diff --git a/hanspell/1 b/hanspell/1
new file mode 100644
index 0000000..05e13a1
--- /dev/null
+++ b/hanspell/1
@@ -0,0 +1,3743 @@
+갑작스런 전화의 이유는 이 회사가 운영 중인 웹사이트에서 악성코드가 유포됐기 때문이다
+명색이 보안 기업에 근무 중이었으로 전화를 받을 때까지만 해도 “그까짓 것쯤이야” 싶은 생각이 들었다
+하지만 막상 어떻게 해야 다시 웹사이트가 해킹되지 않냐는 등 세세한 대처 방법을 물으니 설명하려다 말문이 막혔다
+사실 이런 대기업에게 열심히 설명하고 권했던 보안 솔루션은 작게는 수천만 원에서 많게는 수십억을 호가하는 고가의 장비나 서비스가 대부분이다
+하지만 선배의 부탁을 받고 보니 한 달에 몇 십만 원도 절약하면서 사용하는 창업자에게 뭘 권해야 할지 막막했다
+이 일 이후 개인적으로 사이버 보안을 바라보는 관점도 많이 바뀌었다
+투자할 여력이 있는 기업이야 고가 솔루션을 구입해서 대응할 수 있지만 정작 보호받아야 할 스타트업 같은 곳은 위험에 그대로 노출되어 있는 건 아닐까 싶은 생각에서다
+우리가 누군가를 보호한다는 것은 약자로부터 시작되어야 한다는 게 상식이다
+인터넷 세상에서의 약자는 이런 스타트업 같은 작은 기업이나 집에서 인터넷을 사용하는 개인이다
+책에서도 설명하겠지만 공격자는 늘 약한 곳을 노린다
+물론 누군가 나서서 보호를 해주면 좋겠지만 불행하게도 아직 인터넷 상에서 이런 서비스를 저렴하게 제공할 만한 기업이나 기관은 제한적이다
+때문에 일반 사용자나 소기업 운영자도 보안에 대해 조금이라도 이해하고 스스로를 보호할 수 있어야 한다
+보안 서적이나 자료는 대부분 어렵고 이해하기 어렵다
+스타트업 창업자나 일반인처럼 실제로 보호 받아야 할 대상인 사람에게 사이버 보안은 접근하기 어려운 벽과 같이 느껴질 것이다
+이 책을 쓰게 된 이유는 이런 사용자나 기업에게 조금이라도 도움이 되려는 마음에서다
+지난 15년 동안 이 업계에서 배워온 걸 조금이라도 나눠보려는 것이다
+이 책에서 사용하는 용어는 가능하면 어렵지 않고 쉽게 이해될 만한 것을 쓰려고 노력했다
+예를 들어 사이버 공격자를 이 책에선 해커라고 표기했지만 원래 해커가 나쁜 행동을 하는 사이버 공격자만을 지칭하는 말은 아니다
+하지만 일반적으로 쉬운 이해를 돕기 위해 통칭해서 사용했다
+초보자를 위주로 하다 보니 간혹 전문가 눈에는 거슬리는 표현이 있을지도 모르겠다
+또 이 책에서 언급한 다양한 솔루션은 철저하게 개인이나 일반 중소기업, 스타트업이 실제 구입해서 사용할 수 있는 수준인지 아닌지를 첫 번째 기준으로 삼고 평가했다
+아무리 좋은 보안 솔루션이라도 수백에서 수천만 원이 넘어간다면 정작 개인이나 작은 기업에서 사용하기에는 무리가 따르기 때문이다
+이를 통해 사이버 보안을 이해하고 스스로를 지키는 데 조금이라도 도움이 된다면 가장 큰 기쁨이 되지 않을까 싶다
+이 책을 쓰기 시작할 때부터 개인적으로 힘든 시점에 위로가 되어줬던 사랑하는 친구들과 동료에게 진심으로 감사의 인사를 드린다
+매일 같이 늦게 들어오는 남편을 따뜻하게 이해해준 아내와 두 딸에게 마음속 깊은 감사와 사랑을 전하고 싶다
+10년간 실무 현장에서 배우고 느꼈던 다양한 경험과 아이디어, 결국 자신만의 비즈니스를 만들어내겠다는 생각에 안정적인 직장을 그만두고 창업을 결심했다
+1인 기업을 창업한 그는 초보자를 위한 금융 컨설팅과 정보 제공 온라인 방송을 제공하는 온라인 금융 정보 공유 사이트를 시작한다
+그런데 사무실에 출근한 김보안 씨에게 어느 날 당혹스러운 이메일 한 통이 날아든다
+급한 마음에 전화 문의를 해봤지만 “악성코드가 유포되고 있는 것을 확인했지만 제거 방법은 직접 찾으라”는 대답만 돌아온다
+다급해진 마음에 보안 전문 업체에게 문의를 해보니 “서버에 대한 침해조사를 받게 되면 원인을 밝혀주고 조치도 해준다”고 한다
+서버 2~3대 조사를 하겠다고 하니 “1,000~2,000만 원이 들어간다”는 것이다
+1인 창업을 한 입장에서는 부담스러운 금액이 틀림없다
+“그렇다면 그 돈을 투자하면 앞으로 이런 일이 다시는 일어나지 않겠냐”고 물으니 “그건 아니다”라는 답이 되돌아오는 것이다
+앞으로도 이런 문제를 겪고 싶지 않다면 매달 수백만 원 정도 비용을 내야 하는 별도의 유료 보안 서비스를 이용해야 한다는 것이다
+마케팅이나 시장 조사, 거래처 확보까지 창업과 성공에 필요한 모든 요소를 치밀하게 준비했다고 믿었던 김보안 씨가 실체도 알 수 없는 의외의 복병을 만난 것이다
+사례 ② 33살 비교적 늦은 나이에 결혼한 윤초보 주부는 사업을 하는 남편이 가져다 주는 고정적이지 못한 생활비로 인해서 스스로 재테크를 하기로 마음먹었다
+집에 있는 컴퓨터를 이용해 주식이나 펀드 같은 재테크 관련 업무를 손쉽게 할 수 있다는 사실을 알게 된 그녀는 재테크와 투자 방법을 공부하면서 자금 운용을 시작했다
+처음에는 실수도 있었지만 윤초보 주부는 금세 좋은 수익률을 내면서 자금을 모았다
+메인 페이지의 관심 글을 읽으려고 클릭하는 순간 컴퓨터가 잠시 느려졌다는 느낌을 받는다
+화면에 나온 문구를 읽는 순간 윤초보 주부는 가슴이 덜컹 내려앉을 수밖에 없었다
+황급히 컴퓨터 탐색기를 열어 파일을 보니 파일 확장자는 모두 이상한 문자로 바뀌어 있었고 파일은 전혀 실행할 수도 없었다
+컴퓨터에는 그동안 공부하면서 정리해둔 문서와 가계부, 중요한 문서까지 있었는데 이를 순식간에 볼 수 없게 된 것이다
+40~80만 원가량의 큰 돈을 보내야 하는 것도 문제였지만 이 돈을 보낸다고 해서 과연 복구가 될지도 의문이었다
+하지만 이들이 겪은 상황은 가상이나 허구가 아니라 매일같이 주변에서 흔하게 일어나는 일이다
+김보안 사장의 경우를 보면 그는 스타트업을 창업해 도전할 만큼 열정과 아이디어가 있었다
+스타트업의 기본 원칙이라고 할 수 있는 최소한의 효율적인 투자를 통해 최대한의 효과를 끌어내는 데에도 성공했다
+지금 이 글을 읽는 독자 중에서 스타트업을 기획하고 있거나 시작한 사람이 있다면 이런 ‘최소한의 보안성 확보’가 스타트업의 필수 조건이라는 말에 동의하지 못할지도 모른다
+스타트업 창업자에게는 초기 자금 운용이 중요한 법인데 한가하게 보안성 확보까지 떠올리기는 쉽지 않기 때문이다
+또 해킹이라는 피해는 지금 당장 일어난 일이 아니다
+앞으로 생길지도 모를 혹은 아예 발생하지 않을 일이라고 생각할 수도 있다
+그런데 스타트업 창업 단계부터 돈을 투자해야 하는 게 맞느냐고 반문할 수도 있다
+하지만 그럼에도 불구하고 답을 주자면 “해야만 한다”는 것이다
+문제는 행여 빵을 만드는 반죽에 단 한 번이라도 이런 유해물질이 나온다면 이 빵집은 “기본적인 것도 안 됐다”는 평가를 받을 것이다
+이런 소문이 동네에 퍼지면 빵집은 금전적 피해 이상을 감수해야 하는 건 물론이다
+웹사이트를 통해 온라인으로 특정 서비스를 판매하게 된다면 반드시 이곳을 방문하는 사용자를 위한 최소한의 보안성을 제공해야 한다
+하지만 자신의 사이트를 방문하는 사용자나 향후 비즈니스를 위해서라도 최소한의 보안성은 반드시 필요하다
+그렇지 않은 채 온라인 서비스를 제공했다가 피해가 발생하게 되면 결국 핵심인 비즈니스에 악영향을 주게 될 것임이 분명하다
+실제 인터넷 상에서 서비스를 하는 웹서버 및 웹서비스를 공격하는 웹해킹과 일반 사용자의 PC를 해킹하기 위해서 공격하는 경우가 그것이다
+웹해킹은 웹사이트가 갖고 있는 취약점을 이용해서 해킹을 시도하고 이를 통해 관리자 권한을 획득하거나 정보를 빼가는 등의 해킹 기법을 의미한다
+다시 말해 웹서버에 존재하는 취약점을 파악하고 이를 이용해 해킹 공격을 시도한다고 보면 된다
+웹해킹에선 웹서버에 쓰인 애플리케이션 등이 갖고 있는 취약점을 이용한 공격이 자주 사용된다
+웹서버를 구성하려면 반드시 필요한 요소가 몇 가지 있다
+서버를 운영하기 위한 기본적인 운영체제와 서버를 구동하기 위한 웹서버용 애플리케이션이 그것이다
+이렇게 구성된 웹사이트는 인터넷 상에 있는 불특정 다수가 방문하게 된다
+취약점이란 소프트웨어 개발 시점에서는 예상하지 못한 오류가 발생해 의도치 않은 동작을 하게 되는 것을 의미한다
+결국 웹사이트에 사용되는 소프트웨어도 사람에 의해 만들어지는 만큼 이런 오류에 기반을 둔 취약점은 있을 수밖에 없다
+문제는 이런 잠재적인 취약점이 존재할 수 있다는 점을 사전에 인지해야 한다는 것 그리고 어떻게 대응하느냐가 중요하다
+만일 이런 잠재적 취약점을 무시한 채 웹사이트를 운영하게 되면 앞선 설명처럼 악성코드 유포에 악용될 수 있다
+뿐만 아니라 해당 웹사이트에 있던 중요한 정보가 해커의 손에 넘어갈 수도 있다
+당시 청와대 홈페이지를 해킹한 방법은 크게 어렵지 않았던 것으로 알려졌다
+인터넷 상에서 쉽게 구할 수 있는 공개된 프로그램을 이용해서 청와대 웹사이트에서 사용하는 소프트웨어들에 대한 ‘취약점’을 분석한 이후에, 발견된 취약점을 기반으로 ‘웹해킹’ 공격을 감행했던 것이다
+당시 청와대 웹사이트 해킹을 통해서 약 10만 명 이상의 개인정보가 유출되었던 것으로 알려져 있다
+물론 서버에서 정보를 빼내거나 서버를 파괴하는 것 같은 목적으로 웹서버를 해킹하기도 한다
+하지만 앞서 살펴본 것처럼 스타트업이 운영하는 웹사이트를 해킹하는 경우는 대부분 다른 목적이다
+먼저 악성코드 유포지와 해커에게 어떤 필요성이 있는지 알아볼 필요가 있다
+이를 이해하기 위해서는 컴퓨터 보안이라고 하면 대부분 떠올리는 백신 소프트웨어가 해킹 공격과 위협에 어떻게 대응하고 있는지 살펴봐야 한다
+국내외 보안 기업은 이 방법을 이용해 해킹 공격을 막아낸다
+컴퓨터에 백신 소프트웨어가 설치되어 있더라도 해당 백신은 전에 본적도 없는 악성코드인 만큼 악성코드가 컴퓨터에 침투해도 아무런 경고 메시지조차 띄우지 않는다
+해당 백신 회사는 윤초보 주부가 제공해준 정보를 기반으로 삼아 해커가 만든 악성코드를 탐지할 수 있는 패턴을 생성한다
+그리고 이렇게 새로 만든 패턴 정보는 백신 업데이트라는 과정을 통해서 사용자의 PC에 적용된다
+이렇게 백신 소프트웨어 업데이트를 통해서 윤초보 주부를 괴롭혔던 새로운 패턴이 적용되고 나면 이 백신을 이용한 다른 사용자는 윤초보 주부의 PC를 파괴했던 악성코드로부터 보호를 받기 시작한다
+다시 말해 패턴 기반 탐지는 누군가는 반드시 피해자가 발생해야만 이 정보를 통해 연구와 분석이 이뤄지고 패턴을 만든 다음 다른 사용자가 이 정보를 기반으로 보호를 받는 방식인 것이다
+첫째 얼마나 빨리 새로운 피해자로부터 새로운 샘플을 받아서 빨리 분석을 시작할 수 있느냐는 것이다
+새로운 악성 샘플을 경쟁 백신 회사보다 더 빨리 수집한다는 건 그만큼 더 빠르게 새로운 패턴을 만들어낼 수 있다는 걸 의미한다
+또 이렇게 새로 적용한 패턴을 통해 경쟁 백신이 탐지하지 못하는 악성코드를 먼저 탐지할 수 있게 된다
+둘째 새롭게 수집한 악성코드 샘플을 얼마나 빠르게 분석해서 이를 백신에 적용할 수 있느냐는 것이다
+따라서 얼마나 빠르게 분석해서 이를 백신에 적용할 수 있느냐가 중요할 수밖에 없다
+셋째는 앞서 밝혔듯 최소한 1명의 피해자는 반드시 있어야 한다는 것이다
+누군가 첫 피해자가 있지 않다면 새로운 악성코드의 존재를 백신 회사는 알 방법이 없다
+조금 과장해서 표현하자면 컴퓨터를 통해서 인터넷 사용을 하는 모든 사용자는 마치 둥근 원탁에 함께 둘러앉아서 러시안 룰렛을 하고 있는 것과 마찬가지 상황이다
+러시안 룰렛은 리볼버 권총에 총알을 1개만 넣고 돌아가면서 방아쇠를 당겨서 누군가 죽는 사람이 생기면 나머지 사람이 이기는 끔찍한 게임이다
+이것 역시 누군가 1명이 방아쇠를 당겨 죽고 나면 나머지는 안전해진다
+누군가 피해자 1명이 나와야 이를 기반으로 백신 회사가 패턴 업데이트를 하고 나머지 사용자는 안전해진다는 점에서 패턴 기반 탐지는 러시안 룰렛과도 닮아 있는 것이다
+하지만 이러한 패턴 기반 탐지 방식의 3가지 조건에는 현실적인 문제가 있다
+첫 번째 문제는 보안 회사가 새로 발견한 악성코드 샘플을 충분히 빠르게 수집해내지 못한다는 점이다
+한 보고서에 따르면 매일 수집되는 새로운 악성코드 수는 30만 개에 이른다
+매일 같이 수집되는 샘플 수가 이 정도라면 어마어마한 양이 아닐 수 없다
+새롭게 발견된 샘플 양이 이런 만큼 이를 물리적으로 빠른 시간 안에 모두 확보한다는 것 자체가 불가능하다
+따라서 패턴 기반 탐지 방식의 첫 번째 조건인 빠른 샘플 수집은 이미 보안 회사에겐 불가능한 조건이 되어버렸다
+매일같이 수집되는 새로운 악성코드 샘플의 양이 이렇게 많은 탓에 자연스럽게 두 번째 조건인 빠른 분석을 통한 업데이트도 불가능할 수밖에 없다
+중요한 점은 아직까지도 백신 회사가 새로운 악성코드 샘플로부터 탐지 가능한 패턴을 추출해내는 방법으로 분석가 즉 사람을 이용한다는 것이다
+하지만 이윤을 추구하는 기업 입장에선 이렇게 많은 직원을 고용해서 패턴 추출과 업데이트에 적용한다는 건 사실상 불가능하다
+백신 소프트웨어 구입을 위해 개인이 연간 1~5만 원 이내 비용을 지불한다는 점을 생각해보면 사람에 의한 수작업으로 빠른 업데이트를 가능하게 하는 건 불가능하다
+백신 회사들은 이런 인건비를 줄이기 위해 국내 고급 인력을 투입하는 대신 중국이나 동남아 등에서 값싼 인력을 동원해 악성코드 샘플 분석에 투입한다
+이런 점만 봐도 비용과 큰 상관관계가 있다는 것을 짐작할 수 있다
+마지막 문제점인 누군가의 피해가 있어야만 한다는 것 역시 문제가 아닐 수 없다
+어떤 사용자라도 첫 번째 피해자가 자신이 되기를 원하는 사람은 없을 것이기 때문이다
+완벽하지는 않더라도 좀 더 적극적이고 선제적인 방법을 통해서 외부 위협으로부터 사용자를 지켜줘야 하는 요구가 생기는 이유다
+미국의 한 보안 기업에 따르면 피해를 당한 웹사이트는 이름만 대면 알만한 유명 웹사이트는 물론이고, 스타트업이나 소규모 웹사이트까지 합해서 총 42만 건에 이른다고 알려져 있다
+어떤 웹사이트와 어떤 기업의 웹사이트인지는 공개되어 있지 않았지만 사용자 이름과 암호 12억 건, 이메일 주소 5억 건이 러시아 해커 집단에 의해 범죄자의 손에 넘어갔다는 당시 발표는 가히 충격적이었다
+해당 보안 업체는 2015년 글로벌 IT 기업인 어도비 사가 해킹 공격을 당해서 웹사이트의 사용자 정보가 유출되었다는 사실을 밝혀낸 곳이다
+이 회사의 당시 발표에 따르면, 포춘500대 기업에 포함된 대기업에서부터 아주 작은 스타트업의 웹사이트까지 피해 대상에 포함되어 있으며 이들 웹사이트 대다수는 기본적인 웹해킹에 대한 대응이 안 되어 있을 정도로 보안에 취약했다
+피해 범위가 워낙 광범위하기 때문에 일반 사용자들에게 해킹의 위험성을 알리기 위해 조사 자료를 공표했다고 한다
+이런 웹해킹을 통해서 사용자들의 로그인 정보와 개인정보를 수집하는 것은 물론이고, 해킹된 웹사이트를 악성코드의 유포지로 만들어 연쇄적으로 일반 사용자들의 PC에 악성코드를 유포시키는 문제가 발생한다
+앞선 사례에서 김보안 사장과 윤초보 주부를 노린 해커의 목적은 금전적 이득이다
+해커는 인터넷을 이용하는 초보자를 대상으로 삼아 그들의 컴퓨터에 있는 파일을 악성코드로 암호화한 다음 돈을 요구하고 금전적 이득을 취하려고 한 것이다
+해커 입장에서 보면 이런 범죄 시나리오를 완성하고 금전적 이익을 극대화시키려면 짧은 시간 안에 동시 다발적으로 더 많은 사람에게 피해를 입혀야 한다
+굳이 짧은 시간이라는 전제를 붙인 이유는 앞서 설명한 것처럼 시간이 지나고 피해자를 통해 수집된 악성코드 샘플이 확보되면 백신 엔진이 업데이트될 것이기 때문이다
+백신이 업데이트되면 해커 입장에선 힘들게 만든 신상 악성코드를 더 이상 사용할 수 없게 된다
+따라서 짧은 시간 즉 백신이 업데이트되기 전에 동시 다발적으로 많은 사람에게 피해를 입혀야만 하는 게 해커 입장에선 상당히 중요하다
+일일이 사용자에게 악성코드를 첨부한 이메일을 보내 해킹을 시도하는 것도 방법이다
+하지만 이렇게 일일이 이메일을 보내는 것에는 한계가 있다
+가장 쉬운 방법은 사람들이 많이 접속하는 웹사이트를 앞서 설명한 웹해킹이라는 기법을 통해 해킹한 다음 해당 웹서버에 악성코드를 숨겨놓는 것이다
+그렇게 해서 이 웹사이트에 접속하는 사용자의 PC에 악성코드가 자동으로 설치되도록 하는 것이다
+때문에 많은 사용자가 접속하는 웹사이트일수록 피해 규모가 더 커지게 될 것은 물론이다
+물론 여기까지만 설명을 해도 해커가 왜 김보안 사장의 웹사이트를 선택했는지 완벽하게 설명은 안 된다
+해커 입장에선 훨씬 남는 장사일 수 있다
+인터넷 포털의 메인 페이지를 해킹할 수 있다면 훨씬 더 큰 이득을 취할 것이다
+따라서 해커가 웹해킹 기법을 이용해 침투하는 것 자체가 쉽지 않다
+더구나 이들 기업은 24시간 서버에 이상 징후를 모니터링해 조치하는 전담 인력도 상시 상주하고 있다
+따라서 해커 실력이 엄청나게 뛰어나서 해킹에 성공하다고 해도 금세 이상 징후를 파악, 대응이 이뤄질 확률이 높다
+결국 해커 입장에선 대기업이나 인터넷 포털의 웹서버를 공격하는 것은 투입하는 노력에 비해 얻을 수 있는 게 제한적일 수밖에 없는 시도인 것이다
+이런 이유로 사람들이 많이 접속하는 사이트지만 고가의 보안 장비가 없고 전문 보안 인력도 없는 웹사이트가 해커의 놀이터가 되는 것이다
+:: 공략하기 쉬운 작은 기업들이 해커들의 놀이터  고가의 첨단 보안 장비가 없다는 것은 들키지 않고 손쉽게 웹서버를 공격할 수 있음을 의미한다
+전문 모니터링 인력이 없다는 것은 해킹에 성공한 이후에도 들키지 않은 채 오랫동안 악성코드 유포지로 해당 웹사이트를 해커가 이용할 수 있다는 의미다
+이런 조건에 잘 부합하는 게 바로 스타트업 같은 작은 기업의 웹사이트인 것이다
+앞서 설명한 것처럼 웹사이트에 대한 보안까지 염두에 두면서 창업을 준비하는 스타트업은 많지 않다
+이유는 말할 것도 없이 금전적인 부분이 가장 크다
+웹해킹을 막으려면 웹방화벽이 필수지만 대부분 웹방화벽은 고가인 탓에 스타트업 수준에선 감당이 어려운 경우가 많다
+스타트업 입장에선 사전에 이런 위험을 인지했더라도 비용적인 부분을 감수하면서 웹방화벽을 운영하는 데에는 현실적인 어려움이 존재할 수밖에 없다
+이러한 현실적인 문제 탓에 우리가 자주 접속해 정상이라고 믿고 있는 수많은 사이트가 해커의 웹해킹 공격에 그대로 노출된 경우가 의외로 많다
+보안 허점을 해커가 역이용해서 악성코드 유포지로 악용하게 되고 이를 통해 윤초보 주부 같은 불특정 다수의 선량한 피해자가 양산되는 것이다
+원격으로 다른 사람의 PC에 있는 웹캠에 접근해 상대방의 영상을 몰래 들여다보는 범죄가 늘고 있다는 내용이었다
+영국 국립범죄수사조직은 스테판 리고라는 용의자를 도촬 혐의로 체포했다
+용의자 PC에서는 여성을 PC 웹캠으로 몰래 찍어서 저장한 사진이 다수 발견됐다
+용의자는 결국 40주 집행유예와 성범죄자 목록에 7년 동안 등록되고 200시간 사회 봉사 명령 판결을 받았다
+그는 체포될 때까지 3년 동안 매일 몇 시간 동안 14명의 PC 웹캠을 들여다봤었다고 증언했다
+피해자 중 절반은 용의자와 아는 사이였다고 한다
+용의자가 사용한 악성코드인 블랙셰이드는 상대방 PC를 원격 조작할 수 있게 해주는 트로이목마 형태의 악성코드였다
+당하는 입장에서는 자신의 PC가 감염됐는지 여부를 알 수 없는 경우가 많아서 실제 피해자들은 피해 사실을 인지조차 못한 경우도 많았다고 한다
+더 재미있는 사실은 이렇게 불특정 다수 개인에게 엄청난 피해를 끼칠 수 있는 블랙셰이드라는 악성코드가 2010년부터 인터넷 상에서 단돈 40달러(한화 4만 원)에 팔리고 있다는 점이었다
+PC 웹캠을 해킹하는 범죄 행위는 해마다 증가하고 있는데 한 보고서에 따르면 심지어는 특정 PC의 웹캠에 대한 접근 권한이 매매되는 경우도 있다고 한다
+문제는 당시에 블랙셰이드라는 악성코드를 어떻게 피해자 PC에 몰래 설치할 수 있었느냐는 점이었다
+블랙셰이드를 이용하는 다수의 범죄자가 즐겨 사용하는 방법 중 하나는 바로 ‘워터링홀 공격’이었다
+앞서 언급한 것처럼 해커는 웹해킹 기법으로 특정 웹사이트를 해킹하고 관리자 권한을 획득한다
+그리고 나서 웹사이트에 접근하는 일반 사용자들에게 자동으로 악성코드가 심어지고 실행되도록 만든다
+다시 말해 일반 사용자가 자신의 인터넷 브라우저를 이용해서 해킹된 웹사이트에 접속만 해도 본인의 동의 없이 악성코드가 다운로드되고 설치까지 된다는 것이다
+HTML로 작성한 웹페이지는 해당 페이지에서 보여주고 싶은 다양한 웹 오브젝트를 포함하거나 링크하는 틀 역할을 한다
+HTML로 만든 메인 페이지는 이런 플래시나 이미지 파일 같은 객체를 각각 저장한 경로를 페이지 안에 포함한다
+실제로 스타트업 기업이 웹사이트를 구성하고 열었다면 창업자는 웹 상에 위치해 외부 사용자 누구나 자유롭게 접속할 수 있는 IP 주소를 확보해야 한다
+특히 인터넷 상에서 누구나 접속 가능하도록 한 유일한 주소를 일컬어 공인IP라고 한다
+공인IP는 32개 2진수 조합으로 이뤄져 있고 각각 8자리씩 4개 부분으로 구성된다
+원래 IP주소는 2진수 조합으로 구성되어 있지만 이런 2진수 조합으로 인터넷에서 특정 웹사이트 주소를 찾아가는 건 불편하다
+따라서 4개 부분으로 이뤄진 2진수 조합인 IP주소를 사용자가 좀 더 편하게 인식할 수 있게 4개 부분으로 이뤄진 10진수 조합으로 바꾼다
+2진수로 구성했을 때보다 사용이나 이해는 한결 쉬워졌지만 여전히 10진수 여러 개로 이뤄진 주소를 이용해 해당 웹사이트를 기억해 찾아가는 것은 쉽지 않다
+따라서 이렇게 어려운 숫자로 구성된 주소가 아니라 웹사이트 성격을 잘 나타내주는 유일한 별명을 웹사이트마다 지어서 할당한다
+이 사이트에 사용하는 숫자로 이뤄진 원래 주소, 그러니까 공인IP 주소는 ‘199.83.131.186’이라는 10진수 4개로 이뤄져 있다
+따라서 문자로 이뤄진 편하고 직관적인 이름을 이용하는 것이다
+이렇게 문자로 이뤄진 웹사이트의 별칭을 ‘도메인’이라고 부른다
+스타트업이 웹사이트를 만들겠다면 IP주소와 도메인 2가지가 모두 필요하다
+물론 이 2가지는 대행업체를 통해 온라인상에서 등록이나 구매할 수 있다
+여기까지 끝났다면 인터넷에 집을 지을 땅을 구입한 셈이다
+운영체제 중에서도 웹사이트가 살 수 있는 집은 웹서버용 운영체제다
+여기까지 선택했다면 마지막으로 필요한 건 집안을 꾸밀 수 있는 웹페이지와 웹애플리케이션이 필요하다
+웹애플리케이션이 설치되는 틀이 되는 공간은 HTML이라는 프로그래밍 언어로 제작되며 이 안에 필요한 각종 애플리케이션이 포함된다
+이 과정을 모두 거치면 서비스를 할 준비가 끝나는 것이다
+HTML로 작성한 웹페이지를 실행해 웹사이트 관리자가 만들어 놓은 여러 애플리케이션을 실행할 수 있는 프로그램은 웹브라우저다
+가장 흔히 쓰이는 웹브라우저는 마이크로소프트의 인터넷 익스플로러, 구글의 크롬, 애플의 사파리 등이다
+웹브라우저로 특정 웹사이트의 도메인 주소를 방문하겠다고 요청하면 해당 주소에 설정되어 있는 웹페이지와 그 안에 있는 애플리케이션을 웹브라우저가 모두 읽어 들여서 실행하게 된다
+그 결과로 사용자는 웹페이지를 볼 수 있게 된다
+해커는 웹사이트에 대한 관리자 권한을 획득해야 한다
+관리자 권한을 획득했다는 말은 건물로 들어갈 수 있는 마스터키를 불법적으로 해커가 얻었다는 의미다
+웹사이트의 관리자 권한을 획득한 해커는 정상적인 웹사이트 안에 자신이 만든 악의적인 애플리케이션을 숨긴다
+이런 사실을 모른 채 이 사이트를 방문한 사용자는 웹브라우저를 통해 이런 악의적인 애플리케이션이 포함된 웹사이트 페이지를 실행하게 된다
+이 때 함께 실행되는 악의적인 애플리케이션이 방문자의 웹브라우저에서 함께 실행되기 때문에 사용자의 PC는 실행된 악의적인 애플리케이션에 의해 피해를 당하게 된다
+만일 해커가 숨겨둔 악의적인 애플리케이션이 정보를 빼내는 악성코드라면 PC 안에 있던 개인 정보나 금융 정보 등을 빼갈 것이다
+물론 해커의 의도에 따라서 나타나는 피해도 다양할 수 있다
+웹사이트를 방문해 웹브라우저를 실행하는 것만으로도 자동으로 악성코드가 다운로드되고 사용자에게 피해를 준다는 의미다
+아프리카 정글에 사는 악어는 사냥을 하기 위해 종종 물웅덩이 안에 잠수한 채 숨어 있다
+초식 동물은 물웅덩이가 안전하다고 생각하고 의심 없이 물을 마신다
+이 때 물속에 숨어있던 악어가 방심하고 있는 초식 동물을 공격해 사냥에 성공한다
+짐작이 가겠지만 물웅덩이는 사용자가 안전하다고 생각하는 웹사이트이며 악어는 해커, 여러분은 바로 초식동물인 것이다
+물론 엄밀히 기술적으로 따지자면 드라이브-바이-다운로드 공격이 좀 더 넓은 범위다
+반면 워터링홀은 좀 더 좁은 의미라고 볼 수가 있다
+예를 들어 불특정 다수를 대상으로 랜섬웨어 등을 유포해 돈을 벌고자 하는 행위 같은 경우 일반적인 드라이브-바이-다운로드 공격이라고 정의할 수 있다
+이와 같이 기술적인 방식으로는 드라이브-바이-다운로드의 형식을 취하지만 특정한 목표물이 정확한 경우에는 드라이브-바이-다운로드 공격 중에서도 워터링홀 공격이라고 부른다
+하지만 이 책에서는 두 가지 공격의 의미를 엄밀하게 나누지 않고 통칭해서 워터링홀 공격이라고 부르기로 한다
+첫 번째는 불특정 다수 피해자를 양산한다는 것이다
+기억을 조금만 떠올려 보면 최근 국내에서도 이런 피해 사례가 발견된 적이 있다
+이 때 배포된 악성코드는 사용자 PC의 파일을 모두 암호화하고 돈을 요구하는 랜섬웨어 형태 악성코드였다
+이에 따라 수천 명에 달하는 피해자가 발생된 것으로 추정됐다
+또 다른 사례로 국내에도 많이 알려진 날씨 정보 사이트가 해킹된 적이 있다
+당시 해당 업체는 사용자에 대한 서비스 차원에서 날씨 정보를 자동으로 알려주는 날씨 배너를 무상 배포했다
+해커는 이 점을 노려 해당 웹사이트를 먼저 해킹한 다음 날씨 배너 안에 악성코드를 숨겨두는 방식을 이용했다
+결국 날씨 배너를 퍼가서 무상으로 사용하던 모든 사이트가 졸지에 악성코드 유포지가 되어버리는 탓에 사용자에게 피해를 준 사례가 있다
+워터링홀 공격으로 많이 접속하는 사이트를 통해 악성코드를 유포하면 이렇듯 사용자 다수에게 피해가 발생하기 때문에 매우 심각하다고 할 수 있다
+두 번째는 사용자가 곧바로 해킹된 사실을 인지하기 어렵다는 것이다
+앞서 설명한 것처럼 웹사이트 방문자는 이곳이 정상적이고 안전하다는 생각을 하고 방문할 것이다
+따라서 웹사이트를 방문한 뒤 컴퓨터를 점검하거나 확인하는 행동은 하지 않을 것이다
+이런 이유로 워터링홀 공격이 성공하게 되면 피해를 알아차리는 데 시간이 오래 걸린다
+또 원인을 파악하는 데에도 많은 시간을 필요로 한다
+물론 사용자의 PC에 있는 모든 파일을 암호화해버리는 랜섬웨어 같은 악성코드에 피해를 당했다면 짧은 시간 안에 피해 사실을 인지할 수도 있겠지만 정보를 빼내는 백도어 스타일 악성코드는 발견하기가 쉽지 않을 수 있다
+그 뿐 아니라 보안 프로그램을 설치했더라도 워터링홀 공격은 이를 우회할 확률도 높다
+모두 그런 건 아니지만 웹사이트 안전성을 확인할 수 있는 수많은 보안 프로그램이 내부적으로 사용하는 방식은 블랙리스트 방식이다
+블랙리스트 방식은 한마디로 설명하면 전과자 리스트 같은 것이다 앞서 소개한 악성코드를 탐지하는 방식인 패턴 탐지 기반 방식과 유사하다고 생각하면 된다
+특정 사이트가 악성코드를 유포하는 사실이 발견됐다면 보안 회사가 해당 사이트의 주소를 블랙리스트에 올려뒀다가 사용자가 해당 웹사이트를 방문하려고 할 때 경고 메시지를 보여주거나 접속 자체를 차단하는 것이다
+이 과정에서 사용자 접속은 많지만 웹방화벽 같은 웹해킹을 탐지, 차단할 수 있는 보안 솔루션이 없는 웹사이트를 목표물로 삼는다
+목표물로 정해진 웹사이트에 대해 해커는 웹해킹 공격을 실행한다
+이런 기술적 방법을 이용해 해커는 관리자 권한을 획득한 이후 악성코드를 웹사이트에 심는다
+이 때 사용하는 스크립트는 최종 타깃인 불특정의 인터넷 사용자 다수가 사용하는 애플리케이션 취약점을 건드려서 자동으로 악성코드가 다운로드되고 사용자 동의 없이 실행되도록 해주는 역할을 한다
+웹사이트 접속자 중에서 인터넷 익스플로러 9.0을 이용한 사람이 웹사이트를 열게 되면 해커가 심어 놓은 악성 스크립트가 함께 실행된다
+이를 통해 웹사이트 접속자는 관리자 권한을 넘겨주는 의도하지 않은 오류에 빠지게 된다
+이 때 악성코드가 다운로드되는 사이트는 보통 처음 악성 스크립트를 실행한 사이트가 아닌 또 다른 사이트인 경우가 많다
+대부분 악성 스크립트를 이용해 두 번째 단계에서 다운로드되는 악성코드는 보안 솔루션 등에 탐지되지 않게 하려고 암호화된 통신 채널을 이용한다
+다운로드 과정이 암호화 채널로 이뤄지기 때문에 설령 중간에 고가의 보안 장치가 설치되어 있더라도 악성코드를 탐지하는 건 상당히 어렵게 된다
+이렇게 암호화된 통신 채널을 이용해 악성코드가 다운로드되고 사용자 PC에서 실행되고 나면 실행된 악성코드는 미리 프로그래밍되어 있는 인터넷 상의 서버로 접속하게 된다
+이 때 악성코드에 사전 프로그래밍되어 있는 인터넷 상 서버는 해커가 사전에 준비한 제3의 서버다
+악성코드가 사용자 PC에서 실행되고 나면 해커가 만들어 놓은 이 제3의 서버로 자동 접속한다
+이렇게 되면 이 서버를 통해 해커는 사용자 PC를 원격 제어할 수 있게 된다
+해커가 C&C서버를 이용해 자신이 만든 악성코드에 감염된 사용자 PC를 원격으로 마음껏 제어할 수 있게 되는 것이다
+조금 복잡해 보이지만 간단한 과정을 정리하면 다음 페이지의 그림과 같다
+실제 사용자 PC에서 정보를 빼내거나 파일을 암호화하는 등 악성 행위를 하는 건 익스플로잇에 의해 또 다른 웹사이트에서 다운로드되는 악성코드의 기능이다
+하지만 웹사이트에 삽입된 익스플로잇이야말로 사용자 PC에 설치된 소프트웨어 취약점을 이용해 워터링홀 공격을 시작할 수 있게 해주는 가장 중요한 출발점인 셈이다
+따라서 워터링홀 공격을 효과적으로 대비한다는 건 익스플로잇을 제대로 탐지하고 차단할 수 있느냐 없느냐가 가장 중요한 관건이라고 해도 과언이 아니다
+감염된 사이트 자체는 익스플로잇 감염지, 실제 악성코드가 다운로드되는 제3의 사이트는 악성코드 유포지라고 할 수 있다
+결론부터 얘기하자면 방화벽으로는 워터링홀 공격을 막을 수 없다
+우선 방화벽이 어떤 보안 장비인지 간단히 살펴볼 필요가 있다
+방화벽은 기본적으로 네트워크 접근 제어라는 내용으로 동작하는 장비다
+이때 사용자 PC가 속해 있는 네트워크, 집으로 따지면 공유기에 연결된 네트워크가 신뢰할 수 있는 구간이 되고 공유기 너머 인터넷 구간이 신뢰할 수 없는 구간이 된다
+신뢰할 수 없는 구간에서 신뢰할 수 있는 구간으로 시도되는 모든 네트워크상 접속은 기본적으로 차단하는 것이다
+하지만 반대로 신뢰할 수 있는 구간에서 신뢰할 수 없는 구간으로 시도되는 모든 네트워크 연결은 따로 정의된 정책이 없는 한 무조건 허용해준다
+익스플로잇에 의해 악성코드가 다운로드되고 실행되면 악성코드는 사전에 프로그래밍되어 있던 C&C서버로 접속을 시도한다
+이 상태에서 악성코드는 방화벽이 나눠놓은 2개 구간 중 어디에 속해있다
+이미 사용자 PC에 설치되어 있기 때문에 악성코드가 C&C서버로 접속을 시도하는 행위는 방화벽 입장에서 보면 신뢰할 수 있는 구간에서 신뢰할 수 없는 구간으로의 네트워크 연결 시도가 된다
+따라서 방화벽 동작 방식에 따라 이 연결 시도는 허용된다
+방화벽은 이처럼 단순한 동작 방식으로 구동되기 때문에 워터링홀 같은 최신 보안 위협에는 무용지물이나 마찬가지다
+물론 방화벽이 필요 없다는 얘기는 절대 아니다
+당연히 기본적으로 필요한 보안 솔루션이지만 복잡한 방식의 해킹 공격을 막아낼 수 있는 솔루션은 아니라는 의미다
+전 세계에서 가장 안전하다고 알려져 있었던 구글이 운영하는 최대 규모의 동영상 공유 사이트인 유튜브를 이용해 악성코드가 유포된 정황이 확인된 것이다
+한 보안 업체 발표에 따르면 조사 결과 미국에서 30일 동안 11만 3,000명이 악의적인 공격으로 인해 유튜브를 통해 악성코드에 감염됐다는 것이다
+이 공격은 유튜브에 게재된 광고를 클릭하면 시작되는데, 웹해킹으로 악성코드 유포지가 되어 있던 또 다른 웹사이트 두 군데를 통해서 최종 악성코드가 다운로드되며 사용자 PC에 악성코드를 감염시켰다
+보안 업체 측은 유튜브를 통해 퍼뜨린 광고는 인기 뮤직 비디오에 표시된 광고였고 무려 1,100만 회 이상 조회수를 기록했다고 밝혔다
+공격자가 사용한 악성코드는 사용자의 PC에 침입해 파일을 마음대로 암호화하거나 비밀번호를 설정해 액세스할 수 없는 상태로 만들었다
+데이터를 액세스하려면 돈을 내라고 요구하는 랜섬웨어인 것이다
+재미난 것은 공격자들이 사용한 취약점이 자바나 플래시 같은 사용자 소프트웨어의 취약점이었는데 이에 대한 패치가 제조사에 의해 전년도에 배포된 상태였다고 한다
+그럼에도 불구하고 많은 피해자가 나왔다는 것은 기본적인 소프트웨어의 패치도 잘 이루어지지 않고 있었다는 반증이기도 하다
+이 뉴스가 흥미를 끈 이유는 최초 유포지가 구글이 운영하는 유튜브와 관련됐다는 사실이다
+웹사이트 소유자와 방문자 모두 피해자가 되는 것이다
+하지만 방문자 입장에선 결국 해당 스타트업의 웹사이트를 방문했다가 악성코드에 감염된 만큼 해당 사이트에 대한 방문을 꺼릴 수밖에 없다
+인터넷이라는 공공장소에서 불특정 다수를 대상으로 비즈니스를 한다면 최소한 방문객을 위한 안전 확보는 반드시 필요하다
+인터넷 상에서 안전성을 확보하고 모든 사용자가 최소한의 안전성을 확보한 상태에서 인터넷을 즐길 수 있도록 하는 것은 단순히 개인의 책임뿐 아니라 좀 더 큰 차원에서의 접근이 필요한 일이다
+이렇게 모두가 피해자가 된다는 점이 워터링홀 공격의 가장 큰 문제라고 할 수 있다
+피해자를 보호하는 동시에 웹사이트 운영자가 잠재적인 가해자가 되지 않도록 하는 방안을 함께 강구할 필요가 있다
+인터넷 접속이 안전하지 못하다면 그 위험성은 가늠하기 어렵다
+불특정 다수가 잠재적 피해 대상이 될 수 있다는 것 자체가 심각한 문제를 야기할 수 있다
+피해를 받지 않기 위한 대처 방안이 필요한 것은 물론이다
+이는 마치 거리를 걸어 다니고 상점을 방문하고 집에서 잠을 자는 모든 일상을 안심하고 생활할 수 있게 해주는 게 공공 치안을 포함한 사회 안전 장치인 것과도 같다
+이런 공공 보안 장치와 개인이 안전을 지키기 위한 보안 장치가 실제 일상에도 존재하기 때문에 안심하고 일상 생활을 할 수 있는 것이다
+기본적 안전을 보장할 수 있는 방안은 반드시 필요하다
+사람이 만든다는 의미는 소프트웨어가 완벽할 수 없다는 것을 의미한다
+물론 여기에서 완벽이라는 표현은 소프트웨어에 대한 보안성을 뜻한다
+화려한 영상과 효과, 비주얼 등을 제공하기 위해 개발자는 때론 수십만 줄이 넘는 프로그래밍을 하기도 한다
+소프트웨어 기업 대부분은 이 QA 과정을 통해 소프트웨어가 잠재적으로 포함한 여러 문제를 수정하고 난 뒤 실제 소비자가 사용할 수 있는 제품으로 출시한다
+그 뿐 아니라 제품 출시 이후에도 소프트웨어 회사와 개발자가 끊임없이 문제점을 찾아내고 이에 따른 적절한 소프트웨어 업데이트를 진행한다
+사용자 대부분은 PC를 사용하면서 윈도 같은 운영체제가 정기 업데이트나 수시 업데이트를 알리는 알림 메시지를 본 적이 있을 것이다
+이런 알림 메시지는 새로운 추가 기능을 제공하기 위한 것도 있지만 현재 사용자가 쓰고 있는 해당 소프트웨어에 문제가 발견됐고 이 문제를 해결한 업데이트 버전이 있으니 설치하라는 의미를 담고 있다
+따라서 모든 소프트웨어에는 어떤 식으로든 결함이 존재한다
+이 결함은 때론 소프트웨어 구동을 방해하거나 오작동을 일으킨다
+문제는 이런 단순한 오작동에 그치는 게 아니라 심각한 보안상 문제를 야기할 경우다
+소프트웨어가 갖고 있는 결함이 보안상 문제를 일으킬 소지가 있을 경우 이를 결함이라고 부리지 않고 취약점이라고 부른다
+앞서 살펴본 익스플로잇 같은 경우도 사용자의 소프트웨어가 갖고 있는 이런 취약점을 이용해 악의적인 행동을 한 스크립트다
+소프트웨어 제조사는 지속적으로 연구 개발 노력을 기울인다
+아직 개발사에 의해서 파악되지 않은 소프트웨어의 결함이 발견되었다는 의미이다
+글로벌 소프트웨어 회사는 자신들도 모르는 취약점을 최대한 빨리 찾아내서 패치를 제공, 사용자가 피해를 입지 않도록 노력한다
+마이크로소프트 같은 기업도 자사 소프트웨어나 솔루션 플랫폼에서 심각한 취약점을 발견해 통보해주면 수백에서 수천만 원에 이르는 대가를 지불하기도 한다
+문제점을 찾아준 외부 연구가에 대한 일종의 보답인 셈이다
+하지만 알려지지 않은 취약점은 생각만큼 쉽게 찾아내기 어렵다
+마이크로소프트처럼 수만 명에 이르는 박사 출신 개발자를 보유한 곳이라도 알려지지 않은 이런 취약점을 찾는 것은 쉽지 않다
+만일 외부에서 누군가 먼저 발견한다면 거액의 보상금은 물론 발견 자체가 뉴스가 되기도 한다
+앞서 언급했던 대로 모든 소프트웨어는 잠재적인 ‘결함=취약점’을 갖고 있을 수밖에 없다
+다행인 것은 널리 사용되는 소프트웨어의 경우에는 이 결함에 대한 패치가 빠르게 이뤄진다는 점이다
+앞서도 언급했던 것처럼 소프트웨어 회사들은 자사 제품에 취약점이 발견되면 최대한 빠른 시간 안에 이에 대응할 수 있는 패치 버전을 내놓게 된다
+따라서 웹사이트 운영자는 자신이 사용하는 소프트웨어 회사의 패치와 업데이트 관련 정보를 정기적으로 제공받아, 이를 통해 자신이 운영하는 웹사이트에서 발생할 수 있는 보안상의 취약점에 대해서 대응해야만 한다
+소프트웨어 개발사 대부분은 자사의 소프트웨어에서 보안 상의 취약점이 발견되면 이를 소프트웨어 사용자에게 알려주고 패치를 제공한다
+국내에서도 지난 몇 년간 대규모 보안사고가 일어난 적이 많은데 이때마다 미디어에는 보안 전문가들이 나와서 “항상 최신 소프트웨어 패치를 유지하라”라고 말한다
+최신의 소프트웨어 패치를 적용해 유지하는 것은 정말 중요한 부분이다
+앞에서 잠시 설명한대로 해커가 ‘알려지지 않은 취약점’을 이용해서 공격한다는 것은 매우 어려운 일이다
+알려지지 않은 취약점을 찾아내는 것 자체가 매우 어려운 일이기 때문이다
+설사 알려지지 않은 취약점을 해커가 찾아낸다고 하더라도 이를 이용해 스타트업처럼 작은 웹사이트를 공격할 필요는 없을 것이다
+해커 입장에서는 어차피 나만 알고 있는 알려지지 않은 취약점이 있다면 많은 기업이 사용하고 있는 패턴 기반 보안 솔루션을 쉽게 우회할 수 있을 것이기 때문이다
+작은 기업 웹사이트보다는 사용자 접속이 조금이라도 많은 웹사이트를 공격하는 편이 효과적이다
+이런 이유로 스타트업과 같은 작은 규모 웹사이트를 공격하는 경우에는 대부분 이미 알려진 취약점을 이용하는 경우가 많다
+알려진 취약점이라고 부를 수 있다면 그것은 이미 소프트웨어 개발사에 의해 수정 가능한 패치가 발표됐을 확률이 매우 높고, 동시에 많은 상용 보안솔루션이 탐지 및 차단 가능한 패턴을 보유하고 있음을 의미한다
+따라서 스타트업 웹사이트를 운영하는 입장에서는 자신이 사용하고 있는 소프트웨어 패치를 최신 상태로 유지하는 것만으로도 상당수 공격으로부터 방어할 수 있다
+더 중요한 것은 이 첫 번째 방법이 ‘무료’라는 점이다
+만일 웹사이트가 정품을 사용하고 있다면 소프트웨어 개발사가 제공하는 패치를 적용할 경우 웹사이트의 기본적이고도 1차적인 보안은 이루어질 수 있다고 봐도 좋다
+앞서도 말한 바와 같이 대부분 웹사이트에 대한 공격은 알려진 취약점을 이용한다
+통계에서도 볼 수 있듯이 국내에서 발생되는 웹해킹 공격 대부분은 기존에 알려진 공격방식을 통해서 이뤄지고 있다
+알려진 공격방식을 사용한다는 것은 이미 다른 곳에서 동일한 공격방법에 의한 피해가 보고된 전력이 있고 이 피해를 분석해 보안솔루션이 탐지 가능한 패턴을 추가했다는 것을 의미한다
+하지만 경우에 따라서는 소프트웨어에 대한 패치를 적용하는 것에 문제가 생길 수도 있다
+대부분은 소프트웨어 패치를 적용하면 해당 소프트웨어를 다시 시작해야 하기도 한다
+쉽게 생각하면 윈도 PC도 업데이트를 적용하면 시스템을 다시 시작하라는 메시지가 나온다
+웹사이트에 적용되는 소프트웨어도 대부분 패치 후에는 재시작을 해야 하는 경우가 많다
+결국 웹사이트 운영자가 택할 수 있는 방법은 가장 빠른 시간 안에 패치를 할 수 있도록 스케줄을 잡는 것이다
+쇼핑몰 거래량과 내용을 봤을 때 5일 후 일요일 새벽 시간이 가장 사용자의 불편함을 줄일 수 있는 시간이라는 결과가 나왔다
+그리고 나면 웹사이트 운영자는 실제 쇼핑몰의 거래와 즉각적인 패치를 요하는 소프트웨어 패치 사이에서 결정을 내려야만 한다
+물론 이론적으로 5일 만에 어떤 문제가 발생하는 경우는 많지 않을 것이다
+하지만 운에 맡겨서 웹사이트 보안 계획을 수립해서는 안 된다
+결국 웹사이트 보안이라는 관점에서 보면 5일간 보안 허점이 생기게 된 것이다
+해당 소프트웨어 회사는 취약점 공지를 했고 즉각적인 업데이트를 권고한 상태이기 때문에 책임 부분에서는 비교적 자유롭다
+5일간 공백을 만들게 된 것은 전적으로 웹사이트 운영자의 결정이다
+따라서 소프트웨어 회사가 정기 업데이트와 취약점 정보를 꾸준히 업데이트 해준다고 해도 이를 곧바로 운영 중인 웹사이트에 적용시키는 데에는 문제가 있다
+소프트웨어 패치를 적용하지 못하는 또 다른 이유로는 소프트웨어 안정성으로 인해서 적용을 못하는 경우다
+앞서 언급한 것처럼 소프트웨어는 사람에 의해서 개발되기 때문에 어쩔 수 없이 잠재적인 결함을 포함한다
+또 이런 결함을 수정하기 위해 소프트웨어 회사는 패치를 내놓는다
+소프트웨어 회사 개발자는 1이라는 문제를 해결하기 위해 소프트웨어 개발 코드를 수정한다
