라떼군 이야기
보안 심사 양식에 절대 쓰면 안 되는 것: FBI와 스파이 혐의, 그리고 거짓말의 역설
TL;DR 12살 때 만든 암호표 때문에 FBI로부터 일본 스파이 혐의를 받았던 저자가, 훗날 보안 심사에서 정직하게 이를 밝혔다가 오히려 탈락 위기에 처했던 실화입니다. 보안 담당관은 서류를 찢어버리며 ‘심사를 통과하려면 이 사실을 적지 말라’고 조언합니다. 시스템의 맹점과 인간적 유연성의 충돌을 보여주는 흥미로운 사례입니다.
보안과 신원 조회 시스템은 완벽하고 엄격할 것 같지만, 때로는 인간의 유연한 판단이 시스템의 치명적 오류를 우회하게 만듭니다. 이 글은 2차 대전 당시의 해프닝을 통해, ‘기술적 정직함’이 관료주의적 절차와 충돌할 때 어떤 모순이 발생하는지 보여줍니다. 보안 프로세스 설계와 ‘Human Factor’에 관심 있는 엔지니어들에게 흥미로운 통찰을 제공합니다.
핵심 내용
저자는 어린 시절 친구와 만든 암호표를 분실했고, 이를 습득한 시민의 신고로 FBI의 스파이 수사 대상이 되었습니다. 성인이 되어 해군 연구소 보안 인가를 신청할 때 ‘FBI 수사를 받은 적이 있는가?‘라는 질문에 정직하게 ‘일본 스파이 혐의로 수사받음’이라고 적었습니다. 하지만 보안 담당관은 이 ‘정직한 답변’이 오히려 심사 통과를 불가능하게 만든다며, 서류를 폐기하고 해당 내용을 누락하여 다시 작성할 것을 지시했습니다. 결국 저자는 과거를 숨긴 덕분에 역설적으로 보안 인가를 획득할 수 있었습니다.
기술적 인사이트
이 일화는 ‘False Positive(오탐)‘가 프로세스 전체를 마비시키는 전형적인 상황을 보여줍니다. 보안 양식(Form)이라는 인터페이스는 ‘수사 경력 있음’이라는 불리언(Boolean) 값만 처리할 뿐, ‘12살의 장난’이라는 맥락(Context)을 파싱할 능력이 없었습니다. 엔지니어링 관점에서 보안 담당관은 예외 처리(Exception Handling)가 없는 시스템에서 수동으로 ‘Override’를 수행한 셈입니다. 룰 기반 시스템이 현실의 복잡성을 담지 못할 때, 인간 운영자가 어떻게 시스템의 가용성(Availability)을 유지하는지 보여주는 사례입니다.
시사점
보안 정책이나 컴플라이언스 시스템을 설계할 때, 사용자가 업무를 수행하기 위해 시스템을 우회하거나 거짓말을 해야 하는 구조를 만들지 않도록 주의해야 합니다. 너무 엄격하고 맥락을 고려하지 않는 정책은 오히려 사용자가 투명성을 포기하게 만듭니다(Shadow IT의 발생 원인). 또한 실무자 입장에서는 규칙의 ‘문자 그대로의 준수’보다 규칙이 의도하는 ‘목표(신뢰성 확보)‘를 이해하고 유연하게 대처하는 것이 중요함을 시사합니다.
우리가 만드는 시스템은 사용자에게 정직을 장려하나요, 아니면 효율을 위해 거짓말을 유도하나요? 자동화된 보안 도구와 관료적인 절차 속에서 ‘맥락’을 어떻게 처리할지 고민해볼 필요가 있습니다. 때로는 규칙을 어기는 것이 시스템의 목적을 달성하는 유일한 길일 수도 있다는 점이 아이러니합니다.