고, 잘한 보안을 보상하는 쪽으로 판을 다시 짜는 거예요.
업계 맥락에서 보면
이 관점은 요즘 보안 업계의 큰 흐름과 맞닿아 있어요. "사람을 탓하지 말고 시스템을 고치자"는 보안 문화, 취약점을 숨기지 말고 함께 공개·공유하자는 책임 있는 공개(responsible disclosure), 그리고 보안을 개발 과정에 처음부터 녹이는 데브섹옵스(DevSecOps)까지요. 전부 "보안은 혼자가 아니라 함께 푸는 협조 게임"이라는 인식 위에 서 있는 셈이에요. 저자는 평소 보안을 비난과 영웅담이 아니라 경제학과 시스템의 문제로 보자고 꾸준히 주장해온 인물이기도 하고요.
한국 개발자에게 주는 시사점
조직에서 보안을 "각자 알아서 잘하기"로만 굴리고 있다면 한 번 돌아볼 만해요. 사람이 실수했을 때 그 사람을 혼내는 데서 끝내면, 다음 사람도 똑같이 실수하거든요. 그보다 "실수해도 안전하도록" 기본값과 도구를 바꾸는 게 훨씬 효과적이에요. 보안 라이브러리를 기본 탑재하고, 위험한 설정은 처음부터 막아두고, 보안 사고를 비난 없이 공유하는 문화를 만드는 것. 이게 협조 게임을 좋은 균형으로 이끄는 실천법이에요.
마무리
보안은 결국 "나 하나 잘한다고 되는 게 아니라, 우리 모두의 발이 맞아야 풀리는" 협조의 문제예요. 여러분 조직은 보안 사고가 났을 때 사람을 탓하는 편인가요, 아니면 시스템을 고치는 편인가요? 어느 쪽이 실제로 더 효과가 있었는지 경험을 나눠주세요.
🔗 출처: Hacker News