+문제는 이 과정에서 또 다른 문제인 2가 발생할 수도 있다는 점이다
+스마트폰 제조사 대부분은 보안상 문제나 성능상 문제 같은 이유로 소프트웨어 업데이트를 권고한다는 내용을 사용자에게 고지한다
+하지만 실제 업데이트를 하고 나면 간혹 그 동안 잘 사용하던 기능이 안 되는 현상이 발생한다
+예컨대 업데이트를 적용하고 났더니 전화 통화가 중간에 자주 끊긴다던지 배터리가 예전보다 더 빨리 사용되는 것 같은 경험이 바로 그것이다
+다시 말해 소프트웨어에 존재하는 어떤 결함을 수정하려다가 또 다른 결함을 만들어 낼 수도 있다는 의미다
+이런 이유 때문에 실제로는 사용자 대부분이 소프트웨어 최신 버전을 무작정 사용하기에는 어려운 점이 많다
+무조건 업데이트를 진행했다가 앞서 언급한 것과 같이 또 다른 안정성에 관련된 문제가 발생할 수도 있기 때문이다
+물론 소프트웨어 메이저 버전이 변경되는 것과 마이너 버전이 변경되는 것에는 안정성에 있어서 큰 차이가 있다
+통상 메이저 버전이라고 하면 소프트웨어 버전의 맨 앞자리 숫자가 변경되는 것을 의미한다
+마이너 버전이라고 하면 기본적인 전체 코드는 남겨둔 채로 결함에 해당하는 작은 부분만을 수정하는 것을 의미한다
+윈도 8.1이라든지 iOS 9.1 이런 식으로 뒷자리 숫자만 올라가는 경우가 마이너 업데이트다
+마이너 업데이트는 기본적인 큰 그림의 코드를 남겨둔 채로 결함이 발견된 최소한의 부분만을 일반적으로 수정하기 때문에 큰 안정성에 문제는 없는 경우가 많다
+하지만 때로는 마이너 버전의 업데이트에서도 예기치 않은 문제가 발생하기 때문에 서비스 안정성을 최우선으로 하는 웹사이트의 경우 무턱대고 소프트웨어 업데이트를 적용하기란 쉽지 않은 문제다
+결과적으로 소프트웨어의 안정성을 고려할 수밖에 없는 웹사이트 운영자 입장에서는 소프트웨어 개발사에서 업데이트에 대한 권고가 나왔다고 하더라도 이를 즉각 실행에 옮기는 데에는 시간이 걸릴 수밖에 없게 되는 것이다
+앞서 잠시 살펴본 대로 소프트웨어를 업데이트하는 것만으로는 보안을 적절하게 구현하지 못하는 것을 알 수가 있다
+더군다나 여러 가지 문제로 인해 실제 웹사이트 운영자 입장에서는 소프트웨어 업데이트를 즉각적으로 자신의 웹사이트에 적용하기도 쉽지 않다는 것을 알아봤다
+물론 소프트웨어를 제때 적절하게 업데이트하고 최신 버전으로 유지하는 것은 보안의 기본이며 매우 중요하다
+하지만 소프트웨어 업데이트만으로는 모든 보안상 위협에 대한 대처가 되지 못하는 것이다
+소프트웨어의 업데이트 이외에 별도의 전용 보안 솔루션이 필요한 이유로는 제로데이 취약점이라는 것도 있다
+앞선 장에서 알려지지 않은 취약점이 무엇인지 간단히 설명했다
+하지만 엄격히 말하면 둘 사이의 의미는 조금 다르다
+알려지지 않은 취약점이 실제 누구도 알지 못하는 소프트웨어에서 발생할 수 있는 잠재적인 취약점을 의미한다면 제로데이는 사실상 이미 알려진 취약점을 의미한다
+반면 제로데이 취약점은 취약점이 무엇인지 알려져 있지만 아직 소프트웨어 개발사가 여기에 해당하는 패치를 내놓지 못한 경우를 의미한다
+그리고 이로 인해 이 취약점을 발견자 본인만 알고 있는 경우 이 보안상 취약점은 해당 소프트웨어를 사용하는 모든 사람에게 알려지지 않은 취약점이 된다
+하지만 이 취약점이 발견되고 공식적으로 누군가에 의해서 발표됐다면, 개발사는 이 취약점을 인지하고 수정 패치를 만들려면 일정 시간이 걸릴 수밖에 없다
+이 경우에는 소프트웨어 보안상 취약점이 모든 사람에게 알려져 있음에도 불구하고 개발사가 이에 대한 적절한 패치를 내놓지 못한 경우다
+이때 소프트웨어 개발사가 보안상 문제를 해결할 수 있는 패치를 내놓기 전에 존재하는 취약점이라고 해서 이를 제로데이 취약점, 즉 패치가 발표되기 이전에 존재하는 취약점이라는 의미로 사용된다
+물론 보통은 제로데이 취약점과 알려지지 않은 취약점은 같은 의미로 사용된다
+어쨌든 문제는 이런 제로데이 취약점이 웹사이트 운영자 입장에서는 존재할 수밖에 없게 된다는 것이다
+소프트웨어 개발사가 빠른 업데이트를 내놓기 기다리는 수밖에 없는데 이건 웹사이트 보안성을 너무 운에 맡기는 조치다
+따라서 이런 경우를 대비해 웹사이트를 보호할 수 있는 전용 보안장비를 운용하는 것이 중요하다
+웹사이트를 공격하는 웹해킹을 기본적으로 방어할 수 있는 보안 솔루션은 웹방화벽이다
+웹해킹 대부분은 기존에 알려진 웹사이트에서 사용되는 소프트웨어 보안 취약점을 공격하는 방식으로 이뤄진다
+따라서 웹해킹 대부분은 가장 널리 사용되는 패턴 기반 보안 솔루션인 웹방화벽을 통해 대부분 탐지나 차단이 가능하다는 것을 의미한다
+웹방화벽이라는 보안 솔루션이 개발된 지도 꽤 오랜 시간이 흘렀다
+그 사이 웹방화벽은 꾸준한 기술 개발을 통해 아직 알려지지 않은 제로데이 취약점에 대해서도 일부 대응 기술을 제공하고 있는 상태다
+우선 한 가지 명확히 할 부분이 있다
+웹사이트를 이용해 불특정 다수에게 상업적 활동을 하고 있다면 적어도 웹방화벽은 웹사이트 운영자가 제공해야 하는 최소한의 안전장치다
+웹방화벽은 웹사이트를 목표로 한 웹해킹 공격을 방어하기 위한 가장 기본적인 보안 솔루션이다
+웹방화벽이 설치되어 있다면 웹사이트를 해킹 당해 발생하는 개인정보 유출을 방지하고 웹사이트가 워터링홀 공격 유포지가 되는 것을 막아준다
+하지만 앞서도 언급했듯이 웹방화벽은 고가 솔루션으로 스타트업 같은 경제성이 중요한 웹사이트 운영자에겐 효용성이 적다고 볼 수도 있다
+클라우드 서비스를 적절하게 이용하면 큰 비용 부담 없이도 웹해킹으로부터 웹사이트를 효과적으로 보호할 수 있다
+기존에 우리가 사용하던 서비스는 사용자가 각자 보유한 단말기에서 입출력은 물론 데이터 연산, 분석, 처리 및 저장까지 처리했다
+쉽게 말해 집에서 사용하는 PC를 떠올리면 된다
+PC에서는 데이터 입출력은 물론 저장과 연산 등 모든 과정이 PC 안에서 처리된다
+하지만 이런 전통적인 컴퓨팅 환경에는 한 가지 큰 문제가 있다
+더 큰 컴퓨팅 자원의 사용을 원할수록 비용이 크게 늘어날 수밖에 없다는 점이다
+예를 들어 최신 게임을 집에 있는 컴퓨터에서 구동하려면 가장 성능이 좋은 최신 CPU와 넉넉한 메모리 용량, SSD 등 최고 사양 하드웨어가 필요하다
+물론 경제적인 여유가 있어서 이 모든 것을 실제 제공하는 PC를 구매한다면 가장 좋을 것이다
+하지만 하루 2시간 정도 게임을 한다면 이런 큰 비용을 투자하는 건 경제적이지 못한 선택이다
+게임을 하는 2시간을 제외하고는 나머지 시간에는 단순 문서 작업이나 인터넷 서핑이 전부인 상황이니 고사양의 하드웨어는 불필요하다
+1년쯤 뒤에 더 고사양 하드웨어를 필요로 하는 최신 게임이 나와서 하드웨어를 다시 업그레이드하는 문제가 발생한다면 잠재적인 경제적인 손실은 더 커질 수밖에 없다
+게다가 컴퓨터 구동에 필요한 전기세와 고장 수리 비용까지 생각하면 더더욱 그러하다
+클라우드 컴퓨팅은 바로 이런 기존 컴퓨팅 문제를 해결하기 위한 대안으로 나온 서비스다
+초보자라면 한번쯤 컴퓨터에 문제가 생겼을 때 외부에서 원격으로 자신의 컴퓨터에 연결해서 문제를 해결해준 경험이 있을 것이다
+내 컴퓨터 사양은 인터넷을 빠르게 하는 데 문제가 없는 정도면 충분하고 원격으로 연결한 친구의 컴퓨터만 사양이 높으면 된다
+실행되는 게임의 모든 화면과 연산 작업은 원격지에 있는 상대방 컴퓨터에서 이뤄지기 때문에 내 컴퓨터의 리소스 사용은 최소화된다
+물론 이런 단순 리소스 절약의 차원보다는 훨씬 더 많은 장점이 있다
+하지만 이렇게 하면 1년에 딱 2일만 전체 자원을 사용하고 나머지 363일은 70% 자원을 낭비해야만 한다
+과한 비유로 느껴질 수도 있겠지만 실제 많은 웹사이트 운영 기관이나 학교가 실제로 겪고 있는 문제이기도 하다
+모든 회사의 최대치 사용 시간이 동일하지 않기 때문에 클라우드 환경에서는 훨씬 더 서버 자원을 효율적으로 사용할 수 있게 된다
+또, 사용자 입장에서도 363일 동안에는 필요한 만큼의 최소 컴퓨팅 자원만을 사용하다가 인터넷 원서 접수가 이루어지는 2일 동안만 최대 컴퓨팅 리소스를 사용하기 때문에 비용 면에서 엄청난 이익을 보게 된다
+클라우드 서비스 제공자 입장에서도 평소에 A대학교가 사용하지 않는 컴퓨팅 자원을 다른 곳에서 사용하게 해 경제성을 높일 수가 있다
+이와 같은 이유로 클라우드 기반 서비스를 사용하게 되면 실제 서버를 구매해 구축하는 것보다 가격적인 혜택이 크다
+서버 가상화는 실제 물리적인 하드웨어는 하나인데 이를 여러 개의 논리적인 서버로 나눠주는 기술을 의미한다
+이렇게 하면 하드웨어 1개를 갖고 마치 여러 개의 서버가 있는 것처럼 서비스를 할 수 있기 때문에 컴퓨팅 리소스를 최대한 활용하려는 클라우드 컴퓨팅 서비스에서는 널리 사용된다
+때문에 클라우드 컴퓨팅을 이용해서 웹사이트를 구성해서 사용하고 있다면 물리적인 서버 1개 위에 하이퍼바이저를 이용해 여러 개의 웹사이트가 함께 구성되어 있다고 보면 된다
+이와 같은 기술 특성으로 인해서 클라우드 컴퓨팅은 스타트업 같은 기업 웹사이트 구축에는 매우 효과적이라고 할 수 있다
+클라우드 서비스를 사용하는 경우에는 모든 데이터가 클라우드에 모이기 때문에 클라우드 상에 있는 시스템에 문제가 생길 경우에 이에 대한 문제 해결이 상대적으로 어렵다
+또 모든 데이터를 한꺼번에 잃게 되는 경우도 생길 수 있다
+이 경우 웹사이트 접속이 느려지는 문제가 발생할 수도 있다
+CDN 서비스는 웹사이트 제공 콘텐츠를 전 세계 각 지역에 서버를 분산 배치해 더 빠르게 접속되도록 하는 것을 말한다
+예를 들어 해외 사용자를 대상으로 하는 웹사이트를 오픈 예정인데 국내에만 기반을 둔 클라우드 서비스를 이용한다면 반대로 해외 사용자 입장에선 접속 속도에 대한 불만이 생길 수 있다
+클라우드 서비스의 강점이 경제성이라고 하더니 다시 돈이 위험한 요소라고 하면 혼란스러울 수도 있겠다
+하지만 클라우드 서비스가 무조건 싼 서비스라고만 생각하면 큰 코 다친다
+앞서 대학교의 예에서도 봤듯 클라우드 서비스는 사용한 만큼만 과금하고 이를 통해 경제성을 극대화한다
+클라우드 서비스 대부분은 설정 사용량이 넘으면 이를 막아 버리는 게 아니라 이에 대한 서비스를 먼저 제공한 후 초과된 사용량에 대해 추가 과금한다
+다시 말해 예상한 것 이상의 사용률이 이뤄지게 되면 이에 대해 추가 요금을 내야 한다
+그런데 보통 이런 내용은 계산하지 않은 것이기 때문에 소위 요금폭탄을 맞는 경우도 생긴다
+따라서 클라우드를 통해서 웹사이트 서비스를 제공한다면 처음 일정 동안은 네트워크 사용량과 서버 자원 사용량 등을 눈여겨 볼 필요가 있다
+이를 통해 너무 많거나 혹은 부족하지도 않게 클라우드 자원을 구입해서 사용하는 것이 매우 중요하다
+참고로 클라우드 기반 웹방화벽 서비스에 대해선 특장점을 소개하는 데 초점을 맞춘다
+어떤 서비스가 본인 웹사이트에 더 맞는 서비스인지는 서비스 제공사와의 충분한 협의를 통해서 결정하기를 바란다
+여기에선 전체적인 서비스를 이용하는 방법까지는 다루지 않는다
+웹방화벽이나 이와 동일한 수준의 보안 서비스를 제공 가능한 각사 서비스를 살펴본다
+또 각사 홈페이지에 나와 있는 내용을 근거로 하고 있는 만큼 실제 서비스 제공 내용과는 조금 다른 부분이 있을 수도 있다
+아마존 클라우드 서비스가 제공하는 웹방화벽의 가장 큰 장점은 아마존이 제공하는 강력하고 빠른 인프라를 이용한 성능과 경제적인 가격이다
+아마존 클라우드의 인프라는 이미 전 세계에 걸쳐서 구축되어 있고 국내에도 제공되고 있다
+또 아마존이 제공하는 웹방화벽의 가격 정책은 효과적으로 사용하면 매우 경제적으로 웹사이트의 보안 정책을 유지할 수 있다
+웹접속 요청 1백만 건이라고 하면 감이 잘 오지 않을 것이다
+이런 개별 웹오브젝트에 대한 요청을 카운트해서 과금한다는 얘기다
+1백만 개 웹접속 요청이라고 하면 대충 작게는 수백 명에서 수천 명 사이의 사용자 요청이라고 볼 수 있을 것 같다
+물론 이건 대략적인 수치인 만큼 자신의 웹사이트에 대한 웹접속 요청 수는 반드시 정확한 확인 작업을 거친 후 판단하는 게 좋다
+여하튼 1일 접속자 수가 1만 명가량으로 유지되는 사이트라면 상대적으로 적은 금액으로 웹방화벽을 유지할 수 있다는 계산이 나온다
+아마존이 이런 가격 정책을 가져갈 수 있는 이유는 이미 전 세계를 상대로 규모의 경제를 유지하고 있기 때문이다
+앞서 설명했듯 클라우드 서비스 자체가 규모의 경제를 이용해 효율적인 가격을 제공하기 때문에 가능한 것이다
+하지만 아마존 클라우드 서비스의 웹방화벽을 사용하려면 몇 가지 명심해야 할 점이 있다
+첫 번째는 만약 당신이 웹해킹과 웹보안에 대해서 전혀 전문 지식이 없다면 아마존 웹방화벽 서비스는 고려하지 않는 것이 좋다
+앞서 언급했듯 아마존의 웹방화벽 서비스는 처음에 서비스 신청을 하면 당황스러운 화면을 보여준다
+처음에는 이 메뉴, 저 메뉴를 살펴보고 도움말도 찾아봐야 웹방화벽 설정을 할 수가 있다
+기본적으로 제공되는 룰셋 같은 것은 없고 모든 룰은 사용자가 직접 만들어서 넣어야 한다
+기본적으로 Web ACL이라는 정책과 그 안에 포함된 룰에 대해 과금하기 때문이다
+따라서 사용자는 예상되는 혹은 꼭 필요한 부분에 대해 직접 룰과 정책을 만들어서 설정해줘야 한다
+만일 보안 운영자가 있는 중견 기업 이상이라면 아마존의 클라우드 기반의 웹방화벽은 아주 좋은 대안이 될 수가 있다
+기업의 보안 운영자는 정책을 적용하고 클릭하는 것만으로 전 세계에 있는 아마존 인프라에서 자신의 웹방화벽을 보호할 수 있기 때문이다
+스타트업의 창업자가 웹방화벽에 어떤 정책이 필요한지 세부적으로 판단하고 그것을 모두 적용하고 관리까지 한다는 것은 실질적으로 불가능에 가까울 수밖에 없기 때문이다
+앞서 아마존 클라우드 기반 웹방화벽의 장점으로 경제적인 요금을 꼽았다
+아마존 클라우드 서비스는 철저하게 클라우드 컴퓨팅의 취지를 따르고 있다
+앞서 클라우드 컴퓨팅에 대해서 설명하면서 자신이 사용한 자원만큼 요금을 지불하기 때문에 기업은 부수적인 컴퓨팅 자원에 대한 투자할 필요가 없다고 설명했다
+아마존의 과금 정책은 철저하게 이 원칙을 따른다
+이 당연하게 보이는 말 속에는 사실 요금폭탄을 맞을 수도 있는 함정이 있다
+앞서 밝혔듯 아마존 클라우드의 웹방화벽은 정책과 룰당 과금에 더불어서 웹접속 요청 1백만 건당 6백 원을 매월 과금한다
+아마 대부분은 1백만 건당 600원이니 막연하게 가격이 꽤 저렴하다는 생각만 할뿐 실제 웹사이트에 적용했을 때 과금이 얼마나 이뤄질지 예측하기가 힘들 것이다
+물론 아마존은 자사 클라우드 서비스 고객에게 여러 모니터링 서비스를 제공하고 있다
+이를 통해 웹접속 요청을 계산한 이후 웹방화벽을 사용한다면 요금이 얼마나 나올지가 예측될 것이다
+사실 이런 과금 방법은 스타트업을 위한 과금이라기보다는 기존에 데이터센터를 갖고 있던 기업이 아마존 클라우드 서비스로 옮겨 올 때 더 편리한 내용이다
+데이터센터를 이용하던 기업이라면 매달 모니터링을 통해 웹접속 요청 건수 등을 쉽게 파악할 수 있을 것이다
+따라서 이를 토대로 클라우드 기반 웹방화벽을 적용했을 때 예상 가격을 뽑을 수 있다
+하지만 처음 창업을 하는 스타트업이라면 이와 같은 내용을 파악하는 것이 상대적으로 어려울 수밖에 없다
+결국 스타트업 창업자가 이런 내용에 대해 정확한 파악을 못하고 무턱대고 서비스를 사용하면 창업자 본인이 예측한 내용보다도 더 큰 금액이 과금될 수도 있다는 얘기다
+하지만 그럼에도 본인이나 공동 창업자, 혹은 주위 사람의 도움을 받을 수만 있다면, 다시 한 번 강조하지만 아마존의 클라우드 기반 웹방화벽 서비스는 꽤나 매력적인 상품임에 틀림 없다
+사용자는 KT의 유클라우드에서 간단하게 웹서버를 만들 수 있다
+KT는 다양한 클라우드 기반 보안 서비스도 함께 제공하고 있다
+KT 클라우드 서비스가 제공하는 웹방화벽은 2가지 종류가 있다
+WAPPLES는 국내 웹방화벽 시장의 강자인 펜타 시큐리티의 웹방화벽 솔루션을 클라우드에 맞추어서 제공하는 상품이다
+WIWAF-VE는 국내 웹방화벽 시장의 또 다른 강자인 모니터랩의 웹방화벽을 클라우드 기반 서비스로 제공하는 상품이다
+두 회사 모두 웹방화벽 시장에서 많은 고객과 납품실적을 갖춘 국내 대표 기업이다
+또 국내 솔루션의 특징상 사용이 편리하고 초보자도 손쉽게 설치 및 기존 웹사이트와 연동할 수 있다는 게 매우 큰 장점이다
+국내 대표 웹방화벽 업체인 두 기업이 제공하는 솔루션인 만큼 안정성이나 서비스 품질도 나쁘지 않은 편이다
+앞서 언급한 아마존 웹방화벽 서비스와는 여러 면에서 차이를 보인다
+첫 번째는 모든 메뉴가 한글로 제공된다는 점이다
+별것 아닌 것 같지만 지속적으로 웹방화벽을 관리하고 필요한 내용을 찾아보거나 모니터링을 하려면 아무래도 초보자 입장에서는 영어로 되어 있는 메뉴에 거부감이 들 수밖에 없다
+KT 클라우드가 제공하는 웹방화벽은 클릭 몇 번만으로 설치가 가능한 마법사 버전의 설치를 지원한다
+웹사이트에 대한 기본적인 이해만 있다면 몇 번의 클릭만으로 손쉽게 웹방화벽을 이용해 웹사이트를 보호할 수 있다
+아마존의 웹방화벽 서비스에서는 기본적으로 모든 웹방화벽 정책을 사용자가 생성해야 한다
+반면 KT가 제공하는 웹방화벽 서비스는 초보자를 위한 기본 권고 정책을 제공한다
+웹방화벽이나 웹해킹 기법에 대해서 알지 못하는 초보자도 솔루션에서 기본 권고하는 정책을 적용하면 손쉬운 설치를 할 수 있다
+기본 권고 정책에는 가장 흔히 발생하는 웹해킹 기법에 대해서 방어가 가능한 정책이 기본적으로 들어 있다
+이 정책을 적용하면 상당수 웹해킹 공격에 대한 방어가 가능해진다
+국내 기업이라는 특성상 문제가 발생할 때 유선으로 고객센터에 전화를 하면 상담과 해결을 받을 수 있다
+하지만 KT 클라우드의 웹방화벽 서비스에도 고려해야 할 부분은 있다
+과금 정책이 대역폭을 기준으로 하고 있다는 점이다
+2가지 부분에 있어서 고려해야 하는데 첫 번째는 최소 요금이 있다는 점이다
+두 번째는 최대 용량 제한도 있다는 점이다
+다시 말해 이 이상 트래픽의 처리에는 적합하지 않다는 것이다
+만일 스타트업 기업의 규모가 커져서 많은 웹트래픽을 처리하는 수준이 된다면 WIWAF-VE 서비스를 통해 제공되는 프리미엄 관제 서비스도 추천할만하다
+웹방화벽에 대한 서비스 제공과 더불어서 추가적으로 월 30만 원의 비용을 부담하면, 원격에서 웹방화벽의 정책과 해킹시도 탐지 등을 관리해주고 월별로 보고서까지 제공해주는 서비스다
+보안 업계에서는 이런 서비스를 ‘원격 보안관제 서비스’라고 부른다
+물론 이런 서비스까지 고려한다는 것은 그 만큼 스타트업의 기본적인 비즈니스가 성공하고 커졌다는 것이 전제 조건일 것이다
+SKT의 클라우드 센터는 별도의 웹방화벽 서비스를 제공하고 있지는 않다
+다만 웹해킹에 대한 대응을 위해서 특화된 몇 가지 서비스를 제공하고 있다
+먼저 웹서버에 설치가 가능한 서버용 백신 프로그램을 서비스한다
+가격도 월 1,000원 정도로 매우 저렴한 편이다
+하지만 앞서 언급한대로 서버용 백신만으로는 웹해킹에 대해서 완벽한 대응이 된다고 보기 어렵다
+또 서버용 백신은 윈도 서버용만 제공되기 때문에 리눅스 운영체제를 이용해서 웹사이트를 구축한 경우에는 해당 사항이 없다
+두 번째는 침입탐지 시스템(IDS)을 서비스로 제공한다는 것이다
+침입탐지 시스템도 월 50,000원 선(서버 1개당)으로 매우 낮은 가격으로 서비스를 사용할 수 있다
+또 침입탐지 시스템은 전부는 아니지만 웹해킹 공격 기법 대부분을 탐지해낼 수도 있다
+문제는 침입탐지 시스템은 이상 행위에 대해서 탐지만을 할 뿐 실질적으로 차단을 하지는 않는다는 것이다
+따라서 웹사이트 운영자가 모니터링을 하다가 문제가 되는 이벤트가 있으면 운영자 스스로 웹서버에서 문제가 되는 부분을 찾아서 수정하거나 삭제해야만 한다
+이 서비스는 웹서버에 에이전트라고 부르는 작은 프로그램을 설치해서 설치한 후 이 소프트웨어를 이용해서 웹쉘이라고 부르는 웹해킹 공격의 일종을 탐지, 차단하는 기능을 수행한다
+이 서비스의 특징은 실제 웹사이트에서 제공되는 웹페이지에 대해서 각각 문제가 있는지 없는지 접속해 보고, 문제가 있는 경우 사용자에게 알려준 다음 치료까지 하는 서비스다
+이 서비스를 사용하면 결국 웹사이트가 워터링홀 공격에 의한 악성코드의 유포지로 전락하는 것을 빠르게 알아차릴 수 있다
+문제는 웹페이지당 월 4만 원이라는 가격 정책이다
+검사하고 싶은 웹페이지가 여러 개라면 다소 부담스러운 비용이 될 수도 있는 것이다
+다만 전체적으로 스타트업 기업 입장에서 웹해킹에 대응하는 데 있어서는 가격이 부담스러울 수 있는 부분은 고려가 필요할 것이다
+이제까지 살펴봤듯 국내외에서도 다양한 클라우드 서비스가 제공 중이다
+클라우드 서비스마다 특색 있는 다양한 웹해킹에 대한 방어 서비스를 제공한다
+이 중에 어떤 서비스를 사용하느냐는 전적으로 웹사이트를 개설하고자 하는 웹사이트의 운영자 몫이다
+위에 언급된 3군데의 웹해킹 방어 서비스는 제각각 특색이 있기 때문에 어떤 것이 더 좋다, 나쁘다 말하기 어렵다
+웹사이트 특색에 맞춘 서비스를 선택한다면 웹해킹을 방어하는 데 모두 좋은 대안이 될 수 있을 것이다
+하지만 웹방화벽 서비스가 설치되었다고 해서 모든 웹해킹으로부터 안전하다고 생각해서는 안 된다
+끊임없는 보안 관리와 웹사이트에서 사용되는 소프트웨어에 대한 지속적인 업데이트 관리는 필수적으로 함께 진행되어야 하는 부분이다
+또 스타트업 규모가 점점 커지고, 웹사이트의 방문자 수나 트래픽이 늘어남에 따라서 다양한 부가 서비스의 제공도 고려해야 한다
+앞서 언급했던, 원격보안관제와 같은 서비스도 고려해 볼 수 있다
+여기에 모의해킹 같은 서비스를 1년에 한 번 정도 실행해 자신이 운영하는 웹사이트의 보안성이 어느 정도인지 판단해보는 것도 좋다
+물론 보안이 중요하지만 이런 내용은 스타트업 비즈니스가 일정 규모로 성장한 이후 검토되는 것이 경제적인 판단이 될 것이다
+이처럼 웹방화벽 설치와 웹사이트에 설치된 소프트웨어의 지속적인 업데이트 관리, 이 두 가지만으로도 상당수 웹해킹에 효과적인 방어가 될 수 있다
+KISA 보안 전문가들이 해당 웹사이트에 대해서 웹해킹 공격을 당할 수 있는 취약점이 있는지를 확인해 주는 서비스다
+해당 서비스는 현재 무료로 제공되고 있으며 별도 보안 인력이 없는 스타트업 기업이나 중소기업 그리고 비영리 단체를 대상으로 KISA가 제공해 주는 서비스다
+간단한 신청서 작성 후 이를 이메일로 KISA의 담당자에게 보내면 적격심사를 거쳐서 취약점 점검이 이뤄진다
+적격 심사에서 이상 없이 통과가 되면 1~2주 동안 웹해킹에 대한 취약점이 있는지 원격으로 점검이 이뤄진다
+KISA는 원격 점검 결과를 기반으로 보고서를 해당 기업에게 제공해 준다
+해당 기업은 보고서 내용을 기반으로 잠재적인 취약점을 사전에 확인, 조치를 취할 수 있게 된다
+스타트업 입장에서는 내 서버에 어떤 취약점이 있는지 확인해 볼 수 있는 좋은 기회인데다 무료이기 때문에 부담 없이 신청해서 사용해 볼 것을 권한다
+다만 찾아낸 웹취약점에 대해서 조치에 대한 간단한 가이드 정도는 받을 수 있겠지만, 모든 조치 작업은 스스로 해야 하기 때문에 이 단계에서는 전문가 도움이 필요할 수 있다
+다만 ‘보호나라 홈페이지’를 통해 제공되고 있고 또 간단한 수준의 기술지원이나 문의사항에 대한 답변 정도를 KISA가 제공해주고 있다
+앞서 살펴봤지만 웹방화벽은 기본적으로 고가인 경우가 많다
+클라우드 기반 유료 서비스를 소개했지만 이런 가격도 스타트업 입장에서는 부담이 될 수 있다
+간단한 질의응답 정도는 KISA를 통해서 받을 수 있다
+스타트업이 사용하는 웹서버용 소프트웨어에 따라 2가지 중 하나를 선택하면 된다
+때문에 투자 여력이 없는 스타트업 입장에서는 적극적으로 검토해볼 만한 솔루션이다
+다만 스스로 설치하고 관리해야 하기 때문에 관리나 운영상의 부담감이 있을 수는 있다
+하지만 KISA가 간단한 질의응답 정도는 대응을 해주고 있어 도전해 보는 것도 나쁘지 않다
+전 세계 최대 인터넷 포털 사이트인 야후에서 운영하는 광고 네트워크가 악의적인 해커에 의해 악성코드를 많은 사람에게 감염시키는 데 사용됐던 것으로 밝혀졌다는 것이다
+해커는 야후의 광고 네트워크를 이용해 야후가 보유한 스포츠나 금융 등 포털 사이트를 가짜 웹사이트로 연결해주는 광고를 게재하고 있었던 것이다
+이런 가짜 광고를 누르면 몸값을 지불해야 컴퓨터 접근 제한이 풀리는 랜섬웨어 같은 악성코드가 유포되도록 해놓았던 것이다
+이 공격은 웹사이트에서 널리 사용되는 어도비 플래시 소프트웨어의 취약점을 이용해 공격하도록 설계되었다
+재미있는 건 미국 실리콘밸리에 위치한 한 보안 회사가 사용자가 안전하고 정상이라고 믿는 이런 유명한 웹사이트를 통해 악성코드에 감염되는 것에 어떻게 대응할지 배포한 것이다
+하지만 첫 번째로 제안한 플래시를 사용하지 말라는 것은 사실 단순한 우스갯소리만은 아니다
+우리가 웹사이트에서 흔하게 볼 수 있는 동영상 광고나 게임 등은 보통 플래시로 제작된 경우가 많다
+다이내믹하고 화려한 영상이나 게임 등을 만드는 소프트웨어 툴로 널리 사용되면서 많은 웹사이트에서 플래시를 이용한 다양한 오브젝트를 배포하고 있다
+하지만 다양한 기능을 지닌 반면에 취약한 보안성이 문제로 지적되어 왔다
+2015년 7월 페이스북의 보안 부문을 총괄하는 CSO 앨릭스 스태모스는 “어도비는 플래시 종료일을 발표해야 할 것”이라고 트위터를 통해 밝히기도 했다
+앨릭스 스태모스가 이런 발언을 한 원인 가운데 하나는, 2015년 6월 25일 어도비 플래시 플레이어를 설치한 윈도나 맥OSⅩ, 리눅스 기반 PC 제어를 해커가 빼앗아 가는 제로데이 취약점 문제였던 것으로 보인다
+그 뿐 아니라 같은 해 7월 8일에는 이탈리아 보안 기업인 해킹팀이 외부로부터 해킹 공격을 받아 400GB에 달하는 내부 자료가 인터넷에 유출되는 사태가 벌어진 바 있었다
+당시 해킹팀의 내부 자료를 보면 어도비가 파악하지 못했던 다른 제로데이 취약점을 해킹팀은 알고 있었던 것으로 알려졌다
+어도비는 같은 해 1~2월에도 플래시 플레이어에 심각한 보안 취약점을 발견, 긴급 업데이트를 실시했다
+스태모스의 발언은 이런 일련의 흐름에서 나온 것으로 풀이할 수 있다
+사실 플래시 플레이어에 대한 반감을 나타낸 것이 처음은 아니다
+또 2015년 1월에는 유튜브가 플래시 대신 HTML5를 동영상 플레이어 재생 기본 설정으로 하겠다고 밝힌 적도 있다
+물론 여전히 어도비 플래시에 대한 의존도가 높은 곳도 있지만 스태모스의 발언은 지금 플래시 제공을 끝내야 하며 보안을 강화한 HTML5로 점진적 전환이 가능함을 의미한 것으로 보인다
+이렇듯 플래시는 널리 사용되고, 화려한 콘텐츠를 제공/제작할 수 있다는 강력한 장점이 있는 반면 보안상 이슈가 워낙 많이 발생하기 때문에 보안 전문가 사이에서는 사용을 제한해야 한다는 목소리가 높아지고 있다
+보안상의 이유로 인해서 우리가 편리하게 사용할 수 있는 소프트웨어에 제약이 생기는 케이스인 셈이다
+또 해당 회사가 제시한 두 번째 방법인 웹사이트를 접속하는 PC를 따로 두라는 것도 전부 우스갯소리는 아니다
+웹사이트를 접속하는 PC와 중요 데이터가 저장된 PC를 따로 설치해두고 사용하라는 말이 일반인에게는 말도 안 되는 농담으로 들릴지도 모르겠지만 실제로 보안이 중요한 국가 기관이나 금융기관에서 이미 사용하고 있는 방법이기도 하다
+그리고 1대는 인터넷에 연결이 가능하도록 하고 다른 1대는 회사 내부에서만 통신이 가능하도록 한다
+인터넷으로 자료를 검색하거나 다운로드 받을 때에는 인터넷이 연결된 PC를 사용하고 내부 중요 업무를 볼 때에는 또 다른 PC를 사용해서 업무를 본다
+다시 말해 인터넷을 사용하는 전용 PC를 만들어 두고 해당 PC는 워터링홀 공격에 의해 해킹이 되어도 무방하게 한다는 것이다
+또 중요 데이터만 접속하는 전용 PC를 둬서 해킹에 의해서 피해를 최소화한다는 것이다
+비교적 돈이 많은 금융기관이나 정부 기관조차 이런 방법까지 동원해서 워터링홀 공격에 대응하는 것으로 미루어 보면 워터링홀 공격이 얼마나 대처하기 어려운 해킹 방법인지 짐작할 수 있을 것이다
+하지만 이 방법을 실제 일반인에게 적용해서 사용하기에는 무리가 있다
+집에 PC 2대를 두고 용도에 따라서 사용하려면 일단 2개의 PC를 구매해야만 하기 때문에 비용도 2배가 발생한다
+또 PC 2대를 왔다 갔다 하면서 사용하는 과정에서 생기는 불편함도 큰 걸림돌이다
+여기에 인터넷으로 집에서 중요한 일을 하는 경우도 많기 때문에 용도에 따라서 구분한다는 자체가 어렵다
+때문에 두 번째 언급된 방법도 기업에서는 고려할 수 있을지 몰라도 일반 개인이 선택해서 사용할 수 있는 옵션은 되기 어렵다
+마지막으로 언급된 해킹되지 않기를 기도하면서 사용하라는 방법 정도가 유일하게 개인이 선택할 수 있는 옵션으로 보일 뿐이다
+하지만 앞서 설명한대로 상당수는 이미 알려진 소프트웨어 취약점을 이용해 워터링홀 공격이 감행되며 알려지지 않은 방법을 사용하더라도 일정 부분 대응할 수 있는 방법은 존재한다
+따라서 이제부터 설명하는 내용들을 잘 지킨다면 완벽하게는 아니라도 워터링홀 공격 대부분으로부터 내 PC를 지키는 것에는 많은 도움이 될 것이다
+세부적인 방법을 설명하기 전에 한 가지 당부하고 싶은 점이 있다
+보안을 강화하고 나쁜 것으로부터 내 PC를 지키기 위해서는 노력과 투자가 필요하다
+노력이라는 것은 불편함을 일정 부분 감수할 수 있어야 한다는 의미이고, 투자는 시간이나 최소한의 금전적인 투자를 함께 의미한다
+앞서 스타트업 웹사이트가 어떻게 하면 웹해킹 공격으로부터 웹사이트를 지킬 수 있는지 알아봤다
+첫 번째는 웹해킹을 막기 위해서 설명한 방법과 동일하다
+바로 자신이 사용하는 소프트웨어를 항상 최신 버전으로 유지하는 것이다
+특히 웹사이트 방문 시 자주 사용되는 소프트웨어는 최신 패치가 나올 때마다 업데이트를 최신으로 유지하는 것이 매우 중요하다
+대표적인 경우가 웹사이트 접속 시에 사용되는 인터넷 브라우저, 어도비의 플래시, 오라클의 자바와 같은 소프트웨어다
+또 윈도 운영체제도 업데이트가 있을 때마다 주기적으로 적용하는 것을 권한다
+업데이트가 귀찮다고 절대 뒤로 미루지 않는 것이 좋다
+백신 소프트웨어 업데이트도 항상 최신으로 유지하는 것을 권한다
+두 번째로는 웹브라우저에 나오는 경고를 무시하지 말라는 것이다
+예를 들어 모르는 사이트에 접속했는데 웹브라우저에서 경고 메시지를 띄우면서 신뢰하지 않은 게시자 혹은 알 수 없는 게시자에 의한 파일이라고 경고창을 보여주는 경우에는 가능하면 실행하지 않는 것이 좋다
+대부분 정상적인 프로그램을 실행하기 위한 파일의 경우에는 파일의 제작을 완료한 이후 해당 파일에 ‘디지털 서명’을 남겨둠으로써 이 파일이 어떤 회사에 의해서 개발됐는지 보여주고 해당 파일이 정상적인 프로그램이라는 것을 보증한다
+그런데 윈도 운영체제나 웹브라우저에서 파일을 실행하기 전에, 위와 같은 메시지를 보여준다는 것은 실행하려는 파일이 누구에 의해서 제작된 파일인지 또 정상적인 파일인지 확인하기 어렵다는 것을 보여주는 것이다
+비슷한 이유로 웹사이트 접속 시에 간혹 “웹사이트의 보안 인증서에 문제가 있습니다”라는 화면이 나타나면서 사이트 접속이 안 되는 경우가 있다
+더 이상 웹페이지 접속을 진행하지 않기도 하지만 어떤 사람들은 그냥 무시하고 웹사이트 탐색을 계속 하기도 한다
+다시 말하지만 웹브라우저의 경고 메시지를 무시하지 말기 바란다
+우선 인증서가 무엇인지 설명이 필요할 것 같다
+평문에 의한 통신을 하게 되면 중간에 누군가가 해당 내용을 훔쳐보게 되면 그 내용이 고스란히 보이게 된다
+간단히 말해서, HTTP통신을 SSL이라는 암호화 규약을 이용해서 전송한다는 의미라고 보면 된다
+암호화 통신을 하려면 사용자와 웹사이트 간에 서로 ‘인증’하는 절차가 필요하다
+웹사이트는 자신이 신뢰할 수 있는 공인된 기관으로부터 정상적인 웹사이트임을 인증 받았다는 것을 사용자에게 알려 줘야 한다
+우리가 일반적으로 사용하는 웹브라우저 대부분에는 베리사인 같은 신뢰할 수 있는 제3의 기관에 대한 목록이 이미 등록되어 있다
+만일 암호화 통신을 하려는 웹사이트가 자신의 인증서를 사용자에게 보내 주었는데 그 인증서가 제3의 인증기관으로부터 인증 받지 못한 인증서라면 웹브라우저는 ‘인증서에 문제가 있다’라는 경고 메시지를 띄우게 된다
+중간자 공격이라는 것은 웹사이트에 거짓으로 인증서를 만들어 놓고 사용자를 안심 시킨 후 사용자가 데이터를 입력하도록 만들어서 그 내용을 가로채는 방식이다
+웹브라우저가 ‘해당 사이트의 인증서에 문제가 있다’라는 메시지를 띄운다면 100% 확실하지 않은 경우 접속하지 않는 게 좋다
+세 번째는 별도 제공되는 브라우저의 플러그인 형태 툴을 사용하는 방법도 있다
+원래 사이트의 용도는 보안 전문가나 일반인이 자신이 가지고 있는 파일의 악성유무를 판단하거나 특정 백신 프로그램에서 악성코드를 탐지하는지 못하는지 등을 확인하기 위한 용도로 사용됐다
+현재는 파일뿐 아니라 웹사이트에 대해서도 65개 웹사이트 분석 엔진을 통해서 검사할 수 있도록 서비스하고 있다
+물론 제로데이 취약점을 이용하거나 변종 악성코드는 탐지가 되지 않는 경우도 있지만 정말 흔하지 않다
+예컨대 2013년 국내를 떠들썩하게 했던 3.20 인터넷 대란 당시 사용되었던 악성코드도 국내 바이러스 백신 소프트웨어에는 탐지되지 않았지만 외산 백신에서는 탐지된 내역이 있었다
+어쨌거나 보통은 55개에 달하는 서로 다른 바이러스 백신 소프트웨어에 의해서 정상이라고 검증된 파일이 악성일 확률은 거의 없다고 봐도 무방하다
+바이러스토탈을 잘 활용하면 안전한 인터넷을 즐기는 데 큰 도움이 된다
+바이러스토탈을 사용할 때 한 가지 알아둬야 할 점이 있다
+앞서 언급한대로 바이러스토탈에는 파일을 분석하는 바이러스 백신 소프트웨어와 웹사이트의 악성여부를 판단해주는 웹사이트 분석 엔진 2가지 종류가 있다
+이 두 가지 엔진 중에서 내가 검사하고자 하는 파일을 업로드하거나 검색을 해보는 방식으로 악성여부를 판단할 수 있다
+여기에서 업로드하는 것과 검색하는 것에는 큰 차이가 있다
+따라서 파일 종류에 따라서 다소의 시간이 걸릴 수도 있다
+하지만 만일 어떤 파일을 집어넣고 검색을 하게 되면 바이러스토탈은 과거에 이와 동일한 파일이 누군가에 의해서 업로드되어서 검사된 이력이 있는지를 확인한다
+행여 1년 전 누군가 동일한 파일을 업로드해서 검사한 이력이 있다면 1년 전 마지막으로 해당 파일을 검사했을 당시의 결과값을 그대로 보여준다
+이 경우 저장되어 있던 결과값을 받아 보는 것이기 때문에 결과를 거의 즉시 확인할 수 있다
+하지만 앞서도 바이러스 백신의 탐지 기술을 설명할 때 패턴 기반 기술이라고 설명한 바 있다
+다시 말해 1년 전에는 패턴이 없어서 탐지하지 못했지만 1년이 지난 지금에는 ‘패턴’이 추가되어서 탐지할 수도 있다는 것이다
+바이러스토탈을 잘 이용하려면 먼저 검색을 해서 내가 확인하고자 하는 파일이나 웹사이트의 주소가 다른 누군가에 의해서 검사된 이력이 있는지를 먼저 확인해 보는 것이 좋다
+그런 다음 만일 결과값이 최근 한 달 안에 누군가에 의해서 검사된 이력이 있다면 다시 검사를 하지 않고 그대로 결과값을 신뢰해도 무방하다
+하지만 마지막 검사된 이력이 한 달 이상 더 오래됐다면 지금 검사하는 시점에서의 검사 엔진 패턴이 많이 바뀌었을 것이므로 다시 검사를 해서 결과값을 받아 보는 것이 좋다
+그 다음으로 유의할 사항은 여기에 등록된 바이러스 백신 소프트웨어의 결과값이 그 회사의 품질을 의미하는 것은 아니라는 점이다
+예를 들어 국내 백신회사의 엔진이 특정 파일을 탐지하지 못한다고 해서, 국내 백신 엔진이 좋지 않은 것으로 받아들일 필요는 없다
+백신 회사는 바이러스토탈에 제공하는 백신 엔진과 사용자에게 유료로 판매하는 백신엔진은 일반적으로 차이가 있다
+백신회사가 사용자에게 제공하는 유료 소프트웨어에는 일반적으로 좀 더 다양한 방어 기술이 탑재되어 있기 때문에 바이러스토탈에서 제공하는 결과값과 내 PC에 설치된 유료 백신 엔진의 탐지 결과가 항상 동일하다고 생각해서는 안 된다
+마지막으로 유의할 점은 바이러스토탈은 무료 엔진이라는 사실이다
+물론 기업 고객이나 전문가를 위한 유료 서비스도 있지만 개인이 사용할 필요는 없다
+일반용은 무료이기 때문에 여기에서 나온 어떤 결과에 대해서도 바이러스토탈이나 백신 소프트웨어를 제공하는 회사에 이의를 제기할 수는 없다
+바이러스토탈은 무료로 제공되는 고마운 참고 사이트라고 생각하는 게 좋다
+중앙에 있는 메뉴에서 ‘파일선택’을 누르면, 내 컴퓨터의 탐색기가 보일 것이다
+여기에서 내가 검사하고 싶은 대상 파일을 선택하고 ‘열기’를 누른다
+검사가 완료되고 나면 상단의 메뉴 부분에 SHA256이라고 표시된 부분과 내가 업로드한 파일의 이름 그리고 55개 백신 엔진에서 분석한 결과값 등을 볼 수 있다
+예를 들어 앞의 예제에서는 전 세계 55개의 백신 중 26개의 백신 소프트웨어가 필자가 업로드한 파일에 대해서 악성코드라고 탐지한 것을 알 수 있다
+앞서 얘기한 대로, 백신 소프트웨어도 여러 가지 이유로 악성코드를 탐지하지 못하는 경우가 있다
+실제로는 악성코드가 아닌데도 보안 솔루션이 잘못된 탐지를 하는 경우가 그것이다
+즉 바이러스토탈에 등록된 백신 소프트웨어들도 오탐이나 미탐이 발생할 수 있는 여지가 있다
+미탐이야 백신 엔진이 탐지를 못하는 경우이니 어쩔 수 없다고 치더라도, 오탐을 판단하는 방법은 알고 있으면 도움이 된다
+초보자의 경우 세부 내용을 갖고 오탐 여부를 판단하기는 어렵기 때문에 일반적으로 판단할 수 있는 기준을 소개하고자 한다
+만일 5개 이상의 서로 다른 백신 엔진이 악성코드라고 판명하는 경우 거의 오탐일 우려가 없다고 봐도 좋다
+물론 모든 경우에 해당하는 것은 아니지만 일반적으로 이 정도 기준을 가지고서 오탐에 대한 판단을 하여도 크게 무리가 없을 것이다
+국내의 A라는 기업이 내부 보안 솔루션을 테스트하기 위해 인위적으로 악성코드를 제작했다
+그리고 악성파일명에 A기업 이름을 알 수 있는 문구를 넣었다
+악성파일 제작 후 기업 보안 담당자는 해당 악성파일이 제대로 만들어졌는지 확인해 보기 위해 바이러스토탈에 파일을 업로드했다
+그런데 바이러스토탈에 올라오는 신규 파일을 모니터링하던 한 국내 보안 회사가 해당 파일이 업로드된 것을 발견했다
+국내 보안 업체는 A기업이 해킹 공격을 받았다며 해당 내용을 언론에 전달했고 결국 그 뉴스를 언론에서 본 A기업의 임원이 무슨 일인지 당장 조사하라고 지시를 내리기에 이른다
+결국 본인들이 테스트 용도로 만든 악성코드 프로그램으로 인해 회사가 해킹된 것으로 오해받는 웃지 못할 해프닝이 벌어진 것이다
+중요한 점은 내가 업로드하는 파일을 여러 사람이나 업체에서 볼 수 있다는 점이다
+따라서 개인적으로 아주 중요한 내용이나 회사의 정보가 담긴 파일은 절대 업로드하지말 것을 당부한다
+바이러스토탈을 가장 잘 활용하는 방법은 인터넷 상의 불특정 다수가 공유하는 파일이나 웹사이트의 안전성을 확인하는 데 사용하는 것이다
+그러면 이번에도 웹사이트에 대한 분석 결과값이 곧 바로 뜨는 것을 볼 수 있다
+분석 날짜가 현재 시간이 아니라 조금 전 웹사이트를 분석했던 30분 전의 시간이라는 것이다
+다시 말해 해당 웹사이트의 주소를 다시 검사한 것이 아니라 가장 마지막에 검사했던 과거 결과값을 보여준 것이라고 보면 된다
+파일에 대해서도 이와 동일한 방법으로 하면 되는데, 한 가지 차이는 파일명을 넣는 것은 아니라는 점이다
+사람의 경우도 이름과 외모는 얼마든지 변경이 가능하지만, 자신의 DNA는 변경하지 못하는 것과 마찬가지 이치이다
+특정한 파일에 대해서 해시값을 계산하는 것은 여러 가지 공개된 프로그램을 이용해서 가능하다
+손쉽게 아는 방법은 앞서와 같이 파일을 바이러스토탈에 업로드해보는 방법이 있다
+앞서 파일을 검사한 결과값에 보면 SHA256이라는 부분에 알 수 없는 복잡한 문자와 숫자 조합이 있었던 것을 기억할 것이다
+바로 그 긴 숫자와 문자의 조합이 해당 파일의 DNA인 파일의 해시값이다
+그리고 검색 버튼을 누르면, 가장 최근에 검사된 내용의 결과값을 볼 수 있을 것이다
+기본적인 방법으로 바이러스토탈을 활용하는 것을 잠시 살펴봤다
+아마 꽤나 번거롭게 느껴진 독자들이 많을 것이다
+별도로 바이러스토탈의 웹사이트에 접속해서 파일을 업로드하거나 웹사이트의 주소를 일일이 입력해서 검사하고 또 파일 해시값을 추출하는 과정이 다소 번거롭게 느껴지는 것이 사실이다
+앞서 말한 대로 다운로드하는 곳의 안전성을 확인할 수 없을 경우 이런 경고 메시지를 무시하지 말고, 따라야 한다고 했다
+이 툴을 이용하면, 내가 접근을 하는 웹사이트에 대해서 안전성을 확인하는 것이 한결 손쉬워진다
+바이러스토탈에서 제공하는 브라우저 플러그인은 아래의 링크에서 다운로드가 가능하다
+이 때에도 게시자에 대한 경고 메시지가 나올 수 있다
+앞서 얘기한대로 신뢰 가능한 사이트에서 다운로드받는 파일이므로, 무시하고 다운로드 후에 설치한다
+필자는 구글 크롬 브라우저를 기준으로 설명하도록 하겠다
+설치를 마치고 나면, 브라우저를 종료한 후에 다시 시작한다
+그러면 우측 상단에 바이러스토탈의 로고가 있는 메뉴가 보일 것이다
+해당 메뉴를 누르면, 아래 입력창이 보이는데, 여기에 내가 원하는 파일의 해시값이나 웹사이트의 주소 등을 입력하면 자동으로 바이러스토탈의 결과값 화면으로 이동하면서 결과확인이 가능하다
+이 메뉴를 누르면 현재 브라우저에서 보여지는 웹사이트에 대한 검사 결과값을 자동으로 보여주게 된다
+이 메뉴를 클릭하면, 해당 웹링크의 검사 결과값을 확인할 수 있다
+하지만 재빨리 웹사이트에 접속해서 원하는 업무를 봐야 하는 개인들 입장에서 모든 웹사이트에 접속하기 전에 바이러스토탈로 확인해보는 것은 무척 번거로운 일이 아닐 수 없다
+사용자의 불편함과 번거로움을 최소화 시키면서도 위협 요소들을 차단해주는 솔루션이 필요하다
+이에 국내외의 3가지 유무료 솔루션을 다음과 같이 소개하고자 한다
+참고로 3가지 솔루션을 선택한 것은 지극히 개인적이고 주관적인 관점이다
+어떤 솔루션을 선택하느냐는 운영 상황에 따라 다를 수 있다
+백신 소프트웨어 업계에서 1위라는 것은 가장 많은 악성코드에 대한 패턴을 보유하고 있다는 의미이기도 하다
+시만텍의 백신을 사용하는 사용자가 많기 때문에 이를 통해 새롭게 수집되는 악성코드도 많고, 패턴에 대한 업데이트도 가장 빠른 편이라는 것이 시만텍이 가지고 있는 가장 큰 장점이다
+이것은 기업에 근무하는 사용자를 위해서 판매되는 상품이므로 일반 개인이 사용할 수는 없다
+일반 개인이 사용할 수 있는 제품으로는 노턴 시큐리티라는 제품이 있다
+노턴 시큐리티는 제공되는 서비스의 종류와 설치할 수 있는 단말의 수 그리고 구매하는 기간 등에 따라서 가격정책이 나뉘어져 제공된다
+이런 조건에 따라 베이직, 플러스 그리고 프리미엄 3가지 레벨로 나누어서 제공된다
+가장 저렴한 베이직 상품의 경우, 1년 동안 1대의 윈도 PC나 맥 OS에 설치가 가능하며 가격은 1만 6,000원 가량이다
+가장 비싼 프리미엄 상품의 경우에는 최대 5개의 장치에 대해서 윈도나 맥 OS는 물론이고, 스마트폰이나 태블릿에도 설치가 가능하며, 가격은 1년에 약 60,000원 가량이다
+요즘에는 보통 개인들이 PC는 물론이고 스마트폰이나 태블릿을 보유하고 있다는 점을 고려해보면, 크게 비싼 금액은 아니라는 점을 알 수가 있다
+디바이스 5대까지 백신 소프트웨어를 제공함은 물론이고, 25GB의 백업 공간을 제공한다
+25GB 백업 공간은 요즘 하드디스크 용량을 생각하면 충분하게 넉넉하다고 말할 수는 없지만 중요한 문서 등을 백업하는 데에는 큰 문제가 없을 것이다
+이렇게 중요 문서를 백업해 놓는다면 랜섬웨어처럼 모든 파일을 암호화시켜서 사용하지 못하게 만드는 악성코드에 대한 대안이 될 수 있다는 점에서 매력적이다
+혹시라도 랜섬웨어로 인해서 피해를 당했더라도 시만텍이 제공하는 보안 클라우드에 중요 문서가 백업되어 있을 것이기 때문에 큰 문제없이 문서를 복원할 수 있을 것이다
+시만텍 시큐리티의 또 한 가지 특이점은 100% 보증 포함이다
+만일 노턴 시큐리티를 설치하고 사용하던 중에 악성코드에 의해서 장치가 감염되면 노턴 전문가가 바이러스에 대한 제거 작업을 진행한다
+만일 바이러스 제거에 실패하면 고객이 구매한 금액을 전액 환불해 주는 것이다
+또 다른 장점은 윈도, 맥 OSX, 안드로이드, iOS 등 다양한 운영체제 환경을 지원한다는 것이다
+덕분에 어떤 디바이스를 사용하던지 아니면 중간에 운영체제를 바꾸던지 상관없이 서비스를 지속적으로 사용할 수 있다
+또 워터링홀 공격에 대한 1차적인 방어의 방법으로 본다면 노턴이 제공하는 브라우저의 플러그인도 매우 유용한 툴이라고 할 수 있다
+해당 툴을 사용할 경우, 바이러스토탈의 플러그인과 유사하게 동작한다
+어떤 사이트에 접속하면, 해당 사이트가 안전한지 여부를 체크해서 표시를 해준다
+또 구글과 같은 검색엔진에서 웹사이트를 검색하게 되면, 검색결과의 우측에 노턴의 마크가 보이고 안전한 사이트라고 판단되는 경우에는 노턴의 로고가 녹색으로 보이면서 OK마크가 보인다
+평판 기반 엔진이라는 것은 사용자가 통상적으로 많이 사용하고, 크게 문제 된 적이 없는 웹사이트라는 것을 표시해주는 것이다
+쉽게 말해 통계적으로 문제가 없는 사이트라는 것이다
+앞서 살펴본 대로 워터링홀 공격에서는 정상적인 사이트를 대상으로 공격하기 때문에 평판 기반 엔진의 탐지 결과만으로 100% 신뢰는 어렵다
+하지만 노턴 백신의 경우 전 세계 사용자 수가 매우 많아서 이상이 있는 웹사이트에 대한 인지도 빠른 편이기 때문에, 기본적인 안전성 확인을 하는 툴로서는 훌륭하다고 할 수 있겠다
+아마 이 책을 읽고 있는 대부분의 사용자들도 집에 있는 PC에 알약이 설치되어 있을 것이다
+알약에 대한 평가는 이미 워낙 많은 사용자 기반이 있기 때문에 따로 언급하지는 않겠다
+알약의 최대 장점은 자체 개발한 백신 엔진과 외산 엔진인 소포스, 비트디펜더 등의 3가지 백신 엔진을 사용해서 악성코드 검사를 한다는 점이다
+이런 3가지 엔진에 의한 탐지 구조로 인해 무료 백신임에도 불구하고 강력한 탐지 기능을 제공한다
+또 최근에 추가된 기능인 랜섬웨어 방지 기능도 눈여겨 볼만하다
+사용자의 허락 없이 사용자의 하드디스크에 있는 파일 변경을 시도하면 이를 감지해 차단, 랜섬웨어로 인한 피해를 최소화해주는 기능이다
+요즘처럼 랜섬웨어 피해가 증가하고 있는 시점에서 보면 반가운 기능이라고 할 수 있겠다
+앞서 워터링홀에 대해서 설명하면서 익스플로잇을 사전에 탐지하고 차단하는 것이 가장 중요한 점이라고 지적했다
+또 익스플로잇은 악성코드가 아니기 때문에 기존 백신만으로는 탐지가 어렵다
+알약이 신규 출시한 알약 익스플로잇 쉴드는 이런 문제점을 해결하기 위해 출시한 제품이다
+이 제품의 가장 큰 특징은 기존 백신과는 다르게 패턴에 대한 데이터베이스 없이 윈도에서 운영되는 주요 프로세스를 모니터링해 실시간으로 취약점에 대한 부분을 탐지 및 차단해준다는 점이다
+기존 백신이 차단하지 못하는 영역이었던 익스플로잇 공격에 대한 대안을 제시했다는 점에서 눈길을 끈다
+또 운영체제와 주요 소프트웨어들이 최신 버전으로 업데이트되어 있지 않은 경우에는 이를 알려준다
+이렇게 사용자가 주요 소프트웨어를 최신 버전으로 유지할 수 있게끔 도와주는 역할을 해주는 것도 꽤나 유용하다
+안랩은 대한민국의 대표 보안 기업으로 가장 널리 알려진 V3라는 대표적인 백신 소프트웨어를 제공한다
+하지만 안랩은 국내 대표 기업으로 다년간 투자와 R&D를 통한 엔진 개선으로 자체 엔진만으로도 전 세계 최고 수준의 백신 소프트웨어 기업들과 어깨를 나란히 할만큼 성장했다
+보는 관점에 따라서 평가가 다르겠지만 개인적인 관점에서는 이 정도 가격과 성능에 이 정도 탐지력을 제공한다는 것은 충분히 평가받을 만하다
+하지만 안랩이 제공하는 백신 소프트웨어를 제대로 사용하려면 무료판인 V3라이트가 아니라 적어도 V3 365를 구매해서 쓰는 게 좋다
+V3라이트는 그야말로 무료로 제공되는 최소한의 백신 엔진만을 포함하고 있다
+또 1년에 약 4만 원 금액으로 최대 3대까지 PC 설치가 가능하다
+여기에 PC 속도 최적화 프로그램도 무료로 제공해 준다
+이 모든 탐지 엔진을 잘 사용하면 워터링홀과 같은 위협으로부터 PC를 지켜내는 데에 상당한 도움이 될 수 있을 것이다
+하지만, 스마트폰과 태블릿과 같은 휴대 장치용 백신은 별도로 구매해야 한다는 점과 맥용 OSX를 지원하지 않는 점 등은 아쉬운 부분으로 지적할 수 있을 것 같다
+이와 같이 국내외 3개 사의 보안 솔루션에 대해서 살펴봤다
+위에 언급된 백신 기반의 보안 솔루션들을 설치했다고 해서 무조건 안전하다고 생각해서는 안 된다
+추가로 개인들이 안전한 인터넷 사용을 위해 노력하는 것이 중요하다
+예를 들어 보안 솔루션이 설치되어 있더라도, 각종 소프트웨어나 운영체제를 최신 버전으로 유지하는 것은 매우 중요하다
+소프트웨어와 운영체제를 최신 버전으로 유지하기 위해서는 당연히 정품을 사용해야 한다
+보안적인 관점에서 본다면 정품이 아닌 소프트웨어를 사용하는 것은 재앙이나 다름없다
+또 바이러스토탈과 같은 무료툴들을 보안 솔루션과 연계해서 사용하는 것도 매우 효과적인 방법 가운데 하나다
+특히 무료로 사용할 수 있는 웹브라우저에도 좋은 기능이 많다
+구글의 데이터베이스를 통해 이상이 있는 웹사이트에 접근을 하게 되면 브라우저가 경고를 띄워주는 서비스다
+이런 무료 서비스와 위에 언급된 보안 솔루션들을 함께 사용한다면, 완벽하게는 아니라도 거의 대부분의 워터링홀 공격으로부터 안전해질 수 있다
+다시 한 번 강조하지만 어떤 보안솔루션이 좋고 나쁘다는 기준은 없다
+모든 솔루션이 나름의 장단점을 갖고 있다고 표현하는 게 더 맞을 것 같다
+다만 하나 당부하고 싶은 것은 나와 내 PC를 지켜줄 솔루션을 선택할 때의 기준이 무료냐 아니냐여서는 안 된다는 점이다
+공짜로 제공되는 소프트웨어에는 그만한 이유가 있으며, 무료 보안 솔루션에는 가장 기본적인 엔진만 제공되는 것이 일반적이다
+앞서 살펴본 바와 같이 행위기반 엔진, 클라우드 기반 엔진, 평판 기반 엔진 같이 유료 버전을 사용하면 좀 더 다양한 기능과 혜택을 받아 볼 수가 있다
+백신 소프트웨어도 나름대로의 기술 혁신을 거치면서 많은 발전을 이루어 왔다
+유료 버전의 엔진에는 이런 백신회사의 나름의 최신 기술들이 다양하게 적용되어 있는 경우가 많다
+내 PC를 보호하기 위해서 월 5,000~6,000원 가량의 돈을 지출하는 것을 아깝다고 생각하지는 말았으면 좋겠다
+많은 사람들이 백신 소프트웨어가 더 이상 악성코드를 탐지하는 데 무용지물이라고 말한다
+이 책의 마지막 장에서 살펴볼 지능형 지속 위협과 같은 고도의 해킹 공격에 있어 일부 맞는 말이기는 하다
+하지만 대다수가 겪는 악성코드에 백신이 무용지물이라는 말에는 동의할 수 없다
+페이지페어는 아일랜드 수도인 더블린에 본사를 두고 있는 아일랜드의 유망한 스타트업 중 하나이다
+그 결과 90분 뒤에는 페이지페어의 모든 웹사이트에 대한 권한이 해커의 손아귀에 놓이게 되었다
+페이지페어 웹사이트의 사용자 페이지를 방문한 사람에게는 어도비 플래시를 업데이트하라는 팝업창이 뜨게 하고 어도비 플래시를 본뜬 악성코드의 설치를 유도했다
+당시 페이지페어 CEO인 션 블랜치필드는 자사의 무료 분석 서비스를 이용 중인 사용자들에게 이런 상황은 실망감과 분노를 느끼게 하는 것이라면서 83분간 페이지페어의 웹사이트를 방문한 사용자들이 해킹 위험에 노출된 점에 대해 사과했다
+또 비슷한 사태가 다시는 일어나지 않도록 하겠다고 밝혔다
+재밌는 사실은 나노코어가 대부분의 백신 소프트웨어에서 탐지가 가능했던 악성코드였다는 점이었다
+하지만 실제로 페이지페어의 웹사이트를 방문한 사용자 중에서 실제로 백신 소프트웨어를 설치한 사람의 비율은 전체 방문자 대비 2~3% 수준에 그쳤었다
+즉 실제로 백신 소프트웨어조차도 사용하지 않는 사용자 비율이 무척이나 높다는 것을 보여주었다
+다음은 2015년 새해 벽두에 러시아를 중심으로 은행 ATM이 사이버 범죄자의 공격 대상이 되고 있으며, 악성코드에 의한 해킹을 통해서 막대한 금액이 무단으로 범죄자들에게 빠져나가고 있는 것으로 밝혀졌다
+보안 업체들의 발표에 따르면 해킹의 대상은 러시아 외에도 미국과 스위스, 네덜란드 등 전 세계 30개국 100개가 넘는 금융기관이 대상이었던 것으로 파악되었다
+발견되지 않은 것까지 포함하면 3배가 될 것으로 추정된다
+해킹 공격에 사용된 악성코드는 이메일을 가장해서 은행원에게 보내졌다
+은행원이 이메일을 읽을 때 악성코드를 PC에 침투시키는 스피어피싱 방법을 사용한 것이다
+이후 해커는 은행원이 보유한 PC의 계정 정보를 확보해 이를 통해 은행 네트워크에 침입, 송금 시스템이나 ATM을 처리하는 담당자를 찾아낸다
+그런 다음 담당자 PC에 스크린샷과 동영상을 촬영할 수 있는 원격 감시 도구를 설치한다
+그리고 이를 통해서 송금 절차를 파악하는 것이다
+해커는 송금 처리되는 미국과 중국 은행에 가짜 계좌를 준비하고 정상 송금 처리와 똑같은 절차를 거쳐 부정 송금을 실시한다
+실제 예를 들어보면 해커는 먼저 적당한 계좌를 선택한다
+예금이 10만 원이라면 일시적으로 예금액을 100만 원으로 늘리는 즉시 90만 원을 미리 준비해둔 자신의 계좌로 전송한다
+처리가 끝나면 계좌에 원래 있던 10만 원은 그대로 남아있기 때문에 실제 계좌 명의인은 어떤 일을 했는지 모르게 되는 것이다
+아무도 ATM을 조작하지 않았는데 갑자기 돈이 나온 사건도 있었다
+해커가 대상 계좌에서 특정 시간에 특정 ATM에서 출금할 수 있게 조작한 것이다
+우연히 이런 사건을 만나는 식으로 돈을 회수하는 것이다
+보안 업체에 따르면 계좌가 정상인지 여부를 확인하는 건 은행마다 보통 10시간 간격을 두기 때문에 해커가 놀라운 성공률로 불법 송금을 성공시켜왔다고 한다
+ATM을 통해 730만 달러를 도난 당한 사례나 회계 시스템을 통해 1,000만 달러를 훔친 사례도 있다고 한다
+이런 은행 범죄의 성공률은 “오션스일레븐보다 성공적”이라고 할 정도다
+아마도 이 글을 읽는 독자 누구라도 한번쯤은 ‘출처가 불분명한 이메일은 열어보지 말 것’이라는 보안에 대한 주의사항을 한번쯤은 들어 봤을 것이다
+하지만 요즘 일어나는 이메일을 통한 해킹 공격은 출처가 불분명한 이메일을 열어 보지 않는 것만으로는 방어가 불가능하다
+2015년 해외에서 있었던 이메일을 이용한 해킹 공격에 사례를 보면 좀 더 이해가 쉬울 것 같다
+한 스타트업 기업이 해킹 공격을 받았던 사례가 있었다
+해당 기업은 많은 대기업과 거래를 하고 있던 유망한 스타트업 기업이었다
+이 과정에서 이메일을 이용한 해킹이 되었다는 뻔한 얘기가 아니라 정말 재미있는 부분은 해킹이 된 이후의 과정이었다
+해커는 내부로 침입해서, 담당자의 PC의 관리자 권한을 획득하는 데 성공하자 그 다음에는 해당 PC에 악성코드를 심었다
+이 악성코드의 역할은 PC의 사용자가 만드는 모든 문서파일에 자동으로 악성코드를 숨기는 것이었다
+PC의 사용자는 그런 악성코드가 있는 것조차 모른 상태에서, 거래를 하는 대기업에게 업무에 관련된 문서 파일을 평상시처럼 보냈다
+그 안에 악성코드가 있는지도 모른 채로 말이다
+거래를 하는 반대쪽 당사자인 대기업의 직원은 평소 오랫동안 거래해오던 업체가 업무와 관련해 보낸 문서 파일이기 때문에 열어보지 않을 아무런 이유가 없었다
+당연히 이메일 첨부파일 문서를 열어 봤고 대기업 담당자의 PC는 해킹됐다
+그 후 대기업 보안팀의 해킹 조사 과정에서 해당 스타트업 기업에서 온 이메일로부터 해킹이 이뤄졌다는 사실이 발견됐다
+결국 향후 비즈니스 신뢰를 회복하기까지 상당한 후유증을 겪을 수밖에 없었다
+즉 해커가 이메일을 통해서 공격하는 방식은 예전처럼 단순하게 조심한다고 해서 막을 수 있는 게 아니라는 것이다
+반드시 기본적으로 자신을 지킬 수 있는 기술적인 대책이 있어야만 이메일을 통한 해킹 공격에 효과적으로 대처할 수 있을 것이다
+현재 대부분의 사람들은 이메일을 이용해 개인적인 소식을 주고받고 주요 업무 대부분을 진행하기도 한다
+하지만 이메일이 동작하는 기술적인 배경을 알고 있는 사람은 많지 않을 것 같다
+배경이 되는 기술적인 내용을 이해할 수 있다면, 어떻게 방어하는 것이 가장 좋은지도 자연스럽게 찾을 수 있을 것이다
+이메일은 기본적으로 우리가 실제 사용하고 있는 우편시스템과 유사하게 설계되어 있다고 보면 된다
+우선은 종이에 쓰고 싶은 내용을 쓸 것이다
+여기에 다시 편지 봉투에 보내는 사람과 받는 사람의 이름과 주소를 명시하게 된다
+이메일도 동작 방식은 일반 편지와 동일하다고 보면 된다
+아마 상당수가 네이버나 한메일, 지메일과 같은 웹기반 메일 프로그램을 사용할 것이다
+이메일 내용 작성이 끝나고 나면, 받는 사람의 이메일 주소를 입력하게 된다
+앞쪽에 표시되는 이메일 아이디가 이메일을 받는 사람의 고유한 아이디를 의미한다면 @ 표시 뒤에 오는 도메인 주소는 이메일을 받는 사람이 속해 있는 지역의 우체국이라고 생각하면 된다
+우선 이메일을 주고받는 상대방을 인증할 수 있는 기술적인 방법이 없다
+이메일을 보내는 사람을 위장해서 이메일을 보내더라도 받는 사람 입장에서는 실제 그 사람이 맞는지 틀린지 확인할 방법이 없다는 것이다
+따라서 공격자는 보내는 메일 주소를 바꿔서 보내기도 한다
+다시 말해 편지봉투에 적혀 있는 ‘보내는 사람’ 부분을 해킹의 대상이 되는 사람이 신뢰하는 사람으로 위장해 보낸다는 것이다
+예를 들어 동료 직원의 이메일 주소나 거래처 직원의 이메일 주소를 사용해 이메일을 보낸다면 받는 입장에서는 별다른 의심 없이 열어 보는 것이다
+이메일을 전송하는 구조를 처음 설계할 당시에는 이메일을 주고받는 메일 서버끼리 서로 신뢰할 수 있는 상태를 가정하고 설계했다고 한다
+물론 이 책에서는 이메일의 기술적인 원리 등에 대해서 더 상세히 다루지는 않을 것이다
+쉽게 말해 악성코드가 숨어 있는 파일을 이메일에 첨부해 공격 대상에게 전송하는 방법이다
+상대방이 첨부파일을 실행시켜 보면 악성코드에 감염되도록 하는 것이다
+보통 악성코드로 전달되는 파일의 종류는 매우 다양하지만 크게 두 가지 정도가 많이 사용된다
+대개 공격 대상이 되는 PC에서 실제로 악성행위를 하는 악성코드는 실행파일이다
+앞장에서 살펴본 대로 익스플로잇은 공격 대상 PC의 소프트웨어가 가지고 있는 취약점을 이용해서 공격하는 코드를 의미한다고 했다
+이 때 이런 익스플로잇 코드를 공격 대상의 PC에 전달하는 방법이 웹을 통한 인터넷 접속인 경우에는 워터링홀 공격이 되는 것이다
+또 다른 익스플로잇을 전달하는 방법이 바로 이메일을 통해서 전달하는 것이다
+공격자는 공격 대상이 사용하는 문서 작성 소프트웨어를 노리고 보낸다
+정상적인 문서 파일로 위장한 문서 악성코드를 공격 대상에게 보낸다
+보내는 악성 문서 파일 안에는 문서 편집 소프트웨어 취약점을 공격할 수 있는 코드를 숨겨서 보내게 된다
+만일 공격 대상이 문서 편집 소프트웨어 업데이트를 게을리한 상태에서 악성 문서파일을 열어보게 된다면 꼼짝 없이 당하게 될 것이다
+일단 악성 문서파일이 공격 대상이 되는 PC에서 정상적으로 실행되고 나면 관리자 권한을 가져온 이후 추가로 실행파일형 악성코드를 생성하거나 해커의 명령제어 서버로부터 추가로 다운로드받는다
+보통 사용하는 문서 편집용 소프트웨어는 다양한 멀티미디어 기능이나 사용자 편의를 위한 다양한 자동화 기능을 지원하도록 설계되어 있다
+그러다 보니 단순한 문서 파일임에도 불구하고 복잡한 코드를 문서 안에 비교적 손쉽게 숨길 수 있는 것이다
+또 문서를 편집하는 오피스 소프트웨어의 경우 용량이 크고 복잡하게 설계되어 있어서 취약점이 자주 발견되는 반면, 거의 대부분의 사람들이 사용하고 있기 때문에 손쉽게 공격할 수 있다
+마지막으로는 정상적인 문서를 가장해서 이메일로 악성코드를 보낼 경우에 수신하는 사람을 방심하게 만들 수 있다는 점도 큰 장점이다
+조금이라도 조심성이 있는 사용자라면 이런 파일을 다운로드받고 설치하지는 않을 것이다
+따라서 사용자를 속이기 위해서라도 문서 파일을 이용해서 이메일에 악성코드 첨부한 이후 보내는 경우가 늘어나고 있다
+대표적인 것이 바로 오피스 프로그램 등에서 자주 사용되는 매크로 기능이다
+문서 편집에 사용할 경우 매우 유용한 기능이다
+하지만 이런 매크로 기능을 이용해 문서 내부에 악성기능을 숨기는 경우가 많다
+예를 들어 매크로가 삽입되어 있는 문서를 실행시켰을 때 매크로가 동작하면서 인터넷 상에서 추가적으로 악성코드를 다운로드받아 실행시키는 것 등이다
+이런 매크로를 이용한 악성코드 유포는 현재도 꾸준히 증가하고 있기 때문에 주의가 필요하다
+가장 좋은 방법은 꼭 필요한 경우가 아니라면 매크로 기능을 끄고 문서 편집기를 이용하는 것이 좋다
+꼭 필요한 경우라 할지라도 외부에서 이메일을 통해서 매크로가 들어있는 문서가 전달됐다면 반드시 의심해 보는 것이 좋겠다
+실행파일을 그대로 첨부파일로 담아서 보내면 이메일 수신자가 의심할 수도 있으니 실제 악성 실행파일을 이메일 첨부파일로 보내되 받는 사람이 문서파일로 착각하게 만드는 것이다
+자주 쓰이는 방법 중에 하나가 ‘악성코드.hwp.exe’와 같은 식으로 파일명을 만드는 방법이다
+윈도7의 경우 기본적으로 파일의 확장자를 숨기고 사용자에게 보여주지 않도록 되어 있다
+여기에서 해커가 파일 아이콘만 HWP 문서를 나타내는 아이콘으로 바꾸면 실제 사용자는 이 파일이 실제로는 실행파일이라는 것을 알아차릴 수 없게 된다
+하지만 이렇게 사용자를 속였더라도 실제로 파일을 사용자가 더블클릭해서 실행하면 단번에 이상한 점을 알아차리게 될 것이다
+이렇게 되면 사용자의 의심을 사게 되고 공격은 수포로 돌아가게 된다
+따라서 해커는 사용자를 완벽하게 속이기 위해 보통 한 가지 장치를 더 만든다
+이렇게 하면 사용자는 실제로 HWP 문서가 실행되었기 때문에 해당 파일이 실행파일일 것이라고 의심하지 않는다
+만일 파일 확장자를 속이면서 유인용 문서를 실행시켜 사용자를 속이려는 파일이 있다면 아마도 정상파일일 확률은 없을 것이다
+주로 해당 파일 안에 악성코드를 숨겨뒀다가 실행시킬 때 추가로 파일을 생성하는 형태로 동작한다
+정상적인 화면보호기 파일로 위장하는 경우도 있지만 보통 위에 언급한 확장자 속이기 방법을 많이 사용한다
+2015년에 언론에 크게 알려졌던 이메일을 통한 악성코드 공격도 바로 이 ‘.scr’ 확장자를 가진 첨부파일을 이용해 이뤄졌다
+하지만 파일 아이콘을 문서파일 형태로 속여서 보여줌으로써 마찬가지로 사용자를 속이는 형태로 전달됐다
+화면보호기가 이메일로 전달되는 일은 거의 없기 때문에 이메일로 전달되는 ‘.scr’ 확장자를 가진 스크린세이버 파일은 절대로 열어보지 않는 것이 좋다
+해커들이 압축파일 포맷을 즐겨 이용하는 이유는 대부분 파일을 압축하면 백신 소프트웨어가 가지고 있는 악성패턴을 쉽게 우회할 수 있기 때문이다
+앞장에서 설명한대로 백신 소프트웨어는 갖고 있는 악성 패턴을 기반으로 해 악성코드를 탐지하게 된다
+그런데 이 때 파일을 압축 프로그램을 이용해서 압축시켜버리면 원래 파일이 갖고 있던 패턴은 없어지게 된다
+따라서 백신프로그램의 악성 패턴을 우회할 수 있게 되는 것이다
+하지만 요즘에는 많은 보안 솔루션이나 프로그램들이 압축된 파일을 검사하는 기술을 선보이고 있다
+예컨대 뒷장에서 설명하게 될 가상머신 기반 탐지 솔루션의 경우 압축을 모두 해제한 이후에 내부의 파일을 검사하기도 한다
+이런 이유로 요즘 많이 쓰이는 방법 중에 하나가 바로 ‘다중 압축’ 방법이나 ‘암호 압축’ 방식이다
+우선, 다중 압축 방법은 악성코드를 압축 파일로 압축하고, 그 압축 파일을 다시 또 한 번 압축 프로그램으로 압축하는 방식이다
+이렇게 압축하는 것은 정상적인 파일을 전달하는 방법에서는 잘 사용하지 않는다
+왜냐하면 이미 압축이 일어난 파일을 다시 다른 압축 포맷으로 압축한다고 해서 효율성이 높지는 않기 때문이다
+어떤 파일이 이중 압축이 되어 있다면 일단 이상하다고 의심해보는 것이 좋다
+이렇게 이중, 삼중으로 압축을 하게 되면 앞서 언급한 것과 같은 ‘가상머신 기반’ 탐지 엔진과 같은 최첨단 분석/탐지 시스템이 있다고 하더라도 쉽게 탐지해내기가 어려워진다
+이런 이유로 해커가 간혹 사용하는 방법이기도 하다
+하지만 이중 압축의 방법은 앞서 얘기한대로 조금만 조심성 있는 사용자라면 이상한 점을 바로 알아차릴 수가 있다
+그래서 또 다른 방법으로 많이 사용 되는 것이 ‘암호 압축’ 파일에 의한 방법이다
+말 그대로 악성코드를 압축할 때 패스워드를 주는 것이다
+사용자가 패스워드를 입력해야만 압축이 해제되도록 하는 것이다
+이 방법을 사용하면 앞서 언급한 ‘가상머신 기반’ 분석 솔루션이 실제로 압축을 해제하려고 해도 할 수가 없게 된다
+해커는 이메일 본문에 “압축 파일의 암호는 XXX입니다”라는 메시지를 남겨 실제로 이메일을 읽어본 사용자만 압축파일의 패스워드를 인지하고 압축을 해제할 수 있도록 한다
+이런 방법은 우리가 실제로 이메일 전송 중 중요한 파일을 전송할 때 많이 사용하는 것이기도 해서 사용자를 좀 더 쉽게 속이면서 탐지 장비를 무력화시킨다
+하지만 보안 장비들도 이에 맞춰서 함께 진화하고 있다
+보안 장비는 이메일의 본문 내용을 모두 읽어들인 이후 본문에 있는 단어를 모두 정렬시킨다
+그런 다음 단어를 일일이 대입해보는 식으로 암호가 걸려 있는 압축파일 해제를 시도한다
+이 방법이 상당수 보안 솔루션 판매 회사에 적용되자 요즘은 패스워드 부분만을 그림파일로 만들어서 이메일에 복사해 보내는 경우도 생기고 있다
+첫 번째는 파일을 다운로드하는 URL을 이메일 본문에 포함시키는 방법이다
+URL을 클릭하면 사용자에게 악성코드가 다운로드 되도록 만드는 것이다
+중요한 건 이런 파일 다운로드 유도 방식을 사용하면 파일 다운로드만 될 뿐 실제 파일이 자동으로 실행되는 것은 아니라는 점이다
+앞선 장에서 살펴본 바와 같이 워터링홀 공격에서는 익스플로잇의 동작에 의해서 사용자의 동의 없이 악성파일이 다운로드될 뿐 아니라 다운로드 파일을 익스플로잇이 자동으로 실행하는 과정까지 포함한다
+반면에 파일 다운로드 유도 방식은 사용자를 속여서 다운로드하게 만들 수는 있지만 실행은 사용자가 직접 해야 한다
+예를 들어 동창 모임 웹사이트를 해킹한 이후에 동창모임 담당자의 이메일 계정을 이용해서 메일을 보낸다
+또 이메일 본문 안에 파일을 다운로드할 수 있는 URL 링크를 걸어둔다
+이렇게 하면 이메일을 받는 수신자는 자신이 신뢰하는 동창회 관리자로부터 온 이메일이기 때문에 특별한 주의나 의심 없이 이메일 본문에 링크된 파일을 다운로드하고 실행까지 해보는 것이다
+또 한가지 파일 다운로드 유도 URL 공격에서 많이 사용되는 방식이 웹하드나 SNS의 링크 공유를 이용하는 방법이다
+이렇게 되자 공격자들은 한발 더 나가는 방법을 사용하기 시작했다
+신뢰할 수 있는 웹사이트를 이용해서 악성코드의 다운로드 링크로 활용하는 것이다
+대표적인 경우가 드롭박스, 구글드라이브, 네이버드라이브와 같은 대형 사이트가 운영하는 웹하드 솔루션을 이용해서 악성코드 유포지로 사용하는 것이다
+이런 사이트는 무료로 수십에서 수백 기가바이트까지 다양하고 큰 용량의 웹저장 공간을 제공하고 있다
+또 웹사이트 주소가 거의 대부분 보안 장비에서 화이트리스트, 그러니까 이미 정상이라고 판단, 검사할 필요가 없는 사이트의 목록에 등록되어 있기 때문에 쉽게 보안장비나 소프트웨어를 우회할 수 있게 된 것이다
+설령 악성코드를 검사할 수 있는 보안 장비가 있더라도 사람만이 실제로 파일을 다운로드할 수 있는 확률이 높기 때문이다
+이렇게 파일을 다운로드 유도하는 URL과 사회공학적 기법을 적절하게 함께 사용해 공격을 감행하게 되면 이메일을 수신하거나 이를 방어하는 보안 솔루션 입장에서는 사전에 탐지 및 차단하는 것이 매우 어려울 수밖에 없다
+유일한 방법은 사전에 해당 링크에서 실제 파일을 다운로드한 이후에 검사하거나 사용자의 PC에 있는 백신이나 보안 소프트웨어가 실행되는 단계에서 이를 정확히 탐지해내는 것이 필요하다
+또 알려진 웹사이트나 SNS와 연결되어 있는 링크라도 이메일로 전달된 경우는 이메일을 보낸 사람에게 한 번 더 파일 출처 등을 확인한 이후에 다운로드하고 실행하는 세심한 주의가 필요하다
+앞장에서 설명했던 워터링홀 공격은 매우 강력한 해킹 공격 방법 중에 하나이다
+A 기업 직원이 자주 접속할 것 같은 웹사이트인 B사이트를 웹해킹 기법으로 해킹한 이후 여기에 익스플로잇 코드를 숨겨둔다는 것이 우리가 앞서 살펴본 워터링홀 공격의 대략적인 진행 과정이다
+문제는 B사이트에 A기업의 직원들이 언제 접속할지 알 수 없고 또 접속하더라도 해커가 원하는 사용자가 접속할지는 알 수 없는 일이다
+예컨대 해커는 A기업의 대표의 PC를 해킹하기를 원하는데 대표가 여기 접속할지 안할지는 운에 맡겨야 한다는 것이다
+또 B사이트를 웹해킹해서 이를 들키지 않고 오랫동안 유지하는 것도 큰 노력과 비용이 필요한 일이기도 하다
+이 경우 해커는 익스플로잇이 실행될 수 있는 웹사이트를 직접 만든 후에 이 웹사이트에 접속할 수 있는 URL을 사용자에게 이메일로 보내는 것이다
+이때는 앞서 얘기한대로 사회공학적 기법을 함께 적용해서 사용한다
+예를 들어 회사 디자인과 마케팅을 담당하는 사용자에게는 이에 맞는 세미나에 초청하는 초대장을 가짜로 만들어서 이메일로 보내는 것이다
+이메일 수신자는 자신의 업무와 관련되어 있는 초대장이기 때문에 대부분 의심 없이 이를 클릭해보게 되고 URL을 클릭하는 즉시 해커가 미리 만들어 둔 워터링홀 웹사이트로 연결되면서 익스플로잇 코드가 실행되고 해킹되도록 하는 것이다
+앞서 이야기한대로 이메일을 이용한 해킹 공격은 일반적으로 특정한 해킹의 목표가 정확한 경우에 많이 사용하는 공격 방법이다
+불특정 다수를 가능한 많이 악성코드에 노출시키고자 하는 워터링홀 공격 방법과는 차별되는 지점이다
+따라서 이 경우 해커는 익스플로잇을 유포하는 워터링홀 웹사이트를 만들어서 이메일을 통해서 전달하는 방법을 사용하는 것이다
+이 방법은 매우 강력하고 효과적인 해킹 방법 중 하나다
+우선 방법론적으로는 이메일을 이용해서 은밀하게 해킹의 목표가 되는 사람에게만 이메일을 전송하므로 쉽게 발각될 확률이 적다
+또 워터링홀 공격을 이용하기 때문에 보안 장비나 소프트웨어에서 탐지가 매우 어렵다
+마지막으로 사회공학적 기법을 응용하므로 사용자의 부주의나 방심을 이끌어내기가 상대적으로 수월하다
+이메일을 이용한 공격에서 가장 중요한 것은 해킹의 목표가 되는 사용자의 이메일 주소를 어떻게 확보하느냐다
+구글 검색엔진이나 SNS 등을 이용하면 손쉽게 이메일 주소를 얻기도 한다
+따라서 중요한 이메일 계정과 외부에 공개되는 이메일 계정을 분리해서 사용하는 것도 좋은 방법이 될 수 있다
+이메일 주소를 아무 장소에나 오픈하는 것은 좋은 생각이 아니다
+꼭 필요한 경우에만 공유하고 오픈하는 것이 좋다
+따라서 여기에서는 몇 가지 팁을 통해 이메일 공격을 좀 더 효과적으로 대응하는 방법을 살펴본다
+웹기반으로 사용이 편리할 뿐 아니라 용량도 크고 안정적이다
+이런 이유로 일반인들 상당수가 이런 웹기반 무료 이메일 서비스를 사용하고 있다
+요즘은 이메일에 의한 보안 이슈가 화두로 떠오르면서 무료 웹메일을 제공하는 이들 기업도 이메일 첨부파일에 대해 기본 보안기능은 물론 강력한 스팸차단 기능까지 함께 제공한다
+이런 무료 이메일 서비스의 특징을 잘 파악해서 적절하게 사용하면 의외로 보안성을 크게 강화할 수 있다
+처음 외부에서 이메일이 올 때는 A회사의 메일로 오도록 만들고 다시 이메일을 B계정으로 전달하는 방식을 사용할 수도 있다
+보통 웹메일 제공사마다 사용하는 이메일 보안엔진 종류가 다르기 때문에 이렇게 설정하면 회사별로 서로 다른 보안엔진 검사 후 전달된다
+따라서 이메일 수신 전 악성코드가 담겨 있는 이메일을 사전 탐지하고 차단할 확률이 높다
+추천하는 조합은 우선 마이크로소프트의 아웃룩닷컴 메일이나 구글의 지메일로 메일이 먼저 오도록 설정한다
+외부에 이메일 주소를 알려줄 때에는 마이크로소프트 아웃룩 계정이나 구글의 지메일 계정을 알려줘야 한다
+아웃룩이나 지메일에는 각각 이메일 전달이라는 기능이 있다
+이 기능을 쓰면 내 수신함에 들어온 이메일을 특정 이메일 주소로 자동으로 전달할 수 있다
+이때 수신된 이메일을 2차 메일 계정인 네이버의 네이버메일 같은 계정으로 전달시킨다
+이렇게 하면 1차적으로는 아웃룩이나 구글의 지메일 보안 서비스를 통해 스팸과 악성코드가 탐지 및 차단된다
+안전하다고 판단한 이메일만 다시 네이버메일 계정으로 전달되는 것이다
+2차적으로 네이버메일로 전달되면 네이버메일이 제공하는 첨부파일에 대한 2차적인 악성코드 검사가 이뤄진다
+결과적으로 서로 다른 강력한 보안엔진 2개를 통해 검사를 하게 되기 때문에 그만큼 악성코드를 걸러낼 수 있는 확률이 높아진다고 할 수 있다
+물론 꼭 이런 순서로 서비스를 구성할 필요는 없다
+다만 네이버메일은 메일 전달 기능을 제공하지 않기 때문에 1차 필터로 사용할 때에는 다소 제약이 있을 수 있다
+아웃룩이나 지메일 같은 경우 보안기능을 크게 강화해 악성코드가 확실하다고 판단되는 이메일은 사전에 차단을 해버린다
+따라서 이메일을 받는 사람은 자신에게 그런 이메일이 왔다는 사실조차 잘 알지 못하게 된다
+이런 문제는 가끔 정상적인 첨부파일을 악성으로 잘못 판단하는 오탐의 문제와 겹쳐지기도 한다
+간혹 보안엔진 오탐으로 인해서 정상적으로 받아야 하는 이메일을 받지 못할 수도 있다
+이런 경우 다시 한 번 메일 송신자에게 재전송을 요청해야 하는 번거로움이 생긴다
+그럼에도 불구하고 이런 중복 메일 계정을 통한 보안검사 방법은 무료이면서도 아주 강력한 보안검사를 동시에 사용할 수 있으므로 매우 효율적이다
+또 이메일이 자동으로 전달되는 구조로 설정이 가능하기 때문에 메일 사용에도 큰 불편함이 없다
+이메일을 이용한 악성코드 공격에 대응하는 효율적인 방법으로 개인 사용자에게 추천할만한 방법이다
+보안 문제도 스타트업이 오롯이 스스로 풀어내야 한다는 의미다
+따라서 이메일 보안을 스스로 관리할 수 있는 정도의 전문 인력이 생기기 전까지는 별도의 솔루션 사용을 권한다
+무엇이 더 좋다고 말하기는 어렵지만 보통 구글웍스나 네이버웍스 정도면 무난하게 사용이 가능할 것이다
+비용도 저렴하거나 무료일 뿐 아니라 보안성도 비교적 무난하게 제공하기 때문이다
+스타트업이나 중소기업을 대상으로 파이어아이의 이메일 보안 솔루션을 클라우드 기반으로 제공하는 서비스다
+파이어아이는 전 세계에서 가장 핫한 보안 기업 가운데 하나다
+뒷장에 다시 설명하겠지만 가상머신을 이용한 행위기반의 탐지 솔루션을 시장에 처음 선보였고 현재 차세대 보안 시장에서 부동의 글로벌 1위를 유지하고 있는 기업이기도 하다
+이 책을 쓰고 있는 시점에선 악성코드를 탐지하는 방식으로는 가장 진보한 기술 방식이기도 하다
+하지만 워낙 고가의 가격정책으로 인해 스타트업이나 중소기업 입장에서는 감히 엄두도 낼 수 없는 솔루션이었다
+보안성이 뛰어나도 가격 부담이 너무 커서 도입하기 어려웠다
+이런 이유 때문에 파이어아이 같은 가상머신 기반 솔루션은 국내 대기업이나 대형 공공기관 위주로 사용자 그룹을 확보하고 있었다
+파이어아이의 ETP 서비스는 그 동안 스타트업이나 중소기업이 구매하기 어려웠던 가격 문제를 클라우드 기반 서비스 운영을 통해 해소했다
+클라우드 기반 서비스 모델은 몇 년 전부터 IT 시장에 큰 흐름이 되어 왔다
+클라우드 기반 IT 서비스 모델이 각광을 받아온 이유는, 클라우드를 통한 서비스를 제공 받을 경우 기업은 매년 천문학적으로 발생하는 IT 서비스 운영 비용을 혁신적으로 줄일 수 있기 때문이다
+잘 알려진 이야기이지만 뉴욕타임스는 1,100만 건에 이르는 방대한 기사 정보를 PDF로 변환하는 과정에서 아마존의 클라우드 컴퓨팅 기술을 사용했다
+일반적인 SI 사업모델로 진행하면 수십 억원에 이르는 금액이 소요될 수 있었지만 뉴욕타임스가 아마존에 지급한 비용은 채 200만 원이 되지 않았고 소요 시간도 단 하루에 불과했다
+그 중에서도 단연 눈에 띄게 성장하고 있는 클라우드 기반 서비스는 이메일이다
+구글의 지메일을 회사 메일로 이용하는 사례를 심심치 않게 발견할 수 있는 것도 이런 트렌드의 방증일 것이다
+하지만 국내에서는 이런 클라우드 기반 서비스 도입이 아직까지는 광범위하게 이뤄지지 못하고 있다
+그 중에서도 국내 고객이 갖고 있는 클라우드 서비스에 대한 ‘보안 우려’가 큰 이유가 되고 있다
+이메일을 클라우드 기반으로 바꾸면 단순한 SPAM에 대한 필터 등은 가능하겠지만 요즘 큰 이슈가 되는 첨부파일 악성코드처럼 특화된 이메일 공격에 대해서는 방어 수단이 전무한 상태가 되어 버린다
+클라우드 서비스업체 입장에선 인프라 투자 비용을 최소화시켜야만 더 많은 수익을 창출할 수 있게 되는데 APT 같은 표적화 공격까지 대응할 수 있는 인프라를 구축하는 것은 비용 면에서 쉽지 않다
+결국 클라우드 기반 이메일 서비스를 사용하는 고객 입장에서는 이런 특화된 표적화 공격에 대한 방어 수단이 약해질 수 밖에 없는 것이다
+이런 이유로 파이어아이와 같은 글로벌 보안 회사들의 강력해진 이메일 보안 서비스는 반갑다
+사용자 입장에서는 기존 클라우드 기반 이메일 서비스를 통해서 누리고 있던 비용절감이라는 효율성을 놓치지 않으면서도 동시에 최신 이메일 해킹 공격에 대응할 수 있는 강력한 솔루션을 저비용으로 운영할 수 있게 된 것이다
+특히 모든 서비스 운영이 클라우드에서 이뤄지므로 스타트업 같은 기업은 운영상 추가 리소스 부담도 덜어낼 수 있게 된다
+시장조사기관 가트너는 클라우드 기반 메일보안 솔루션 시장이 향후 5년 사이에 큰 폭으로 성장할 것으로 예상하고 있다
+보안을 강화하면서도 경제성을 유지하려는 스타트업이나 중소기업에게는 올 하반기 출시되는 이 서비스를 눈여겨봐도 좋을 것 같다
+DDoS 공격은 앞서 설명한 웹사이트 접속을 이용한 워터링홀 공격이나 이메일을 이용한 스피어피싱 공격에 비하면 상대적으로 간단한 방법으로 이뤄진다
+기술적으로 공격 내용을 이해하기 어렵거나 예측하기 힘든 것이 아니기 때문에 이론적으로는 기술적인 방어 방법도 단순한 편이다
+이렇게 되면 당장 식당의 돈이 사라져서 피해를 보는 것은 아니지만 주문도 하지 않는 가짜 손님 탓에 실제로는 정상적인 영업을 할 수 없게 된다
+DDoS 공격이 바로 이런 방식이라고 보면 된다
+예컨대 웹서버에 가짜 접속 요청을 무한히 많이 보내면 가짜 접속 요청 탓에 실제로 서비스를 이용하고자 하는 사람까지 피해를 보게 되는 것이다
+트래픽 패턴을 분석하면 비교적 정확하게 DDoS 트래픽을 분류하는 것도 가능하다
+그럼에도 불구하고 아직까지 DDoS 공격에 많은 기업이 피해를 받고 있는 이유는 트래픽의 양 때문이다
+몇 년 전 정치적인 문제로 인해 광화문광장에서 수십만 인파가 몰려 집회를 한 적이 있다
+이 때 집회의 사회를 보던 사람이 항의의 뜻으로 공공기관의 홈페이지에 동시에 접속해서 웹사이트를 다운시키자는 제안을 했다
+비슷한 경우는 다른 예에서도 볼 수 있다
+예를 들어 어떤 기업에 대해서 불매운동을 하는 동시에 항의의 뜻으로 기업 홈페이지에 여러 사람들이 동시에 접속해 웹사이트를 다운시키는 것이다
+하지만 한 가지 밝혀둘 사실이 있는데 요즘 웬만한 대기업에서는 이에 대한 방비가 되어 있다
+그러면 CDN 서비스 업체는 3만 명 정도가 접속 가능한 시스템을 제공하는 식이다
+공격하는 트래픽을 압도할 만한 서버 용량을 제공해 공격 자체를 무력화시키는 것이다
+대기업에 항의를 하고 싶다면 DDoS 공격보다는 게시판에 항의글을 도배하는 쪽이 훨씬 효과적일 것 같다
+물론 웹사이트를 다운시킬 정도의 충분한 사람이 모여서 동시에 접속을 시도한다면 웹사이트도 버티기 어려울 수 있다
+하지만 대기업 대부분은 보안장비, 로드밸런서 등 다양한 대응책을 세워두고 있기 때문에 큰 피해를 주지 못할 확률이 높다
+이를 위해 먼저 인터넷을 할 때 통신이 어떻게 이루어지는지 알아둘 필요가 있다
+인터넷 같은 네트워크 통신은 계층적 통신을 하게 된다
+계층적 통신이라는 말은 기계가 이해하는 통신 규약에서부터 사람이 이해하는 통신 규약을 단계별로 연결, 통신하는 방법을 말한다
+인터넷 케이블 상에 기계가 이해하는 어떤 시그널이 있었다고 하면 이를 컴퓨터의 랜카드가 좀 더 사람에 가까운 통신 규약으로 변경한다
+다시 윈도 같은 운영체제가 사람이 이해하기 편한 규약으로 바꿔주고, 마지막으로 크롬이나 인터넷 익스플로러 같은 프로그램을 이용해 사람이 쉽게 사용할 수 있도록 연결해준다는 것이다
+이렇게 기계와 사람 사이의 통신을 원활하게 이어주는 방식으로 통신이 이뤄지기 때문에 계측적 통신이라고 부른다
+여기에서는 TCP에 대한 자세한 내용을 다루지 않겠지만 간단하게 어떻게 통신이 이뤄지는지 정도는 알아두는 게 좋겠다
+TCP 통신에서는 통신을 하고자 하는 두 당사자 사이에 우선적으로 전송 신뢰성을 보장할 수 있는 채널 연결이 우선된다
+전송 신뢰성을 보장한다는 의미는 데이터를 보내거나 받는 쪽에서 데이터를 정확히 수신하면 이에 대해 잘 받았다는 답장을 해 데이터 유실 없이 신뢰성 있는 통신을 할 수 있다는 의미다
+동시에 데이터를 제대로 수신하지 못하게 되면 데이터를 받지 못했다는 알람을 보내 보내는 사람이 다시 데이터를 재전송하는 매커니즘으로 동작하도록 설계되어 있다
+TCP 통신에서는 모든 통신 이전에 반드시 이런 신뢰성 있는 채널을 확보하게 된다
+먼저 데이터를 보내고 싶은 쪽에서 신뢰 채널을 열고 싶다는 요청을 보낸다
+그러면 받는 쪽에서는 ‘알겠다’는 답변을 보내고 다시 보내는 쪽에서는 신뢰 채널이 최종적으로 열렸다는 확인을 보낸다
+이렇게 3번에 걸쳐서 수신자와 송신자 사이에 채널 형성의 과정이 진행된다
+TCP에서는 이 각각의 단계를 구분하기 위해 구분자(TCP Flag)라는 것을 이용한다
+예컨대 최초에 채널을 열고자 요청을 할 때에는 패킷에 ‘TCPSYN’이라는 푯말을 달고 패킷이 전달된다
+데이터를 받는 쪽에서 이런 요청(SYN)을 문제 없이 받으면 잘 받았다는 것을 알려 주는데 이 때 패킷에 ‘SYN-ACK’이라는 푯말을 달아서 보낸다
+마지막으로 채널이 최종적으로 완료되었음을 알리기 위해서 송신자는 ‘ACK’ 패킷을 한 번 더 보낸다
+이렇게 신뢰 채널이 TCP를 이용해서 수신자와 송신자 사이에 열리게 되면, 비로소 실제 데이터를 주고받을 수 있게 되는 것이다
+그러면 처음 채널 개설을 요청을 할 때 사용자 PC는 ‘TCP SYN’이라는 푯말이 붙은 패킷을 웹서버에 보내게 될 것이다
+신뢰 채널 위에서 정상적인 요청이 들어오게 되면 기존에 확보해 두었던 메모리 공간을 이용해 통신을 시작한다
+씬 플러딩 공격은 바로 이런 TCP 매커니즘을 이용해 공격하는 방법을 말한다
+말 그대로 TCP-SYN 요청을 홍수(flooding)가 날 정도로 무한히 서버로 보내는 것이다
+앞서 설명한대로 TCp-SYN 패킷을 서버가 받게 되면 뒤이어 전달될 정상 패킷을 기대하면서 메모리 상에 일정 부분을 확보한다고 설명했다
+서버는 각각의 요청에 대해 메모리 상에 영역을 할당하고 대기하게 될 것이다
+또 각각의 요청에 대해 SYN-ACK 패킷을 전달하고 ACK 패킷을 기다릴 것이다
+하지만 이런 SYN 요청이 무한대로 들어오면 결국 서버 메모리 상에는 요청을 기다리는 세션으로 인해서 넘쳐나게 될 것이다
+이렇게 되면 실제로 정상적인 웹서버에 대한 요청이 오더라도 정상적으로 처리하기 불가능해지는 것이다
+결국 무한히 인입되는 TCP SYN 요청에 의해서 웹서버의 자원이 고갈되어서 정상적인 서비스가 불가능해지도록 만드는 DDoS 공격 방법이 바로 씬 플러딩 공격 방법이다
+씬 플러딩 방법은 비교적 구현이 단순하고 기술적인 대응 방법도 어렵지 않다
+하지만 한 번 공격이 시작 되면 어마어마한 양의 공격이 동시에 이뤄지기 때문에 실제로는 방어한다는 것 자체가 쉽지 않다
+어떻게 막으면 되는지 알면서도 막기가 어려워지는 것이다
+이런 씬 플러딩 공격을 막는 방법은 몇 가지가 있다
+씬 쿠키는 1996년 대니얼 번스타인과 에릭쉥크가 제안한 방법이다
+씬 쿠키는 구현이 간단하면서도 강력한 방법으로 씬 플러딩 공격을 차단할 수 있는 기술로 널리 알려져 있다
+공격자가 SYN 패킷을 보내어서 웹서버에서 SYN-ACK 패킷을 보내고 세션을 기다리도록 만들려고 할 때 서버는 SYN-ACK 패킷을 보내면서 TCP의 Option 필드 부분에 이 요청된 세션에 대한 정보를 요약해서 적어둔 뒤에 보낸다
+그리고 나선 메모리 상에 기다리고 있는 세션을 그대로 지워 버린다
+이렇게 하면 실제로 공격자가 보낸 SYN 패킷으로 웹서버 메모리가 점유 당하지 않게 된다
+공격자가 계속해서 SYN 패킷을 보낸다고 하더라도 웹서버는 세션에 대한 요약 정보가 담겨있는 응답 패킷을 보낸 이후에 메모리 상에서 세션을 지워 버리기 때문에 동작에는 전혀 문제가 없게 되는 것이다
+정상적인 사용자가 보낸 SYN 패킷도 마찬가지로 SYN Cookie 알고리즘에 의해서 요약정보를 포함한 채로 응답 패킷인 SYN-ACK를 받게 된다
+웹서버에서는 마찬가지로 메모리 상에 있는 세션 정보가 지워지게 된다
+이 사용자는 정상 사용자이기 때문에 SYN-ACK 패킷을 받은 이후 TCP 3웨이 핸드셰이크를 마무리하기 위해 ACK 패킷을 보낼 것이다
+이때 ACK 패킷을 수신한 웹서버는 세션에 대한 정보가 없는 상태이기 때문에 원래 동작으로는 세션을 맺지 못하고 종료해야 한다
+하지만 씬 쿠키 알고리즘은 자신이 보낸 세션에 대한 요약정보가 응답 패킷에 그대로 붙어서 오는 것을 확인한다
+그리고 요약 정보로부터 씬 쿠키 알고리즘은 세션 정보를 복원할 수 있게 된다
+따라서 SYN 패킷을 보낸 사용자가 정상적인 요청을 하는 사용자라는 것이 확인된 시점에서야 비로소 정상 연결을 만들어서 맺게 되는 것이다
+요즘은 이런 씬 쿠키 알고리즘을 소프트웨어 방식이 아닌 하드웨어를 이용한 전용 칩셋을 통해서 구현한다
+따라서 접속 지연도 최소화되고 차단 가능한 씬 플로딩 공격의 양도 100Gbps에 이를 정도로 대용량을 지원한다
+다시 말해 막는 것이 쉽지는 않지만 기술적인 방안이 준비되어 있다는 것이다
+하지만 대역폭이나 컴퓨팅 자원을 고갈시키는 형태의 DDoS 공격은 딱히 기술적인 대안이 없다
+이 장의 앞에서 예로 들었던 바와 같이 수많은 사람들이 웹사이트에 동시에 접속하는 형태의 DDoS 공격이 바로 이런 형태에 해당되기 때문이다
+대역폭을 포함한 자원고갈형 DDoS 공격의 경우는 모든 접속 요청이 정상적이기 때문에 어떤 것을 차단하고 어떤 것을 허용할지를 판단하기란 거의 불가능하다
+예를 들어 웹접속 요청 100개를 처리 가능한 웹서버에 150~200에 가까운 웹접속 요청을 동시에 발생시키는 것이 바로 이런 자원 고갈형 DDoS 공격의 특징이다
+이렇게 되면 모든 요청이 정상으로 판단되기 때문에 웹서버는 허용을 하게 될 것이고 결국 이를 처리할 수 있는 자원이 모자라게 되면서 서비스가 불가능해지는 것이다
+물론 앞서 설명한대로 CDN과 같은 서비스를 이용해서 이를 피하는 방법도 있다
+하지만 스타트업이나 중소기업의 입장에서 보면 CDN과 같은 유료 서비스를 이용해서 이런 DDoS 공격에 대한 대비를 하는 것은 쉽지 않다
+만일 DDoS 공격이 1년 내내 이어진다면 무리가 되더라도 CDN 같은 서비스도 고려해 볼 수 있을 것이다
+하지만 DDoS 공격이 1년에 몇 번 발생할지도 알 수 없고 심지어 1년에 한 번도 발생하지 않을 수 있는데 대기업이 아닌 스타트업이나 중소기업 입장에서 값비싼 CDN과 같은 서비스를 이용하기에는 역부족일 것이다
+또 자원 고갈형 DDoS 공격은 모든 접속 요청이 정상 서비스 요청과 동일하기 때문에 클라우드 컴퓨팅을 이용해 웹서비스를 하는 스타트업 입장에서도 주의가 필요하다
+만일 서비스 안정성을 위해서 서비스 요청이 늘어날 경우에 클라우드 컴퓨팅 자원 상에서의 대역폭이나 자원도 함께 늘어날 수 있도록 설정을 해뒀다면 이런 DDoS 공격으로 인해서 요금 폭탄을 맞을 수도 있다
+클라우드 컴퓨팅 센터 입장에서 본다면 어떤 요청이 정상적인 서비스 요청이고 어떤 요청이 DDoS 공격인지 분간하기 어렵기 때문이다
+따라서 클라우드 컴퓨팅을 이용해서 스타트업 사이트를 운영한다면 각별한 모니터링과 주의가 필요하다
+APDoS 공격은 기존에 알려져 있던 DDoS 공격과는 비교가 안 될 정도의 양으로 공격을 진행하며 공격하는 방식도 여러 가지 방법을 혼합해서 한 번에 공격하는 특징을 갖는다
+예를 들자면 씬 플로딩, HTTP 플로딩(HTTP Flooding), SQLi 등 다양한 웹접속을 이용한 공격 방법을 섞어서 사용하면서 초당 수백만에서 수천만 개 이상 웹접속 요청을 보내 서버를 다운시키는 효과를 거둔다
+또 목표로 정한 웹서버가 다운되어서 실제로 서비스가 불가능해질 때까지 지속적으로 공격을 하기 때문에 이를 막아낸다는 것은 매우 어렵다
+한 예로 50페타비트에 달하는 트래픽으로 약 38일간 지속적으로 목표물 웹사이트를 공격했다는 기록도 있다
+이 정도 양은 앞서 언급한 CDN 같은 서비스가 있어도 효과적으로 막아내는 것이 매우 어렵다는 것을 의미한다
+DDoS 공격은 기본적으로 인해전술 공격이고 이를 막기 위한 방법 또한 더 많은 컴퓨팅 자원을 기본으로 한다
+때문에 이보다 더 많은 APDoS와 같은 공격이 지속적으로 이루어지면 결국은 막아내는 것이 어려워지게 된다
+물론 이런 공격이 스타트업 기업이나 중소기업을 대상으로 일어나는 일은 흔치 않다
+대부분은 대기업이나 국가의 공공기관, 은행 등을 대상으로 이뤄진다
+하지만 APDoS처럼 DDoS 공격의 진화된 형태가 지속적으로 나타나고 있다는 것은 향후 개인이 사용하는 퍼스널 컴퓨터의 컴퓨팅 파워가 진화하는 것과 더불어 잠재적인 미래의 위협이 될 수도 있다는 점에서 장기적인 대비책이 필요하다
+이 모든 공격 방법은 서로 특별한 연관성 없이 별도로 이루어지는 것처럼 보인다
+하지만 사실은 서로 간의 연결 고리가 있다
+마치 나비효과처럼 특별한 상관이 없어 보이는 하나의 현상으로 인해 전혀 생각하지 못했던 다른 일이 일어날 수도 있다는 뜻이다
+앞장에서 설명한 내용을 다시 짚어보면 해커는 웹해킹을 통해 정상적인 웹사이트를 해킹하고, 여기에 익스플로잇 코드를 심어서 워터링홀 공격을 감행한다
+이 사이트가 정상 웹사이트라고 생각하고 접속하는 불특정 다수 사용자는 익스플로잇 실행으로 인해서 해킹되고 명령제어서버(C&C서버)에 의해서 원격 조종을 받게 된다
+이때 해커는 사용자 PC에 대한 모든 권한을 명령제어서버를 통해서 행사할 수 있게 되므로 해당 PC는 해커의 조종에 의해서 움직이게 된다고 해서 좀비PC라고 불린다
+이렇게 대규모로 만들어진 대규모의 봇넷은 해커의 의도대로 움직이게 된다
+해커는 명령제어서버를 통해 1만 대의 좀비PC에게 웹캠 도촬을 하게 설정하거나 특정 정보를 빼낼 수도 있게 되는 것이다
+따라서 해외에서는 해커가 이렇게 대규모 좀비PC로 이뤄진 봇넷을 만들어 놓은 다음 이를 특정 목적에 맞게 대여해주고 돈을 받는 불법적인 서비스까지 제공되기도 한다
+이 사이트에 가입해서 활동하는 사용자 중에서는 아예 풀타임으로 게임 중계를 하는 등 웹사이트에서의 게임 중계를 본업으로 정하고 이를 통해서 생계를 유지하는 사람도 적지 않다고 한다
+그런데 한 조사에 따르면 이런 서비스를 제공하는 트위치에서 봇넷을 이용해서 시청자 수를 부풀려서 마치 인기 채널인 양 왜곡, 불법으로 이익을 취하게 해주는 프로그램이 있는 것으로 밝혀졌다
+트위치 브로드캐스터는 채널 구독자, 시청자 기부, 생중계 후 광고 표시 등 3가지 기준에 따라 수익을 받게 된다
+이는 500명 이상 정기 사용자를 확보한 채널에만 적용된다
+하지만 봇넷에 속해있는 대규모 좀비PC로 시청자 수를 부풀려 수익을 부정하게 챙기는 채널이 생기고 있는 것이다
+보안 업체 조사에 따르면 이렇게 트위치에서 시청자 수를 부풀리는 봇넷 서비스가 뒷거래를 통해서 은밀하게 판매되고 있는 정황이 포착됐다고 한다
+대규모 좀비PC가 속해있는 봇넷을 조종하는 프로그램은 매우 쉽게 설치할 수가 있고 몇 번의 클릭만으로도 아주 간단하게 시청자 수를 늘릴 수 있다
+이렇게 은밀하게 판매되고 있는 봇넷 중 하나는 좀비 컴퓨터화한 시스템 1개당 트위치 채널 5개에 동시에 연결이 가능하다
+또한 연결된 화면을 막상 좀비PC 자체에서는 확인할 수 없기 때문에 실제 좀비PC의 주인은 자신의 컴퓨터가 트위치 접속에 동원되고 있다는 사실조차도 확인하기 어려운 구조로 동작을 한다
+인터넷 상에는 아예 봇넷을 렌탈해주는 서비스도 있다
+이런 봇넷은 크롬이나 어도비 소프트웨어 업데이트를 가장한 악성코드가 주 원인으로 보인다고 한다
+또 다른 예를 보면 한 글로벌 보안 업체에서는 지난 2013년 악성코드에 감염된 안드로이드 단말 기기로 이루어진 세계 최대 규모의 모바일 봇넷을 발견했다고 발표했다
+감염된 기기가 가장 많은 국가는 러시아와 우크라이나, 카자흐스탄, 벨로루시공화국 등이며 이로 인한 피해 규모는 수십만 달러에 달할 것으로 추정된다
+해커들은 이미 만들어진 안드로이드 봇넷에 감염된 안드로이드 단말을 추가하기 위해 수많은 변종의 악성코드를 이용해서 지속적인 유포를 하고 있던 것으로 나타났다
+이 가운데 변종 악성 파일 하나를 설치하면 계정 잔액이나 국가코드, 전화번호, 사업자번호, 스마트폰의 모델명, 안드로이드 OS 버전 같은 정보가 해커에게 유출된다
+또 원격으로 특정 문자를 지정한 번호로 보내게 하거나 주소록에 등록된 번호에 대량의 SMS 발송을 유도해 SMS를 이용한 DDoS 공격을 수행하기도 한다
+위에서 살펴본 두 가지 사례에서 확인 가능한 것은 해커가 대규모 좀비PC로 구성된 봇넷을 만들고 이를 이용해서 다양한 피해를 유발시키고 있다는 점이다
+그리고 첫 번째 예에서 살펴본 바와 같이 심지어 좀비PC를 대여해주는 경우도 늘고 있다는 점이다
+더욱 중요한 것은 이런 좀비PC를 만들어내는 데에 가장 널리 사용되는 방법이 바로 워터링홀 공격이라는 것이다
+해커는 워터링홀 공격을 이용해서 대규모 좀비PC로 구성된 봇넷을 구성하고 추가적인 범죄를 저지른다
+그런데 이 과정에서 봇넷에 가장 많이 사용되는 것 중 하나가 바로 DDoS다
+수천 대에서 수만 대에 이르는 좀비PC를 만들어 둔 다음에 명령제어서버를 통해서 한 번에 봇넷에 명령을 내려서 특정 웹사이트에 대한 DDoS 공격을 수행하는 것이다
+이 경우 전 세계에 걸쳐 있는 수많은 좀비PC들이 동시에 접속을 시도하는 것이기 때문에 쉽게 막아낼 수 있는 방법이 없다
+실제 불법 온라인 도박사이트 같은 곳에서는 이런 대규모 봇넷을 이용해서 상대 경쟁사의 서버를 공격하는 경우가 왕왕 생기기도 한다
+전혀 연관성이 없어 보이던 불특정 다수를 대상으로 하는 워터링홀 공격과 DDoS 공격이 이렇게 연관성을 갖게 되는 것이다
+현재까지도 DDoS 공격을 막기 위한 대부분의 기술은 눈에는 눈, 이에는 이라는 방식을 따르고 있다
+공격자가 100Gbps의 트래픽으로 DDoS 공격을 감행하면 다시 200Gbps DDoS 공격을 처리할 수 있는 보안 장비로 막아내는 식인 것이다
+하지만 앞서 설명한대로 지능화된 APDoS와 같은 형태의 공격이 들어온다면 결국은 막아내는 쪽에서 질 수밖에 없는 싸움이 된다
+거기다가 고가의 DDoS 방어 장비를 무한정 구매해서 공격을 막아낼 수도 없다
+이렇게 눈에는 눈, 이에는 이로 대응하는 방법도 물론 경우에 따라서 필요할 수 있지만 원천적인 해결책이 되기에는 부족한 면이 있다
+하지만 조금만 시야를 달리하면 좀 더 손쉬운 해결책이 나온다
+앞서 말한 대로 좀비PC 수천 대는 방대한 양의 DDoS 공격을 일으킬 수 있다
+하지만 이런 수많은 좀비PC를 조종하는 것은 바로 명령제어서버 1대다
+명령제어서버는 1대이고 간단한 명령만을 내리는 것이기 때문에 트래픽의 양도 많을 필요가 없다
+만일 DDoS 트래픽 자체를 막는 데 초점을 맞추는 것보다 DDoS 공격을 하라고 명령을 내리는 명령제어서버를 찾아 차단해 버린다면 더 적은 자원으로 높은 효율을 얻을 수 있을 것이다
+명령제어서버 1대를 차단해 좀비PC 수천 대를 무력화시킬 수도 있게 되는 것이다
+물론 상황에 따라서 DDoS 공격의 트래픽 자체를 직접적으로 막아내야 하는 경우도 있다
+또 명령제어서버를 다수 찾아내어서 차단하는 것은 스타트업이나 대기업에서 할 수 있는 성격의 일도 아니다
+인터넷 회선을 제공하는 서비스 사업자나 국가 기관에서의 투자를 통해서만이 국내 인터넷 망에서 탐지되는 명령제어 서버를 효과적으로 차단할 수 있을 것이다
+이런 방법은 굳이 예를 들자면 한약과 양약을 통한 처방에 비유를 들 수 있겠다
+단기적으로는 직접적인 DDoS 공격을 막아낼 수 있는 기술적인 방법도 있어야 할 것이다
+하지만 장기적인 관점에서 본다면 국가나 인터넷 서비스 사업자의 공격적인 투자를 통해서 선제적으로 명령제어서버를 제어함으로써 DDoS에 의한 민간 기업의 피해를 좀 더 줄이는 방법이 될 수 있을 것이다
+KISA는 수년 전부터 DDoS 공격이 민간 기업에 끼치는 피해를 줄이기 위해 많은 투자를 진행해 왔다
+그 결과 몇 년 전부터 서비스를 시작하게 된 것이 바로 ‘DDOS 사이버 대피소’ 서비스다
+가장 좋은 것은 평소에 미리 신청을 해두는 것이다
+실제로 DDoS 공격을 받게 되면 KISA에 DDoS 방어 서비스를 요청한다
+그리고 신청자 웹사이트로 인입되는 웹접속 트래픽을 KISA가 구축해 놓은 사이버 대피소로 우회시킨다
+사이버 대피소에는 다양한 대용량 보안 장비들이 구축되어 있어서 DDoS 공격을 대부분 상쇄시킨다
+그리고 마지막으로 정상적인 서비스 요청만 원래 웹사이트로 보내준다
+결국 사이버 대피소가 필터링 역할을 1차적으로 해 민간 웹사이트가 안전해질 수 있는 것이다
+만일 미리 신청을 해두지 않았더라도 방법은 있다
+긴급 적용 서비스는 만약 사이버 대피소에 신청을 하지 않은 상태에서 DDoS공격을 받게 되면 KISA에 긴급 연락해 현재 DDoS 공격을 받고 있다고 설명하면 우선적으로 사이버 대피소로 트래픽을 우회시켜서 DDoS 공격을 막아준다
+신청서 작성은 그 후에 진행하도록 도움을 준다
+DDoS 방어에 대한 신청을 하게 되면 신청 기업은 사이버 대피소로부터 사전등록 완료 내역서를 받게 된다
+완료 내역서를 받게 되면 신청자는 스스로 웹사이트의 모든 서비스가 정상적으로 접속되는지 반드시 확인해봐야 한다
+KISA 사이버 대피소 측에서도 사전등록 후 일반적인 웹사이트에 대한 접속 테스트는 수행하지만 상품 주문처럼 사이버 대피소에서 테스트하기 어려운 웹사이트 내부의 다양한 서비스는 운영자 테스트가 필요하다
+:: KT의 유클라우드 서비스  유상 서비스 중에는 KT의 유클라우드 서비스도 나쁘지 않다
+KT는 수년 전부터 자체 인터넷 백본망에 DDoS 트래픽을 사전에 탐지하고 차단할 수 있는 다양한 보안 솔루션을 구축해 왔다
+덕분에 기본적으로 KT 인터넷망을 사용하는 KT 클라우드 서비스망은 기본적인 수준의 DDoS 방어 메커니즘이 포함되어 있다고 봐도 좋을 것이다
+하지만 스타트업 기업이 규모가 커지고 좀 더 높은 수준의 보안과 DDoS 대응이 필요하다면 유클라우드 서비스 내에 있는 엔터프라이즈 클라우드 서비스도 나쁘지 않다
+월 기본 요금은 70만 원에서부터 시작하며 웹방화벽과 전용 방화벽 그리고 침입방지시스템(IPS)까지 기본 제공한다
+서버 사양에 따라서 월간 가격은 다르지만 70~150만 원 선에서 가격이 정해진다고 보면 될 것 같다
+만일 별도 보안 장비를 운영할 수 있는 정도의 중견 기업 이상이라면 전용 DDoS 방어 장비를 고려해 보는 것도 나쁘지 않다
+그 중에서 눈길을 끄는 것은 미국 시애틀에 본사를 두고 있는 보안 기업인 F5네트웍스의 DDoS 방어 솔루션이다
+2대 이상 웹서버를 가지고 웹서비스를 한다고 가정했을 때 외부에서 들어오는 사용자의 웹접속 요청을 웹서버 여러 대로 안정적으로 분배해주는 기능이 필요하다
+로드밸런서는 대부분 웹서버 바로 앞단에 위치하게 된다
+만일 DDoS 공격이 웹서버로 인입되면 로드밸런서가 먼저 받아서 공격 트래픽을 제거하고 안전한 트래픽만을 웹서버로 보낼 수도 있다는 의미다
+F5의 또 다른 장점은 웹방화벽 기능도 제공이 가능하다는 점이다
+웹방화벽, DDoS 방어, 로드밸런서까지 한 번에 제공하는 흔치 않은 솔루션 중 하나다
+제품은 수십에서 100Gbps까지 대용량 DDoS 방어가 가능한 다양한 모델로 나뉜다
+클라우드 기반 DDoS 보안 서비스도 제공하고 있기 때문에 가격적인 부담이 있는 기업 담당자라면 고려해 보는 것도 나쁘지 않다
+이제까지 살펴본 바와 같이 DDoS 공격은 기본적으로는 단순하지만 대규모로 이뤄지기 때문에 방어나 차단이 쉽지 않다
+유상 서비스나 KISA 같은 국가기관을 통해서 제공되는 다양한 DDoS 방어 서비스를 미리 파악하고 있다가 문제가 발생했을 때 신속하게 움직여서 피해를 최소화할 수 있도록 평소에 준비하는 자세가 필요하다
+해커의 최초 공격에서 가장 중요하고 공통된 부분은 바로 어떻게 하면 사용자에게 들키지 않고 또 사용자의 동의 없이 악성코드를 사용자 PC에 침투시킬까 하는 점이다
+예컨대 바이러스, 웜, 트로이목마, 스파이웨어, 애드웨어 등 어디까지가 진짜 악성코드인지 아닌지도 헷갈리고 각각의 차이점도 파악하기 쉽지 않다
+즉 악의적인 의도로 만들어진 소프트웨어를 모두 총칭해서 부르는 말이다
+일반적으로 멀웨어는 컴퓨터 시스템의 정상적인 동작을 방해하거나 민감한 정보를 수집해서 빼내는 소프트웨어를 일컫는다
+이 장에서는 여러 가지 악성 소프트웨어와 특징을 살펴보고 어떻게 차이가 있는지 설명하기로 한다
+하지만 세계에서 처음으로 해킹을 한 건 지금부터 1세기 이상 전이라고 알려져 있다
+해커라는 말 역시 컴퓨터나 네트워크에 침입해 막대한 피해를 주는 나쁜 사람이라는 인상이 짙지만 시스템 보안 취약점을 찾아서 피해를 방지하는 걸 목적으로 하는 해커도 있다
+이런 해커들은 인터넷 탄생 이전부터 통신이나 전기 집계 시스템을 해석하고 다양한 정보를 해킹하고 있었다
+이 제품은 기존의 통신 기기와 같은 케이블을 쓰지 않고 무선으로 특정 주파수에 메시지를 더해 개인 통신을 할 수 있었다
+마르코니의 발명에 두려움을 느낀 통신 업계는 무선에 뾰족한 대책이 없었다
+마스켈린은 무선 기술에 대한 연구를 거듭한 끝에 마르코니의 무선기기가 통신하고 있을 때 아무도 모르게 주파수를 가로채 통신 내용을 도청하는 데 성공했다
+1903년 마르코니는 첫 라디오 공개 실험을 영국 런던에서 실시했다
+실험 내용은 500km 가량 떨어진 곳에서 보내는 무선 통신을 마르코니의 무선 기기를 이용해 수신할 수 있는지 여부를 확인하는 것이었다
+하지만 마르코니가 준비한 메시지를 수신하기 전에 마르코니를 웃음거리로 만드는 일이 발생했다
+이것이 바로 세계 역사상 첫 해킹으로 기록되어 있는 사건이다
+마르코니는 해킹 피해를 받은 다음 해킹은 과학 기술을 이용한 난폭한 행위라며 항의 편지를 타임스에 보내 범인 색출을 도와달라고 한다
+그는 마르코니의 무신 기기 메시지를 중단시킨 건 자신이라고 밝히고 공개적인 실험 장소에서 해킹을 해 보안 결함을 알릴 수 있었다고 주장했다
+악의적인 게 아니라 무선 보안이 불안정해 누구나 쉽게 무선 통신을 감청할 수 있다는 사실을 밝혔다는 것이다
+그는 프랑스 인구 통계를 산출하는 부서를 관할하고 있었고 통계 자료를 만들기 위해 천공기기를 관리했다
+나치 침공 후 점령군은 프랑스 전역에 대한 인구 통계 자료를 요구했다
+통계 자료를 바탕으로 프랑스 국민 개개인의 종교를 기초로 유대인 거주 지역을 분할해 유대인을 수용소로 보내기 위한 것이었다
+프랑스 레지스탕스로 활동 중이었던 카미유는 점령군에 통계 자료를 전달할 날짜를 일부러 늦추거나 천공기기를 해킹해 통계 자료에 종교를 올려놓지 않도록 기기 프로그램을 고쳤다
+그는 또 통계 자료를 바탕으로 참전용사를 찾아가 레지스탕스 가입을 권유하기도 했다
+나치가 카미유의 이런 조용한 해킹을 알아챈 건 1944년이 되서다
+그는 구속되어 독일 강제 수용소로 보내지고 다음 해 사망한다
+하지만 그는 이런 ‘착한 해킹’으로 5년 동안 수많은 유대인의 생명을 구할 수 있었다
+1969년 가동된 후에 연구 기관, 교육 기관 등 사용 계층이 증가하면서 원격 로그인, 파일 전송, 이메일, 동호인 그룹들의 정보 교환과 같은 기능을 갖추게 되어 1986년까지 인터넷망의 근간을 이루었다고 알려져 있다
+하지만 화면에 이런 메시지를 띄울 뿐 실제로 악의적인 기능은 없었다
+래빗 바이러스에 감염된 시스템은 감염된 시스템이 다운될 때까지 스스로를 끝없이 복사하는 형태의 악성코드였다
+최초의 IBM PC에 감염된 악성코드인 동시에 시스템 부트 영역을 감염시킨 악성코드다
+브레인 바이러스 이후에는 다양한 악성코드가 등장하기 시작한다
+그 중 가장 유명한 악성코드 중 하나가 바로 모리스웜으로 불리는 악성코드였다
+그는 코넬대학에 재학 중인 23세 때 웜바이러스를 만들어 1988년 11월 2일 MIT 컴퓨터에 공개했는데 인터넷을 통해 전 세계로 퍼졌다
+웜이 PC에 침투하면 여러 번 덮어 쓰기를 반복해 기기 움직임을 방해하는 탓에 인터넷에 연결된 PC 가운데 10%인 6,000대가 사용할 수 없는 상태에 빠져 버렸다
+모리스웜에 의해 미국 내 대학과 연구 시설, 군사 기지 등이 피해를 입어 피해액만 해도 1,000만 달러에 이르는 것으로 추산됐다
+모리스의 웜 공격을 받은 미국방위고등연구계획국(DARPA)는 이때 바로 인터넷 보안팀을 최초로 설립하기도 했다
+모리스웜은 인터넷 보안에 대한 인식을 높이게 된 계기가 된 것이다
+로버트 모리스는 또 1986년 컴퓨터 사기와 남용 단속 법안을 적용 받은 첫 인물이기도 하다
+1989년 6월 26일 집행유예 3년과 벌금 1만 50달러를 구형 받는다
+모리스가 만든 통칭 모리스 웜 코드가 담긴 플로피 디스크는 미국 캘리포니아에 위치한 컴퓨터역사박물관에 전시되어 있기도 하다
+단 10분 만에 무려 7만 5,000여 개의 시스템을 감염시키고, 인터넷망을 연결하는 라우터 장비에 과다한 트래픽을 보내 상당수의 라우터를 다운시키고 말았다
+이로 인해 당시 인터넷 대란이 일어나기도 했다
+정상적인 파일 안에 삽입된 악성코드의 형태가 마치 실제 인간의 몸(숙주)에서 기생하는 바이러스와 닮았다고 해서 바이러스로 불린다
+웜에 감염된 시스템은 주변의 같은 네트워크에 있는 시스템들을 스캐닝해서 취약한 패스워드가 설정된 시스템이나 공유 폴더가 설정된 시스템 등을 찾아 감염을 시도한다
+또한 같은 네트워크에 위치하지 않았더라도 이메일이나 USB 등을 이용해서 스스로 외부로의 감염을 시도하기도 한다
+마치 예전 그리스와 트로이 전쟁 당시 사용된 트로이의 목마와 비슷하다고 해서 붙여진 이름이다
+통상적으로 자기 자신을 스스로 복제하는 기능은 없다
+하지만 종류가 가장 다양하면서 가장 많은 피해를 주는 악성코드이기도 하다
+트로이목마 악성코드는 기능에 따라서 다양한 종류가 있는데 원격접속형, 데이터 파괴형, 파일 유출형, 보안프로그램 차단형, DoS 공격형, 키로그형 등 다양한 트로이목마 악성코드가 있다
+앞서 살펴본 악성코드처럼 단순한 악성 행위를 하는 게 목적이 아니라 PC를 감염시킨 후에 사용자 몰래 감염된 PC에 접속해 원격에서 해커의 명령을 전달하고 수행하도록 하는 역할을 한다
+이와 같이 백도어는 단순한 악성행위 1~2가지를 하는 데 그치지 않는다
+원격 접속한 해커가 그때그때 자신이 원하는 의도대로 변경하면서 마음먹은 대로 감염된 PC를 조종한다는 점에서 심각성이 있다고 할 수 있다
+하나의 PC 권한을 백도어로 획득한 해커는 이를 기반으로 해서 내부의 다른 PC로 이동을 하게 되는데 최초 해킹된 시스템을 통해서 다른 시스템으로 이동한다고 하여서 ‘수평이동’(Lateral Movement)이라고 부른다
+기업에서 백도어가 단 한 건이라도 발견됐다면 가능한 가장 넓은 범위에서 모든 시스템에 대한 점검을 해보는 것이 좋다
+원래 애드웨어는 이름 그대로 특정한 광고 목적을 수행하기 위한 소프트웨어를 뜻한다
+사용자가 입력하는 값에 맞추어서 광고창을 생성하거나 인터넷 검색의 결과를 조작하는 등의 행위를 하는 것이 일반적이다
+애드웨어는 그 자체로 악성코드라고 부르기는 어렵지만 꼭 필요한 프로그램이 아니라면 차단과 삭제를 할 것을 권하는 편이다
+특히 국내에서는 애드웨어를 관리하는 서버가 해킹에 노출되는 경우가 상당히 많다
+애드웨어 관리서버가 해커에게 넘어가게 되면 해당 애드웨어가 설치되어 있는 시스템은 사용자가 인지하지 못한 상태에서 마치 정상적인 업데이트 과정인 것처럼 위장, 악성코드가 추가로 설치되기도 한다
+애드웨어 관리서버들이 악성코드의 유포지로 활용되는 경우가 증가하고 있는 것이다
+따라서 반드시 필요한 프로그램이 아니라면 차단하는 것이 좋다
+마치 시스템이 유괴되어서 몸값을 지불해야만 풀어주는 모양새라고 해서 랜섬웨어라고 불린다
+당신의 휴대폰을 노리는 모바일 악성코드 그리고 사물인터넷     개인별로 스마트폰, 태블릿, 노트북 같은 여러 대의 모바일 기기를 보유하면서 이런 모바일 디바이스에서만 동작하는 악성코드도 크게 늘어나고 있다
+악성코드가 전달되는 경로는 가장 많은 경우가 스미싱 같은 문자 메시지의 링크를 클릭했을 때이다
+그 다음으로 많은 건 안전이 확인되지 않은 앱마켓이나 웹사이트에서 앱을 다운로드 받아서 설치하는 경우다
+물론 대기업이 운영하는 앱마켓에서 다운로드를 받았는데 악성앱인 것도 간혹 있다
+따라서 안전한 곳은 없다고 생각하는 것이 좋고, 앱을 설치할 때에는 앱 사용자 평판, 앱 개발사 평판, 다운로드 횟수 등을 면밀히 확인해보고 안전하다고 판단될 때 설치하는 것이 좋다
+또 안드로이드폰은 모바일 백신도 반드시 설치해야 한다
+구글플레이에서 인기가 높은 모바일앱 중 80%에는 가짜 앱이 존재하는 것으로 밝혀지기도 했다
+한 보안 업체가 조사한 바에 따르면 구글플레이에서 배포되는 인기 앱 상위 50개 중 80%는 여기에 악성코드를 더해 다시 복제해서 만든 리패키지 앱이 존재한다고 한다
+리패키지앱은 정상적인 앱에 추가로 악성코드를 덧붙인 다음에 다시 패키징해서 정상 앱처럼 보이게 만드는 것을 말한다
+실제와 똑같은 아이콘과 UI, 앱 명칭 등을 이용해 사용자를 속여 설치하게 한다
+광고 수익을 목적으로 만든 것도 있지만 정식 앱이 얻어야 할 수익을 무단으로 가로채는 데 이용되기도 한다
+또 설치한 단말에서 개인 정보를 빼내는 트로이목마 역할을 하는 경우도 많다
+보안 업체가 구글플레이를 통해 배포되는 무료 앱 상위 50개를 조사한 결과 무려 77%에 달하는 앱에 리패키지가 존재하는 것으로 밝혀졌다
+장르마다 리패키지 앱이 존재할 확률을 보면 위젯, 미디어&비디오, 라이프 스타일, 금융, 여행 등은 100% 확률로 리패키지가 존재하고 있다
+반면 스포츠와 교육, 의료 등은 리패키지 앱 존재 확률이 낮다
+하지만 라이브러리&데모 같은 것도 30% 비율로 리패키지 앱이 존재한다는 건 놀랍다
+보안 업체들은 이런 리패키지 앱이 악성코드의 온상이라는 점을 지적한다
+또 다른 조사 결과 인터넷 상에 있는 인증되지 않은 앱마켓에는 89만여 개에 달하는 가짜 앱이 존재하며 이 중 절반 이상인 51%는 악성코드인 것으로 밝혀졌다
+모바일 악성코드에 대한 상황이 이렇다 보니 이에 대한 대응책도 다양하게 제시되고 있다
+그 중에서도 눈길을 끄는 것은 퀄컴이 제안한 방법이다
+퀄컴 스냅드래곤 스마트 프로텍트는 모바일 악성코드가 범람하는 환경에서 모바일 기기를 안전하게 쓸 수 있는 기능을 제공한다고 알려져 있다
+보통 모바일 백신 소프트웨어는 보유 패턴을 기반으로 삼아 악성 앱을 검사한다
+하지만 퀄컴은 실시간 기계 학습 기반 행동 분석을 통해 데이터베이스에 등록되지 않은 악성코드도 탐지할 수 있다고 주장한다
+SoC에 탑재한 기능인만큼 하드웨어나 소프트웨어와 견줘도 성능이나 효율 면에서 결코 뒤지지 않는다
+수상한 행동은 거의 곧바로 간파할 수 있다는 것이 퀄컴측 설명이다
+이 기능은 클라우드에 따로 연결해야 할 필요가 없기 때문에 사용자 정보가 외부로 노출될 우려도 없다고 한다
+그렇다고 해서 안드로이드폰만 위험하고 아이폰이 절대적으로 안전한 것도 아니다
+지난 2014년에는 스마트폰에 악성코드를 감염시킨 다음 개인행동을 감시하는 서비스인 갈릴레오(Galileo)라는 해킹툴이 각국 정부 기관 등에 제공되고 있다고 알려진 바 있다
+심지어는 캘린더에 있는 일정을 확인해서 특정 미팅 시간에만 사용자 동의 없이 스마트폰의 음성 녹음 기능을 실행시켜서 미팅 내용을 녹음하기도 한다
+뿐만 아니라 갈릴레오가 스마트폰으로 보내는 악성코드는 안티바이러스 소프트웨어로는 탐지할 수 없는 알려지지 않은 악성코드다
+이 내용은 글로벌 보안 업체와 한 대학 연구팀이 갈릴레오의 존재와 어떻게 스마트폰을 해킹하는지에 대해 상세한 보고서를 발표하면서 알려졌다
+이 보고서에 따르면 갈릴레오라는 해킹툴은 우리나라에도 잘 알려져 있는 이탈리아 밀라노에 위치한 기업인 해킹팀(Hacking Team)이 제공하는 서비스다
+원격으로 스마트폰을 조종할 수 있는 악성코드 RCS(Remote Control System)를 스마트폰 모니터링 도구로 정부기관에 제공하는 것으로도 알려져 있다
+RCS에 이용하는 악성코드는 스마트폰 이메일이나 SNS 내용을 훔쳐보고 카메라와 마이크를 이용한 도촬이나 도청 등을 수행한다
+해킹팀이 운영하는 갈릴레오용 서버는 미국과 유럽을 중심으로 전 세계에 흩어져 있던 것으로 보고됐다
+해킹팀의 제품은 iOS와 안드로이드, 윈도폰, 블랙베리 등 플랫폼마다 트로이목마 유형 악성 모듈 등이 있다
+앞서 설명한 것처럼 갈릴레오가 수행할 수 있는 작업은 광범위하다
+물론 갈릴레오에 의한 애플 iOS의 감염은 탈옥된 폰으로만 제한된다
+하지만 지난 2014년에는 와이어러커(WireLurker)라고 명명된 악성코드가 발견된다
+눈길을 끄는 건 애플 OSⅩ을 탑재한 맥이나 아이폰이나 아이패드 등 iOS 단말기를 감염시킨다는 것이다
+와이어러커는 맥 감염을 통해 연결한 iOS 단말기를 모니터링, 무단으로 iOS 단말기에 악성코드를 보낸다
+지금까지 iOS 단말에서 발견된 악성코드는 탈옥한 기기에 한정됐지만 와이어러커는 탈옥하지 않은 iOS 단말도 감염시킬 수 있다고 보고됐다
+와이어러커는 트로이목마의 일종으로 맥을 통해 감염된 iOS 앱 바이너리 파일을 다시 작성, 악성 앱을 자동 생성할 수 있도록 한 것이다
+또 기업 내 앱 침투가 가능하도록 탈옥하지 않은 iOS 단말에 악성코드를 설치할 수 있다
+2014년 당시 와이어러커는 중국 내 맥용 앱스토어인 마이야디 앱스토어(Maiyadi App Store)에 올라온 앱 467종에서 발견됐으며 6개월 동안 와이어러커 감염 앱은 모두 35만 회 이상 다운로드되었던 것으로 집계됐다
+수십만 사용자의 맥이 감염되었을 수 있다는 얘기다
+와이어러커는 OSⅩ 맥에 USB 케이블로 연결되는 iOS 단말을 몰래 감시하고 탈옥 유무에 관계 없이 iOS 단말을 감염시킨다
+와이어러커는 감염된 iOS 단말 정보를 외부로 전송하거나 장기적으로 컨트롤 서버로부터 업데이트 받는 기능도 갖추고 있다
+또 리버스 엔지니어링에 의한 분석을 어렵게 하기 위해 코드를 복잡하게 구성하고 암호화하는 것도 잊지 않았다
+와이어러커에 대비하려면 바이러스 백신 등을 최신 상태로 유지하는 등 보안에 만전을 기하는 한편 앱스토어에서 인증 받은 앱만 내려 받고 신원 불명 개발자가 만든 앱이나 게임은 다운로드하지 말아야 한다
+iOS 단말은 최신 버전을 항상 유지하고 신뢰할 수 없는 맥 기기에 iOS 단말을 페어링하지 말아야 한다
+또 IoT(사물인터넷)의 발전으로 주위의 모든 기기가 인터넷에 연결되면서 보안에 대한 의구심은 공포나 재앙으로 바뀔 수도 있다
+실제로 지난 2013년 한 러시아 인터넷 매체가 보도한 내용에 따르면 러시아 세관이 상트페테르부르크에서 중국산 주전자에 이상한 스파이웨어가 설치되어 있는 것을 발견해 처분했다는 보도가 나오기도 했다
+발견된 주전자 속에는 반경 200m 안에 있는 와이파이를 대상으로 암호 없는 단말기에 침입, 해외 서버에 악성코드 같은 데이터를 전송하는 칩이 들어 있었다
+중국에서 수출하는 단계에서 이미 설치된 것인지 도중에 범죄조직이 개입한 것인지 진위 여부는 정확히 알려지지 않았다
+러시아 세관이 발견하게 된 경위는 주전자의 무게가 조금 이상하다는 점을 의심해 살펴보게 됐을 뿐이라는 것이다
+최근 미디어 기사를 보면 자동차 해킹에 대한 기사가 자주 눈에 띈다
+테슬라모터스의 시스템에 침입하거나 얼마 전에는 지프 체로키 시스템 해킹, 차량 운행 시스템을 원격 제어하기도 했다는 기사가 올라오기도 했었다
+피아트 크라이슬러는 100만 대가 넘는 차량에 대해서 해킹에 의한 리콜을 해야만 했다
+자동차 안에서 인터넷 검색을 하거나 모바일 앱을 이용해 원격 제어하기도 한다
+이젠 초기 자동차보다는 노트북과의 공통점이 더 많아진 셈이다
+‘타이어를 갖춘 컴퓨터’가 되어버린 자동차가 해킹되면 치명적인 사태가 발생한다
+자동차를 위한 사이버 보안을 개선, 강화하기 위해서 많은 전문가들이 동의하는 3가지 조건이 있다
+먼저 보안 취약점이 발견될 때마다 비용이나 시간이 필요한 리콜을 하는 것보다는 무선 업데이트 시스템을 갖춰야 한다고 말한다
+다음은 항공사가 기내 와이파이 네트워크와 중요한 항공 전자 시스템을 나누는 것처럼 자동차도 인포테인먼트 시스템과 중요한 운전 제어 시스템을 분리, 이들 시스템 사이 통신을 조밀하게 제어해야 한다는 것이다
+마지막은 해킹이 성공해 개별 소프트웨어가 뚫릴 것을 미리 가정할 필요가 있다는 것이다
+만일 해커가 시스템 하나에 침투해도 차량 전체에 대한 액세스는 허용되지 않도록 설계해야만 한다는 얘기다
+동시에 기업 내에서도 제조업 마인드, 그러니까 물건만 잘 만들면 된다는 생각에서 벗어나 보안에 대한 인식을 높이고 조직에 통합, 운영해야 할 필요가 있다
+테슬라모터스 같은 기업은 버그에 대해 포상금을 지불하거나 외부 보안 연구팀과 손잡고 버그를 찾아 수정하고 보안 문제를 해결하는 데 협력하기도 한다
+마이크로소프트도 오피스 같은 소프트웨어에 대해 보안 문제가 발생하면 외부와도 적극 협력한다는 점을 기억해둘 필요가 있다
+사이버 보안 문제가 자동차에서 발생하면 전통적으로 그랬듯 리콜을 해야 하는 건 물론 물리적으로 심각한 사태를 맞을 수 있다
+자동차가 아니더라도 기존 소프트웨어에서도 보안 업데이트가 수시로 적용되는 점을 감안하면 리콜은 현실적인 방법이 못 된다는 얘기다
+사물인터넷 시대가 오면 우리의 생활은 지금보다도 더욱 편하게 변화될 것이다
+우리가 사용하는 모든 물건은 인터넷으로 연결되고 원격으로 조종되며 관리될 수 있다
+스마트폰에서의 몇 번의 클릭만으로 집에 있는 모든 시스템을 조종하는 것은 물론이다
+퇴근하는 지하철 안에서 집안의 보일러를 틀어 온도를 맞춰 놓거나 집에 도착할 시간에 맞추어서 따뜻한 물을 욕조에 담을 수도 있을 것이다
+이처럼 사물인터넷 시대는 우리 인류에게 이제까지 경험해보지 못했던 새로운 형태의 즐거움과 편안함을 안겨줄 것이다
+이것은 모든 사물이 인터넷이라는 거대한 네트워크로 연결되어 가능해진다
+하지만 자칫 잘못하면 이런 장밋빛 미래는 거대한 재앙으로 바뀔 수도 있다
+모든 사물이 인터넷에 연결되어 있다는 것은 모든 사물이 해커의 먹잇감이 될 수도 있다는 점을 잊어서는 안 된다
+나 혹은 가족이 사용하는 모든 물건들이 시도 때도 없이 해커들에 의해서 해킹된다고 생각하면 정말 끔찍할 것이다
+바로 이런 사물인터넷으로 가는 길목에서의 시험대가 바로 지금 사용하는 모바일 기기들에 대한 보안 문제다
+백신만으로는 해결이 안 되는 문제가 너무 많다는 것을 지난 수십 년간 PC를 사용하면서 배워왔기 때문이다
+사물인터넷 시대로 들어서기 위해서는 지금부터라도 모바일 보안에 대한 큰 그림이 있어야만 한다
+그렇지 않으면, 해킹의 피해가 지금처럼 단순히 통장에서 돈을 빼가는 정도로 그치지 않을 것이기 때문이다
+국내인터넷 사용자 수는 2013년 조사에서 4,000만 명을 돌파한 것으로 집계됐고 10가구 중 8가구는 스마트폰을 이용하고 있는 것으로 조사됐다
+이렇듯 인터넷 사용률이 보편화될수록 개인이나 기업의 정보는 외부로 유출될 수 있는 위험에 직면하게 된다
+우리나라의 경우 기업 환경에서조차 개인들이 소유한 모바일 기기를 회사에 가져와 업무에 적용하는 경우가 일반화되고 있으며 기업의 민감한 정보가 수시로 개인의 스마트 기기에 저장되기도 한다
+이렇듯 개별 기업들의 민감한 정보들이 광범위하게 인터넷에 연결된 ‘외부 디바이스’에 저장되면서 이런 정보를 노리는 해커들이 공격 역시 더욱 교묘해지고 있다
+특히 지능형 지속 위협공격 대부분은 알려지지 않은 해킹그룹 등에 의해 장기간에 걸쳐서 진행되는 특성이 있다
+때문에 우리가 앞에서 살펴본 보안 솔루션 등으로 탐지와 차단을 하는 것은 불가능에 가깝다고 볼 수 있다
+하지만 공통적으로 인정하는 부분에 있어서 정의를 살펴보자면 대략 다음과 같이 말할 수 있다
+하지만 DDoS 공격은 공격 형태가 비교적 간단하고 예측가능하며 전문 지식이 없는 사람도 쉽게 공격을 감행할 수 있다는 점에서 지능형 지속 위협에 의한 고도화된 위협과는 차별성을 갖는다
+또 기존 DDoS 공격을 수행하는 사람들의 공격 목적 또한 비교적 예측 가능한 선을 넘지 않는다
+따라서 DDoS 공격으로 인한 위협은 분명히 까다로운 공격방법이지만 기존 보안 솔루션들을 이용할 경우 방어가 불가능하다고 말하기는 어렵다
+또 DDoS를 막지 못해 특정 기업의 웹기반 서비스가 피해를 입을 경우에도, 해당 시간만큼 외부 서비스가 불가능한 정도의 예측 가능한 피해 규모를 산정할 수 있다
+우선 지능형 지속 위협을 수행하는 사람 혹은 조직은 DDoS를 수행하는 조직과 비교했을 때 차원이 다른 정도의 체계를 갖추고 있는 것이 일반적이다
+지능형 지속 위협이라고 불리는 해킹 공격 상당수는 국가 혹은 국가에 준하는 규모의 체계를 갖춘 조직에 의해서 발생하기 때문이다
+따라서 공격 양상은 예측이 힘들며 공격기법 또한 매우 복잡하고 정교하다
+여기에 더해 공격으로 인한 목적 또한 DDOS와는 달리 예측이 어렵고 피해 규모도 비교할 수 없을 정도로 크다
+지능형 지속 위협에서 공격자는 정확한 목표를 가지고 공격을 시작하고 공격이 성공할 때까지 지속적으로 공격을 하기 때문에 기업 입장에서는 이를 사전에 찾아내어서 선제적으로 방어를 하는 것이 사실상 더 어렵다
+한 가지 덧붙이자면 현재 국내에서는 악성코드를 이용한 모든 해킹시도를 지능형 지속 위협이라는 이름으로 규정하고 있는 것으로 보인다
+어떤 보안 솔루션 업체는 이를 근거로 지능형 지속 위협 공격이 알려지지 않은 제로데이 취약점이나 알려지지 않은 악성코드를 통해서만 이뤄지는 것은 아니라고 주장한다
+따라서 패턴을 기반으로 탐지하는 장비로도 탐지할 수 있다고 말한다
+하지만 진짜로 지능형 지속 위협이라고 분류가 가능한 공격에서는 중복되는 방법을 사용하는 경우는 없다
+모든 지능형 지속 위협 공격은 항상 새로운 방법을 사용한다
+물론 랜섬웨어도 기업에 큰 피해를 주지만 기업의 주요 자산이 유출되는 등의 치명적인 피해를 주는 것은 아니다
+따라서 이 90번의 공격을 지능형 지속 위협이라고 규정할 수는 없다
+하지만 추가적인 1건의 해킹 시도가 이제까지 알려지지 않았던 제로데이 취약점 등을 이용했다면 이는 눈여겨 볼 수 있는 해킹 시도다
+또 지능형 지속 위협으로 의심해 볼 수 있을 것이다
+여기에서 해당 악성코드를 분석했을 때 내부 조직의 주요 정보를 표적 공격한 흔적이 발견된다면 이때서야 비로서 지능형 지속 위협에 의한 해킹 공격이 발생한 것으로 지칭할 수 있다
+또 한 가지 중요한 점은 지능형 지속 위협 공격은 불공평한 게임이라는 것을 기업의 보안 담당자가 명확히 인지해야만 한다는 점이다
+하지만 단 한번이라도 지능형 지속 위협 공격을 막아내지 못하면 기업은 엄청난 피해를 입게 된다
+미국 실리콘밸리의 A기업은 유망한 서비스와 아이디어 개발 능력을 갖고 있었다
+곧 글로벌 서비스를 통해서 제법 이름이 알려졌고 서비스도 확장되고 기업 매출은 크게 늘어났다
+하지만 A기업이 유명해지고 규모가 커지자 A기업을 노리는 해킹 공격도 크게 늘어났다
+몇 번 공격을 잘 막아냈지만 결국에는 지능형 지속 위협 공격에 의해서 내부 개발 중인 모든 시스템의 소스코드가 유출되는 사건이 일어났다
+당시에 발생했던 지능형 지속 위협 공격은 한 국가의 지원을 받는 해킹 집단이 일으킨 소행이라는 조사 결과가 있었다
+그로부터 1년 뒤 유출된 A기업의 개발 소스코드를 이용해 완전히 동일한 형태의 서비스를 하는 B라는 회사가 타국에 설립됐다
+B기업은 A기업의 소스코드를 훔쳐서 기업을 설립했기 때문에 제품을 만드는 데 투자된 개발 비용이 A기업과는 달리 전혀 없었다
+덕분에 B기업은 A기업이 제공하는 제품 가격의 절반도 안 되는 가격으로 제품을 시장에 공급할 수 있었다
+또 A기업의 소스코드를 그대로 사용했기 때문에 제품의 품질 또한 A기업과 다를 바 없었다
+기존 A기업이 가지고 있던 많은 고객들이 품질이 동일하고 값은 훨씬 더 저렴한 B기업의 제품으로 옮겨가는 일이 일어난 것이다
+결국 A기업은 시장에서의 가격 경쟁을 견디지 못하고 밀려나게 되는 사태가 발생했다
+잘나가던 벤처 기업 신화가 지능형 지속 위협 공격에 의해서 무너지게 된 것이다
+바로 전형적인 지능형 지속 위협에 의한 해킹 공격이라고 볼 수 있다
+화웨이는 미국 시스코에 이어서 전 세계에서 2번째로 큰 네트워크 장비와 휴대폰 제조업체다
+중국 대학생이 가장 가고 싶어하는 기업에서 언제나 상위권에 꼽히는 중국의 국민 기업 중 하나다
+규모가 크고 실제로 보안 제품을 만들고 있는 만큼 화웨이의 보안 수준은 전 세계 최고 레벨이라는 게 일반적인 전문가들의 평가다
+재미있는 건 미국 국가안전보장국이 세계 최고 수준의 보안인력과 장비를 가지고 있는 화웨이를 해킹하는 데 걸린 시간이다
+에드워드 스노든이 폭로한 문서에 따르면 NSA가 화웨이를 해킹하는 데 소요된 시간은 무려 지난 2007년부터 2010년까지 3년이다
+미국은 오랫동안 화웨이가 판매하는 제품을 트로이목마 삼아 중국 정부가 미국과 동맹국의 기업 고객을 대상으로 스파이 행위를 하지 않을까 우려해왔다
+실제로 국내에서도 지난 2014년에 LG유플러스가 이동통신망 기지국 장비로 화웨이 사의 장비를 구매하기로 하자 이례적으로 미국 정부는 화웨이 장비 사용에 대한 우려를 표시한 사례가 있다
+당시 미국 당국은 화웨이 측의 부정에도 불구하고 화웨이의 고위층과 중국 인민해방군과의 관계를 이유로 지난 2008년경부터 화웨이를 미국 시장에서 배제하려 했다
+2008년에는 화웨이가 미국의 유명한 네트워크 기업이었던 3Com을 인수하려고 하자 안전 보장상의 우려를 이유로 들어 막기도 했다
+2012년에는 미 하원 위원회가 중국 정부의 스파이 행위나 사이버 전쟁이 이용될 가능성이 있다며 화웨이 제품 사용을 피해야 한다는 보고서를 발표하기도 했다
+그 뿐 아니라 지난 2013년에는 미국내 이동통신 사업자인 스프린트와 소프트뱅크에 화웨이 장비 사용을 제한하라고 요청하기도 했다
+이런 와중에 NSA의 화웨이에 대한 해킹 공격이 내부자에 의해서 폭로된 것이다
+더욱 재밌는 것은 에드워드 스노든이 NSA가 미국 정부의 주장과는 반대로 화웨이가 판매하는 네트워크 장비를 이용해 다른 국가를 감청하려는 계획을 세웠다고 주장했다는 사실이다
+NSA는 화웨이 서버에 침입해 고객을 네트워크에 연결해주는 네트워크 장비인 라우터와 스위치에 대한 중요한 정보를 입수하는 한편, 화웨이 경영진의 대화 등 통신 내용도 감청했다고 전해진다
+슈피겔에 따르면 NSA가 화웨이 네트워크에 침입해서 1,400건에 달하는 고객 목록과 제품 관련 엔지니어 교육을 위한 내부 자료 등을 복사했다고 덧붙였다
+NSA 입장에선 동맹이나 적국이 화웨이 장비를 구입했다면 해당 네트워크에 연결할 수 있도록 화웨이 시스템의 허점을 알고 싶어 했기 때문이라는 것이다
+NSA의 중국 관련 전략은 화웨이 하나에만 머물지 않는다
+에드워드 스노든이 2013년 4월 유출한 문서에 따르면 NSA는 중국 휴대전화 네트워크 2개에 침입, 전략상 중요한 중국군 부대를 추적할 수 있도록 했으며, 중국 지도부가 있는 장소도 주요 표적이 되었던 것으로 폭로되었다
+화웨이 측은 화웨이 해킹 논란에 대해 만일 이 같은 내용이 사실이라면 미국 정부가 우리에게 의심해왔던 일을 아이러니하게도 정반대로 해왔던 것이라는 공식 입장을 밝히기도 했다
+바로 이런 사례가 전형적인 지능형 지속 위협에 의한 공격이라고 할 수 있다
+NSA라는 국가 기관이 실제 스노든의 폭로대로 이와 같은 해킹 공격을 했는지는 필자가 판단할 수 없다
+다만 주장이 만일 사실이라면 모든 정황은 지능형 지속 위협 공격에 대한 설명에 정확히 부합한다는 것은 명백하다
+실제로 하나의 강력한 국가 기관인 NSA에 의해서 해킹의 표적이 되고 나자 해킹 자체가 불가능하게 여겨지는 전 세계 최고 기업 중 하나인 화웨이의 네트워크조차 3년 만에 해킹되었다는 점이다
+3년간 수천 번의 해킹 공격이 실패했겠지만 표적으로 삼은 기업을 뚫을 수 있을 때까지 공격한다는 점에서 지능형 지속 위협 공격의 위험성을 보여준 사건이라고 할 수 있겠다
+앞서 여러 차례 설명한 바와 같이 지금까지 널리 사용되는 보안장비들은 모두 알려진 보안 취약점에 대해서 사전 분석을 하고 이에 대한 특정한 패턴을 자사 장비에 등록하는 형태로 동작했다
+하지만 너무나 다양한 새로운 위협이 등장하면서 이런 수동적인 대응 방법은 무용지물이 되어 버렸다
+때문에 기존의 단순화된 정적패턴분석 방식이 아닌 새로운 형태의 대응 방안이 필요하게 됐다
+침입차단시스템의 기본 원리는 네트워크 모니터링 솔루션에 그 뿌리가 있다고 할 수 있다
+이 경우에 공격자의 네트워크 트래픽을 주의 깊게 모니터링하면 트래픽 상에서 몇 가지 특징을 발견할 수 있다
+이런 공격자의 특이한 패턴을 사전에 미리 파악할 수만 있다면 네트워크 레벨에서 선제적으로 해킹 공격을 성공리에 차단할 수 있을 것이라는 것이 침입차단시스템의 기본 개념이라고 보면 된다
+침입차단시스템은 네트워크 상에서 보안 위협을 선제적으로 차단할 수 있다는 특징으로 인해서, 현재 중견기업과 대기업 대부분은 반드시 설치해야만 하는 보안 솔루션으로 자리 잡게 됐다
+하지만 보안위협을 선제적으로 차단해낸다는 침입차단시스템의 존재에도 불구하고 많은 기업들은 여전히 해킹 공격을 당하고 신문 1면에 기업의 이름이 노출되는 위협에 시달리고 있다
+침입차단시스템이 침입을 효과적으로 방어하려면 공격자의 공격 방법을 미리 파악해야만 한다는 것이 가장 중요한 부분이다
+하지만 침입차단시스템과 같은 패턴 기반 솔루션은 비교할 대상이 있어야만 경고를 발생할 수 있다
+문제는 대기업이나 주요 정부 기관을 공격하는 지능형 지속 위협 공격과 같은 해킹 방식은 특정한 법칙이 없으며 침입 단계에서 트래픽 상의 어떤 부분을 특정해내기도 어렵다
+예컨대 앞서 살펴봤던 워터링홀 공격 같은 방식은 정상적으로 보이는 웹사이트 접속을 통해 감염이 이루어지기 때문에 이것을 어떤 웹사이트가 정상 혹은 비정상으로 특정 짓는 것은 대단히 어려운 일일 수밖에 없다
+여기에 더해 침입차단시스템의 해묵은 문제점 중 하나인 오탐에 대한 문제도 고객이 침입차단시스템을 신뢰하기 어렵게 만드는 요인 중에 하나다
+기본 설정만으로 구동되는 침입차단시스템 솔루션의 경우 너무나 많이 발생하는 오탐으로 인해 기업의 보안 인력들이 어떤 것이 진짜 위험한 경고인지 판단하기 어려울 정도다
+쉽게 말하면 기업 내에서 침입차단시스템은 일종의 양치기 소년과 같다고 볼 수 있다
+하루에도 수십 수백 번씩 경고를 발생하는 침입차단시스템은 시간이 지날수록 기업의 보안 담당자들로부터 신뢰를 잃을 수밖에 없다
+그러다가 진짜 침입이 발생하고 침입차단시스템이 이에 대해서 진짜 경고를 발생했더라도 기업의 보안 담당자가 눈여겨보지 않고 무시할 수 있게 되는 것이다
+이 때문에 기업 보안 담당자들은 일정 시간동안의 모니터링 과정을 거쳐서 침입차단시스템에 대한 최적화 작업을 하게 된다
+이 과정에서 오탐을 발생하지 않는 최소한의 설정만이 침입차단시스템 장비에 설정된다
+이런 최적화 과정을 거치지 않은 침입차단시스템은 너무나 많은 이벤트의 홍수로 인해 앞서 언급한대로 진짜 위협을 구분하기 어렵게 된다
+최적화라는 이름으로 침입차단시스템이 갖고 있는 많은 기능을 사용하지 않기 때문에 일어나는 일이다
+그리고 나면 다시 오탐으로 인해서 경고의 홍수가 일어나고, 또 최적화를 하고 또 진짜 침입을 놓치게 되는 무한 반복의 악순환의 고리가 실제 대부분의 기업에서 일어나게 된다
+따라서 대부분의 기업이 침입차단시스템을 이미 보유하고 있음에도 불구하고 자꾸만 새로운 기능을 갖춘 보안 솔루션을 추가적으로 구매해 운영하게 된다
+즉 침입차단시스템이 제대로 침입을 차단하지 못하기 때문에 새로운 기능을 갖춘 별도 솔루션을 2중으로 구매하는 것이다
+그 중에서도 최근에 일어난 대부분의 지능형 지속 위협 공격들은 이메일을 이용한 경우가 많다
+일반인 한 명을 데려다 놓고, 또다시 10여 명의 IT전공자 학생들을 불러 놓았다
+그리고 일반인의 이름만을 알려준 채로 나머지 사람들에게 이 사람에 대한 정보를 인터넷을 통해서 알아보도록 했다
+놀랍게도 불과 몇 시간 만에 10여 명의 대학생들은 그 일반인의 모든 개인정보를 인터넷 상에서 찾아낼 수 있었다
+이것은 모두가 복잡하게 연결되어 있는 네트워크 시대에, 우리 모두가 자신도 모르는 사이 인터넷이라는 공간을 통해 얼마나 많은 개인정보를 노출시키면서 살고 있는지 보여준 단적인 예라고 할 수 있다
+지능형 지속 위협을 수행하는 해킹 조직 또한 예로 들었던 대학생들이 한 것과 같이 인터넷 상에 공개된 개인들의 정보를 이용해서 필요한 해킹 타깃 정보를 알아내는 경우가 많다
+1~2년 전 국내 명문 대학의 유명 동아리의 웹사이트가 웹해킹에 의해서 해킹된 적이 있다
+하지만 동아리의 웹사이트에 어떤 보안장비나 보안 운영자가 있을 리 없었기 때문에 해킹이 되었다는 사실조차 한동안은 파악하지 못하고 있었다
+동아리의 웹사이트를 해킹한 해커가 빼낸 것은 졸업생이 포함된 동아리의 주소록이었다
+해당 동아리의 주소록에는 졸업생의 학번과 나이, 집주소, 전화번호, 이메일 정보, 현재 다니는 직장명이 기록되어 있었다
+해커는 이 정보 중 직장명과 이메일 주소에 주목했다
+직장명과 학번 정보가 있었기 때문에 해커는 이 정보를 기반으로 해당 인물이 직장 내에서 어느 위치에 있는지를 짐작할 수 있었다
+또 명문대 동아리였기 때문에 소위 직장에서 잘나가는 위치에 있는 경우가 상당히 많았다
+해커는 이 중에서 대기업에 다니는 동아리 멤버들을 추려내어서 이메일을 보냈다
+그 이메일은 동아리 주소록이 업데이트됐다는 내용으로 보내졌다
+해커는 실제 동아리의 파워포인트 형태의 주소록을 사용했다
+이때 주소록으로 위장된 파일에 악성코드를 숨겨두는 수법을 이용한 것이다
+이메일을 받은 동아리 멤버들은 실제 주소록과 동일한 주소록을 받았기 때문에 의심 없이 주소록을 실행시켰고 첨부파일을 열어본 동아리 멤버 모두 악성코드에 감염되는 일이 발생했다
+물론 이 과정에서 백신을 포함한 그 어떤 기업의 보안 장비도 알려지지 않은 악성코드를 제대로 탐지해내지 못했다
+또 다른 사건을 보면 몇 년 전 국내 대부분 신용카드 회사들의 개인정보가 해커들에게 노출된 사건이 있었다
+사람들은 카드 정보가 노출되어 당장이라도 수억 원씩 돈이 부정 결제된 것처럼 호들갑을 떨었다
+하지만 사실은 부정 결제를 방지하거나 모니터링하는 시스템은 대부분 신용카드 회사들에서 이미 보유하고 있었다
+또 많은 개인 고객들이 결제가 되면 문자로 해당 내역을 전달받을 수도 있고 정 의심이 된다면 카드 번호를 바꾸는 등의 행동을 통해서 해커에 의한 부정 결제는 방지가 가능하다
+회사명은 기본이고, 당신의 부서, 직급, 이메일주소, 전화번호, 나이, 생일, 개인적인 취미와 관심사 심지어는 결혼기념일까지도 알 수 있다
+지능형 지속 위협 공격에서는 누가 봐도 이상해 보이는 광고성 메일 같은 것으로 악성코드를 보내는 법은 없다
+절대로 열어 볼 수밖에 없는 메일을 보내는 경우가 많은데, 이때 이메일을 받는 사람의 업무 특성이나 개인 관심사가 이용된다
+만일 이메일을 받는 사람이 보안솔루션의 운영자라면 보안세미나 초청장을 위장해서 보내는 식이다
+만들어서 보내지는 이메일도 절대로 조잡해 보이지 않게 만든다
+때문에 받는 사람의 입장에서는 열어 볼 수밖에 없게 되는 것이다
+해외에 기반을 두고 있는 한 기업에서 일어났던 사건이었다
+해당 기업은 인력채용 공고를 인터넷 상에 올렸다
+해당 공고를 보고 많은 사람들이 지원을 했는데 그 중에서 몇 명이 1차 심사를 통과해 기업 인력 채용 담당자는 최종 인원들에게 신분증을 스캔해서 그림파일이나 PDF파일 포맷으로 보내라고 전달했다
+그 중 한 명의 지원자가 신분증을 스캔해 PDF파일로 담당자에게 보냈다
+하지만 신분증을 위장한 PDF파일에는 악성코드가 숨겨져 있었고 이로 인해 해당 인력채용 담당자의 PC가 해커에 의해서 뚫리게 되는 사건이 발생했다
+다시 말해 예전처럼 단순히 이상한 이메일을 열어보지 말 것이라는 조언과 행동 방식만으로는 이메일을 통한 지능형 지속 위협을 막기에는 역부족이라는 것이다
+우선적으로 시도해 볼 수 있는 것은 앞서 설명한 다양한 방법을 통해서 그 회사의 인사팀 및 담당자 이메일 주소를 알아내는 것이다
+의외로 SNS나 인터넷 검색을 이용하면 이런 이메일 주소는 쉽게 얻어지는 경우가 많다
+어쨌든 목표가 정해지고 정보가 입수되면 이메일을 받는 당사자가 관심을 가질만한 내용을 위장해서, 메일을 전송한다
+이런 방식이 꽤나 진부한 공격기법이라고 느끼는 독자들도 있을지 모르겠다
+많은 사람들에게 알려진 것은 글로벌 보안 전문 기업인 RSA가 지능형 지속 위협 공격에 의해서 해킹됐다는 사실과 RSA의 핵심 제품 중 하나인 SecurID가 침해되었다는 사실이다
+글로벌 보안 솔루션 전문 기업이 해킹되었다는 사실도 놀랍지만 이것은 많이 알려진 사실 중 일부일 뿐이다
+해커에게는 RSA를 해킹하는 것이 최종 목표가 아니었던 것이다
+이것은 로그인할 때마다 무작위의 숫자를 생성시켜서 패스워드를 만들기 때문에 많은 사람들에게 보안의 가장 안전한 방법으로 인식되었던 인증 솔루션이었다
+이처럼 강력한 안전성 때문에 대부분의 글로벌 보안 기업들이 RSA의 SecurID를 OTP로 사용하고 있었는데 그 중에는 국내에도 많이 알려진 미국의 최대 무기 제조 업체 록히드마틴도 포함되어 있었다
+록히드마틴 보안팀은 전 세계적으로도 비교할 대상이 거의 없을 정도의 최고 전문가로 구성되어 있으며, 내부 보안 솔루션은 가장 강력해 해커 공격으로부터 난공불락으로 평가받는다
+특히 록히드마틴은 모든 시스템에 대한 로그인에서 RSA 사의 SecurID를 사용한 것으로 알려져 있다
+놀랍게도 해커는 록히드마틴의 OTP시스템을 무력화시키기 위해 RSA를 먼저 해킹해, SecurID 서버를 장악하고자 했던 것이다
+RSA 자체도 글로벌 보안 기업이기 때문에 해킹이 어렵지만 상대적으로 록히드마틴을 직접 공격하는 것보다는 쉽다고 판단했던 것으로 보인다
+앞서 언급했던 RSA에 대한 공격방식 또한 악성코드가 첨부되었던 Excel 파일을 이메일에 첨부해서 보냈던 경우다
+이처럼 이메일의 첨부파일을 이용한 다양한 형태의 악성코드가 발견되자 많은 글로벌 보안 기업들은 앞다투어서 이메일의 첨부파일을 분석할 수 있는 보안장비들을 시장에 내놓기 시작했다
+보안 기업들이 ‘알려지지 않은 악성코드’가 첨부된 이메일에 대한 완전한 해답을 내놓기도 전에, 지능형 지속 위협을 수행하는 공격자들은 한발 더 앞서 나가는 모습을 보이기 시작했다
+기존에 첨부파일 위주의 공격을 시도하던 것에서 벗어나 이메일 본문 안에 ‘악성URL’을 심어서 보내기 시작한 것이다
+일반적으로 이렇게 첨부된 웹사이트의 링크는 워터링홀 공격이 실행되는 사이트 정보를 담고 있다
+다시 말해 이메일을 이용한 스피어피싱 공격과 웹사이트를 통한 워터링홀 공격이 합쳐진 형태로 이뤄진다고 보면 된다
+최근에는 한발 더 나아가 인터넷 카페나 유명 SNS 등에 악성코드를 올려놓고 해당 링크를 이메일 본문 안에 넣어서 보내는 경우도 자주 발견되고 있다
+글로벌 보안기업 중 일부는 앞서도 설명했던 평판 기반 엔진을 이용해서 URL정보를 확인, 악성으로 의심되는 URL을 걸러낸다
+하지만 앞서도 지적한 바와 같이 많은 사람들이 사용하지 않는다고 해서 반드시 악성URL이라고 확정하는 것은 곤란한 방법이다
+평판 기반 엔진은 참고자료로는 훌륭하지만 판단 기준이 되기에는 애매한 측면이 있는 것이 사실이다
+많은 이메일 보안시스템은 평판 기반 엔진 결과값에 적지 않게 의존하고 있다
+따라서 이메일 보안 시스템에 자주 포착되는 공격자의 이메일 정보들이 공유되어 DB화되고 차단될 수가 있었다
+하지만 앞서도 누누이 설명한 바와 같이 지능형 지속 위협 공격을 감행하는 데 있어 해커가 한 번 사용된 주소를 또 다시 사용하는 경우는 거의 없다
+근래에 지능형 지속 위협 공격자들은 1회성 이메일 계정을 사용해 공격을 시도하는 횟수가 크게 늘어나고 있다
+악성 첨부파일의 경우에도 더욱 다양화되고 정교해지고 있음을 알 수 있다
+근래 들어서는 ‘악성첨부파일’의 형태가 빠르고, 일회성으로 변화하고 있기 때문에 수많은 다양한 변종된 악성코드 형태를 실시간에 가깝게 분석할 수 있어야만 조직의 보안을 유지할 수 있게 된 것이다
+국내외 전문가와 보안 전문 기업들은 다양한 연구 개발을 통해서 이런 지능형 지속 위협 공격에 대항하기 위한 기술들을 개발해 왔다
+해킹 수법이 갈수록 고도화되자 기존의 패턴 기반의 탐지 방법을 주력으로 하던 백신회사들은 위기에 직면하게 됐다
+휴리스틱 엔진은 이미 대부분의 백신 회사가 자사 제품에 적용해서 사용하고 있는 주된 악성코드 탐지 기술 중에 하나이기도 하다
+휴리스틱은 수학, 심리학 등 다양한 분야에서 사용되는데 기본적으로는 경험에 기반을 두고 현재 닥쳐있는 문제를 해결하는 방법을 의미한다
+바로 이런 방식을 악성코드를 탐지하는 분야에서도 적용해서 사용하고 있는 것이다
+예를 들어 휴리스틱 분석을 사용하기 위해서는 기존에 백신회사가 가지고 있는 악성코드 정보를 데이터베이스화시키는 것이 필요하다
+이렇게 악성코드가 발견되고 나면 앞서 설명한대로 새롭게 발견된 악성코드를 규정하기 위해서 파일을 분석해서 특정 패턴을 찾아내게 된다
+예를 들어 a.exe 파일을 분석해보니, ‘123ab’라는 패턴이 파일 안에서 나왔다면 이 패턴 내용을 백신회사는 자사의 백신 엔진에 포함시키는 방식이 된다
+그 다음 앞으로 동일한 패턴을 가지고 있는 파일을 백신 엔진을 또 보게 되면 악성코드로 탐지할 수 있게 되는 것이다
+하지만 해커가 자신이 첫 번째 만든 악성코드인 a.exe가 백신회사에 노출되었다는 사실을 파악하고, 기존의 악성코드를 조금 변형해서 ‘123xz’라는 패턴을 가진 a1.exe라는 새로운 악성코드를 만든다
+이렇게 되면 기존에 백신회사가 파악하고 있는 패턴인 ‘123ab’와 일치하지 않기 때문에 간단하게 변형된 악성코드임에도 불구하고 백신은 탐지하지 못하게 된다
+결국 변형된 악성코드에 의해서 사용자의 PC가 해킹에 노출되게 되는 것이다
+이 경우 백신 회사가 휴리스틱 엔진에 의한 탐지 알고리즘을 만든다면 이렇게 만들 수 있다
+휴리스틱 탐지 기법은 바로 이런 기존의 ‘패턴’ 기반 탐지 방식의 맹점을 보완하기 위해서 개발된 기술인 것이다
+백신회사가 가지고 있는 패턴 정보는 기존에 알려진 악성코드를 탐지하는 데에는 유용하지만 변형 악성코드를 탐지하는 데에 있어서는 큰 효과를 거두지 못하기 때문이다
+반면 이런 휴리스틱 분석방법은 새롭게 악성코드의 샘플을 구하고 또 그것을 사람에 의해서 분석한 이후에 패턴을 추출해내는 복잡한 과정이 필요 없다
+때문에 비교적 선제적으로 변형된 악성코드에 대응할 수 있는 대안으로 주목을 받아 왔었다
+하지만 이런 휴리스틱 분석에 의한 악성코드의 대응은 몇 가지 문제점을 가지고 있다
+첫 번째는 어차피 백신회가가 가지고 있는 기존의 악성코드 데이터베이스와의 유사성을 비교하기 때문에 완전히 새로운 형태, 알려지지 않은 악성코드로 유입되는 지능형 지속 위협과 같은 해킹 공격에는 여전히 효과적으로 대응하기 어렵다는 점이다
+다시 말하자면 실제로 알려지지 않은 악성코드로부터 발생하는 ‘행위’를 기반으로 판단하는 것이 아니라, 대부분의 경우 ‘패턴의 유사성’ 정보를 기반으로 판단하기 때문에 생기는 문제라고 할 수 있다
+쉽게 말해 정상적인 파일이나 정상적인 인터넷 접속을 변형된 악성으로 잘못 판단해 차단시키는 경우가 생긴다는 점이다
+일반적으로 휴리스틱 엔진의 판단범위를 광범위하게 적용하면 변종 악성코드를 쉽게 탐지해낼 수 있는 장점이 있지만, 반대로 유사한 형태를 가지고 있는 정상 파일에 대해 오탐을 일으키는 경우가 많이 생기기도 한다
+오탐이 늘어나게 되면 실제로 어떤 이벤트가 정말로 맞는 이벤트인지 알 수 없게 된다
+이와 같은 너무 많은 양의 이벤트는 보안 솔루션의 효율성과 신뢰도를 떨어뜨리고 사용자 입장에서는 효율적인 업무에 불편함을 초래할 수 있게 되는 단점이 있다
+하지만 이런 기술적인 제약사항들에도 불구하고 구현하기가 비교적 쉽다는 장점 때문에 현재 대부분의 백신 회사들이 휴리스틱 분석 방식을 통해서 지능형 지속 위협에 대응하고 있다
+그 중에 한 가지 방법이 바로 DNS를 모니터링하는 방법이다
+DNS는 인터넷 상에 위치한 웹사이트를 접속하려고 할 때 실제 주소와 웹사이트의 별칭을 연결시켜주는 서비스를 의미한다
+해커의 악성코드에 감염된 좀비PC가 해커의 명령을 받기 위해 처음으로 명령제어서버로 접속할 때 명령제어서버의 위치를 알기 위해서 DNS 요청을 하게 되는데, 바로 이 과정에서 특징을 발견해낸 것이었다
+좀비PC를 기업에서 발견하게 되면, 좀비PC를 원격에서 조정하는 해커의 명령제어서버의 웹사이트 주소를 알아내서 차단 정책을 적용하게 된다
+해커는 이런 차단 정책을 우회하기 위해서 도메인 생성 알고리즘 방법을 악성코드에 적용한다
+도메인 생성 알고리즘 방법은 악성코드에 감염된 좀비PC를 원격에서 조정하는 명령제어서버의 주소를 매일 같이 바꾸는 방법을 의미한다
+예를 들어 해커는 악성코드에 감염된 좀비PC에 여러 개의 도메인 주소 리스트를 다운로드하게 한다
+좀비PC 안에서 실행되는 악성코드는 내부적인 계산을 통해서 그날그날 접속하는 명령제어서버를 선택하게 된다
+이런 DNS모니터링을 통한 지능형 지속 위협 공격에 대한 탐지 기법에서는 다음과 같은 세부적인 방법들이 주로 PC들의 DNS 트래픽을 모니터링하는 데 사용된다
+휴리스틱 엔진을 통하게 되면, PC들이 발생시키는 모든 DNS트래픽을 모니터링하지 않아도 되기 때문에 훨씬 더 효율적인 구성이 될 수 있다
+우선 휴리스틱 엔진에 의해서 전체 DNS트래픽 중에서 의심스러운 DNS 요청을 구분해 낸다
+마치 도메인 요청에 대한 평판기반 탐지와 유사하다고 보아도 좋을 것 같다
+예를 들어 DGA를 사용하는 악성코드의 경우 명령제어서버에 대해서 무작위로 특정 시간 안에 도메인요청을 변경하면서 지속적으로 하는 경우가 있다
+이런 DNS 행위를 모니터링하고 있다가, 이것이 정상적이지 못하고 DGA에 의해서 이루어지는 이상 행위라고 판단을 내리고 탐지를 하게 된다
+그리고 해당 데이터를 기준으로, 감염된 사용자 PC를 찾아내어서 좀비PC로 규정하게 된다
+DNS 모니터링 방식의 가장 큰 장점은 모든 트래픽을 볼 필요가 없다는 점이다
+따라서 대규모 기업이나 통신사업자와 같은 고객에게도 적용이 손쉽다는 장점이 있다
+모든 악성코드가 DNS를 이용해서 명령제어서버에 접근하는 것은 아니기 때문이다
+예를 들어서 요즘 발견되는 악성코드들의 경우 DNS를 통해서 명령제어서버의 IP주소를 받아오지 않고, 직접 명령제어서버의 IP로 접속하는 경우도 많아지고 있다
+바로 이런 제약으로 인해 지능형 지속 위협과 같은 다변화되고 고도화된 위협에 대해서는 탐지나 대응이 어렵다는 평가를 받고 있다
+이런 이유로 2000년대 후반 들어서는 시장에서 주류로 사용되지 못하는 기술이다
+원래 샌드박스라는 것은, 개발자들이 실제 사용자의 환경과 거의 유사한 가상의 환경을 만들어 둔 상태에서 자신이 개발한 소프트웨어가 정상적으로 구동하는지 테스트를 하는데서 사용되는 개념이었다
+샌드박스라는 말 자체가 아이들이 노는 놀이터의 모래더미를 뜻한다
+다시 말해 안전한 환경에서 테스트한다는 것을 상징적으로 의미한다고 보면 된다
+보안 전문가들은 바로 이 샌드박스 개념을 통해 지능형 지속 위협 공격에 대응할 수 있다고 생각하게 됐다
+이것은 예전에 왕들이 음식을 먹기 전에 독이 들어있는지 알아보기 위해서 기미 상궁이 음식을 먼저 먹어보던 것에 비유한 것이다
+즉 사용자가 웹사이트에 접속하거나 특정 파일을 실행시키기 전에, 해당 웹사이트나 파일을 사용자와 거의 동일한 환경에서 먼저 실행을 시켜보겠다는 게 기본적인 아이디어의 출발이다
+당연하게도 해커가 만드는 모든 악성코드는 사용자의 PC에서 실행이 되어야만 의미가 있다
+실행이 되지 않는다면 사용자의 PC를 감염시키지도 못할 것이기 때문에 악성코드로서의 의미가 없게 되는 것이다
+바로 이런 점에 착안, 사용자의 환경과 거의 유사한 샌드박스 안에서 먼저 파일을 실행시켜 보고, 이 웹사이트에 접속했을 때 PC가 해킹이 되는지 안 되는지 살펴보는 식의 방법을 이용하는 것이다
+원래 PC 운영체제라는 것은 하나의 물리적인 PC에 하나의 운영체제가 설치되는 것이 기본이다
+그런데 가상머신 기술을 사용하면 하나의 물리적인 PC에 여러 개의 운영체제를 설치하는 것이 가능하다
+예를 들어 PC는 한 대인데 그 안에 리눅스, 윈도와 같은 다양한 운영체제 여러 개를 동시에 구동시키는 것이다
+우선 물리적인 PC(혹은 서버)에 하이퍼바이저 소프트웨어를 설치한다
+하이퍼바이저는 그 자체로 운영체제 역할을 하기 때문에 운영체제를 설치하듯 물리적인 PC나 서버에 설치가 가능하다
+그리고 나서 하이퍼바이저 안에다가 가상(Virtual)의 서버나 PC를 여러 개 만들고, 각각에 원하는 운영체제를 설치하면 된다
+이 과정에서 하이퍼바이저는 각각의 가상의 PC나 서버들에 설치되는 운영체제에게 별도로 독립된 CPU, 메모리가 있는 것처럼 속이는 역할을 한다
+이런 가상머신 기술의 가장 큰 장점은, PC나 서버의 컴퓨팅 자원을 효율적으로 사용할 수 있다는 점이다
+이 PC를 가지고서 어머니는 인터넷 쇼핑만 하시고, 아이는 게임만 한다
+실제로는 두 대의 PC가 있으면 해결이 가능하지만 더 손쉬운 방법이 바로 하이퍼바이저를 이용해서 가상머신을 만드는 것이다
+인터넷 서핑만 하는 어머니를 위해서는 CPU 2개를 할당해서 가상 윈도 시스템을 하이퍼바이저 안에 만들고, 게임을 하는 아이를 위해서는 CPU 6개를 할당해서 성능이 높은 윈도 가상머신을 만들어 사용하는 것이다
+이렇게 하면 CPU 8개짜리의 원래 PC의 자원을 낭비 없이 효율적으로 사용할 수 있게 된다
+이 설명을 읽고 있는 독자 중에서 상당수가 앞서 간단하게 설명했던 클라우드 기술과 유사하다고 생각할 것이다
+하이퍼바이저는 물리적인 서버의 컴퓨팅 자원을 효율적으로 사용할 수 있도록 도와주기 때문에 클라우드 컴퓨팅을 구성하는 데 있어서 핵심적인 소프트웨어 중 하나라고 말할 수 있다
+바로 이런 하이퍼바이저를 통한 가상머신을 샌드박스 탐지 기술에서는 악성코드를 미리 실행 시키는 ‘모래사장’으로 사용하게 되는 것이다
+때문에 샌드박스 기술을 구동하려면 우선 물리적인 서버에 여러 대의 가상머신(VM)을 구동시키고 해당 가상머신들은 내부 사용자 환경과 가장 유사하게 설정해 둠으로써 샌드박스로 활용할 수 있게 설정한다
+그리고 나서 내부로 인입되는 트래픽을 모니터링하다가 특정 트래픽이나 파일이 의심스럽다고 판단되면 해당 트래픽을 서버 내부에 있는 특정 샌드박스에서 실행시켜 해킹이 이루어지는 아닌지 판단하게 된다
+샌드박스 내부에 있는 이상행위 감시 프로세스를 이용해 의심스러운 파일이 실행되는 과정을 모두 기록한다
+마지막으로 이렇게 기록된 행위를 기반으로 해당 파일이 악성인지 정상인지를 판단하게 된다
+이런 샌드박스 분석방법을 보안 분야에 적용하게 되면 실시간으로 ‘알려지지 않은 악성코드’에 대한 여부를 판단할 수 있고, 이를 기반으로 한 대응이 가능해진다
+의심되는 파일과 트래픽을 사용자와 가장 유사한 환경에서 실행해 본다는 것이 주 내용이기 때문에, 악성행위를 매우 정확하게 탐지해낼 수 있다는 특징이 있다
+또한, 샌드박스 탐지 기법의 핵심이 되는 하이퍼버이저 소프트웨어가 이미 개발되어서 널리 사용 중에 있기 때문에 비교적 손쉽게 누구나 샌드박스 탐지 기법을 보안 솔루션에 적용할 수가 있다
+이런 이유로 기존의 백신회사나 방화벽을 만드는 보안 회사들은 하이퍼바이저를 구매해서 샌드박스 솔루션을 구현하고 있다
+현재 지능형 지속 위협 공격에 대한 대응 솔루션을 판매하는 많은 보안 업체들은 이런 샌드박스 기술을 근간으로 하고 있다
+이런 샌드박스 분석 기술은 기존 보안장비의 주류를 이루고 있는 패턴기반 탐지 기술과 구분하기 위해 행위기반 탐지기술이라고 부른다
+하지만 샌드박스 기술 구현에 가장 큰 문제가 되는 부분은 컴퓨팅 파워다
+1만 명 정도의 직원을 고용하고 있는 엔터프라이즈 네트워크에서 1시간에 다운로드되는 인터넷 오브젝트의 수는 대략 40~50만 건 사이인 것으로 알려져 있다
+이런 엄청난 양의 웹오브젝트 분석을 1시간 이내에 해내려면 엄청난 수의 샌드박스를 구동해야 하는 문제점이 있다
+적어도 수백 대 정도는 샌드박스가 필요하다는 점이 구현에 있어서 가장 큰 문제점이다
+보안 업체 대부분은 이를 해결하기 위해 여러 대의 물리적 서버를 연결해서 샌드박스 시스템을 구축하거나 샌드박스 시스템 자체를 클라우드 기반으로 구현하기도 한다
+또 한 가지 기술적인 문제는 사용자와 유사한 환경을 구현하기 위해서 사용자가 사용하는 것과 유사한 운영체제, 소프트웨어가 설치되어야 한다는 점이다
+예를 들어 하나의 물리적인 서버에 200개 정도의 샌드박스가 설치되어 있다면 200개의 샌드박스 시스템에 각각 윈도 운영체제가 모두 설치되어야 하고, 오피스 소프트웨어, 동영상 소프트웨어가 모두 정품으로 설치되어야 하는 문제가 생기는 것이다
+이런 제약 사항으로 인해 샌드박스 기반의 보안 솔루션들은 대개의 경우 가격이 매우 고가인 경우가 많다
+하지만 가장 큰 문제점은 해커들이 이런 샌드박스 탐지 기술을 우회하기 위해서 또 진화한다는 점이다
+앞서 설명한대로 샌드박스 탐지 기술의 근간이 되는 기술이 하이퍼바이저라는 가상머신을 생성, 관리할 수 있게 해주는 소프트웨어다
+하이퍼바이저 소프트웨어 중에서 가장 유명한 곳들은 VMWare(델 컴퓨터), Hyper-V(마이크로소프트), Virtual Box(오라클)다
+문제는 지능형 지속 위협 공격을 감행하는 해커도 이런 하이퍼바이저를 똑같이 구매해서 사용할 수 있다는 점이다
+지능형 지속 위협을 감행하는 공격 집단은 누차 얘기한대로, 국가나 그에 준하는 규모의 지원을 받는 공격 집단이다
+이들이 손쉽게 구매할 수 있다는 이야기는 공격자들이 악성코드를 만들 때 이런 상용 하이퍼바이저를 우회할 수 있게도 만들 수 있다는 점을 의미한다
+즉 악성코드가 상용 하이퍼바이저를 인식해 샌드박스에선 실행이 되지 않고 실제 사용자 PC에서만 실행되도록 악성코드를 만든다는 것이다
+앞서 샌드박스를 왕이 음식을 먹기 전에 독이 있는지 먼저 먹어보는 기미상궁에 비유했는데 마치 음식의 가장 밑부분에 독을 발라 두어서 기미상궁이 먼저 먹어 보더라도 이를 알아차리지 못하게 하는 것과 같다
+이러한 이유로 샌드박스 기술 또한 지능형 지속 위협 공격을 방어하는 데 있어서는 여전히 문제점을 지니고 있다고 볼 수 있다
+또 다른 문제점은 지능형 지속위협 공격의 경우 하나의 파일로만 공격이 이루어지는 것이 아니라 익스플로잇 ⇨ 드랍퍼 ⇨ 콜백과 같이 여러 개의 서로 다른 네트워크 플로우를 통해서 이루어진다는 점이다
+이를 소위 ‘멀티플로우 공격’이라고 말하는데 3개의 단계로 이루어지는 공격의 연관성을 추적해낼 수 없으면 실제로는 지능형 지속 위협을 탐지하지 못한다는 문제가 생긴다
+하지만, 일반 샌드박스 기술의 경우 단일 파일을 개별적으로 분석할 뿐 여러 개의 플로우의 연관 분석을 하는 ‘멀티플로우 분석 기술’이 없기 때문에 한계점이 있다고 할 수 있다
+기본적인 아이디어나 동작 방식은 샌드박스 기술과 동일하다
+하지만, 차이점은 앞서 언급한 샌드박스 기술의 문제점인 하이퍼바이저 기술을 자체 개발한 기술로 사용하는 것이다
+물론, 이렇게 하더라도 지능형 지속 위협의 공격자가 해당 솔루션을 구매해서 사용해 볼 수 있을 것이다
+하지만 커스텀 가상머신 기술이 적용된 솔루션의 가격은 엄청난 고가이기 때문에 이를 구매해서 고객 등록까지 마친 이후에 테스트를 해본다는 것이 상대적으로 하이퍼바이저 소프트웨어만 구매해서 사용하는 것보다는 훨씬 더 어려울 수밖에 없다
+때문에 상용 하이퍼바이저가 적용된 샌드박스 탐지 기술보다는 우회가 힘들다는 점에서 몇몇 글로벌 보안 기업들에 의해서 채택되고 있는 방법이다
+또한 일부 커스텀 가상머신 기반의 솔루션들은 앞서 지적했던 샌드박스의 문제점 중 하나인 ‘멀티플로우 공격’을 분석하지 못하는 문제도 해결하였다
+사용자가 인터넷 접속을 시도하면 사용자의 모든 인터넷 접속 트래픽을 저장하고 이를 동시에 하나의 가상머신을 통해서 재연시켜 분석하는 방법을 사용한다
+이렇게 함으로써 여러 단계에 걸쳐서 발생하는 ‘멀티플로우 공격’을 상당 부분 높은 정확도로 탐지하는 것이 가능해진다
+하지만 이런 커스텀 가상머신 기술 또한 여전히 몇 가지 문제를 가지고 있다
+첫째 하이퍼바이저까지 자체적으로 개발을 하다 보니, 솔루션의 가격이 너무 높아진다는 점이다
+때문에 광범위하게 많은 기업들을 대상으로 해서 적용되는 데 한계를 보이게 되는 측면이 있다
+두 번째는 모든 파일을 실행해 보아야 한다는 점에서 샌드박스 기술이 가지고 있던 성능상 문제도 여전히 가지고 있다는 것이다
+이런 높은 가격에도 불구하고, 알려지지 않은 악성코드를 탐지할 수 있다는 기술적인 강점 때문에 많은 기업들이 샌드박스 기반의 보안 솔루션을 이용해서 지능형 지속 위협에 대응하고 있다
+하지만 문제점을 보완하기 위해서 요즘은 커스텀 샌드박스 탐지 기술뿐 아니라 다음에 설명할 머신러닝 탐지 기법, 인텔리전스 탐지 기법 등을 함께 적용해서 단점을 보완하는 방식으로 진화되고 있다
+최근 구글의 머신러닝 기반 솔루션과 국내의 유명 프로 바둑기사와의 대결이 큰 화제를 모은 바 있다
+기계가 주어진 정보를 기반으로 해서 스스로 새로운 내용을 예상하고 학습한다는 것이다
+바둑에서 하나의 돌을 놓는 데에는 10의 170승에 이르는 어마어마한 경우의 수가 존재한다
+하지만 악성코드가 보이는 일반적인 패턴은 이에 비하면 상대적으로 간단하다고 얘기할 수 있다
+하지만 이를 위해서는 우선 머신러닝의 토대가 되는 다양하고 최대한 많은 수의 악성코드 샘플과 분석 내용이 필요하다
+이는 마치 구글의 알파고가 바둑을 배우기 위해 수많은 기보를 학습해야 하는 것과 마찬가지다
+따라서 최대한 많은 정보를 모을 수 있는 다양한 경로가 존재해야 한다
+예를 들어 전 세계 각 국가나 기업에 있는 개별 네트워크에 악성코드를 자동으로 분석할 수 있는 시스템이 먼저 설치되어야 한다
+그리고 이렇게 개별적으로 위치한 분석용 시스템은 다시 별도의 클라우드 컴퓨팅 시스템을 통해서 서로 연결된다
+이런 구현 방법을 적용하면 각각의 지역에서 분석되어서 올라오는 방대한 양의 악성코드 데이터가 중앙 클라우드에 저장되고 이를 통해서 다양한 악성코드들에 대한 머신러닝이 가능해진다
+예컨대 국내 특정 산업에서 향후 3개월 이내에 어떤 형태의 사이버 공격이 일어날지를 예측해볼 수도 있다
+그러면 이 경우 DDoS 공격을 일으킬 수 있는 봇넷을 원격으로 조정하는 명령제어서버의 IP를 사전에 찾아내서 차단, 향후 발생할 수 있는 DDoS 공격을 예방하게 되는 것이다
+마치 영화 <마이너리티 리포트>에 나오는 범죄 예방 시스템과 유사하게 말이다
+그리고 수많은 악성코드의 분석 내용을 토대로 해 이제까지 나오지 않았던 새로운 패턴을 정확하게 예측하는 것도 가능하다
+하지만 이런 클라우드+머신러닝 방식도 문제점을 가지고 있는데, 머신러닝의 분석과 예측이 정확도를 갖기 위해서는 최대한 많은 수의 비교 대상 데이터를 수집할 수 있는 시스템이 전 세계에 많아야만 한다는 점이다
+이를 통해서 수집된 기본 정보가 많아야만 빅데이터 검색에 의한 추적/탐지가 효용성을 가질 수 있기 때문이다
+앞서 여러 최신 기술을 이용해서 지능형 지속 위협에 대응하는 방법을 살펴봤다
+현재 이 책을 쓰고 있는 시점에서 가장 효율적이라고 판단되는 방어 기술은 위에 언급된 기술들을 적절하게 연동시켜서 사용하는 하이브리드 방식이라고 생각된다
+물론 개인적인 생각이라는 단서를 붙여야 하겠지만 알려지지 않은 악성코드나 트래픽을 분석하는 방법으로는 단연코 샌드박스 기술이 중심이 되는 것이 현재 시점에서는 가장 좋다
+샌드박스의 중심이 되는 하이퍼바이저 기술까지 보유한 커스텀 가상머신 기법이라면 더욱 훌륭하다고 할 수 있겠다
+하지만 가상머신 기술을 광범위하게 적용하기에는 여러 가지 기술적 이슈, 특히 경제적인 문제가 있기 때문에 이를 단독으로 사용하는 것은 좋은 방법이 아니다
+휴리스틱 엔진을 통해서 의심이 될 만한 트래픽이나 파일들을 최대한 추출해 내고, 머신러닝 기법을 통해서 새로운 패턴을 끊임없이 예측하고 찾아내야만 가상머신을 과도하게 구매하는 부담을 줄일 수 있을 것이다
+:: 스피어피싱과 워터링홀의 혼합 공격  이메일 첨부 파일의 경우, 앞서 언급한 샌드박스 기술을 응용한 보안 솔루션들을 이용해 어느 정도의 대응을 이끌어 낼 수 있다
+예를 들어 이메일이 사용자에게 전달되기 이전에 모든 이메일에 있는 첨부파일을 샌드박스와 같은 기술을 이용해서 실행시켜 본다면 알려지지 않은 악성코드가 숨어 있는 첨부파일이라고 하더라도 찾아 낼 수 있을 것이다
+즉 워터링홀 공격을 감행할 수 있는 웹사이트를 만들어 두고, 그 웹사이트에 접속하는 링크를 만들어서 이메일 본문 내 포함시키는 방식으로 공격하는 것이다
+우선 생각해 볼 수 있는 것은 샌드박스 기반의 보안 장비가 이메일 본문에 있는 의심되는 URL을, 마치 사용자인 것처럼 클릭해서 실제로 해당 웹사이트에 접속해 보도록 하는 방식일 것이다
+이런 방식을 사용할 경우 이메일 본문 내에 포함된 모든 의심되는 URL은 사전에 샌드박스가 검사해주기 때문에 이메일을 받는 사용자는 안전하다고 할 수 있을 것이다
+하지만 이 방법을 실제로 사용자 환경에서 사용하기에는 몇 가지 문제가 있다
+원타임 URL이라고 하는 것은 일회성으로 사용되는 임시 URL정보를 의미한다
+대표적인 것이 어떤 사이트에 가입했을 때 내가 기입한 이메일 주소로 가입 승인 이메일이 오는 경우다
+이때, 사이트로부터 받은 이메일에서 내가 해당 링크를 누르면 가입승인이 완료되는 경우들이 있는데, 이런 것들이 대표적인 원타임 URL의 예라고 할 수 있다
+이처럼 원타임 URL은 정상적인 URL이지만 이에 대한 검증으로 샌드박스 시스템이 먼저 접속할 경우에 원타임 URL은 사용이 불가능해지는 경우가 생기는 것이다
+지능적인 공격자들은 악의적인 URL이 담긴 이메일을 전송한 뒤에, 사용자가 해당 URL을 클릭해서 접속하기까지 소요되는 시간을 측정한다
+이 때 이메일을 전송한 시간에서부터 너무 짧은 시간 안에 사용자가 URL에 접속하면 공격자는 이 접속이 실제 사용자에 의한 접속이 아닌 샌드박스와 같은 보안장비에 의한 자동화된 접속이라고 판단한다
+이 경우 공격자는 미리 준비되어 있던, 추가로 악의적인 행위를 하지 않도록 조작한다
+실제로 많은 공격자들이 이런 방식으로 이메일 서버 앞단에 위치하는 보안 시스템을 걸러내도록 하고 있다
+바로 이런 문제들 때문에 샌드박스 시스템이 의심되는 URL을 사전에 접속하도록 하는 것만으로는 완벽한 해결책이 될 수 없다
+이렇게 함으로써, 앞서 언급한 문제점들을 해결하면서도 샌드박스 시스템을 이용해서 여전히 알려지지 않은 악성코드와 워터링홀 공격을 탐지할 수 있게 되는 것이다
+실제로 많은 보안 기업들이 자사의 물건을 팔기 위해 모든 것이 사전에 방어되고 막을 수 있는 것처럼 광고하지만 단언컨대 사전에 지능형 지속 위협을 100% 차단할 수 있는 방법은 없다
+만일 지능형 지속 위협에 의해서 해킹될 수 있는 가능성이 있다는 점을 인정하지 않고 보안에 대한 전체 계획을 그리게 되면 큰 문제점이 생기게 된다
+일단 지능형 지속 위협을 사전에 100% 막을 수 있다고 가정을 하게 되면, 사전 탐지에 모든 계획이 포커싱되야 한다
+사전에 악성코드를 검출할 수 있는 시스템과 이를 운영하는 것에 모든 자원이 할당되어야 한다
+하지만 그렇게 하면 정말로 지능형 지속 위협으로부터 안전한가에 대한 대답은 ‘아니오’다
+최신 보안 장비와 수백 명의 보안 인력을 갖추고 있는 글로벌 기업들도 지능형 지속 위협의 표적이 되고 나면 해킹에 의해서 엄청난 피해를 입게 된다
+사전에 탐지하는 것도 중요하지만 탐지를 벗어나서 이를 놓치게 되었을 때 얼마나 빨리 이상 징후를 찾아내어서 내부에 침투한 위협을 격리시키고 침투 경로를 파악할 것인가 등에 대한 사전 계획이 나오게 된다
+예를 들어 단순히 사전에 악성코드를 탐지하는 솔루션뿐 아니라 PC나 서버에서 발생하는 이상 징후를 빨리 알아채기 위해 PC나 서버에서 발생하는 다양한 로그 정보 등을 저장해 두는 것도 필요한 방법이다
+또 해킹이 성공되거나 내부의 위협이 파악 되었을 때 어떻게 행동할 것인지를 사전에 매뉴얼화하는 것도 매우 중요하다
+만약 대기업과 같이 인력과 보안 솔루션 구매에 대한 투자의 여력이 있는 경우에는 내부의 사고가 벌어졌을 때 각각의 역할이 무엇이고 어떻게 움직여야 하는지 사전에 정의하는 문서를 만들어 두는 것이다
+이것은 마치 우리가 전시를 대비, 사전에 민방위 훈련을 하는 것과 같다고 보면 된다
+필자가 이렇게 이야기하는 것을 어떤 독자들은 동의하지 않을지도 모르겠다
+사전에 막을 수 있는 방법이 있다고 주장하는 사람도 있을 수 있을 것이다
+필자는 지능형 지속 위협을 천재지변에 비유하고 싶다
+우리는 자연재해나 천재지변을 최대한 막기 위해 사전에 다양한 노력들을 한다
+홍수를 막기 위해서, 댐을 쌓는 등의 준비가 바로 그러한 것이다
+하지만 이런 사전의 다양한 노력에도 불구하고 천재지변을 100% 사전에 막는다는 것은 불가능하다
+실제로 사고가 발생한 이후에는, 어떻게 후속조치를 신속하게 해서 인명피해나 재산상의 피해가 발생하지 않도록 할 것인지가 가장 중요한 포인트가 되는 것이다
+사전에 이를 막기 위해서 가능한 다양한 노력들을 기울여야 한다
+위협 요소가 발생했을 때 어떻게 하면 피해를 최소화시켜 조기에 진화할 수 있는지 고민해야만 하고, 이에 대한 기업의 사전 계획이 있어야만 하는 것이다
+하지만 이런 준비들은 모두 투자와 연결되어 있다
+사람에 대한 투자, 보안 솔루션에 대한 투자, 시간에 대한 투자가 반드시 필요하다
+만일 이 책을 읽는 독자 중에 스타트업 혹은 스타트업은 아니지만 투자에 대한 여력이 제한적인 회사에 있는 분들이 있다면, 클라우드 기반의 보안 솔루션 도입을 강력하게 검토하기 바란다
+국내는 보수적인 문화로 인해서 클라우드 컴퓨팅의 도입이나 활성화가 해외에 비해 늦어지고 있는 것이 현실이다
+그 중에서도 많은 사용자들이 클라우드 기반의 보안 솔루션을 사용하는 데 있어 걱정하고 우려하는 부분은, 기업의 데이터가 보안 회사가 운영하는 클라우드로 전송되어서 유출되지는 않을까 하는 것이다
+하지만 이미 많은 글로벌 보안 기업들은 아마존의 AWS와 같이 글로벌하게 검증되어 있는 클라우드 컴퓨팅 플랫폼을 이용해서 자사의 클라우드 기반 보안 솔루션을 제공한다
+또 아마존과 같은 상용 클라우드 플랫폼을 이용하지 않더라도 글로벌 보안 기업 대부분은 고객의 데이터를 신중하게 관리 및 처리하기 때문에 클라우드 기반의 보안 솔루션을 사용한다고 해서 크게 걱정할 필요는 없다
+오히려 대부분 글로벌 보안 기업의 클라우드 환경은 개별 중소기업의 보안 환경보다 더 안전하게 관리되는 경우가 많다
+스타트업이나 중견 기업들이 클라우드 기반의 보안 솔루션을 선택하게 되었을 때 단순히 금액적인 혜택만을 보는 것이 아니다
+첫 번째로는 기업의 자산을 보호하는 울타리의 제한이 없어진다
+전통적인 기업 보안 솔루션들의 경우는 회사 내부 자산을 보호하는 데에 초점이 맞추어진다
+여기에서 내부라는 표현은 자산이 실제 물리적으로 회사 안에 위치하고 있을 때를 의미한다
+때문에 직원이 집에서 근무하거나 집으로 노트북을 가져가는 등의 경우에 있어서는 자산을 보호하는 것이 불가능했었다
+과거에는 집에서 노트북을 사용하다가 악성코드에 감염된 이후 이를 다시 회사의 네트워크에 연결해서 해킹 사고가 발생한 경우도 많았다
+기업들은 노트북이나 모바일 장비 등을 관리하기 위해 다양한 방법들을 고민하고는 있지만 요즘과 같은 업무 환경에서 이를 완벽히 통제하는 것 자체가 불가능하다
+노트북이나 모바일 장비의 입출고에 대한 관리가 훨씬 더 유연해져도 좋은 것이다
+보안 솔루션이 회사에만 설치되어 있는 경우 집에 노트북을 들고 가는 행동 자체를 허락하기가 어렵다
+왜냐하면 노트북이 회사를 벗어나는 순간 회사에서 운영하는 고가의 보안 솔루션들이 모두 무용지물이 되기 때문이다
+반면 클라우드 기반의 보안 솔루션은 이런 물리적인 제약이 없다
+직원이 설령 집으로 노트북을 가져가서 인터넷을 사용하더라도 노트북의 인터넷 트래픽은 보안회사가 제공하는 안전한 클라우드를 거쳐서 인터넷 접속이 이루어지기 때문이다
+즉 물리적으로 어디에 위치하더라도 인터넷을 사용하는 경우에는 모두 클라우드를 거쳐서 접속이 이루어지거나 파일 교환이 이루어지기 때문에, 물리적 제약 없이 안전하게 인터넷 사용이 가능하다는 것이다
+두 번째로는 소프트웨어 관리에 대한 부담이 없다는 점이다
+앞서 반복해서 설명한대로, 기업에서 사용하는 소프트웨어는 최신 버전으로 유지하는 것이 매우 중요하다
+이를 통해서 새롭게 발견되는 소프트웨어의 취약점 등을 패치할 수 있다
+또 보안 솔루션의 경우 패턴을 업데이트하거나 새로운 악성코드에 대항할 수 있는 엔진의 내용을 추가하는 보안 솔루션의 업데이트도 매우 중요하다
+하지만 동시에 이런 업데이트를 진행할 때에는 일반적으로 많은 시간이 걸리거나 업데이트를 진행하는 동안에 보안 솔루션이 동작을 멈추는 등의 관리상 이슈가 발생한다
+하지만 클라우드 기반 보안 솔루션을 사용하면 모든 소프트웨어 관리나 업데이트가 클라우드 상에서 이뤄지기 때문에 서비스의 중단이나 기업의 사용자 입장에서 관리해야할 필요성이 없다
+새롭게 발견되는 위협에 대해 필요한 내용들도 실시간으로 보안 기업들에 의해서 업데이트가 서비스 중단 없이 제공되기 때문에, 보안에 대한 대응 측면에서도 효용성이 높다고 할 수 있다
+클라우드 컴퓨팅이라는 기술 자체가 가지고 있는 근본적인 장점이 컴퓨팅 자원을 효율적으로 사용해서 IT 운영비용을 줄이는 것이기 때문에 클라우드 기반의 보안 서비스 또한 경제적인 강점이 매우 크다
+실제 물리적인 보안 솔루션을 구매해서 운영하는 비용에 비한다면 비교가 되지 않을 정도로 비용적인 장점이 크다
+가장 최근의 사례를 보면 지난 2015년에 전 세계 최대 동영상 스트리밍 업체인 넷플릭스는 기존에 사용하던 백신과의 재계약을 포기하고 클라우드 기반 보안 솔루션을 사용하는 것으로 결정했다
+넷플릭스는 연간 10조 원에 이르는 매출과 분기에 3천억 원이 넘는 이익을 내는 글로벌 대표 동영상 회사다
+이런 기업에서도 클라우드 기반의 보안 솔루션을 주요 보안 솔루션으로 선정한다는 것은 향후 더 많은 기업들이 클라우드 기반의 보안 서비스로 넘어갈 것이라는 전망을 가능하게 한다
+따라서 이러한 클라우드 기반의 지능형 지속 위협에 대한 서비스를 적극적으로 활용하는 것이 유력한 대안이 될 수 있다
+앞 장에서 소개한 것처럼 개인들의 동아리 모임이나 커뮤니티 모임을 해킹하는 것은 다시 그 정보를 기반으로 기업을 해킹하는 데 사용되기도 한다
+따라서 인터넷 상에서 발생하는 해킹 사고와 자신은 무관하다고 생각하는 것은 맞지 않다
+전혀 상관 없어 보이는 여러 가지 해킹 사고들이 사실은 자기 자신이나 자신이 다니고 있는 회사와 깊게 연관되어 있을 수도 있기 때문이다
+따라서 웹사이트를 제공하는 스타트업과 기업들 그리고 이를 사용하는 인터넷 사용자 간에는 서로 간의 안전을 돌보아야 하는 책임과 권리가 동시에 존재하는 것이다
+예컨대 스타트업 기업을 포함해서, 웹사이트 운영을 통해서 새로운 비즈니스를 온라인 상에서 창출하고자 하는 창업자의 경우에는 사용자에 대한 최소한의 안전성 확보를 위해서 반드시 1차적인 보안 대책을 수립해야 한다
+한 가지 개인적인 바람이 있다면 이런 보안성 확보에 대한 스타트업 기업의 초기 경제 부담을 줄여주기 위해 국가가 운영하는 공공기구에서 스타트업을 위한 다양한 보안 서비스를 제공해주면 어떨까 하는 것이다
+예컨대 초기 보안성에 대한 투자에 대해서 공공기관이 서비스를 저렴하게 제공해주고 보안성이 확보된 스타트업은 좋은 아이디어를 통해서 지속적인 성장을 이루어갈 수 있도록 하는 것이다
+이런 성장을 통해서 스타트업이 중견기업, 대기업으로 성장하면 초기에 지원 받은 비용에 대해서 보상하는 방식으로 선순환 구조를 만들면 좋을 것이다
+물론 앞장에서 언급했던 대로, 국내에서는 KISA(한국인터넷 진흥원)와 같은 공공기관에서 다양한 서비스를 무료로 제공함으로써 민간에서 발생하는 보안 사고에 대해서 지원을 하고 있다
+하지만 인력이나 예산 부족 등으로 인해서 아직 다양한 보안 사고를 모두 지원하는 데에는 한계가 있을 수밖에 없어 보인다
+따라서 기본적으로는 웹사이트를 운영하는 스타트업 담당자가 스스로 보안에 대한 대책을 세우는 것이 매우 중요하다
+마찬가지로 인터넷을 사용하는 개인들도 자신의 정보를 해커로부터 지키기 위해서 기본적인 보안성 확보를 위해서 노력해야 한다
+자세한 방법들은 앞선 장에서 설명했지만 다시 한 번 정리하면 첫 번째로는 집에서 사용하는 PC의 운영체제와 소프트웨어는 항상 최신 버전을 유지하도록 한다
+두 번째로는 설치하는 백신 소프트웨어를 무조건 무료라고 생각하지 말아야 한다
+유료 버전의 백신 소프트웨어에는 다양한 부가기능들이 있어 그 만큼 더 안전하게 사용자의 PC를 지켜줄 수가 있다
+특히 필자가 강조하고 싶은 것은, 소프트웨어는 무조건 정품을 구매해서 사용하라는 점이다
+예전에는 고가의 소프트웨어를 해적판으로 구하면 대단한 횡재라도 한 것처럼 자랑을 했었다
+해적판 소프트웨어에는 그 자체에 어떤 악성코드가 숨어 있는지조차도 가늠하기 어렵지만 더 큰 문제는 정품이 아니기 때문에 신규 업데이트가 나오더라도 업데이트 자체가 지원이 안 된다는 점이다
+소프트웨어 업데이트가 안 되면 어떤 일이 일어날 수 있는지 앞서 누누이 언급했으니 여기에서는 생략하도록 하겠다
+다시 한 번 강조하지만 소프트웨어는 구매해서 사용하기 바란다
+이것은 개발자에 대한 정당한 보상 같은 고상한 이유를 들지 않더라도 소프트웨어를 사용하는 자기 자신을 위해서 반드시 필요한 기본적인 조치다
+우리가 매일 같이 사용하는 인터넷은 누구에게나 열려 있는 기회의 공간이며 인종, 성별, 나이, 학벌에 있어서 차별이 존재하지 않는다
+누구나 자유롭게 이용하고 이 공간을 이용해서 새로운 기회를 만들어 낼 수 있는 곳이기도 하다
+따라서 인터넷을 이용하는 사용자들에게는 최소한의 안전성을 보장해 줄 수 있는 방법이 있어야 한다
+이것은 마치 우리가 일상 생활을 하고 있을 때, 국가가 경찰이나 군대, 기타 여러 행정을 동원해서 우리가 안심하고 안전하게 살아갈 수 있도록 최소한의 안전을 제공하는 것과 마찬가지이다
+이런 안전성에 대해서 스타트업, 기업 그리고 일반 사용자 간에 서로 의무와 권리로써 존재하고 제공될 때 비로소 안전한 인터넷 사용의 첫걸음이 이루어질 것이다
+구글이나 페이스북 등이 전 세계 하늘에 풍선 띄우고 협회를 만들어서 지구를 인터넷 무풍 지대로 만들겠다는 계획도 결국 인프라 발전을 위한 정책적 토대가 되기 때문이다
+물론 지금은 유선에서 무선으로, 같은 무선이라도 더 쾌적한 환경을 만들 수 있는 인프라를 제공하는 데 초점을 맞춰야 할 것이다
+다만 그만큼 중요해지는 건 이렇게 잘 갖춘 인프라, 디지털 세계에 현실과 같은 복지 혜택을 부여하는 게 아닐까 싶다
+이젠 잘 갖춰진 인프라, 인류가 오랫동안 의지해왔던 아날로그 세계만큼 혹은 그 이상 커진 디지털 세계에 걸맞은 복지 혜택이 필요할 때다
+필자가 강조하는 디지털 복지란 넓게 보면 사이버 세계에서의 평등권을 부여하는 것이라고 정의하고 싶다
+앞서 소개한 무선 인프라를 예로 들자면 “대한민국 사람이라면 누구나 어디에서나 무선 환경에 접속할 수 있는 권리”를 부여받을 수 있는 것이라고 말할 수 있다
+하지만 조금 시야를 좁혀 구체적인 사안을 제시하자면, 사이버 보안의 복지가 필요하다
+마치 현실 세계에서도 국민이 외부의 위협으로부터 보호받을 수 있도록 경찰력이라는 국가의 힘을 이용하듯이, 사이버 세계에서도 이런 최소한의 안전장치가 필요해진 것이다
+이제 사이버 세계 속에서 보안은 더 이상 선택사항이 아니다
+사이버 세계에서 개인 보안이 무너진다는 것은 70~80년대로 따지면 누군가 동사무소에 아무 허락도 받지 않고 무단 침입해 다른 사람의 정보를 빼가는 것과 다르지 않다
+피해 사례를 멀리서 찾아볼 필요도 없을 것 같다
+지난 2013년 3월 20일 발생했던 초유의 북한발 사이버테러 당시 국내 기업과 민간이 입은 피해액은 8,600억 원 이상에 달했다
+그 뿐 아니라 국민을 타깃으로 한 파밍이나 스미싱 같은 사이버 공격에 의한 피해액은 반년동안 수백억 원에 육박한다
+국가라는 게 무엇인지 새삼스럽게 얘기하지 않는다 하더라도 다수의 국민들이 외부의 위협으로부터 피해를 당하지 않도록 공공의 서비스를 제공해 주는 기본적인 책무가 필요해진 시점이다
+보안은 이제 개인의 책임 혹은 특정 기업만의 책임으로 돌릴 수 있는 문제가 아니다
+물론 특정 서비스에 대한 기업의 책임은 당연하다
+하지만 개인에 대해서는 보안에 대한 기본권을 보장할 수 있는 장치나 콘텐츠, 공공 서비스가 필요한 시점이다
+:: 인터넷 사회약자를 위한 사이버 복지가 필요하다  국가의 보안 정책은 사회약자를 대상으로 우선적으로 시행되어야 하는 게 상식이다
+마찬가지로 인터넷이라는 새로운 생활 공간에서의 삶이 범죄나 테러로부터 지켜져야 하는 것이 보안복지의 핵심이라고 할 수 있겠다
+예컨대 사이버 세계의 도로라고 할 수 있는 통신망에서 악성코드를 탐지해서 공익의 목적으로 배포하고 차단을 유도하는 것도 실질적인 방법이 될 수 있을 것이다
+지금도 KISA 같은 국가기관에서 예산을 편성해 대응하고 있지만 아직까지 미비한 수준이다
+복지라는 이름에 걸맞은 과감한 투자가 필요한 시점이다
+보안 복지 국가의 개념을 내건다면 디지털 세계에서 좀 더 인터넷 사용자들이 자유롭게 개인에 대한 사이버 보안의 혜택을 이어갈 수 있을 것이다
+스콧 영은 TEDx, 팟캐스트, 유튜브 등의 여러 채널을 통해 울트라러닝에 관한 이야기를 전하고 있으며, 그가 제시한 울트라러닝 학습법은 전세계 각계각층의 인사들로부터 많은 격찬을 받고 있다
+수많은 도전을 시도했던 한 해의 마지막 여정지였다
+나와 내 친구는 스페인, 브라질, 중국을 거쳐 한국을 찾았고, 당시 ‘영어 없이 1년 살기’ 프로젝트로 고군분투 중이었다
+3개월간 머물기로 한 멋진 아파트형 기숙사에 도착했는데 건물 관리자가 어떤 서류에 사인을 요청해온 것이다
+인사말 수준의 한국어만 알고 있을 때라 이 문제를 해결하기 위해 치러야 했던 의사소통은 엄청난 도전 과제와도 같았다
+나중에야 알게 된 사실이지만 그 관리자는 중국에서 수년간 살아본 적이 있었다
+서류 문제가 발생한 당시 소통 가능한 다른 언어가 있었지만 서로 중국어를 쓸 수 있을 거라곤 상상하지 못한 것이다! 다소 좌충우돌했지만, 한국어를 좀 더 익히게 된 유용한 경험이었다
+한국에 머무는 동안 많은 사람을 만나고 여러 친구들을 사귀었다
+그러면서 알게 된 한국 문화와 언어에 점점 감탄하게 됐다
+특히 교육과 학습을 중시한다는 인상을 받았는데, 이 점이 내가 가장 찬탄하는 부분이기도 하다
+하지만 이와 동시에 과도하게 경쟁적인 교육 시스템의 어두운 면을 보기도 했다
+학교에서든 취업에서든 시험이 미래의 많은 부분을 결정해서, 한국의 학생들은 깨어 있는 시간 동안 온통 시험 대비에 몰두해 공부했다
+방과 후에도 학교와 숙제에 치여 사는 듯 보였다
+어마어마한 양의 학습 시간은 공부에 대한 한국 학생들의 기본적인 의식과 성실함을 그대로 보여주었지만, 그들이 취하는 전통적인 공부 방법 중 대부분은 매우 비효율적으로 보였다
+주로 기계적 암기와 보충 수업, 반복적인 복습이었는데, 이는 서구 교육에서도 마찬가지다
+울트라러닝이란 자신에게 필요한 지식이나 기술을 새로이 습득하기 위해, 혹은 실제 활용할 수 있는 지식과 기술로 업그레이드하기 위해 짧은 시간 동안 스스로 설계한 배움의 경로로 완벽히 정복해내는 고효율·고강도 학습법을 말한다
+내가 이 책을 쓴 두 가지 목적 중 하나는 울트라러닝을 시도한 사람들의 낯설지만 인상적인 위업과 달성 과정을 전해주는 것이다
+홀로 사업을 일으키고, 언어를 배우고, 대회에서 수상을 하고, 이직을 하는 등 스스로 고안한 고강도 울트라러닝 프로젝트를 통해 어려운 주제와 기술을 완벽히 습득해낸 사람들이 있다
+우리는 종종 무언가를 배우는 가장 좋은 방법은 학교에서 수업을 듣는 거라고 생각한다
+하지만 당신의 목표가 지금 당장 쓸 수 있는 고난도 기술에 능숙해지는 것이라면, 이 책에 언급된 울트라러닝의 여러 사례가 아주 큰 도움이 될 것이다
+세상에는 우리가 생각하는 것보다 훨씬 많은 선택지가 있다
+이미 시도된 다양한 울트라러닝 프로젝트가 당신이 고난도 기술을 배우는 데 필요한 새로운 아이디어를 주고, 당신의 상상력에 불꽃을 튀길 영감을 불어넣어 줄 것이다
+인생을 좌우할 큰 시험을 앞두고 있든, 자신의 분야에서 최고가 되고 싶든 내가 전하는 사례들로 당신은 울트라러닝에 눈을 뜨게 될 것이다
+두 번째 목적은 저명한 인지 과학자들이 연구·조사한 가장 유용하고 효율적인 학습 전략들을 정리해 엮는 것이다
+우리가 아는 수많은 학습 방법 대부분이 끔찍하리만큼 비효율적이다
+과거에는 학교에서 배운 지식과 기술이 좋은 직업을 보장했다
+하지만 이제 전통적인 교육기관에서 얻는 지식은 이를 ‘숙련’ mastery하는 긴 과정의 첫 단계일 뿐이다
+지식과 기술을 진정으로 습득하는 법을 아는 것은 공부하는 청소년들뿐 아니라 직장 생활을 하는 성인들에게도 무척이나 중요하다
+차이가 있다면, 인생에는 지식과 기술을 시험할 최종 기말고사가 없다는 점이다
+경쟁적인 교육 시스템에는 분명 어두운 측면이 있다
+이 메일을 쓰기 며칠 전, 우리는 한 컨퍼런스에서 만났고 많은 대화를 나눴었다
+그때 나눴던 대화를 계속 이어나가고 싶었고, 그래서 메일을 보낸 것이다
+다음 프로젝트가 언어 학습인데, 그 일을 먼저 하려고요.” 바라던 답변은 아니었지만 그의 입장에서는 그럴 수밖에 없었다
+그렇다고 그가 빠른 시일 내에 돌아올 수도 없었다
+스케줄을 변경할 수도 없고, 인터넷에 자주 접속하기도 어려우므로 우리의 대화는 나중을 기약해야 했다
+더군다나 그는 ‘1년 동안 영어를 쓰지 않고’ 지낼 계획이었기 때문이다
+그 후 12개월 동안 스콧은 스페인, 브라질, 중국, 한국을 여행했다
+우리 두 사람은 이따금 메일을 주고받았는데, 스콧의 언어 학습 프로젝트에 따라 그가 당시 머물던 나라의 언어로 이메일을 썼다
+그러니까 우리가 정기적으로 시간을 내서 연락하고 몇 달에 한 번씩 수다를 떨기 시작한 2014년 여름까지 그는 영어를 한 마디도 쓰지 않았다! 나중에 스콧과 통화하면서 정말로 즐거웠다
+글을 쓰는 사람으로서 나는 좋은 습관을 세우고 나쁜 습관은 버리는 과학적 방법에 관심이 많다
+스콧처럼 습관에 통달한 사람이라면 내게 한두 가지쯤 알려줄 게 있을 거라고 생각했다
+2013년 컨퍼런스에서 만나기 전에 스콧은 이미 내 레이더에 들어와 있었다
+2012년에 스콧은 MIT의 컴퓨터공학 학사 과정을 12개월도 채 안 되어 완수하고 기말고사까지 모두 통과하며 인터넷에서 스타가 되었다
+1년 만에 MIT 학사 과정을 끝내거나 3개월마다 새로운 언어를 하나씩 배우는 등 그의 야심찬 프로젝트는 많은 사람을 들뜨게 했다
+하지만 스콧의 프로젝트에는 내 마음 깊은 곳을 뒤흔드는 좀 더 특별한 뭔가가 있었다
+행동하기, 즉 스콧의 도전 방식을 나는 인정하지 않을 수가 없다
+스콧은 단순히 지식을 흡수하는 것이 아니라 흡수한 지식을 이용한다
+내가 이런 방식에 끌리는 건 아마도 내 일상과 직업도 이와 패턴이 유사하기 때문일 것이다
+내가 이뤄낸 것 중 가장 의미 있었던 일들은 대개 강도 높은 자기주도 학습의 결과였다
+당시에는 이 개념을 몰랐지만, 내가 처음으로 ‘울트라러닝’이라고 부를 만한 프로젝트를 실행했던 것은 사진을 배울 때였다
+2009년 말, 몇 달 동안 스코틀랜드에서 살았을 때였다
+그때까지 단 한 번도 사진 찍는 걸 좋아하게 되리라고는 생각해본 적이 없었다
+하지만 그 시간은 지금까지 내 인생에서 가장 창조적인 시기 중 하나였다
+먼저 유명한 사진작가들의 포트폴리오를 낱낱이 공부했고, 멋진 풍경을 찾아 곳곳을 다니기도 했다
+하지만 무엇보다 간단하고 좋은 방법은 사진을 찍기 시작한 첫해에 무려 10만 장의 사진을 찍은 것이었다
+그전에 나는 사진 강좌를 들은 적이 없었다
+사진을 더 잘 찍는 방법을 알려주는 책을 읽은 적도 없었다
+이렇게 ‘실행’으로 습득하는 방식은 스콧의 울트라러닝 세 번째 법칙인 ‘직접 하기’에 해당한다
+나는 이 책의 많은 부분을 좋아하지만 이 부분이 특히 마음에 든다
+직접 하기는 말 그대로 배우고자 하는 것을 직접 해봄으로써 배우는 방식이다
+수동적인 학습이라기보다는 활동적인 연습 행위를 통한 학습이다
+‘새로운 것을 배운다’는 말과 ‘새로운 것을 연습한다’는 말은 언뜻 비슷하게 들리지만 매우 다른 결과를 만들어낼 수 있다
+수동적인 학습은 지식을 창출하지만 활동적인 연습 행위는 기술을 창출한다
+우리는 벤치프레스를 잘하는 방법에 관한 동영상이나 자료를 찾아볼 수 있지만 실제로 근력을 키우는 건 벤치프레스를 들어 올리는 것뿐이다
+영업 기술과 관련된 베스트셀러를 모조리 읽을 수는 있지만, 실제로 고객을 유치하는 건 고객을 찾아가거나 전화를 하는 행동뿐이다
+하지만 새로운 사실들을 흡수한다고 해서 새로운 기술을 연마하는 과정을 건너뛸 수는 없다
+우리가 어떤 산업 분야에 대해 모조리 알고 있을 수는 있지만, 그럼에도 여전히 현실 세계에서 전문가가 되지 못하는 까닭은 기술을 연습하지 않았기 때문이다
+스콧은 새로운 기술을 실제로 배우는 일이 얼마나 어려운지 아는 사람이다
+내가 그를 존경하는 건 그가 글을 잘 쓰기도 하지만 자신의 생각을 실행하는 사람이기 때문이다
+많은 아이디어가 종이 위에서는 무척이나 멋져 보이지만 현실 세계에서는 번번이 실패한다
+사진을 배울 때 나는 연습에 전념해 성과를 올리기까지 그리 오랜 시간이 걸리지 않았다
+카메라를 구입하고 나서 몇 달 후 노르웨이로 여행을 떠났고, 오로라를 담으려고 북극권 한계선까지 갔다
+그리고 거기서 찍은 북극광 사진 덕분에 ‘올해의 여행 사진가’ 결선에 올랐다
+이는 짧은 시간 동안 강도 높은 학습이 얼마나 큰 발전을 이룰 수 있는지 깨달은 경험이었다
+사진 찍기는 재미있고 개인적으로 만족감을 느꼈던, 의도하지 않은 울트라러닝 프로젝트였다
+몇 년 후 스콧을 만나고 나는 울트라러닝으로 얻은 결과들을 떠올리며 강도 높은 학습을 한 번 더 해보기로 결심했다
+당시 나는 사업을 하고 싶었는데, 글쓰기가 나를 그곳으로 데려가주리라고 생각했다
+나는 도메인 하나를 사서 작지만 공식적인 경험을 시작했다
+우리 가족 중에는 사업하는 사람이 없었고 나는 평범한 단과대학에서 영어를 공부했을 뿐이었다
+하지만 스콧이 쓴 이 책을 읽으면서 그가 설명했던 울트라러닝의 법칙을 발견하기 시작했다
+내가 글쓰기를 통해 사업을 일구고 나아가 베스트셀러 작가가 되기까지는 다음과 같은 단계별 행동이 있었다
+그들의 학습 방식은 성공한 작가가 되려면 무엇을 해야 할지 지도를 그릴 수 있게 해주었다
+매주 월요일과 화요일에는 새로운 기고문을 썼고, 첫 2년 동안 130편 이상의 기고문을 썼다
+헤드라인, 도입부, 전환부, 핵심 이야기 등으로 나누고 각 부분의 사례들을 스프레드시트에 모았다
+그런 다음 글을 한 부분씩 쓰면서 나의 글쓰기 능력을 시험하고 개선해나갔다
+그가 이 책에서 소개한 기법들을 통해 나는 작가라는 직업의 토대를 닦았고 사업에 성공했으며 〈뉴욕타임스〉 베스트셀러가 된 책을 썼다
+1년 동안 베스트셀러 책을 쓴다거나 4개 국어를 배운다는 건 절대 쉬운 일이 아니다
+‘그런 건 그 사람이니까 하는 거지’ 하는 생각이 들 것이다
+가치 있는 뭔가를 빠르게 성공적으로 해내는 건 몇몇 천재들에게만 허용된 일이 아니다
+그저 대부분의 사람이 그 일을 하지 않을 뿐이다
+그 이유는 어떻게 해야 하는지 보여주는 대본이 없기 때문이다
+개인적으로든, 직업적인 흥미에서든 어떤 프로젝트를 실행하려고 한다면 울트라러닝을 권한다
+그것은 ‘어떤 일을 잘한다’는 좋은 기분을 안겨준다
+울트라러닝은 내가 발전하고 있고, 스스로 내 삶의 대부분을 만들어나가는 능력이 있음을 입증한다
+이로써 나는 마음먹고 실행하려는 일들을 달성할 수 있다는 자신감이 생긴다
+우리는 대부분 자신이 흥미 있어 하는 분야를 강도 높게 공부하지 않는다
+그러나 몇 달 만이라도 그렇게 한다면 곧 두각을 드러낼 것이다
+일단 두각을 드러내면 더 나은 직업을 얻고, 연봉을 더 높게 협상하고, 여가 시간이 더 많아지고, 더 흥미로운 사람들과 인맥을 쌓고, 일상과 직업에서 한 단계 나아갈 수 있다
+울트라러닝은 어디서든 다양하게 사용할 수 있는 지렛대를 개발하도록 도와준다
+강도 높은 자기주도 학습 과정은 자신이 개발할 수 있으리라고 생각조차 못 했던 기술들을 실행하게 해준다
+한마디로 울트라러닝은 우리가 잠재력을 100퍼센트 발휘하도록 도와준다
+어쩌면 이것이 우리가 울트라러닝을 해야 할 가장 큰 이유다
+나는 글쓰기와 사진을 집중적으로 공부해서 나름대로의 성공을 이뤘다
+하지만 이 프로젝트들은 닥치는 대로 행해진 것이다
+나는 어떤 안내나 표지판도 없이 그저 집중적으로 실행했고, 때문에 수없이 실수를 저질렀다
+스콧이 제안하는 울트라러닝은 무척 재미있고 영감을 준다
+스콧은 그 무엇보다 빠르게 학습할 수 있는 실행 가능한 전략들을 캐냈다
+내가 그랬듯이 여러분도 이 책을 재미있게 읽길 바란다
+무엇보다 여러분이 이 책의 아이디어들을 통해 자신의 야심을 달성하고 삶을 흥미롭게 만들어나가길 바란다
+스콧이 이 책에서 공유한 이야기와 전략들로 당신의 지식이 무한히 늘어나기를 바란다
+새벽 동이 트고 햇빛이 건물들 사이로 쏟아지고 있었다
+나는 창에 비친 내 모습을 뚫어져라 보았다
+비 내리는 것으로 유명한 도시에 해가 쨍하니 떴다
+창 아래로 정장을 차려입고 서류 가방을 든 남자가 지나가고, 멋진 옷차림의 여자가 강아지를 산책시키고 있었다
+주말이 오기 전, 마지막으로 버스들이 꾸물대는 통근자들을 시내로 실어 날랐다
+붉은 공의 표면 전체에 머리털 같은 벡터들이 쭉 뻗어 나오면서 공은 점점 털북숭이가 되기 시작했다
+회전이 작은 고리들 안에서 빙빙 돌며 소용돌이치는 자국을 남겼다
+나는 다시 한번 정전기가 일어난 털북숭이 붉은 공을 떠올렸다
+북슬북슬한 공은 소용돌이형이 아니었고, 그래서 거기에는 어떤 회전도 없는 게 분명하다고 추론했다
+시간이 더 가기 전에 가능한 한 많은 문제를 해치워야 했다
+이 모두가 세계에서 수학과 과학으로 가장 명망 높은 MIT에서는 일상의 한 부분이다
+나는 매사추세츠는 물론 그 근처에도 가본 적 없다
+MIT 학생들이 보통 한 학기에 걸쳐 배우는 다변수 미적분학을 나는 5일 전에 시작했을 따름이다
+캐나다의 중위권 대학인 마니토바대학교에서 경영을 전공했는데, 그곳이 내 성적으로 들어갈 수 있는 학교였다
+무역학 학사 학위를 받고 졸업한 뒤에야 전공을 잘못 선택했다는 생각이 들었다
+그것이 나 자신의 관리자가 되는 최선의 길이라고 생각해서였다
+그러나 4년이 지난 후 경영학과가 대기업, 회색 정장, 표준 관리 운용으로 구성된 세계에 입성하기 위한 예비 학교일 뿐이라는 사실을 깨달았다
+이것은 실제로 뭔가를 만들어내는 걸 배우는 학문이다
+나는 프로그램, 웹사이트, 알고리즘, 인공지능에 몹시 흥미를 느꼈다
+그래서 이런 것을 배우려면 무엇을 해야 할지 고심했다
+4년간 학업과 일을 병행하며 두 번째 학위를 딸 수도 있었다
+하지만 또다시 학자금 대출을 받고 대학의 규칙과 관료 체계를 따르느라 인생에서 4년을 더 소모하는 게 내키지 않았다
+배우고 싶은 걸 배울 수 있는 더 나은 방법이 있을 것 같았다
+그 시기에 MIT 강의가 온라인에 올라온다는 걸 우연히 알게 되었다
+강의의 전체 녹화분과 과제, 문제 풀이로 구성된 과정이 올라왔다
+심지어 강의 중에 실제로 치러진 시험들도 해답과 함께 제공되었다
+놀랍게도 그 과정은 전에 수천 달러를 내고 대학에서 배웠던 수업들보다 훨씬 나았다
+강의는 반짝반짝 빛이 났고 교수는 열정적이었으며, 수업 내용도 매력적이었다
+게다가 MIT에서 무료로 제공하는 온라인 강의는 수백 가지나 되었다
+나는 이것이 내 고민에 대한 해결책이 될지 궁금해졌다
+그리고 그전에 6개월 정도 집중적으로 사전조사를 했다
+MIT 컴퓨터공학부의 실제 교과과정을 살펴보고, 온라인 수강 과정과 내용을 비교해본 것이다
+불행히도, 세상은 행동하기보다는 말하는 게 더 쉽다
+어떤 강좌는 교체될 필요가 있었고, 어떤 강좌는 내용이 부실해서 그 과정을 제대로 익힐 수 있을지 의심스러웠다
+심지어 필수 과목 중 하나인 컴퓨터구조학은 회로와 트랜지스터를 이용해 기초 구성 요소부터 컴퓨터를 구축하는 방법을 가르치는 과목인데, 녹화된 강좌나 강의 교재가 올라와 있지도 않았다
+그 수업에서는 강좌에 딸린 슬라이드의 추상적인 기호들을 스스로 판독해야만 했다
+수업을 모두 듣는 데 있어 빠진 강좌 내용과 애매모호한 평가 기준은 MIT 학생들에게는 별문제가 아닌 듯 보였다
+그들은 그저 단순한 하나의 목적을 위해 수업을 듣는 것 같았다
+기말고사와 함께 나중에 그 수업들에 관한 프로그래밍 프로젝트도 MIT 학생들이 반드시 통과해야 할 관문이었다
+이 두 가지 기준이 MIT 학위의 중추였고, 더도 덜도 말고 내가 배우고자 하는 지식과 기술 대부분에 적용되었다
+내가 준비됐을 때 언제든 기말고사를 치를 수 있었고, 떨어지면 대체 시험을 치를 수 있었다
+그러자 처음엔 불리한 것 같았던 부분들(말하자면 MIT에 입학하지 않은 것 말이다)이 도리어 장점으로 여겨지기 시작했다
+학교에 들어가지 않아도 비용과 시간, 다른 몇몇 제약을 약간만 감수하면 MIT 학생들이 받는 교육을 대략적으로 받을 수 있었다
+이런 가능성들을 타진하면서 나는 한번 새로운 방식으로 시범 강좌를 들어봤다
+미리 정해진 일정에 따라 강의를 듣는 게 아니라 수업 영상을 다운로드받아 보통 속도로 두 번씩 봤다
+그리고 과제들을 꼼꼼히 작성하고 몇 주 동안 결과를 기다리는 게 아니라 강의 내용에 대해 하나씩 질문을 던져 시험해봤다
+그러면 내가 저지른 실수들을 빨리 알아챌 수 있을 거라고 생각했던 것이다
+이 방법과 다른 몇 가지 방법들을 사용해보니 일주일 정도면 턱걸이로나마 강의를 통과할 수 있을 것 같았다
+몇 가지 계산을 해보고, 예상치 못한 실수가 일어날 가능성까지 감안해보니, 1년 안에 남아 있는 32개의 수업과 씨름해볼 수 있겠다는 결론이 나왔다
+시작은 개인적인 여정에서 비롯됐지만, 점점 나의 이 작은 프로젝트가 매우 큰 결과를 만들어낼 수 있음을 알게 되었다
+과학기술은 역사상 그 어느 시기보다 쉽게 배울 수 있도록 여러 가지 도구를 제공하고 있다
+게다가 4년간의 학사 과정은 괜찮은 일자리를 보장한다
+최상위 직업들에는 고도의 기술이 요구되는데, 그런 기술들은 사실 살면서 접할 가능성이 낮다
+프로그래머뿐만 아니라 관리자, 기업가, 디자이너, 의사 등 전문 직업군에서 필요한 지식과 기술들이 빠르게 증가하고 있다
+많은 사람이 일하는 데 필요한 것들을 업데이트하느라 고군분투한다
+나는 단순히 컴퓨터공학에 흥미를 느낀 것이 아니라 직업과 생활에 필요한 기술들을 배우기 위한 새로운 방식을 만들어내고 싶었다
+아일랜드 출신의 채식주의자인 루이스는 소고기 타르타르와 푸아그라로 유명한 이 나라에 적응하기가 쉽지 않아 보였다
+그는 이탈리아의 유스호스텔에서 일하는 동안 가장 즐겨 먹었던 펜네 아라비아타를 먹으면서, 유창한 프랑스어로 사람들이 자신의 불만을 듣거나 말거나 거리낌 없이 이야기를 해나갔다
+그의 불만은 파리의 한 엔지니어링 회사에서 인턴으로 일하던 음울한 시기에서부터 시작됐다
+프랑스의 가장 큰 도시에서 그는 악질적인 직장 생활에 좌절을 느꼈고 무난한 사회생활을 해나가기가 힘들었다
+자신이 지나치게 비판적일 수도 있다는 생각은 추호도 하지 않았다
+그는 엔지니어의 삶을 포기하고, 세계를 떠돌아다니면서 언어를 배우게 됐다
+내가 루이스를 소개받은 것은 개인적으로 힘들던 시기였다
+캐나다에서는 백날 해봤자 늘지 않던 프랑스어 실력이 프랑스에 가면 달라질 거라고 희망에 부풀어 집을 떠났지만 딱히 그런 것 같지 않았다
+친구들 대부분은 내게 영어로 말했는데, 프랑스 친구들조차 그랬다
+프랑스에서 1년을 지내는 것으로는 부족한 듯 보였다
+고향에서 온 친구에게 이런 고민을 털어놓자 그는 세계를 떠돌아다니면서 3개월 만에 한 가지 언어를 끝내는 남자에 대해 이야기해주었다
+나는 그에게 메일을 보냈고, 기차를 타고 가서 루이스를 만났다
+점심을 먹고 나서 그는 내게 파리 중심부를 안내해주었다
+노트르담에서 루브르까지 걸어가는 동안 그는 처음 파리에서 느꼈던 울분은 누그러들고 그 도시에서 보낸 날들에 관한 향수가 밀려오는 듯했다
+나중에 안 것이지만, 그의 강한 자기주장과 열정은 그의 야심찬 도전에 불을 지핀 동시에 문제도 된 것 같았다
+언젠가 그는 브라질 연방 경찰에게 구금된 적이 있었다
+이민국 직원에게 비자 연장을 거절당하자 바깥에서 친구들에게 포르투갈어로 욕을 퍼부었는데, 공교롭게도 그 말이 안에까지 들렸다
+직원은 그가 얼마 머물지 않았는데 그렇게 포르투갈어를 유창하게 할 수는 없다고 생각해서, 여행 비자로 몰래 이주하려는 건 아닌지 의심했던 것이다
+우리는 계속 걸었고, 드디어 에펠탑 앞에 도착했다
+그러나 나를 후려친 것은 그 방법들이 아니었다
+나는 프랑스어를 하면서 잘못 말하거나 충분치 못한 어휘력으로 당황할까 봐 걱정하며 소극적으로 굴었지만, 루이스는 두려움 없이 곧장 대화로 뛰어들어 불가능해 보이는 도전들을 실행하고 있었다
+그는 스페인어, 이탈리아어, 게일어, 프랑스어, 포르투갈어, 에스페란토, 영어에 능숙했고 최근에는 3개월 동안 체코공화국에서 지내면서 체코어로 대화를 하는 수준에 이르렀다
+그는 석 달 후 독일어를 유창하게 말하겠다는 계획을 세우고 있었다
+엄밀히 말해 루이스가 독일어를 접하는 건 이번이 처음이 아니었다
+그는 학창 시절 5년 동안 독일어 수업을 들었고, 독일에도 두 번 방문한 적이 있었다
+하지만 학교에서 외국어를 배우는 학생들처럼 그 역시 독일어로 말을 하지는 못했다
+하지만 어려움이 줄어든 것을 벌충하기 위해 목표를 높이기로 했다
+그런데 그는 독일어에서는 더 상위의 시험인 C2에 도전하기로 결심했다
+이 시험을 주관하는 괴테연구소는 이 기준에 도달하기 위해 최소한 750시간의 수업을 들어야 한다고 규정하고 있다
+몇 달 후 나는 루이스에게서 한 끗 차이로 C2 시험에 통과하지 못했다는 이야기를 들었다
+시험의 5가지 기준 중 4가지는 통과했지만 듣기평가에서 떨어진 것이었다
+그때는 깨닫지 못했지만 지금은 루이스 같은 사례가 아주 드물지 않다는 사실을 알고 있다
+또한 이렇게 공격적인 독학 방식으로 믿기 힘든 결과를 내는 현상이 언어에만 국한된 것도 아님을 알게 되었다
+처음에는 ‘콰이강’이라는 단어를 읽는 것조차 더듬거렸지만 결국 답을 맞혔다
+다섯 게임 연속 우승해서 거의 20만 달러에 가까운 상금을 누적한 것이다
+이 위업은 그 자체로도 대단하지만 더욱 믿기지 않는 것은 그가 이 일을 해낸 방법이다
+〈제퍼디!〉는 덴마크의 왕에서부터 다모클레스에 이르기까지 사소한 질문들을 출제해 시청자들을 쩔쩔매게 하는 것으로 악명 높다
+때문에 이 쇼의 챔피언들은 대체로 어떤 주제에 관해 피를 토할 정도로 자잘한 지식의 도서관을 쌓는 데 일생을 바친, 아주 똑똑하고 모든 것을 다 아는 사람인 경우가 많다
+그래서 이 쇼를 대비해 공부를 한다는 것은 거의 불가능한 일이다
+하지만 크레이그는 지식 자체를 얻는 과정에 대한 생각을 재고해서 이 문제를 해결했다
+먼저 그는 컴퓨터과학자라는 직업을 발휘해 그동안 방송된 쇼의 전편에 등장한 수만 가지의 질문과 답을 다운로드했다
+그리고 몇 달 동안 시간을 내서 이 문제들을 풀고 방송에 나가도 되겠다고 확신이 들었을 때, 태세를 전환해 하루 종일 공격적으로 문제를 풀었다
+그리고 자신의 강점과 약점에 대한 전략을 짜기 위해 데이터를 이미지화하는 방법을 사용했다
+예를 들어 동심원이 그래프에서 높은 곳에 위치하면 해당 주제에 대해 더 공부해야 한다는 말이다
+동심원의 크기는 그 주제가 얼마나 많이 반복되었는지를 말해준다
+동심원이 클수록 더 공통적으로 나온 질문 유형이고, 따라서 이것을 더 공부하는 것이 더 나은 선택이다
+〈제퍼디!〉의 질문들은 무척 다양하고 무작위적이었지만 크레이그는 질문들에 숨겨진 패턴을 밝혀내기 시작했다
+이런 ‘모 아니면 도’ 식의 힌트들은 무작위로 튀어나오는 것 같았지만 그는 여기에도 패턴이 있음을 알아냈다
+가치 있는 복승식 힌트를 찾는 방법 하나는 분야를 건너뛰고 점수가 높은 힌트에 집중하는 것이었다
+이는 한 분야를 끈덕지게 푸는 데 집중하는 종래의 방식에서 크게 벗어난 방법이었다
+또한 크레이그는 〈제퍼디!〉의 질문 유형에 어떤 패턴들이 있음을 발견했다
+〈제퍼디!〉는 생각할 수 있는 어떤 주제에 대해서든 문제를 낼 수 있었지만, 포맷 자체는 시청자들을 즐겁게 해주기 위해서지 참가자들에게 도전하기 위해 고안된 것이 아니었다
+크레이그는 여기에 착안해서 어떤 특정한 방향을 깊게 파기보다는 어떤 한 분야에서 가장 잘 아는 문제들을 공부하는 방식도 충분히 효과가 있음을 깨달았다
+어떤 특화된 주제에 관해 그 문제와 답은 대중에게 가장 널리 알려진 내용들이었던 것이다
+크레이그는 그동안의 문제들을 토대로 자신의 약점을 분석하고 어떤 분야를 더 공부해야 경쟁력을 갖출 수 있는지 알아냈다
+그래서 그는 그 주제를 더욱 깊게 공부해야 한다고 판단했다
+무엇을 공부해야 할지 분석해 밝히는 일은 첫 단계일 뿐이다
+우리 대부분은 정보가 많으면 처음에 뭘 습득하려 했는지 잊는데, 따라서 그것을 잊지 않기 위해 계속 상기시켜야 한다
+워즈니악의 알고리즘은 정보를 재검토하는 최적의 시간을 계산해서 이 문제를 해결한다
+그러면 한 가지 정보를 지나치게 파느라 에너지를 낭비하지 않을 뿐만 아니라 이미 배운 것 또한 잊지 않을 수 있다
+이 도구는 크레이그에게 훗날의 승리를 위해 필요한 수천 가지의 정보를 효율적으로 기억할 수 있게 해주었다
+〈제퍼디!〉는 하루에 한 회 방송되지만 실제로는 한 번에 5회분이 촬영되었다
+다섯 게임을 연속해서 이긴 후 호텔 방으로 돌아간 크레이그는 잠을 이룰 수 없었다
+그렇게 공격적인 독학으로 자기의 운을 바꾼 사람은 로저 크레이그만이 아니다
+내가 MIT 챌린지를 시작한 2011년에 에릭 배런이라는 남자도 도전을 시작했다
+나와 달리 그의 노력은 5년이나 이어졌고, 그는 서로 다른 수많은 기술을 완전히 습득했다
+  1인 개발자, 게임의 공룡 기업을 무너뜨리다 에릭 배런은 워싱턴대학교 타코마 캠퍼스에서 컴퓨터공학을 전공했고 졸업 후 ‘때가 됐다’고 느꼈다
+그는 비디오게임을 만들고 싶었는데, 안정적인 월급쟁이 프로그래머가 되기 전인 그때가 기회라고 여겼다
+그는 <하베스트 문>을 오마주한 게임을 만들고 싶었다
+<하베스트 문>은 곡식을 키우고 가축을 기르며 시골 사람들과 친분을 쌓으면서 성공적인 농장을 일구는 비디오게임이다
+그리고 자신이 이 꿈을 실현시키지 않는다면 현실에서 이 게임의 업그레이드판을 볼 수 없으리라 여겼다
+상업적으로 성공한 비디오게임을 개발하는 것은 쉬운 일이 아니다
+AAA급 게임회사는 회사가 미는 게임에 수백만 달러의 예산을 할당하고 수천 명의 직원을 고용한다
+또한 게임 하나를 개발하려면 광범위한 재능이 필요하다
+개발할 게임의 장르와 스타일에 따라 프로그래밍, 비주얼 아트, 작곡, 시나리오, 디자인 등 수십 가지 이상의 기술이 투입된다
+이 때문에 게임 개발자들은 음악, 글쓰기, 시각 예술 같은 다른 예술 작업들처럼 소규모의 팀으로는 일하기 어렵다
+심지어 대단히 재능 있는 독립 게임 개발자들조차도 필요한 기술들을 제공해줄 사람들과 함께 일해야 한다
+하지만 배런은 오롯이 혼자서 게임을 만들기로 결심했다
+그 이유는 자신의 비전에 온전히 헌신하고픈 마음과 혼자서도 게임을 완성시킬 수 있다는 자신감이 있었기 때문이었다
+배런의 대모험은 단순히 게임을 설계하는 것이 아니라 게임을 이루는 각각의 기술적 측면들에 통달해야 하는 일이었다
+이 이미지 방식은 느린 컴퓨터에서 그래픽 렌더링을 하기 어려웠던 비디오게임의 초창기를 떠올리게 한다
+픽셀 아트는 색색의 점들을 한 번에 하나씩 한 픽셀에 놓음으로써 컴퓨터 그래픽스를 구성하고 강렬한 이미지를 만들어내는 것으로 유려한 선이나 사진 같은 질감을 구현하지는 못한다
+픽셀 아티스트는 색이 있는 정방형 그리드에서 움직임, 감정, 삶을 옮겨 와야 한다
+배런은 끼적거리고 그리는 것을 좋아했지만 그 정도로는 이 작업을 해낼 수 없었다
+끼적대는 수준에서 완전히 이 기술을 익혀야만 했다
+미술을 전공한 사람도 상업적인 수준의 예술적 기교를 갖추는 것은 쉽지 않다
+그는 게임에서 사용하고자 하는 그래픽스상에 직접 작업을 함으로써 연습했다
+그렇게 만든 작업물을 비판적으로 평가하고, 멋져 보이는 다른 작업물과 비교했다
+그래서 색채 이론을 공부했고 시각적으로 흥미로운 결과물을 만들기 위해 다른 창작자들은 어떻게 색을 사용하는지 집중적으로 연구했다
+픽셀 아트는 배런이 배워야 했던 한 가지 기술에 불과하다
+그는 게임에 쓸 온갖 음악도 직접 작곡했다
+이 역시 끼적거리는 수준에서 자신의 기대치에 부응할 때까지 반복해서 작업했다
+게임을 이루는 모든 부분은 그의 철저한 기준에 부응하지 못하면 폐기됐고 새롭게 개발됐다
+이렇게 직접 반복해서 해보는 과정을 통해 그는 게임 디자인의 모든 측면에서 점차 실력이 나아졌다
+그가 완성시킨 게임은 놀랍게도 전문 아티스트, 프로그래머, 작곡가 한 부대가 만들어낸 게임들과 경쟁할 만했다
+5년간의 개발 과정 동안 배런은 컴퓨터 프로그래머 일자리를 구하려고 하지 않았다
+아르바이트에서 얻는 적은 수입과 여자 친구의 원조로 자신의 열정에 집중해 그럭저럭 생활을 꾸려나갔다
+완전히, 혼자서 해내겠다는 열정과 헌신은 결실을 맺었다
+배런은 <스타듀 밸리>가 출시 첫해에만 다양한 플랫폼들에서 300만 건 이상 팔렸다고 추산한다
+그가 게임과 관련된 기술들을 완벽히 습득하려 한 열정과 헌신은 결코 적지 않았다
+이는 자신의 비전에 대한 헌신과 공격적인 독학 덕분이었다
+다음 주 월요일에는 새로운 과정으로 다시 모든 것이 시작된다
+MIT 챌린지를 완수하려면 아직 1년쯤 더 남았다
+달력이 한 장 넘어갔고, 내 계획들도 한 단계 넘어갔다
+나는 며칠 동안 수업 하나를 듣는 방식에서 한 달에 서너 수업을 동시에 듣는 방식으로 전략을 바꿨다
+한 수업을 마치는 기간이 길어지면 벼락치기를 덜 하지 않을까 하는 생각에서였다
+과정이 조금씩 진행되면서 나는 점점 더 늘어졌다
+처음 몇 수업은 매우 적극적으로 서둘러서 들었기 때문에 목표 일정에 맞출 수 있었다
+그런데 목표를 완수할 수 있을 것처럼 보이자 일주일에 60시간 공부하던 게 35~40시간으로 줄었다
+2012년 9월, 시작한 지 12개월이 조금 못 되었을 때 나는 마지막 수업까지 모두 들었다
+이 프로젝트를 완수한다는 건 내겐 퍽 경이로운 일이었다
+나는 뭔가를 깊이 있게 배우려면 학교에 들어가는 길밖에 없다고 생각했었다
+그러나 이 프로젝트를 끝내자 이런 생각이 얼마나 잘못된 것인지, 대안적인 경로가 얼마나 재미있고 흥분되는 경험인지 알게 되었다
+대학 시절, 나는 종종 숨이 막히곤 했다
+지루한 강의 시간 동안 잠들지 않으려고 애썼고, 분주하기만 하고 쓸모없었던 과제들을 수없이 해치웠다
+학점을 따려고 전혀 관심 없는 것들을 배우면서 나 자신을 밀어붙였다
+자주 도전을 요하는 상황이 일어나곤 했지만 고통스럽지 않았다
+그 과제들은 완수해야 하는 진부한 잡일이 아니라 생생하고 흥미로운 것이었다
+난생처음 나는 제대로 된 계획을 세우고 제대로 노력하면 원하는 것을 배울 수 있구나 생각했다
+내 마음은 이미 새로운 배움을 향해 나아가고 있었다
+어떤 이들은 내 발상을 좋아했지만 이런 공부 방식의 유용성에 관해서는 의구심을 품었다
+고용주들은 이 프로젝트를 학사 학위와 똑같이 취급하지 않을 것이다
+이 친구가 학위를 가진 사람만큼, 아니 그보다 더 많은 지식이 있다 해도 말이다
+마이크로소프트의 한 직원은 내게 면접 기회를 주겠다고 했다
+중국의 한 출판사는 입시 경쟁에 억눌려 있는 중국 학생들과 공부 노하우를 공유하는 책을 쓰자고 제안했다
+하지만 이런 일들이 내가 그 프로젝트를 완수한 이유는 아니었다
+나는 이미 온라인상에서 글을 쓰면서 행복했고, 내 프로젝트를 통해 경제적으로도 수입을 얻었고, 앞으로도 계속 그렇게 할 생각이었다
+프로젝트를 수행한 건 직업을 구하기 위해서가 아니었다
+첫 대형 프로젝트를 끝내고 몇 달 뒤 새로운 프로젝트에 대한 발상이 내 머릿속에서 뭉글뭉글 피어오르기 시작했다
+이 강렬하고도 기이한 독학이라는 세계의 포문을 열어준 베니 루이스가 떠올랐다
+그의 조언에 따랐던 나는 프랑스어 중급 수준에 도달했다
+어려운 과업이었지만, 당시 영어로 떠들어대는 사람들에 둘러싸여 있던 내가 그럭저럭 살아갈 수 있는 수준의 프랑스어를 습득했다는 데 자부심을 느꼈다
+하지만 MIT 프로젝트는 프랑스어를 배우면서는 얻을 수 없었던 새로운 자신감을 심어주었다
+그는 그전에 여유 있을 때 여행을 하고 싶어 했다
+우리 둘 다 저축해둔 돈이 있었고, 돈을 합쳐서 여행을 계획한다면 재미있는 것을 할 수 있으리라는 계산이 섰다
+프랑스어를 배운 일과, 앞으로 어떻게 하면 더 잘할 수 있을 것 같은지, 처음 프랑스에 갔을 때 나를 둘러쌌던 사교적 거품이 왜 문제가 되었는지, 나중에 거기에서 빠져나오기가 얼마나 어려웠는지 이야기했다
+그는 아파트에서 함께 살면서 1년 동안 내가 MIT 챌린지에 도전하는 것을 지켜봤다
+내 분별 있는 정신은 이 새로운 프로젝트가 가능하다고 생각했지만, 그는 자신의 능력에 아직 자신이 없었다
+하지만 확신하지 못하고 있음에도 기꺼이 시도는 해보려고 했다
+성공하리라는 어떤 기대도 그에게 내비치지 않았는데 말이다
+우리는 이 프로젝트에 ‘영어 없는 1년’이라는 간단한 제목을 붙였다
+어느 나라에서든 도착한 첫날부터 우리끼리는 물론, 거기서 마주친 누구와도 영어로 말하지 않는 것이다
+거기서부터 시작해 여행 비자가 만료되기 전까지 얼마나 배울 수 있을지 시험해보고, 새로운 목적지로 향하는 것이 계획이었다
+우리는 공항에 도착하자마자 첫 번째 난관에 부딪혔다
+매력적인 영국 여성 두 명이 다가와 길을 물은 것이다
+우리는 서로를 멀뚱히 바라보고는 영어를 못하는 척하며 알고 있는 약간의 스페인어로 딱딱거리며 말을 내뱉었다
+그녀들은 우리의 말을 이해하지 못하고 몹시 짜증 난 어투로 재차 물었다
+우리는 영어를 말할 수 없다고 스페인어로 더듬더듬 말했고, 그녀들은 결국 실망하고 자리를 떴다
+벌써부터 영어를 말하지 못하는 일이 의도치 않은 결과를 불러온 듯 보였다
+시작부터 불길했지만 우리의 스페인어 능력은 내 예상보다 빨리 늘었다
+스페인에서 지낸 지 두 달 후, 우리는 꽤 스페인어에 능숙해졌다
+내가 꼬박 1년을 프랑스에서 지내며 프랑스어를 배웠던 수준보다 훨씬 나았다
+우리는 아침에 수업을 들으러 갔다가 집으로 돌아와서 공부를 조금 하고, 남은 시간을 친구들과 함께 돌아다니고, 레스토랑에 가서 수다를 떨고, 스페인의 태양을 쬐면서 하루를 보냈다
+처음에 품었던 의구심과 달리 친구 역시 뭔가를 배우는 이 새로운 방식으로 태세를 전환했다
+나만큼 적극적으로 문법과 어휘를 공부하지는 않았지만, 기한이 끝날 무렵에는 스페인에서의 생활에 완벽하게 적응했다
+이 방법은 우리가 기대했던 것보다 훨씬 더 효율적이었고, 우리는 이제 이 방법의 기적을 믿게 되었다
+브라질에 가서 포르투갈어를 배웠고, 중국에서는 만다린어를 배웠으며, 한국에서는 한국어를 배웠다
+준비를 하면서 우리는 한국어와 중국어가 유럽 언어보다는 ‘조금’ 더 어려울 것이라고 생각했는데 실제로는 ‘훨씬’ 더 어려웠다
+결과적으로 우리의 ‘영어 금지’ 규칙이 깨지기 시작했지만, 그럼에도 우리는 가능한 한 그 규칙을 따랐다
+만다린어와 한국어는 같은 기간 동안 스페인어, 포르투갈어와 같은 수준으로 향상되지는 못했지만, 그래도 친구를 사귀고 여행을 하고 다양한 주제에 관해 사람들과 대화할 만큼은 배웠다
+여행이 끝날 때쯤 우리는 4개 국어를 할 수 있다고 자신 있게 말할 수 있었다
+컴퓨터공학 학사 과정과 언어를 습득하는 모험에 똑같은 접근법이 먹히자, 나는 이 방법을 더 많은 분야에 적용할 수 있겠다고 확신하게 되었다
+나는 아이들처럼 그림을 그리는 것을 좋아했는데, 대부분의 사람처럼 내가 그린 사람 얼굴은 어색하고 부자연스러웠다
+나는 거리의 화가든 전문 화가든 사람의 모습을 닮게, 빠른 시간에 스케치할 수 있는 사람을 동경했다
+그래서 MIT 학사 과정과 언어를 배울 때 사용한 방식을 그림 그리는 일에도 적용할 수 있지 않을까 궁금해졌다
+나는 한 달간 얼굴을 그리는 능력을 향상시켜 보기로 했다
+내게 가장 어려웠던 부분은 얼굴을 이루는 형태들을 적절히 배치하는 것이었다
+많은 사람이 얼굴을 그릴 때 공통적으로 하는 실수가 있다
+예를 들면 눈을 머리에서 너무 높은 곳에 위치하게 그린다
+많은 이들이 눈이 머리에서 3분의 2 지점에 놓인다고 생각하는데, 실제로 눈은 머리 꼭대기와 뺨 사이의 중간 지점에 위치하는 경우가 많다
+이런저런 실수 유형들을 극복하고자 나는 사진을 바탕으로 스케치를 했다
+휴대전화로 내가 스케치한 것을 사진 찍고, 그 이미지 위에 반투명한 원본 이미지를 겹쳐봤다
+이렇게 하면 원본에 비해 내가 그린 얼굴이 너무 좁은지 넓은지, 입술이 너무 낮은지 높은지, 눈은 올바른 지점에 있는지 아닌지를 볼 수 있다
+이런 시도를 수백 번 하면서 나는 MIT 챌린지에서 잘 작동했던 빠른 피드백을 받았다
+그리고 얼마 안 가 내 초상화 그리기 실력은 무척이나 좋아졌다
+이와 비슷한 사례들을 깊이 파고들자 더 많은 이야기가 나왔다
+또한 그들은 프로젝트를 성공적으로 완수하기 위해 비슷비슷한 전략들을 사용했다
+한 예로 울트라러닝을 시도한 스티브 파블리나는 학사 일정을 최적화함으로써 평균보다 세 배의 수업을 들었고, 세 학기 만에 컴퓨터공학 학위 과정을 마쳤다
+파블리나의 도전은 나의 MIT 챌린지보다 훨씬 이전에 시도된 것으로, 나는 그의 사례를 통해 학습 기간을 얼마나 압축할 수 있는지 영감을 얻었다
+하지만 파블리나의 경우 무료 온라인 강좌라는 이점 없이 캘리포니아 주립대학교에 입학해서 컴퓨터공학과 수학 분야에서 실제 학위를 받고 졸업했다
+디아나 자운체이카레는 컴퓨터 언어 분야의 박사 학위 과정을 따라 공부하는 울트라러닝 프로젝트에 착수했다
+카네기멜론대학교의 박사 과정을 기준으로 삼은 그녀는 수업을 듣고 여기에 더해 자신만의 조사 연구까지 시도했다
+그녀가 이 프로젝트를 시작한 이유는 박사 학위를 따러 학교로 돌아가면 그녀의 직장인 구글을 떠나야 했기 때문이다
+다른 울트라러너들처럼, 그녀의 프로젝트 역시 공식적인 대안들이 자신의 생활에 적합하지 않을 때 그 간극을 메우기 위한 것이었다
+온라인 커뮤니티가 활성화되면서 많은 사람이 익명으로, 증명할 수 없는 게시글로 자신들의 울트라러닝 프로젝트를 올렸다
+그는 4개월 동안 매주 70~80시간 이상 투자해서 만다린어 활용시험 2등급인 HSK 5급에 도전했다
+또 어떤 울트라러너들은 시험과 학위를 함께한다는 종래의 구조를 벗어났다
+트렌트 파울러는 2016년 초부터 1년간 엔지니어링과 수학 분야를 공부했다
+파울러는 자신의 프로젝트를 계산, 로보틱스, 인공지능, 엔지니어링 등과 같이 주제별로 쪼개고 공식적인 교과과정을 따르는 게 아니라 손수 프로젝트 과정을 짜서 공부했다
+어떤 이들은 타무라 같이 스스로 가혹한 마감일을 정하고 하루 종일 살인적인 일정을 소화했다
+또 어떤 이들은 자운체이카레와 같이 직장을 다니면서 따로 시간을 내어 프로젝트를 가까스로 해냈다
+시험, 공식적인 교과과정, 대회 수상과 같은 눈에 보이는 기준을 목표로 삼은 사람들도 있었고, 비교 대상이 없는 프로젝트를 설계한 사람들도 있었다
+이렇듯 모두 다 달랐음에도 울트라러닝을 시도한 이들에게는 수많은 공통점이 있었다
+이들은 대개 수개월 혹은 수년간 혼자 일하고 자신의 노력을 블로그에 알리는 것 이상의 일은 하지 않았다
+처음에는 흥미에서 시작했지만 점점 완전히 몰입하는 경향을 띠었다
+배우려는 동기가 이들을 강도 높은 프로젝트와 씨름하도록 밀어붙였다
+심지어 그 때문에 자격이나 관행을 희생시킬지라도 말이다
+내가 만난 울트라러너들은 대개 서로를 알지 못했다
+이 책을 쓰면서 나는 그들의 독창적인 프로젝트를 비롯해 내가 수행했던 프로젝트에서 관찰했던 공통적인 규칙을 한데 모으고자 했다
+표면적인 차이점들이나 개성적인 기벽들을 모두 벗겨내고 나면 어떤 학습 방식이 남는지 궁금했다
+그리고 극단적이라 할 만한 이들의 사례에서 평범한 학생이나 직장인이 유용하게 사용할 수 있는 일반적인 규칙을 발견하고 싶었다
+만일 당신이 앞서의 사례들처럼 극단적인 프로젝트를 만들어 씨름할 준비가 되지 않았다 해도, 울트라러너들의 경험에 기반하고 인지과학적 연구들로 보강된 학습 방법을 활용할 여지는 가지고 있을 것이다
+울트라러너들은 극단적인 사례이기는 하지만 그들의 접근법을 평범한 직장인이나 학생도 적용할 수 있다
+어렵고, 곧 좌절의 순간이 찾아올 것이며, 안전지대 바깥으로 몸을 뻗어야 한다
+하지만 우리가 달성할 수 있는 것을 생각해보면 충분히 노력할 만한 가치가 있다
+그러고 나면 모든 학습법의 기저에 어떤 법칙들이 깔려 있는지, 울트라러너들이 그런 법칙들을 어떻게 활용해 빠르게 학습 효과를 봤는지 알게 될 것이다
+MIT 챌린지를 시작하다 나는 MIT에 들어간 적도 없다
+전략이란 주어진 문제에 대한 해결책,그것도 아주 훌륭한 해결책이 될 수 있다
+또한 전략은 특정한 상황에 잘 들어맞는 것으로, 다른 누군가에게는 들어맞지 않는 경향이 있다
+따라서 전략을 이용하는 것은 선택이지 규칙이 아니다
+완전히 자기주도 학습을 할 수도 있고, 관련 교육기관에 들어가 배우는 것이 최선이라고 판단할 수도 있다
+혹은 교과서에서 나오는 개괄적인 단계들을 단순하게 따라 하면서 배울 수도 있다
+자기주도 학습은 프로젝트의 운전석에 앉은 사람이 누구냐의 문제지, 어디에 있느냐의 문제가 아니다
+내가 만난 울트라러너들은 모두 학습 효율성을 최대로 끌어올리기 위해 범상치 않은 단계들을 취했다
+실용성보다 재미를 강조한 언어 학습 앱을 선택한다든지, 자신이 바보 같진 않다고 느끼게 해줄 TV 퀴즈 쇼를 시청한다든지, 진지하게 연습하는 대신 발만 한번 담가보는 것 말이다
+이와 반대로 고강도의 작업이나 훈련을 하면 몰입이라는 상태를 경험하게 되는데, 이는 대상에 완전히 빠져서 시간 감각마저 잃어버리는 매우 도전적인 경험이다
+울트라러닝은 이처럼 고강도의 작업을 통해 깊이 있으면서도 효율적으로 뭔가를 배우는 것을 항상 최우선에 둔다
+이 정의는 내가 지금껏 논의했던 실례들을 포괄하지만 어떤 면에서는 너무 광범위해서 충분하지 않다
+내가 만난 울트라러너들은 훨씬 더 많은 공통점을 지니고 있었다
+따라서 여기서는 울트라러너들의 공통적인 방식과, 그들이 어떻게 인상적인 성과를 이룰 수 있었는지 더 깊이 있게 논의하려고 한다
+하지만 그전에 내가 왜 울트라러닝을 중요하게 생각하는지 설명하고 싶다
+울트라러닝의 사례들은 각각의 방법들이 매우 특이해 보이지만 뭔가를 배우는 데 있어 똑같이 깊이 있고 실용적이라는 공통점이 있다
+또한 훨씬 더 편안한 선택지로 물러나지 못하고 좌절감을 느낄 수도 있다
+우리는 이미 먹고사는 일에 에너지를 무척이나 많이 투자하고 있다
+일시적으로나마 울트라러닝에 온종일을 바쳐야 된다 해도 말이다
+대체로 직업 및 지식과 관련된 기술을 말한다
+경력을 쇄신하고 싶든, 새로운 도전을 하고 싶든, 스스로 발전하고 싶든 울트라러닝이 강력한 도구라는 사실은 확실하다
+많은 사람이 악기 연주를 하고, 외국어로 말하고, 요리사나 작가가 되고 싶어 한다
+진정한 행복의 순간은 쉬운 일을 하는 데서 오지 않는다
+자신의 가능성을 깨닫고 스스로의 한계를 넘어설 때 온다
+울트라러닝은 그 길을 제시해서 깊은 만족감과 자신감을 가져다준다
+이 책에서 그는 정보화 사회, 자동화, 아웃소싱, 지역화로 미래의 세계에서는 소수의 최상위 성과자들이 나머지 대다수의 사람들보다 더 많은 일을 할 것이라고 주장했다
+알다시피 지난 수십 년간 미국에서는 소득 불평등이 점점 심화되었다
+그러나 이런 단순한 설명은 더 세밀한 그림을 무시하고 있다
+MIT의 경제학자 데이비드 오토David Autor는 전 세계적으로 불평등이 증가한다기보다는 최상위 계층은 더 위로 올라가고 최하위 계층은 더 아래로 내려가는 불평등 현상이 심화될 것이라고 주장했다
+이는 소득 스펙트럼의 중간층에 있는 사람들은 바닥으로 밀려나거나 상층부로 올라간다는 사실과 함께, 평균의 시대가 끝났다는 코웬의 명제에 부합한다
+오토는 테크놀로지의 역학이 이런 효과를 발생시켰다고 규정했다
+정보화와 자동화 기술의 발전으로 많은 중숙련 노동자(점원, 여행 에이전시, 회계 담당자, 공장 노동자)가 새로운 기술로 대체되고 있다
+그러면서 생겨난 새로운 직업들은 엔지니어, 프로그래머, 관리자, 디자이너 같은 고숙련 직군 아니면 소매업 판매자, 청소 노동자, 고객 서비스업 종사자 같은 저숙련 직군 둘 중 하나다
+컴퓨터와 로봇이 촉발한 이런 추세는 전 세계적으로 확대되고 있다
+중숙련 직군은 개발도상국의 노동자들에게로 거의 옮겨 간 상태다
+미국에 남아 있는 직종은 저숙련직, 그중에서도 문화적 지식이나 언어 능력을 어느 정도 갖춰야 하는 직업, 다시 말해 면대면 접촉이나 대인 관계 자질이 요구되는 일들이다
+고숙련직 역시 시장 관리의 이점 때문에 좀처럼 해외로 내보내지지 않는다
+이런 지역화로 일부 글로벌 기업과 부유한 도시들은 전체 경제에 막대한 영향을 끼치면서 더욱 확장될 것이다
+홍콩, 뉴욕, 샌프란시스코 같은 초인기 도시들은 성공한 기업과 재능 있는 인재를 결합해 지역과 세계 경제를 주도하려고 한다
+우리가 여기에 어떻게 반응하느냐 따라 이 그림은 절망적일 수도, 희망적일 수도 있다
+절망적인 그림은 지금 우리가 성공한 중산층의 삶을 유지하는 데 필요조건이라 여기는 것들의 대부분이 빠르게 무너지고 있다는 점이다
+중숙련직이 소멸하면서 이제는 기초적인 교육을 받고 열심히 일하는 것만으로는 성공할 수 없게 되었다
+대신 고기술 직군으로 들어가야 하는데, 그곳에서는 끝없이 배우지 않으면 저기술직으로 밀려나고 만다
+그러나 이런 불안정한 그림의 기저에는 희망적인 측면도 있다
+이런 새로운 환경에서는 새로운 기술을 빠르고 효율적으로 익히면 경쟁력을 높일 수 있다
+변화하는 경제 환경에서는 누구에게도 통제 가능한 선택권이 없지만, 하드 스킬을 적극적으로 수용하고 배우면 변화에 대한 반응을 조절할 수 있다
+그러나 교육 기회가 확대되었음에도 불구하고 대학 교육은 치명적인 부담이 되고 있다
+교육비용이 천정부지로 뛰면서 졸업생 대부분이 수십 년짜리 학자금 대출을 떠안게 된 것이다
+오늘날 교육비 상승률은 인플레이션 비율을 훨씬 상회한다
+교육비와 월급 상승률이 균형을 이루지 못하면 더 이상 그런 막대한 비용을 지불하고 교육을 받으려는 사람은 없을지도 모른다
+최고의 학교와 교육기관들이 새로이 등장한 고숙련직에 필요한 핵심 기술들을 가르치지 못하고 있다
+고등교육은 전통적으로 마음을 정련하고 인성을 함양하는 일이었지만 이런 고귀한 목표들은 졸업생들이 직면하게 되는 경제적 현실과 괴리를 일으키고 있다
+그래서 졸업생들이 학교에서 배운 것과 사회에 나가 성공하는 데 필요한 것 사이에 기술적 간극이 벌어졌다
+울트라러닝은 학교로 돌아가는 선택을 하기 힘들 때, 이런 간극을 일부 메워줄 수 있다
+이미 기술을 습득한 전문가들 역시 급격하게 변화하는 현장에 적절하게 대응하려면 새로운 기술과 능력을 끊임없이 습득해야 한다
+누군가는 학교로 돌아가는 선택을 할 수 있지만 대부분의 사람에게는 힘든 선택이다
+궁극적으로 울트라러닝이 고등교육을 대체할 수 있느냐 없느냐는 중요한 문제가 아니다
+학위가 선호 수준이 아니라 법적으로 필요한 직업도 많다
+의사, 변호사, 엔지니어 모두 일을 시작하려면 공식적인 자격증이 필요하다
+그렇다 해도 이 직군들 역시 학교를 떠난 뒤에도 공부를 멈추지 말아야 하며, 따라서 새로운 지식과 기술을 스스로 함양하는 능력이 필수적이다
+악은 이제 다운로드 받을 수 있고 휴대할 수도 있으며 사회적으로 전파돼 상황을 악화시킬 수도 있다
+이로써 우리는 주의가 흐트러지거나 착각에 빠지지는 않게 되었지만 결과적으로 사생활과 정치 양쪽에서 위기에 직면했다
+이런 위험이 현실에 존재하는 한편, 기회도 생겨났다
+테크놀로지를 현명하게 사용하는 방법을 아는 사람들에게는 새로운 것을 배우기가 그 어느 때보다 쉬운 시대가 된 것이다
+이제는 장비를 갖추고 인터넷에 접속하기만 하면 누구나 알렉산드리아 도서관보다 더 방대한 양의 정보에 자유롭게 접근할 수 있다
+하버드, MIT, 예일 같은 상위권 대학들은 최고의 강좌를 온라인에 무료로 공개하고 있다
+다양한 분야에서 게시판과 토론 플랫폼이 활성화되면서 우리는 집 밖으로 나가지 않고도 집단 속에서 교육을 받을 수 있게 되었다
+이런 새로운 이점들에 더해, 학습 행동을 가속화하는 소프트웨어들도 등장했다
+중국어의 경우 약 50년 전에는 크고 무거운 종이 사전을 참고해야 했고 한자 1,000자 이상을 공부하는 건 악몽과도 같았다
+그러나 오늘날에는 SRS 시스템으로 단어를 외울 수 있고, 서류를 읽을 때는 리더기의 버튼 하나만 누르면 자동으로 번역이 된다
+또한 아주 방대하고 다양한 팟캐스트를 통해 무궁무진한 연습 기회를 얻을 수 있고, 번역 앱으로 언어 집중 훈련도 할 수 있다
+이런 테크놀로지의 급격한 변화는 과거의 교과목들을 공부하는 가장 좋은 방법이 아직 발명되지 않았거나 제대로 활용되고 있지 않다는 말이기도 하다
+야심만만한 독학 인구들의 관심을 끌 새로운 방법과 공간은 앞으로도 무궁무진하게 나타날 것이다
+사실 이 방법은 오랜 역사를 가지고 있으며, 수많은 유명한 지성들이 다양한 형태로 활용해왔다
+물론 테크놀로지는 여기에 더해 믿기 어려운 혁신의 기회를 제공한다
+우리가 완전히 탐구하지 못한 학습 방법들은 수없이 많다
+어떤 과제들은 적절한 기술적 혁신과 함께하면 훨씬 쉽게 해낼 수 있다
+심지어 더 이상은 쓸모없는 과제가 될 수도 있다
+공격성과 효율성, 이 2가지가 울트라러닝을 익히는 우선 조건이다
+  울트라러닝으로 남다른 커리어를 쌓아라 경제적・기술적 양극화와 천정부지로 뛰는 교육비, 이제껏 보지 못한 새로운 기술은 전 세계적인 현상이다
+현재의 경력을 가속화하기, 새로운 직업으로 이행하기, 경쟁이 치열한 세상에서 숨겨진 강점을 성장시키기다
+자신의 경력을 빠르게 키우고 싶었던 그녀는 카피라이팅을 배우는 울트라러닝 프로젝트를 진행했다
+그렇게 해서 상사에게 자신의 능력을 보여준 뒤, 실제로 승진할 수 있었다
+가치 있는 기술을 선택하고 이를 자기 것으로 만드는 데 집중하면 빠르게 경력을 높일 수 있다
+학습은 종종 우리가 원하는 직업으로 이행하는 데 커다란 장애물이 된다
+비샬 마이니는 테크놀로지 분야에서 안정적으로 마케팅 일을 하고 있었다
+하지만 실제로 그는 인공지능 조사 분야에서 일하는 것이 꿈이었는데, 그 분야에 필요한 깊이 있는 지식과 기술을 가지고 있지 않았다
+신중하게 6개월간 울트라러닝 프로젝트를 진행한 끝에, 그는 자신이 원하는 분야로 옮길 수 있을 만큼 기술을 익힐 수 있었다
+마지막으로 울트라러닝 프로젝트는 현재 직업에서 쌓아온 여타의 기술들과 자산을 증진시킨다
+뉴질랜드에서 수년 동안 도서관 사서로 일해온 디아나 페셴펠드는 정부의 인원 감축 정책과 디지털화로 그동안의 직업적 경험이 시대를 따라잡지 못할까 봐 걱정했다
+이로써 그녀는 암울한 직업적 전망에서 벗어나 그 분야에서 매우 필요한 존재가 되었다
+하드 스킬을 빠르게 익히는 능력은 점점 더 중요해지고 있다
+따라서 처음에는 다소 투자가 요구된다 할지라도, 할 수 있는 한 무엇이든 확장하고 개발하는 일은 가치가 있다
+하지만 내가 만난 울트라러너들 중 직업적 성공이 동기가 된 경우는 극히 드물었다
+새로 습득한 기술로 큰돈을 벌게 된 사람들조차도 그랬다
+그보다는 하고 싶은 일에 대한 끌림, 깊은 호기심, 혹은 도전 그 자체가 그들을 앞으로 나아가도록 했다
+에릭 배런이 백만장자가 되고 싶어서 홀로 5년간 자신의 열정을 좇은 것은 아니었다
+그는 자신의 비전에 완벽히 부합하는 것을 만들어내고 싶었다
+어린 시절부터 무척이나 좋아했던 퀴즈 쇼에 나가고 싶어서였다
+베니 루이스는 전문 번역가가 되거나 유명 블로거가 되려고 여러 언어를 배운 것이 아니었다
+여행을 사랑하고 그 여정에서 만나는 사람들과 소통하고 싶어서였다
+울트라러닝으로 최고의 성과를 낸 사람들은 정말로 하고 싶은 일을 좇으면서 그 일에 필요한 실용적인 기술을 배운 이들이었다
+울트라러닝의 또 다른 이점은 그렇게 배운 기술 이상의 것을 습득하게 된다는 점이다
+어려운 주제, 새로운 뭔가를 배우기 위해 행동하는 것은 우리의 자아 개념을 확장시킨다
+즉 전에는 할 수 없었던 일들을 이제는 할 수 있다는 자신감을 준다
+MIT 챌린지 이후 나는 수학과 컴퓨터공학에 더 흥미를 느끼게 되었을 뿐 아니라 나의 잠재력이 확장되었다고 느꼈다
+앞서 예로 든 울트라러너들의 강도 높고 헌신적인 노력은 지고의 이상을 추구한 것이 아니었다
+그보다는 무엇이 가능한지 자신의 지평을 확장하는 일이었다
+두 살 무렵 그는 스스로 글 읽는 법을 깨쳤다
+그 이후 프린스턴대학교에서 박사 학위를 받고 수학계의 노벨상이라고 불리는 필즈 메달을 수여했다
+오늘날 그는 살아 있는 최고의 수학적 지성 중 한 사람으로 꼽힌다
+많은 수학자가 수학이라는 특정한 나뭇가지 하나만을 번창시키는 희귀종 난초같이 극단적으로 전문화되어 있지만, 타오는 경이로울 만큼 다양한 작업을 한다
+그는 정기적으로 수학자들과 회동해서 서로 동떨어져 있는 분야에 중대한 기여를 했다
+그의 이런 능력에 관해 한 동료는 “손꼽히는 영어권 소설가가 완벽한 러시아어 소설을 쓴 것” 같다고 말하기도 했다
+하지만 이 역시 그가 올린 개가들을 설명하기에는 충분치 않다
+그는 어려서부터 두각을 드러냈지만 부모가 공부를 강요했다거나 특이한 양육 방식을 고집했던 것은 아니었다
+그의 유년 시절은 두 남동생들과 놀았던 게 대부분이었다
+세 형제는 가족의 스크래블 보드게임이나 마작 판을 가지고 새로운 게임을 만들어내고, 판타지 세계의 지도를 상상하며 놀았다
+또 그에게 특별히 혁신적인 공부 방식이 있었던 것 같지도 않다
+시험을 준비할 때는 그도 여느 학생들처럼 마지막 순간에 벼락치기를 했다
+수학계에서 위상을 떨친 뒤에는 이런 방식에 다소 변화가 있었지만, 어떤 독특한 공부 방법을 가지고 있었다기보다는 오랫동안 똑똑한 머리로 수월하게 수업 내용을 처리한 것이다
+‘천재성’이라는 단어는 너무나 흔하게 쓰이지만 타오는 이 이름표가 붙기에 딱 맞는 인물이다
+테렌스 타오를 위시해 타고난 천재들은 울트라러닝과 같은 학습 방식에 질문을 던진다
+만일 그렇다면 울트라러닝은 흥미로운 현상일 뿐 우리가 실제로 따라 할 수는 없는 것이 된다
+어떤 연구자들은 인간이 타고난 대로 만들어진다는 개념에 대해 보다 회의적이다
+그런데도 많은 사람이 지능의 상당 부분, 아니 대부분이 유전적으로 타고난다고 주장한다
+그런 재능은 의심할 여지없이 우리가 보고 있는 결과에 영향을 미친다
+그렇기 때문에 학습 방식이 어떻게 변화를 일으켜 효율성에 영향을 미치는지를 보여주는 과학적 근거들을 이 책에서 다루고자 한다
+이 책에서 제시하는 울트라러닝 법칙 하나하나는 우리가 태생적으로 영리한지와 상관없이 더 잘 배울 수 있게 해준다
+그래서 나는 이야기와 개인적인 일화들을 통해 우리가 할 수 있는 가장 실용적이고 유용한 일들이 무엇인지 구분하고 설명할 것이다
+내가 소개하는 울트라러너들은 이 책에서 설명할 울트라러닝 법칙을 실제로 어떻게 적용할지 보여주기 위한 사례다
+이들과 똑같은 노력을 했다고 해서 반드시 똑같은 결과를 얻어낼 수 있는 건 아니다
+누구나 삶에서 처리해야 할 일과 어려움들이 있다
+하지만 이 울트라러닝 개념을 활용해서 학습할 수 있는 3가지 방법이 있다
+새로운 투잡 프로젝트, 학습 안식년, 기존의 학습 효과들을 재해석하기다
+첫 번째 방식은 투잡으로 울트라러닝을 시도하는 것이다
+학습을 통해 대단한 성공을 거둔 사례들은 대개 그 프로젝트에 엄청난 시간을 투자한 결과인 경우가 많다
+어떤 프로젝트에 주당 50시간을 할애하는 편이 주당 5시간을 할애하는 편보다는 훨씬 더 성과가 있을 것이다
+때문에 우리의 흥미를 끄는 이야기들은 대개 어마어마한 스케줄과 관련이 있다
+멋진 이야기이긴 하지만, 실제로 울트라러닝 프로젝트를 추구할 때는 필요하지 않다
+울트라러닝 전략의 핵심은 효율성을 우선시하는 태도, 즉 강도와 자발성에 있다
+하루 종일 공부하든, 주당 두어 시간을 공부하든 어떻게 효율적으로 할 것인가는 전적으로 자기 자신에게 달려 있다
+제10장에서 논의하겠지만 장기 기억의 측면에서는 일정이 늘어지는 것이 더 효율적일 수도 있다
+두 번째 방식은 직장이나 학교를 다니면서 짬이 있을 때 울트라러닝을 하는 것이다
+내가 만난 많은 사람이 일시적 실업 상태, 이직 기간, 방학, 휴가 동안 프로젝트를 시도했다
+안정적이라고는 할 수 없지만 이런 휴식기를 활용해서도 충분히 울트라러닝 프로젝트를 할 수 있다
+내 MIT 챌린지 역시 이 기간에 이뤄졌다
+당시 나는 막 졸업했기 때문에 1년 더 학생으로 생활하기가 어렵지 않았다
+지금 내가 똑같은 프로젝트를 한다면 아마 더 오랫동안, 더 많은 밤과 주말을 바쳐 그 일을 해야 할 것이다
+내 직업상 그 시기만큼 융통성 있게 시간을 사용할 수 없기 때문이다
+세 번째 방법은 지금까지 배움에 바친 시간과 에너지를 울트라러닝 법칙과 결부시키는 것이다
+나는 이 책에서 우리 각자의 상황에 맞출 수 있고, 이미 지금껏 한 일들에 적용할 수 있는 방법들을 제시할 것이다
+효율적인 학습에 중요한 것은 강도와 자발성, 헌신이다
+필요한 기술을 효율적이고 유효하게 습득하는 능력은 어마어마한 가치가 있다
+하지만 이 논의에서 나는 어쩌면 가장 중요할 수 있는 질문을 그냥 넘어갔을지도 모른다
+이 매력적인 프랑스-미국인 혼혈 음악가이자 기업가를 만난 건 7년 전으로, 베니 루이스와의 운명적인 만남이 있었던 꼭 그 시기였다
+헝클어진 금발에 수염을 짧게 깎은 드 몽테벨로는 캘리포니아 해안 어딘가에서 서프보드를 타는 사람같이 보였다
+자신만만하고 현실적이며 완벽한 영어 사이로 희미하게 프랑스어 억양을 풍기는 남자였다
+우리는 지난 몇 년 동안 연락을 하고 지냈다
+나는 희한한 학습 실험을 하고 있었고, 그는 세계를 떠돌아 다녔다
+그는 맞춤 캐시미어 스웨터를 만드는 페르시아의 스타트업 회사와 함께 일하다가, 기타리스트였다가, 부랑자였다가, 로스앤젤레스에서 웹 컨설턴트로도 일했는데 그때는 그에게 무척이나 잘 맞는 해변 가까이에서 일했었다
+그러던 그가 이제는 학습법에 관한 내 책에 흥미를 느끼고 있었다
+나는 그동안 만났던 수십 명의 울트라러너에 대해, 그들의 성취와 흥미로운 이야기를 그에게 해주었다
+사실 내가 울트라러너들을 만났던 시점 혹은 이야기를 들었던 시점은 그들이 성공한 이후였다
+그러니까 그들의 성공을 관찰한 것이지, 그들이 탄생한 과정을 관찰한 것이 아니었다
+결과적으로 나는 울트라러닝이 그 성공에 어떻게 작용했는지에 대해 정확히 말하기는 어렵다는 생각이 들었다
+하지만 울트라러닝에 내가 생각하는 그런 잠재력이 있다면 누군가의 프로젝트 결과를 듣는 것보다는 프로젝트를 시도할 사람을 찾는 게 나을 터였다
+그는 울트라러닝이라는 개념에 흥미를 느끼기는 했지만 어떤 기술을 배울지는 생각해보지 않았다고 했다
+그는 기타를 칠 줄 알았고 밴드에서 리드싱어를 맡기도 했다
+음악적인 배경이 있는 상태에서 피아노를 배우는 건 비교적 쉬운 선택 같았다
+심지어 그는 온라인상에서 기타 교실을 운영한 적도 있어서, 다른 악기를 배운다면 사업 확장에도 도움이 될 터였다
+하지만 나는 그에게 익숙하지 않은 것을 배우라고 부추겼다
+음악가가 새 악기를 하나 더 배우는 일은 울트라러닝을 광범위하게 적용할 수 있을지 알아보는 연구에는 이상적인 사례로 보이지 않았다
+그렇게 한두 주가 지나 그는 대중 연설을 하기로 결정했다
+밴드를 하면서 무대에 올라가는 경험은 많이 했지만 연설을 한 경험은 손에 꼽을 만큼 적었기 때문이다
+그는 대중 연설 역시 유용한 기술이라고 여겼다
+노력해서 괄목할 만한 결과가 나오지 않는다고 해도 진일보했다는 정도의 가치는 있을 것이라고 생각했다
+사실 드 몽테벨로에게는 대중 연설을 잘하고 싶다는 개인적인 동기가 있었다
+그는 살면서 연설을 몇 번 해보지 않았는데 그나마도 대부분 대학 시절이었다
+그는 내게 파리의 웹 디자인 회사에서 일했을 때 십수 명의 사람들 앞에서 말해야 했던 일을 들려주었다
+여전히 그는 사람들 앞에서 말을 잘하는 능력이 잠재적으로 가치 있다고 생각했다
+첫 번째 행운은 처음 간 모임에 마이클 젠들러가 있었다는 점이다
+두 번째 행운은 드 몽테벨로가 마감일 딱 열흘 전에 대중 연설 세계 챔피언십에 나갈 자격을 갖추었다는 점이다
+그때만 해도 그는 이것이 행운인 줄도 몰랐다
+대중 연설 세계 챔피언십은 매년 토스트마스터스가 주최하는 대회로, 개인 동호회들에서 시작해서 점차 더 큰 조직 단위로 올라가 회원들 중 몇 사람이 결승에 올라갈 때까지 스타일을 배제하고 경합하는 대회다
+일주일 조금 넘게 남은 대회의 출전 자격을 얻기 위해 드 몽테벨로는 울트라러닝 프로젝트를 기본 축으로 바로 대중 연설에 돌입했다
+그는 바로 다음 일주일 동안 여섯 차례의 연설을 해내야만 했고, 가까스로 마지막 연설까지 마친 후 대회에 나갈 수 있었다
+드 몽테벨로는 강박적으로 연습했고 하루에 두 차례 연설을 하는 날도 있었다
+모든 연설을 녹화하고 모자란 부분이 있는지 분석했다
+연설을 할 때마다 피드백을 요청했고, 수많은 조언을 얻었다
+그의 연설 코치인 젠들러는 그가 안전지대 밖으로 나아가도록 밀어붙였다
+한번은 기존의 연설을 다듬느냐, 처음부터 새로운 연설을 만들어내느냐의 선택에 직면해서 그는 어떻게 해야 할지 몰라 젠들러에게 조언을 청했다
+드 몽테벨로는 소크라테스의 산파법을 이용한 애드리브 수업도 들었다
+거기서 그는 머릿속에 떠오른 것이 무엇이든 주저 않고 말해야 한다는 믿음을 습득했다
+그 수업은 그가 말을 더듬거리거나 무대 위에서 얼지 않도록 해주었다
+한번은 할리우드에서 감독으로 일하는 친구에게 자신의 연설에 대한 피드백을 달라고 하기도 했다
+친구는 드 몽테벨로에게 분노, 단조로움, 날카로움, 심지어 랩에 이르기까지 서로 다른 스타일로 수십 번 연설을 해보고 연설 장면을 보면서 무엇이 자신의 평소 목소리와 다른지 알아보라고 조언했다
+이 훈련으로 드 몽테벨로는 평소 그냥 말을 할 때도 다소 부자연스러운 느낌을 전했던 목소리를 고칠 수 있었다
+또한 그는 무대에 서는 또 다른 친구에게 무대 감각에 대한 조언을 들었다
+무대에서 움직일 때 관객에게 전달되는 움직임들이 단어와 문장을 어떤 식으로 느끼게 해주는지에 대한 이야기였다
+이 조언으로 드 몽테벨로는 더 이상 조명 아래 움츠린 채 서 있지 않고 우아하게 움직이면서 신체를 사용해 메시지를 전달하는 방법을 익혔다
+안락한 토스트마스터스의 바깥 세계에서 맞은 끔찍한 폭격은 그에게 실제 현장에서 청중들의 언어와 감정을 인식하게 해주었고 이로써 그는 청중과의 소통이 중요하다는 사실을 알게 되었다
+청중과의 소통에 대해 젠들러는 그에게 이런 조언을 해주기도 했다
+한 달 후 드 몽테벨로는 그가 참가한 연설 부문에서 우승했다
+상대는 토스트마스터스에서 20여 년간 경험을 쌓은 사람이었다
+대중 연설을 처음 시도해보고 7개월도 채 지나지 않아서, 마침내 그는 세계 챔피언십에 나갔다
+드 몽테벨로와 젠들러는 이 일이 기회가 되리라는 걸 깨달았다
+두 사람의 대중 연설 울트라러닝에 대한 소문을 듣고 고액의 강연비를 받는 작가들이 접촉해오기 시작했다
+그들은 2만 달러를 받고 첫 고객을 맞이했다
+그들은 강연자가 스스로를 믿도록 코칭하는 데 초점을 맞췄다
+드 몽테벨로의 이야기는 당초 예상보다 극적으로 마무리되었다
+그가 초기에 바랐던 건 몇 달 동안 강도 높게 연습하고, 어딘가에서 멋진 연설을 하는 것이었다
+아마도 멋진 추억거리가 될 것이고, 자신은 새로운 기술을 익히게 될 터였다
+그의 목표는 국제 대회에서 입상하고 유망한 직업을 갖는 게 아니었다
+내가 울트라러닝을 가르친 수십 명의 사람 중 누구도 그만큼의 극적인 사례를 보여주지 못했다
+어떤 사람들은 존경할 만한 수준의 성과를 냈다
+그런 사람들은 약학, 통계학, 만화 그리기, 군사 역사, 요가 등을 배우면서 드 몽테벨로의 수준까지는 아니더라도 상당한 발전을 이뤄냈다
+드 몽테벨로의 남다른 점은 아무 경험이 없는 상태에서 6개월 안에 대중 연설 세계 챔피언십 결승에 오르겠다는 생각을 하지 않았다는 것이다
+오히려 그는 강박적일 정도의 직업윤리를 갖고 있었다
+그의 목표는 끝까지 올라가 보는 게 아니었다
+그는 자신이 어디까지 갈 수 있을지 알아보려고 했을 뿐이다
+우리는 때때로 행운이 찾아와서 더 멀리까지 데려다줄 길 위에 서기도 한다
+하지만 울트라러닝에서는 실패했다고 해도 대개는 어떤 기술을 배우게 된다
+극적인 결과를 내지 못했거나 프로젝트를 끝내지 못했다고 해도 일단은 자신이 관심을 두었던 새로운 기술을 배울 수 있는 건 확실하다
+세계 대회에 나가거나 이직에 성공하지 못했다 하더라도 이 과정을 계속하면 새로운 뭔가를 배우게 될 것이다
+드 몽테벨로는 우리도 울트라러닝을 할 수 있고, 특정한 재능이나 천재성이 없어도 극적인 결과를 낼 수 있다는 걸 보여주었다
+만일 그가 연설이 아니라 피아노에 집중했다면 여전히 사람들 앞에서 말하는 일은 파리에서 겪은 곤란한 경험 중 하나로 남아 있을 것이다
+따라서 학습 방법은 해당 프로젝트를 완전히 익히게 하는 것이어야 한다
+울트라러닝 프로젝트의 독창성은 그것들을 모두 한데 묶는 요소 중 하나다
+울트라러닝에 틀이나 규범이 있다면 아마도 강도가 높고 구조화된 형태의 교육이라는 점일 것이다
+울트라러닝은 이런 면에서 매우 흥미롭지만, 한편으로는 이 때문에 단계별 공식을 추출해내기가 무척이나 어렵다
+무척이나 어려운 도전이지만 나는 우선 규칙들에 초점을 맞춰 이 문제를 피해보고자 한다
+심지어 이전에는 본 적도 없는 문제들을, 매뉴얼이나 기계적인 절차가 아닌 방식으로 말이다
+예를 들어 물리학 규칙들을 이해하고 있다면 우리는 과거에 통용되던 방식으로 간단히 새로운 문제를 풀 수 있을 것이다
+어떻게 문제를 풀었는지 늘 정확하고 분명하게 설명할 수 있는 건 아닐지라도 안내자가 될 수는 있다
+내가 생각하기에 울트라러닝은 똑같이 흉내 내고 정확히 단계별로 따라 하는 것보다는 간단한 한 벌의 규칙을 통해 생각할 때 가장 잘 작동한다
+각 장에서 나는 새로운 법칙을 소개하고, 울트라러닝의 사례부터 과학적 연구 조사 결과에 이르기까지 이를 뒷받침하는 증거들을 보여줄 것이다
+그리고 그 법칙들을 특정한 전술로 사용할 수 있는 방법들을 공유하고자 한다
+이 전술들을 통해 자신만의 울트라러닝에 어떻게 도전할 것인지 창조적으로 생각해보는 게 이 책의 목표다
+지금까지 설명한 울트라러닝 프로젝트들의 근간에는 9가지 보편적인 법칙들이 있다
+당신은 이를 통해 자신의 프로젝트에 어떤 법칙을 선택해야 효율성을 최대한으로 끌어올릴지 알게 될 것이다
+다른 과제들이 더 편리하거나 편안하게 여겨지기 때문이다
+자체적으로 시행하는 시험은 자신감을 느끼게 해주고, 수동적인 복습이 아니라 정보를 적극적으로 기억하게 해준다
+수많은 모래알 사이에서 진짜 신호를 찾아내면 어디에 집중해야 할지, 무엇을 무시해야 할지 알 수 있다
+어떤 주제나 기술에 통달하려면 다른 사람들이 다져놓은 길을 따라가기만 해서는 안 된다
+그들도 미처 상상하지 못한 가능성들을 탐색해야 한다
+어떤 한 사람이 특정한 방식으로 뭔가를 해냈다면 이는 흥미로운 사례이긴 하지만 그 사람 고유의 특질이기도 하다
+그러나 내가 마주쳤던 모든 울트라러너들, 그러니까 한 무리의 사람들이 어떤 특정한 방식으로 특정한 일을 해냈다면 내가 우연히 발견한 이 법칙들이 일반적이라고 말할 수 있다
+나는 이 법칙들을 과학적인 문헌들과 대조해 검토했다
+그중 하나는 자신의 공부에 대해 책임을 지는 정신이다
+무엇을 배우고 싶은지, 어떻게 배울지 결정하고 필요한 기술을 습득할 계획을 짜야 한다
+또한 이 프로젝트의 책임자는 자기 자신이므로 스스로 프로젝트의 결과에 궁극적인 책임을 져야 한다
+이런 자세로 울트라러닝에 임한다면 이 규칙들을 제대로, 융통성 있게 적용할 수 있을 것이다
+이 법칙들은 그대로 따라야 하는 것은 아니다
+좋은 학습 방법은 먼저 시험해보고, 자신의 도전이 어떤 특성을 지녔는지 열심히 생각하고, 이를 이뤄낼 방안들을 시험해보는 것이다
+가장 힘든 것을 선택하라 드 몽테벨로는 무엇을 할지는 선택했지만 어떻게 배워야 할지는 정확히 몰랐다
+60대 초반의 다부진 체격, 가느다란 금발에 턱수염을 기른 남자는 미소를 띠고 자신 있는 말투로 천천히 말했다
+옆에 놓인 테이블에는 막대기, 돌, 잎사귀, 상자, 과일, 물병 등 갖가지 물건들이 놓여 있었다
+그는 곧 실험을 시작할 거라고 신호를 보냈다
+어두운 갈색 머리에 올리브색 살결의 체격 좋은 중년 여성이 오른쪽 문으로 들어와 무대로 다가왔다
+에버렛은 그녀에게 다가가서 그녀가 알아들을 수 없는 언어로 뭔가를 말했다
+그러자 그녀가 혼란스러운 표정으로 주변을 둘러보고는 황급히 대답했다
+처음에는 다소 더듬거렸지만 한두 번 시도하자 그녀가 그에게 만족스러운 표정을 지어 보였다
+그녀는 그가 막대기의 명칭을 알고 싶고 아까처럼 따라 말하고 싶어 한다는 것을 정확히 추측해냈다
+새로운 유도 심문으로 실험하고, 새로운 문장을 만들고, 자신이 쓴 게 맞는지 그녀의 행동을 보고 확인했다
+30분 정도가 지나자 두 개가 넘는 칠판에 명사, 동사, 대명사, 발음 표시가 가득했다
+새로운 언어에서 수십 개의 단어와 문구를 배우는 좋은 방법은 처음 30분 동안 그 언어만 사용하는 것이다
+그는 오직 그녀에게서 단어와 문장을 끌어내어 따라 말하면서 언어의 문법, 발음, 어휘를 이해하려고 시도했다
+심지어 그는 자신이 듣고 있는 언어가 무엇인지조차 몰랐다
+나중에 여성이 말한 언어는 중국, 베트남, 라오스 일부 지역에서 말하는 몽족의 방언인 것으로 밝혀졌다
+에버렛은 그 언어가 무엇인지조차 몰랐고 교사나 번역, 사전 지식도 없었다
+이것은 뭔가가 그 자체에 관한 것일 때 혹은 그보다 상위에 있는 추상적 관념을 다룰 때 사용된다
+그래서 메타 학습이란 ‘학습에 관한 학습’이라고 할 수 있다
+이렇게 계속 배워나가다가 중국 문자들이 종종 ‘부수’라고 불리는 어떤 것으로 조직된다는 사실을 알게 된다
+부수는 그 문자가 묘사하는 대상이 무엇인지 시사한다
+중국어 문자의 이런 특성을 배우는 것이 메타 학습이다
+시범 단어와 문장들을 통해 공부 중인 그 대상 자체가 아니라 해당 주제 내에서 지식이 어떻게 구성되고 획득되는지에 관해 배우는 것이다
+앞서 에버렛의 사례에서 우리는 표면 아래 놓인 메타 학습의 방대한 자산을 얼핏 가늠할 수 있다
+간단한 시범을 끝낸 후 에버렛은 청중에게 물었다
+수년간의 언어 학습 경험을 통해 지금 알게 된 그 언어가 어떻게 작동하는지에 관한 이론과 가설들의 지도를 그리고 있었던 것이다
+에버렛은 언어학자로서 쌓은 막대한 지식뿐 아니라 또 다른 놀라운 비결을 가지고 있었다
+그가 보인 실험은 직접 발명한 것이 아니다
+이 방법은 사물과 행동들을 하나의 시퀀스로 배열해서 행위자가 그 언어를 조립할 수 있게 한다
+  자신만의 메타 학습 지도를 그려라 에버렛의 경우는 새로운 것들을 빠르고 효율적으로 배우는 데 사용된 메타 학습의 힘을 보여준다
+메타 학습은 우리가 길을 잃지 않고 목적지로 갈 수 있는 지도를 만들어준다
+세 번째 언어를 배울 때 이미 알고 있는 두 번째 언어가 도움이 되는지에 관한 내용을 다룬 이 연구는 미국 텍사스에서 시행됐다
+영어만 하는 학습자와 스페인어와 영어를 모두 할 줄 아는 학습자가 프랑스어 수업에 등록했다
+그리고 시험을 본 결과 새로운 언어를 배울 때 이중 언어 사용자는 단일 언어 사용자를 앞선다는 결과가 나왔다
+하지만 스페인어와 영어 사용자들 사이에서조차 스페인어를 수업을 통해 공부한 사람들이 나중에 프랑스어를 배울 때 더 잘 습득했다는 점은 매우 흥미롭다
+이는 ‘수업’이 ‘메타 언어적 인지’를 만들어내서 도움을 주기 때문으로 보인다
+단순히 어떤 언어를 아는 일만으로는 불가능한 일이다
+이 연구가 담긴 논문은 ‘메타’라는 단어를 잔뜩 썼다
+한 집단은 그 언어의 내용물을 알고 있었고 다른 한 집단, 즉 스페인어 수업을 들은 집단은 그 언어가 어떻게 구조화되어 있는지 알고 있었던 것이다
+메타 학습에 관한 이런 관점은 비단 언어에만 국한되지 않는다
+메타 학습과 규칙적인 학습이 명확하게 구분되기 때문에 언어의 경우 연구하기가 쉬워서일 뿐이다
+서로 관련이 없는 언어들은 어휘나 문법 같은 것들이 무척이나 다르다
+심지어 메타 학습 구조가 같다고 할지라도 말이다
+프랑스어 어휘를 배우는 건 중국어 어휘를 배우는 데 큰 도움이 되지 않지만, 프랑스어 어휘 습득이 어떻게 이뤄지는지에 대한 이해는 중국어를 배우는 데도 도움이 된다
+우리는 마지막 나라인 한국에 도착했을 무렵 사전 지식 없이 새로운 언어 환경에 잠겨서 배우는 일이 일상이 되어 있었다
+한국어의 단어와 문법은 완전히 새로운 것이었지만 학습 과정은 이미 잘 다져져 있었던 것이다
+메타 학습은 어떤 종류의 학습에도 존재하지만 때로 이것을 규칙적인 학습과 따로 떼어 설명하기 어려울 때가 있다
+우선 단기적으로, 프로젝트를 시작하기 전에 일정 기간 동안 메타 학습을 증진시키는 데 초점을 맞춰 탐색을 할 수 있다
+자기주도적이고 강도가 높다는 특성 때문에 울트라러닝은 평범한 학교교육보다 훨씬 더 큰 변화를 가져올 수 있다
+좋은 울트라러닝 프로젝트는 훌륭한 재료를 가지고 무엇을 배워야 할지가 명확하며 공교육보다 더 빨리 배울 수 있게 해준다
+언어의 경우 그 언어 환경에 푹 잠겨서 공부하는 것은 지루한 수업을 듣는 것보다 낫다
+코딩은 몇 달 동안 집중적으로 코딩을 배우는 부트캠프를 통해 익히는 것이 일반 학사 과정보다 더 직업적인 경쟁력을 갖출 수 있다
+이런 방식은 학교교육의 규격화된 방식을 피하고, 스스로의 필요와 능력에 맞춰 자신만의 프로젝트를 하게 해준다
+그러나 한편으로는 현명하지 못한 선택을 하거나 최악의 결과를 맞을 위험도 있다
+메타 학습 탐색은 바로 이런 문제를 피하고 현상 유지 이상을 얻어낼 수 있는 지점을 찾아준다
+장기적으로는, 울트라러닝 프로젝트를 해나가면서 일반적인 메타 학습 기술들을 더욱 향상시킬 수 있다
+자신의 학습 역량, 시간을 잘 사용하는 법, 동기를 관리하는 법을 알게 되고, 공통적인 문제들을 다루는 검증된 전략들을 갖게 된다
+더 많이 배울수록 더 자신감이 생기고, 이로써 좌절감이 줄어들고 학습 과정을 즐기게 된다
+살펴봤다시피 단기적 탐색 전략들은 매우 많은 이득을 준다
+따라서 이 장에서는 대부분 단기적 탐색 전략을 살펴볼 것이다
+그렇다고 해서 메타 학습의 장기적 효과를 덜 중요하게 여겨서는 안 된다
+계속 해나갈수록 어떻게 하면 더 잘할 수 있는지 알게 되고 습득하게 된다
+이런 장기적인 이득은 단기적 이득을 상회하며, 이런 면 때문에 울트라러닝을 해내는 능력이 타고난 지능이나 재능으로 오인받을 수도 있다
+아무튼 이런 울트라러닝을 계속 실행해서 기술의 많은 부분을 자동으로 활용해 더 빠르고 효율적으로 공부하길 바란다
+이것은 자신의 학습 동기를 이해하기 위한 질문이다
+자신이 ‘왜’ 그 기술을 배우려고 하는지 정확하게 안다면 프로젝트의 초점을 정확히 그 부분에 맞춤으로써 많은 시간을 아낄 수 있다
+‘무엇’은 성공하기 위해 획득해야 할 지식과 능력을 의미한다
+그러면 앞으로 나타날 장애물이 무엇인지, 이를 극복할 최선의 방안은 무엇인지 대략적으로 알 수 있다
+‘어떻게’는 학습에 사용할 자원, 환경, 방법을 말한다
+여기서의 선택은 전체적인 효율성에 큰 차이를 만들어낸다
+사실 당신이 어떤 프로젝트를 선택한 동기는 크게 2가지 중 하나일 것이다
+도구적인 학습 프로젝트는 자신이 학습하지 않은 대상, 다른 결과를 주는 대상을 공부하는 것이다
+그녀는 수십 년간 도서관 사서로 일했지만 자신의 직업이 점점 한물가고 있다고 느꼈다
+여기에 컴퓨터 파일 시스템과 정부의 예산 삭감이 더해져, 그녀는 자신의 자리를 지키려면 새로운 기술을 배워야 한다고 생각했다
+그래서 조사를 조금 한 후에 통계학과 데이터 시각화 완벽히 익히는 것이 최선이라고 결론 내렸다
+이 경우 그녀는 통계학과 데이터 시각화가 좋아서 공부한 게 아니었다
+본질적인 학습 프로젝트는 자기만의 목적으로 공부하는 것이다
+써먹을 방법을 알지 못해도 그냥 프랑스어를 말해보고 싶다면 그것은 본질적인 프로젝트다
+프랑스어를 배우면 나중에 여행을 하거나 프랑스에서 온 고객과 일할 때 도움이 될 수도 있다
+차이는 지금과는 다른 결과를 얻어낼 수단으로서가 아니라 프랑스어 그 자체를 목적으로 배운다는 것이다
+도구적 프로젝트를 추구한다면 추가로 탐색 단계를 한 번 더 거치는 게 좋다
+나는 자신의 경력과 비전에 만족하지 못하고 대학원에 진학하려고 결심한 사람들의 이야기를 많이 들었다
+자신이 MBA나 MA를 가지고 있었더라면 고용주들이 자신을 더욱 중요하게 여기고 바라는 경력을 쌓았을 것이라고 말이다
+그래서 그들은 대학원에 가기 위해 2년 이상 자리를 뜨고, 수만 달러의 학자금 대출을 진다
+그렇게 자격을 획득한 뒤에는 실제로 더 나은 직업적 기회가 나타나지 않는다는 사실을 알게 된다
+하고 싶은 일이나 공부해야 하는 분야, 교육기관 등 여러 면을 두루 따져봤을 때 그 선택이 진정 중요하고 필요한지 묻는 것이다
+공부를 시작하기 전에 당신의 프로젝트가 목표를 이룰 수 있을지 성공한 건축가들과 대화해보는 것이 좋다
+사실은 많은 탐색 과정에서 이 방법을 사용할 수 있다
+도구적 프로젝트를 가늠해보는 일은 어느 정도 가치가 있다
+당신이 목표하는 것을 얻어낸 누군가가 당신의 프로젝트가 도움이 되지 않을 거라고, 다른 기술을 배우는 것이 더 중요하다고 말한다면 이는 당신의 동기와 프로젝트가 부합하지 않는다는 신호다
+면담할 선배를 찾는 것은 생각보다 어렵지 않다
+직장, 컨퍼런스, 세미나, 심지어 트위터나 링크드인 같은 SNS에서 얼마든지 찾을 수 있다
+목표가 어떤 일과 관계된 것이라면 배우려고 하는 목표를 중심으로 한 온라인 게시판을 찾을 수도 있다
+예를 들어 프로그래밍을 배워 혼자서 앱을 만들려고 한다면 프로그래밍이나 앱 개발과 관련된 온라인 게시판을 찾는다
+전문가와 연락을 취하고 만날 약속을 잡는 것은 어렵지 않지만 많은 사람이 이 단계를 꺼린다
+대부분이 그렇지만, 특히 내향적인 사람은 낯선 사람에게 조언을 구하려고 연락한다는 생각만으로도 움찔거린다
+그들은 자신이 거부당하거나 무시당할까 봐, 또는 주제넘게 누군가의 시간을 빼앗는 건 아닐까 걱정한다
+전문가들은 대부분 조언을 하는 것을 기꺼워하고, 누군가가 자신의 경험을 배우고 싶어 한다는 생각에 자부심을 느낀다
+전문가 중에는 누군가에게 도움을 주는 걸 정말로 좋아하는 사람도 있지만, 어쨌든 첫 메일에서 너무 많은 요구를 하는 건 좋지 않다
+전화 통화는 면대면 만남의 부담을 피할 수 있다
+이 방법을 시도해본 여성들은 이따금 학습적 조언을 받고 싶어 하는 자신의 마음을 상대가 데이트 요청으로 오인했다고 말했다
+이메일로 조언을 주고받는 것도 좋은 대안이 될 수 있다
+하지만 문자는 종종 어조를 잘 전달하지 못해서, 상대가 그 프로젝트를 어떤 식으로 생각하는지 제대로 감지할 수 없는 경우도 있다
+예를 들면 ‘멋진 발상이네요’라는 문장에는 정말로 그 아이디어를 지지하는지, 그저 그렇게 생각하는지 글쓴이의 뉘앙스가 담겨 있지 않다
+한편 본질적 프로젝트라 할지라도 ‘왜’를 묻는 일은 무척이나 유용하다
+우리가 따라 하려는 학습 계획들 대부분은 커리큘럼 설계자가 중요하다고 생각하는 것에 바탕을 두고 있다
+학습 계획들이 목표와 완전히 부합하지 않는다면 정작 자신에게는 별로 중요치 않은 것을 배우는 데 많은 시간을 들이거나 중요한 것을 가장 적게 할 수 있다
+그래서 울트라러닝 프로젝트에서는 무엇을 배우려는지 스스로 물어보는 일이 중요하다
+그래야 세우려는 학습 계획들이 목적에 적합한지 알 수 있기 때문이다
+이 단계에서는 목록이 완벽하게 완성되었는지, 정확한지는 중요치 않다
+여기서의 목표는 먼저 대략적으로 이 지점을 통과하는 것이다
+일단 공부를 시작하고, 지금 작성한 카테고리들이 딱 들어맞지 않다고 보이면 목록을 조정하면 된다
+  개념 개념이란 단어 아래에는 이해해야 할 내용들을 적는다
+개념이란 그것을 유용하게 사용하기 위해 융통성 있게 이해해야 할 어떤 생각을 말한다
+예를 들어 수학과 물리학에서는 개념이 무척 중요하다
+법 같은 과목들에서는 개념과 사실 정보 양쪽이 모두 중요하다
+즉 법학에서는 이해해야 할 법리들과 암기해야 할 세부 내용들이 함께 존재한다는 말이다
+일반적으로 단순 암기만 필요한 게 아니라 어떤 개념을 이해해야 한다면 그것은 ‘사실 정보’ 항목이 아니라 ‘개념’ 항목에 넣어야 한다
+올바른 상황에서 제대로 끄집어낼 수만 있다면 깊이 이해할 필요는 없다
+예를 들어 언어는 어휘, 발음, 좀 더 좁히면 문법에 대한 사실 정보로만 채워져 있다
+개념이 중심인 과목일지라도 대체로 사실 정보들이 다소 포함된다
+미적분학을 배우고 있다면 거기서 파생되는 개념들이 어떻게 작동하는지 깊이 이해해야 하지만 삼각법의 특징 몇 가지를 암기하는 것으로 충분할 수도 있다
+절차는 수행해야 하는 행동들로, 의식적인 생각과는 관계없다
+자전거 타기를 배우는 것을 예로 들면 이는 대개 모두 절차적인 것이다
+절차는 근본적으로 사실 정보나 개념과는 관계가 없다
+다른 많은 기술도 대개 절차적인 것인데, 어떤 것들은 절차적 요소가 있지만 기억해야 할 사실과 이해해야 할 개념들도 포함하고 있다
+예를 들어 언어의 경우 새로운 어휘를 배우려면 새로운 사실 정보를 암기해야 하지만 발음에는 연습이 필요하다
+이 과정은 무엇이 학습 정체를 일으킬지 감지하게 해주고, 이를 극복할 방법과 자원을 찾을 수 있게 해준다
+만일 의약을 공부하는 데 많은 암기가 필요하다고 생각한다면 SRS 같은 소프트웨어에 돈을 쓸 것이다
+수학을 공부한다면 특정한 개념을 깊이 이해하는 데 어려운 순간들이 찾아오리라는 걸 예상할 수 있다
+그럴 땐 주변 사람들에게 그 개념들을 설명하는 행위로 그것들을 정말 이해했는지 가늠해볼 수 있다
+목표에 도움이 되지 않을 수단들을 피하는 것도 중요하지만, 정체기를 잘 활용하는 것도 큰 도움이 된다
+이 기간이 학습을 유효하고 효율적으로 만들어준다고 생각하기 시작하면, 정체기를 어떻게 활용하느냐에 따라 결과는 크게 달라진다
+대개는 이 정도의 분석만으로도 다음 탐색 단계로 넘어가기에 충분하다
+하지만 경험이 더 많아지면 더 깊이 파고들 수 있다
+지금 배우려는 개념, 사실, 절차들의 일부 특징만 보고도 그것을 더욱 효율적으로 습득하는 방법을 찾을 수도 있다
+예를 들어 나는 초상화 그리기에 도전할 때 사람의 얼굴을 이루는 부분들의 크기와 위치를 어떻게 정하느냐에 따라 성패가 좌우된다는 사실을 알았다
+우리 대부분은 얼굴을 사실적으로 그릴 수 없는데, 그 이유는 크기와 위치가 아주 약간만 벗어나도 즉각 잘못되었음을 알기 때문이다
+그래서 나는 수없이 똑같은 스케치를 하고, 그림을 그릴 때 참조한 사진들과 겹쳐서 비교해보자는 발상을 떠올렸다
+그렇게 하면 내가 무슨 실수를 저질렀는지 찾아보지 않고도 빨리 진단할 수 있을 것이었다
+이것은 더 많은 프로젝트들을 행하고 나서 얻게 되는 일종의 장기적 메타 학습이다
+한 가지는 벤치마킹이고, 다른 한 가지는 강조·제거다
+이 방법은 시작 단계에서 기본적인 전략을 설계할 수 있게 해준다
+컴퓨터공학이나 신경과학, 역사 같이 이미 학교에서 가르치는 과목을 배우려고 한다면, 학교에서 사용하는 교과과정을 살펴볼 수 있다
+그것은 강의록이 될 수도 있고, 내가 MIT 챌린지에서 했던 것처럼 전체 학사 과정의 수업 목록이 될 수도 있다
+인지과학에 대해 더 배우고 싶다면 UCSD 의과대학의 인지과학 교과과정에서 신입생들에게 추천하는 교재 목록을 찾아낼 수도 있다
+일반적으로 교과과정 목록과 강의록은 학생들이 이용하는 웹사이트에서 찾아볼 수 있다
+배우려는 분야가 비학과적이거나 전문적인 기술이라면 온라인에서 그 기술을 습득한 사람을 찾거나 전문가에게 그 분야를 공부하는 데 필요한 자원들을 물을 수 있다
+대부분 어떤 기술이든 한 시간 정도 검색하면 교과과정, 기사, 추천 방법들이 나타날 것이다
+검색에 시간을 투자하는 것은 생각보다 큰 이득을 주는데, 여기서 좋은 자원들을 찾아낼수록 더 효과적으로 공부할 수 있기 때문이다
+내 경험에 따르면 이 방법은 그림, 언어, 음악처럼 분명한 성공 기준이 있고 공부를 시작하기에 앞서 해당 교과의 주제에 관해 상대적 중요도를 추측할 수 있는 분야에서 좀 더 쉬웠다
+강의록에 실린 용어의 의미를 이해조차 하지 못하는 개념적인 과목이라면 그것을 어느 정도 습득하기까지 벤치마킹을 계속하는 편이 나을 수도 있다
+강조·제거 방법에서 강조는 탐색의 첫 단계에서 규정한 목표에 부합하는 학습 부문을 찾아 집중하는 것이다
+프랑스어를 배우는 목적이 2주 동안 파리에 가서 식당이나 마트에서 대화할 수 있는 것이라면 나는 철자를 정확히 쓰기보다는 발음에 더욱 집중할 것이다
+앱을 만들려고 혼자 프로그래밍을 배우고 있다면 나는 컴퓨터 이론보다는 앱 개발의 세부적인 작업들에 초점을 맞출 것이다
+강조·제거 방법에서 제거는 우리가 벤치마킹한 교과과정에서 자신의 목표와 부합하지 않는 요소들을 제외시키거나 나중으로 미루는 것이다
+꼭 이 방법만을 사용해야 하는 건 아니지만, 주요 목표가 말하기라면 문자를 암기하는 것은 과감히 포기하고 말하는 데 능숙해지는 것이 훨씬 더 효과적이다
+경험이 풍부한 사람이 쓴 자기주도 학습에 관한 문헌을 보면 우리 대부분이 학습 목표, 방법, 자원들을 꼼꼼히 살펴보지 않고 시작한다는 사실을 알 수 있다
+우리는 자신이 처한 환경에서 자연스럽게 나타나는 학습 방식을 택하는 경향이 있다
+가장 효율적으로 학습할 수 있는 방법이 있음에도 그렇게 하지 못하게 만든다
+하지만 때로 탐색은 프로젝트를 미루는 습관이 될 수도 있다
+특히 학습 방식이 불편한 것일 경우 그렇다
+그러면 좀 더 탐색하는 일은 학습을 회피하는 핑계가 된다
+  10퍼센트 규칙 좋은 방법은 프로젝트를 시작하기 전에 예정된 시간의 약 10퍼센트를 탐색에 투자하는 것이다
+대략 6개월간 주당 4시간을 공부하려고 생각한다면 약 100시간이 될 것이다
+그러면 탐색에는 10시간 혹은 2주를 써야 한다
+하지만 프로젝트의 규모가 커지면 이 비율은 약간 줄이는 게 좋다
+500시간 혹은 1,000시간을 공부할 계획이라면 탐색에 꼭 50시간 혹은 100시간이 필요하지는 않을 것이다
+여기서 주의할 점은 택할 수 있는 수많은 학습 자원에 지쳐버리면 안 된다는 것이다
+또 대안에 관해서는 생각지 않고 처음에 나타난 자원이나 학습법에 매달려서도 안 된다
+MIT 챌린지를 시작하기 전에 나는 대략 6개월 동안 짬짬이 모든 학습 과정을 조합해봤다
+프로젝트를 시작하기 전에 일반적인 학습 방식, 인기 있는 자원과 도구들을 찾아보고 각각이 지닌 강점과 취약점을 아는 것이 좋다
+장기 프로젝트는 중도에 그만두거나 지연될 기회가 더욱 많다
+따라서 시작할 때 적절한 탐색을 거쳐야 나중에 훨씬 많은 시간을 절약할 수 있다
+고난과 기회는 시작하기 전에는 분명히 드러나지 않는 경우가 많다
+따라서 학습 과정에서 반드시 재평가를 거쳐야만 한다
+예를 들어 초상화 그리기에 도전하는 과정 중반쯤에 나는 스케치와 사진을 비교하는 방법으로 얻는 보상이 점점 줄어들고 있음을 발견했다
+더 정확하게 그리려면 스케치 기술이 더 나아져야 했다
+나는 독학 기술에 한계가 있을 거라곤 생각하지 못했었다
+언제, 어떻게 탐색할지에 관한 질문의 답은 더욱 복잡한데, 이 경우는 규칙적인 학습과 메타 학습의 한계비용을 비교해보면 된다
+한 가지 방법은 탐색에 더 많은 시간을 들이는 것이다
+더 많은 전문가를 면담하고, 더 많은 시간을 들여 온라인 검색을 해서 이용 가능한 새로운 기술이 있는지 찾아본다
+그러고 나서 선택한 경로를 따라 몇 시간 더 공부한다
+메타 학습적 탐색이 학습에 들인 시간보다 더 도움이 된 것 같다면 이때는 탐색하는 게 더 나은 시기라고 보면 된다
+추가 조사가 별 도움이 되지 않는 것 같다면 이전의 계획을 계속 고수하는 편이 낫다
+계속 탐색을 해나간다면 마침내는 그냥 학습을 더 하는 것보다 가치가 줄어든다
+따라서 그 지점에서는 학습에 안정적으로 집중하면 된다
+몇 시간 탐색하고 잠자코 있다 보면 보다 빠르게 성공을 이끌어낼 완벽한 자원들을 우연히 만날 수도 있다
+프로젝트를 더 많이 하면 할수록 이 지점을 직관적으로 판단할 수 있게 된다
+그러나 메타 학습의 진짜 이점은 단기적이 아니라 장기적이다
+특정한 프로젝트가 아니라 학습자인 우리를 전반적으로 향상시키기 때문이다
+우리가 행하는 프로젝트들은 각각 우리의 메타 학습을 향상시킨다
+모든 프로젝트는 우리가 새로운 학습 방식, 자원을 취합하는 새로운 방식, 더 나은 시간 관리법을 배우고 동기를 관리하는 기술을 향상시킨다
+어떤 프로젝트 하나를 성공하면 우리는 자신에 대한 의심을 거두고 더 이상 미루지 않고 다음 프로젝트를 집행할 자신감을 얻을 것이다
+이런 영향은 어떤 한 프로젝트의 성공이 주는 결과보다 훨씬 크다
+하지만 슬프게도 이는 한 가지 전략이나 도구로 정의 내릴 수 없다
+울트라러닝의 이점이 늘 첫 번째 프로젝트에서 가시적으로 나타나는 것은 아니다
+첫 프로젝트는 우리의 메타 학습 능력이 낮을 때 이뤄지기 때문이다
+완수된 프로젝트는 다음의 프로젝트와 씨름할 도구들을 제공하며 선순환을 이룬다
+내가 이 책을 위해 면담했던 많은 울트라러너들은 이와 비슷한 이야기를 들려주었다
+그들은 개인적인 프로젝트를 통해 얻어낸 성과에 자부심을 갖게 되었지만, 자신이 어려운 뭔가를 배워나가는 과정을 이해하게 되었다는 점이 더 큰 이득이라고 했다
+이로써 그전에는 고려조차 못 하던 야심찬 목표를 추구할 자신감을 얻은 것이다
+시작할 때는 이런 면이 잘 보이지 않지만 말이다
+하지만 이런 이점은 오직 경험으로만 얻을 수 있다
+제아무리 조사를 잘하고 좋은 자원과 전략이 있다 해도 집중해서 노력하고 배우며 나아가지 않는 한 아무 쓸모가 없다
+그녀는 고등교육이 여성에게는 적절하지 않다고 여겨지던 18세기 스코틀랜드의 한 가난한 가정에서 태어났다
+어머니는 그녀가 글 읽는 것을 가로막지 않았지만, 다른 사람들은 그렇지 않았다
+숙모는 서머빌이 책을 읽는 모습을 보고 그녀의 어머니에게 이렇게 말했다
+게다가 그녀의 첫 남편 새뮤얼 그레이그는 여성의 교육을 강하게 반대했다
+그러나 수많은 난관과 갈등에도 서머빌은 방대한 성취를 이뤘다
+그녀는 수학 분야에서 많은 상을 수상했으며, 몇 가지 언어를 유창하게 했고 그림도 그리고 피아노도 쳤다
+라플라스는 서머빌이 자신의 책을 이해하는 유일한 여성이라고 말했다
+서머빌의 상황과 그녀가 이룬 성취 사이의 크나큰 간극을 가장 쉽게 설명하는 말은 ‘천재성’이다
+그녀가 놀랍도록 날카로운 정신의 소유자였음은 의심의 여지가 없다
+그녀의 딸은 엄마가 자신을 가르칠 때 계속 참고 또 참았다고 말했다
+이것이 겸손하고 공손한 태도인지, 천재란 늘 부족하다고 느끼는 법인지 우리는 알 수 없다
+하지만 적어도 그녀가 흔들리지 않는 자신감과 재능으로 배움에 접근하지 않았다는 것만큼은 알 수 있다
+깊이 응시하면, 서머빌에 대한 또 다른 그림이 떠오른다
+그녀는 날카로운 지성을 소유했지만 한편으로는 예외적이라 할 만한 집중력의 소유자였다
+청소년 시절 독서용 촛불을 물리고 잠자리에 들고 나서도 그녀는 머릿속으로 유클리드의 수학 이론을 더듬었다
+지인들은 그녀가 아이에게 젖을 물리면서 식물학 공부를 하는 모습을 보곤 했다고 말했다
+그녀는 매일 아침 공부를 하는 데 한 시간을 바쳤다
+라플라스의 《천체역학》을 번역・증보하는 위업을 이루는 동안에도, 그녀는 아이를 기르고 요리를 하고 집 청소를 했다
+앨버트 아인슈타인은 일반상대성 이론을 연구하는 동안 위통에 시달렸음에도 무척이나 강한 집중력을 발휘했다
+나중에는 잠시도 암페타민을 손에서 놓을 수 없을 거라는 친구의 경고에 가까스로 끊었지만 그 때문에 연구에 집중하지 못했다
+그는 당시 전체적인 수학적 성취에서 한 달이나 후퇴했다고 고백했다
+이렇게 어마어마한 집중력에 관해 들으면 세속적인 걱정거리에서 벗어나 자신의 작업에 집중하는 고고한 천재의 이미지가 떠오른다
+이 역시 눈여겨볼 만한 것이지만 나는 서머빌의 집중력에 더 흥미가 있다
+시작할 때, 유지할 때, 집중의 질을 최대화할 때다
+울트라러너들은 이 3가지 문제를 다루는 해결책을 찾으려고 애쓰는데, 이것이 집중을 잘하고 깊이 있게 습득하는 능력의 기초를 이룬다
+  우리는 왜 시작하지 못하고 꾸물거리는가 많은 사람이 호소하는 첫 번째 문제는 ‘집중해서 시작하는 일’조차 못 한다는 것이다
+하려는 일을 시작하지 않고, 다른 일을 하거나 미적거리는 것이다
+이들은 마감일이 닥쳐와 집중하느라 몸부림쳐야 하는 순간까지, 이 작업 저 작업을 왔다 갔다 한다
+또 어떤 사람들은 어떤 특정한 일을 해야 할 때 눈에 띄도록 극심하게 꾸물대면서 겨우겨우 해내곤 한다
+나는 두 번째 유형에 더 가까운데, 어떤 특정한 활동들을 해야 할 때면 하루 종일 꾸물대며 시간을 보낸다
+예를 들어 블로그에 글을 쓰는 데는 문제가 없었지만, 이 책을 쓰려고 조사를 할 때는 질질 끌었다
+MIT 온라인 강좌를 가만히 앉아서 보는 데는 문제가 없었지만 늘 시작 단계에서는 상당히 전전긍긍하면서 씨름했다
+강도 높은 일정을 설정하지 않았더라면 아마도 변명거리들을 찾아내서 최대한 오래 미뤘을 것이다
+사실 이 장을 쓰는 일도 엄청 큰 거래가 있기까지 내가 미뤘던 일들 중 하나였다
+나는 특히 이 장을 쓰면서 미적댔는데, 발상은 많지만 어디서 시작해야 할지 몰라서였다
+뭔가를 종이에 실제로 끼적이면 형편없는 글이 나올까 봐 불안했던 것이다
+하지만 우리는 꾸물거리는 동기 대부분이 바보 같다는 걸 알면서도 그것을 인생에서 몰아내지 못한다
+내가 꾸물거림을 극복할 수 있었던 과정의 첫 단계는 바로 내가 꾸물거리고 있다는 사실을 인지한 일이었다
+우리는 꾸물대고 있지만 꾸물거리고 있다고는 느끼지 않는다
+실제 행동을 이런 믿음으로 가리려는 것이 문제다
+집중해야 할 일을 하고 싶지 않은 것인데, 그 이유는 그걸 하는 게 싫거나 더 하고 싶은 일이 있어서다
+자신이 꾸물거리고 있음을 인지하는 것은 꾸물대지 않을 첫 단추다
+자신이 꾸물대고 있다는 것을 쉽게, 자동으로 인식하게 되면 그런 충동에 저항하는 단계를 밟아나갈 수 있다
+그중 하나는 자신의 게으른 성향을 헤쳐나갈 수 있게 해줄 ‘목발’, 다시 말해 정신적 도구를 생각하는 것이다
+진행 중인 프로젝트에 관한 행동에 집중할수록 꾸물거림은 더 이상 문제가 되지 않고, 이런 목발은 변화하거나 사라질 것이다
+첫 번째 목발은 그 과제가 싫은 경우, 그것이 싫은 이유가 무엇인지 알아내는 것이다
+다른 일에 관심이 쏠린다면 그 일이 왜 좋은지 알아내야 한다
+일을 시작하거나 달리 관심을 끄는 대상을 무시할 수 있게 되면 대개 걱정거리는 몇 분 안에 사라진다
+따라서 이 첫 번째 목발은 휴식을 취하지 않고 딱 몇 분만 참아 넘기면 미루고 있는 일을 할 수 있다고 스스로 확신을 주는 것이다
+쉬거나 다른 일을 하지 않고 딱 5분만 그 작업을 해보자고 말하면, 움직일 수 있게 된다
+누구든, 무슨 일이든 5분은 견딜 수 있다
+그 일이 얼마나 지루하고 좌절감을 주고 어려운지는 상관없다
+일단 시작하면 쉬고 싶은 생각 없이 긴 시간 그 일을 하고 끝마칠 수 있게 된다
+그렇게 일을 시작하게 되면 첫 번째 목발은 이제 방해가 되기 시작한다
+일을 시작하기는 했지만 그 과제가 즐겁지 않고 집중하기 어렵기 때문에 5분 법칙의 이점을 너무 자주 취하게 되는 것이다
+이렇게 되면 문제는 시작하지 못하는 데서 너무 자주 쉬는 것으로 바뀐다
+하지만 아직 시작 문제를 겪고 있다면 더 어려운 목표로 바꾸지 말아야 한다
+5분 규칙을 따르고 있음에도 작업을 시작하지 못하고 있다면 더 어렵고 까다로운 목발로 바꾸는 것은 역효과를 낼 수 있다
+좌절의 순간이 시작 지점에서만 오는 것은 아니다
+내가 낱말 카드를 이용해 중국어 문자를 배울 때, 카드에 적힌 한 글자가 기억나지 않을 때면 늘 포기하고 싶은 충동이 불쑥 일어났다
+하지만 그 기분이 일시적이라는 것을 알았고, 그래서 규칙 하나를 추가했다
+카드 대부분의 문자를 맞히지 못할 때만 그만둘 수 있다고 말이다
+실제로 카드들은 빨리 넘어갔고, 따라서 이런 감정은 대개 20~30초 정도 지속될 뿐이었다
+규칙을 따른 결과 낱말 카드 연습을 하는 동안 내 인내심은 엄청나게 늘어났다
+이는 한정된 시간을 가장 잘 사용할 수 있는 전략이다
+메리 서머빌은 여분의 시간이라는 판단이 서면 한시도 지체 않고 집중력을 끌어냈다
+이제 우리도 이런 집중 수준에 도달할 것이다
+가공할 만한 집중력을 갖고 있었음에도 서머빌조차 특정한 주제에 대해서는 따로 공부할 시간을 냈다
+즉 단순히 자발적인 학습이 아니라 의식적인 습관이었다
+그리고 이런 면이 그녀의 수없는 성공을 이끌어냈다
+내 경우, 어떤 학습 활동들은 그 자체로 무척이나 흥미로워서 스트레스를 받지 않고 오랜 시간 그 일에 집중할 수 있다는 걸 깨달았다
+예를 들어 MIT 챌린지를 하는 동안 대개 강의를 시청하는 데는 문제가 없었다
+하지만 다른 일들은 꾸물대고 싶은 욕망을 넘어서기 위해 5분 규칙이 필요했다
+파일들을 스캔해서 업로드해야 하면 한 덩어리로 정리해놓고 나서야 그 일과 씨름할 수 있었다
+우리는 회피하거나 산만해지는 경향을 통제할 수 없지만 연습으로 그 영향을 줄일 수 있다
+이는 공부나 연습을 하려고 자리에 앉아 있는 동안 일어난다
+휴대전화가 울리고, 친구가 찾아오고, 택배 기사가 초인종을 울린다
+15분 동안 한 문장만 쳐다보고 있을 때도 있다
+어려운 공부를 진척시키고 싶다면 집중을 시작하는 것만큼 유지하는 게 중요하다
+몰입은 일이 너무 어렵거나 너무 쉬울 때 지루함과 좌절 사이에서 올바른 곳으로 미끄러져 들어가는 즐거운 상태다
+하지만 이 장밋빛 그림을 깎아내리는 사람들도 있다
+의도적 훈련은 실수를 보정하기 위한 분명한 목적과 피드백, 기회들을 점검해야 하는데 몰입이 지닌 특성들은 이에 부합하지 않는다
+내 생각에 울트라러닝을 하는 동안 몰입 상태가 불가능하지는 않다
+학습과 관계된 수많은 인지적 활동이 몰입이 가능한 ‘어려움’의 영역에 있다
+하지만 학습의 목적과 과정 자체가 종종 몰입이 불가능한 상황을 만든다는 에릭슨의 주장에도 나는 동의한다
+게다가 울트라러닝과 의도적 훈련 모두 자신이 택한 학습 방식을 의식적으로 계속 조율해나가야 하기 때문에 자신이 몰입 상태가 아님을 인식하고 있어야 한다
+프로그래밍 문제를 해결하면서 능력의 한계를 느끼고, 익숙지 않은 문체로 글을 쓰려고 애쓰고, 외국어를 배울 때 기존의 억양을 없애려고 노력하는 일은 지금까지 축적된 자동적인 패턴에 저항하는 것이다
+이렇듯 자연스럽게 몸에 밴 일에 저항하는 건 몰입 상태로 돌입하기 어렵게 만든다
+그것이 아무리 학습 목표를 달성하는 데 궁극적으로 이득이 된다고 해도 말이다
+쉽게 몰입 상태로 들어갈 수 있는 학습 과제들도 있다
+나는 MIT 챌린지, 새로운 언어 습득, 초상화 그리기 도전을 하는 동안 실행 문제를 겪으면서도 종종 몰입 상태를 느꼈다
+학습 향상은 대개 몰입이라는 이상적인 상황에 있을 때보다는 좌절하는 시기를 넘어서는 것과 관계가 있다
+지금의 어려움은 나중에 기술을 적용할 때 그 일을 훨씬 흥미롭게 해줄 것이다
+어떻게 집중해야 할지 고려했다면, 이제 집중의 지속 시간을 고려해야 한다
+즉 어느 정도의 시간 동안 집중적으로 공부해야 하는데 그전에 주의가 흐트러지고 집중력이 떨어질 수 있기 때문이다
+하지만 연구에 따르면 집중 시간이 길다고 해서 학습에 최적인 것은 아니다
+일반적으로 사람들은 어려운 공부를 할 때 계속 욱여넣기보다는 공부를 멈춘 순간에 더욱 잘 습득한다
+이 현상은 확실한 몰입 상태에서조차 어려운 기술이나 기억해야 할 지식을 배우는 사이사이 다른 일을 하는 게 오히려 적절함을 보여준다
+몇 시간 동안 공부를 했다면 그 한 가지에 극도로 집중하기보다는 몇 가지 주제들을 다루면서 쉬는 것이 더 나을 수도 있다
+하지만 학습 시간이 너무 많이 쪼개지면 결국 학습은 어려워진다
+어떤 주제에 관해 공부하는 데 적절한 길이는 한 시간에 50분이다
+궁극적으로는 집중력을 유지하는 데 최적인 방법, 자신의 일정과 성격과 작업 흐름을 고려해 가장 잘 돌아갈 방법을 찾아야 한다
+누군가의 생활에서는 20분 이하의 시간이 최적일 수 있다
+또 누군가는 하루 종일 공부하는 것을 선호할 수도 있다
+많은 사람이 음악을 들을 때 집중이 더 잘 된다고 말하는데, 사실은 해야 할 일을 하고 싶지 않아서 듣는 것이다
+음악은 낮은 수준의 산만함을 즐길 수 있게 해준다
+완벽한 상황에서 일하지 않는다고 나무라는 게 아니다
+자신이 일을 가장 잘할 수 있는 환경이 어떤 것인지 알고 시험해보라는 말이다
+울트라러닝은 짧은 시간에 그 과제에 온 정신을 집중해야 하기 때문이다
+그렇지 않으면 비효율적으로 학습하게 되는 나쁜 습관이 생길 뿐이다
+예를 들어 나는 동영상을 볼 때보다 글을 읽을 때 더 집중하기 어렵다
+하지만 집중하기 쉽다고 무작정 그 도구를 선택해서는 안 된다
+다행히도 이 법칙들은 일반적으로 함께 사용할 수 있는데, 실제로는 일부러 인식해서 해야 할 일이 적어서 집중을 유지하기 어려워 다소 효과가 적은 방법들이긴 하다
+때로는 집중력을 높이기 위해 지금 사용하는 방법을 조금 수정할 수도 있다
+나는 읽는 일이 싫어지면 종종 어려운 개념들을 공책에 정리해서 나 자신에게 설명해준다
+공책에 뭔가를 끼적이고 있으면 마음은 콩밭에 가 있는 상태에서 무의식적으로 자료를 읽어나갈 가능성이 줄어든다
+문제를 풀든, 뭔가를 만들든, 개념들을 큰 소리로 설명하든 정신적으로 처리하기 어려운 강도 높은 전략들을 취하면 산만함이 슬금슬금 기어들어 올 여지가 훨씬 줄어든다
+  정신 세 번째 원인은 우리의 정신이다
+부정적인 감정들, 들썩거림, 잡생각이 집중에 가장 큰 장애물이 될 수 있다
+첫째, 대부분의 학습 문제에서 가장 좋은 해결책은 깨끗하고 차분한 마음을 갖는 것이다
+마음이 화, 분노, 좌절, 슬픔으로 채워져 있으면 공부하기 힘들다
+인생에서 벌어지는 문제로 고통을 받고 있다면 공부는커녕 그 문제를 먼저 처리하는 데 신경 쓰게 된다
+좋지 않은 인간관계 속에 있다거나 다른 일 때문에 짜증이 나 있는 상태라거나 자신의 삶이 잘못된 방향으로 추락하고 있다는 생각은 학습 동기를 방해할 수 있다
+대개는 이런 문제들을 무시하지 않는 편이 최선이다
+하지만 자기 감정에 대해 할 수 있는 일이 아무것도 없거나 뭔가 조치를 취하고 싶은 마음이 들지 않을 때도 있다
+이런저런 걱정들이 부풀어 오르고 있지만 거기에 대처하느라 지금 당장 해야 하는 일을 그만두어서는 안 될 때도 있다
+물론 부정적인 감정들을 내버려두라는 건 말이 쉽지 어려운 일이다
+감정은 정신을 장악할 것이고 프로젝트로 신경을 돌려봤자 그리스 신화의 시시포스처럼 헛고생하는 기분만 들 것이다
+예를 들어 나는 무언가에 화가 나면 일에 관심을 돌려 환기시키려고 한다
+그렇게 하기 위해 15초 정도 가만히 있다가 일을 시작하는데, 때로는 감정이 쉽게 누그러들지 않아 한 시간 혹은 그 이상의 시간을 들여 일에 집중하기 위해 노력한다
+이때 부정적인 감정이 내가 일을 내팽개치고 싶을 정로 강한 반응을 촉발하게 하지 않는 일이 무척 중요하다
+그러면 나중에 비슷한 상황이 벌어져도 몰입해서 작업을 계속해나가는 능력이 강해지고, 점점 더 그렇게 하기가 쉬워진다
+이는 우리가 주의력을 어떻게 사용해야 하는지에 관한 문제다
+각성은 전반적으로 에너지가 넘치는 느낌 혹은 정신이 초롱초롱한 느낌이다
+잠자리에 들 때는 각성도가 낮고, 운동을 할 때는 각성도가 높다
+이런 신체적인 상태는 교감신경계의 활성화에 따른 것으로 대개 여러 가지 신체 반응이 동시에 일어난다
+심박수가 빨라지고, 혈압이 올라가고, 동공이 확장되고, 땀이 솟는다
+높은 각성 상태는 정신적으로 날카롭고 기민한 느낌을 만들어내는데, 종종 아주 좁은 곳에 초점을 맞춘다는 특징이 있다
+이는 상대적으로 단순한 일이나 작은 목표물에 집중력을 쏟아부어야 할 경우에 좋다
+다트를 던진다거나 야구공을 던지는 선수들처럼, 무척이나 간단하지만 집중력을 적절한 곳에 쏟아부어야 하는 과제에서 요구된다
+또한 어떤 특정한 지점에 계속해서 몰입하는 일은 쉬운 게 아니다
+커피에 지나치게 취하면 초조함을 느끼게 되고, 이런 상태는 일에 영향을 미친다
+이런 일은 집중 범위가 크고 분산되어 있기 때문이다
+이 방법은 문제를 풀 때 수많은 다른 발상들을 생각하고 외부의 정보를 받아들여야 하는 경우에 적절하다
+특히 창조적인 일을 할 때는 오히려 집중하지 않는 데서 이득을 얻을 수도 있다
+문제에서 떨어져 나와 있으면 우리의 의식은 이전에는 하지 못했던 가능성들을 결합시키고 새로운 발견을 할 수 있다
+그래서 일을 하는 동안이 아니라 잠이 들었거나 쉬는 동안에 ‘유레카’의 순간이 찾아오는 것이다
+하지만 무작정 게을러지는 게 창조성의 열쇠인 것은 아니다
+이런 방식이 통하는 경우는 대개 어떤 문제에 오랜 기간 집중해서 마음속에 그와 관련된 발상들이 잔류해 있을 때만이다
+아예 일하지 않는다면 창조적인 천재성을 끌어낼 수 없다
+휴식을 통해 어려운 문제를 신선한 관점으로 생각하는 것이다
+업무 복잡성과 각성 사이의 관계는 각성을 보정할 수 있다는 점에서 흥미롭다
+당연히 졸린 피험자들은 과제를 잘 수행하지 못했다
+하지만 커다란 소음을 들었을 때 졸린 피험자들은 수행 능력이 더 나아졌고 충분히 휴식한 피험자들의 수행 능력은 나빠졌다
+연구자들은 소음이 각성 수준을 올려서 낮은 각성 상태에 있던 피험자들에게 이득이 되었고, 휴식을 취한 피험자들에게는 지나치게 각성 상태를 끌어올려 수행 능력을 떨어뜨렸다고 결론 내렸다
+이는 이상적인 수준의 집중 상태를 유지하려면 각성 상태를 최적화해야 한다는 사실을 알려준다
+복잡한 업무는 낮은 각성 상태가 이득이 될 수 있는데, 다시 말해 수학 문제를 풀 때는 조용한 자기 방에서 하는 것이 바람직하다
+반면 단순한 일은 소음이 많은 환경에서 하는 편이 효율적이다
+즉 고도의 집중력을 요하는 일이 아니라 커피숍에서 일하는 게 괜찮다는 말이다
+이 실험은 우리의 집중력에 가장 도움이 되는 것이 무엇인지 스스로 시험해보고 알아내야 한다는 걸 알려준다
+자신이 시끄러운 커피숍에서 복잡한 업무를 더 잘 처리할 수 있는지, 아니면 간단한 과제조차도 조용한 도서관에서 해야 하는 사람인지 알아야 한다
+서머빌의 사례에서처럼 집중력은 공부할 시간조차 없이 바쁜 사람들에겐 매우 중요하다
+집중하는 능력은 연습을 통해 향상시킬 수 있다
+나는 집중력이 훈련 가능한 능력이라는 데는 불가지론적인 입장이다
+다만 기존에 자동적으로 하지 못하던 어떤 일에 훈련이 되었다면, 다른 일 역시 훈련으로 가능하다고 생각할 뿐이다
+한편 집중력을 높이는 일반적인 규칙 역시 존재한다
+30초는 곧 1분이 되고, 2분이 될 것이다
+시간이 흐르면 특정한 주제를 공부할 때마다 느꼈던 좌절이 흥미로 바뀔 것이다
+다른 곳에 정신을 팔고 싶은 충동은 거기에 저항하는 순간마다 약해진다
+인내심과 끈기를 가지면 고작 몇 분이 위대한 일을 이룰 수 있는 시간만큼 늘어날 것이다
+약 200년 전에 서머빌이 그랬던 것처럼 말이다
+여기서는 공부를 하는 동안 어떤 유형의 일을 해야 하는지, 배운 것을 활용하려면 어떤 일을 하지 말아야 하는지 설명할 것이다
+우리는 왜 시작하지 못하고 꾸물거리는가 많은 사람이 호소하는 첫 번째 문제는 ‘집중해서 시작하는 일’조차 못 한다는 것이다
+4년이 지나 학위로 무장한 그는 대공황 이후 최악의 구직 시장에 뛰어들었다
+경기가 좋다 해도 건축가로서 기반을 다지기가 힘든데, 그때가 2007년 경기가 무너지고 몇 년 되지 않은 시점이었기 때문이다
+누군가를 고용해야 한다고 해도 졸업 후 곧바로 직장을 구하지 못한 이들에게는 기회를 주지 않을 것이었다
+그의 졸업 동기 누구도 건축 분야에서 일자리를 찾지 못했다
+대부분은 포기하고 건축이 아닌 다른 일을 구했다
+공부를 더 하러 학교로 돌아가거나 경제적 폭풍이 잠잠해질 때까지 부모님 댁으로 간 이들도 있었다
+이력서를 수백 통 보냈지만 답신은 하나도 오지 않았다
+그는 회사 사무실에 직접 찾아가서 인사 담당자와 이야기를 나누고 싶다고 애원하는, 다소 공격적인 전략을 시도했다
+그러나 초대받지 않은 사무실 수십 곳을 방문하고 문을 두드린 지 몇 주가 지났지만 여전히 채용됐다는 소식은 들려오지 않았다
+심지어 단 한 통의 면접 전화도 오지 않았다
+문득 자이스월은 자신이 이렇게 분투하고 있는 이유가 경기 침체 말고 다른 데 있는 건 아닌지 미심쩍은 생각이 들었다
+한 조각, 한 조각씩 피드백을 받으면서 그동안 지원했던 회사들에 대해 정보를 모아보자, 자신이 썩 유용한 직원은 아니라는 것을 깨달았다
+그는 학교에서 건축을 전공했지만 들었던 과정들은 대부분 디자인이나 이론적인 과목이었다
+그는 크리에이티브 디자인 프로젝트들도 수행했는데 그것들은 건축 법규, 건축 비용, 까다로운 건축 설계 프로그램이 존재하는 현실과는 동떨어진 것이었다
+학교에서 했던 프로젝트들로 이뤄진 그의 포트폴리오는 건축가들이 일할 때 사용하는 세세한 기술적인 서류들과 비슷한 구석이 하나도 없었다
+아마도 회사들은 그를 고용하면 오랜 기간 연수를 시켜야 하고 현장에 당장 투입하기는 어렵다고 생각했을 것이다
+더 많이 이력서를 돌리고 더 많은 사무실을 찾아가는 건 소용없었다
+회사가 원하는 기술들을 자신이 보유하고 있음을 입증하는 새로운 포트폴리오를 만들어야 했다
+또 그가 일을 맡기기에 부담스럽지 않은, 바로 현장에 투입할 수 있는 인재이며 쓸모 있는 팀원임을 출근 첫날 보여줘야 했다
+그러려면 우선 실제 건축가들이 건물 설계안을 어떻게 그리는지 알아야 했다
+그는 건축 설계도로 많이 쓰이는 대형 종이를 출력하는 출력소에 일자리를 얻었다
+적은 급여에 기술도 거의 필요 없는 출력소 일은 그의 최종 목표가 아니었다
+하지만 그가 새 포트폴리오를 준비하는 동안 먹고살게 해주었다
+게다가 건축 사무실에서 사용하는 설계도면들을 매일 볼 수 있었다
+그는 그림들이 어떻게 합쳐지는지 세부적인 사항들을 끝없이 흡수했다
+그 프로그램을 완벽하게 익히면 원하는 자리를 얻을 수 있으리라는 확신이 들었다
+밤마다 그는 온라인 강좌를 듣고 혼자서 소프트웨어를 익혔다
+마침내 그는 출력소에서 일하는 동안 공부한 건축 설계도에 관한 지식과 새로 익힌 레빗으로 새로운 포트폴리오를 만들었다
+그는 대학에서 했던 다양한 프로젝트가 아니라 한 가지 건축물을 디자인하는 데 초점을 맞췄다
+옥상 뜰이 있고 현대적인 아름다움을 갖춘 세 개의 타워로 구성된 주거용 건축물이었다
+이 프로젝트를 하면서 소프트웨어를 다루는 기술은 더욱 좋아졌고, 온라인 강좌와 출력소에서 설계도를 보면서 익힌 것 이상의 새로운 기술과 발상을 습득할 수 있었다
+그렇게 몇 달이 지나 준비가 다 끝났다
+새로운 포트폴리오를 손에 들고 자이스월은 다시 한번 구직에 나섰다
+놀랍게도 두 곳 모두 즉시 그에게 일자리를 제안해왔다
+  잘하고 싶은, 바로 그 일을 하라 자이스월의 이야기는 울트라러닝의 세 번째 법칙을 완벽하게 보여준다
+건축이 실제로 어떻게 이뤄지는지 보고 자신이 원하는 자리와 밀접한 관계가 있는 기술들을 습득함으로써, 그는 별로 인상적이지 않은 포트폴리오를 제출하는 졸업생 무리를 뚫고 나갈 수 있었다
+직접 하기는 배우려는 기술을 실제로 사용할 환경과 상황에 가장 가까운 상태에서 학습하는 방식이다
+자이스월의 경우, 그는 회사가 자신을 고용하게 만들 건축학적 기술을 충분히 익히고자 했다
+그리하여 그 회사들에서 사용되는 소프트웨어와 디자인을 이용해서 그 회사의 스타일에 부합하는 건물을 설계한 포트폴리오를 만들었다
+독학에는 많은 방법이 있지만 대부분 직접 하기 방식을 취하지 않는다
+한 예로 내가 만난 어떤 건축가는 자이스월의 경우와 정반대였다
+그는 오히려 디자인 이론 지식을 깊이 있게 갖춤으로써 고용 가능성을 높였다
+이는 매우 흥미롭고 재밌게 들리지만, 그의 심화된 이론 지식은 그가 신입 직원으로 일하면서 활용하게 될 실제 기술들과는 동떨어진 것이었다
+자이스월이 대학 시절의 포트폴리오로 구직을 하느라 힘들었던 것처럼, 많은 사람이 자신의 경력과 성과를 담은 포트폴리오를 잘못 만들고 있다
+우리는 어떤 언어를 실제로 말하고 싶어서 언어 공부를 하지만, 대부분의 경우 사람들과 실제로 대화하기보다는 재미있는 앱이나 보고 즐기면서 배우려고 한다
+개방형 전문 프로그램을 가지고 일하고 싶어 하면서 대부분 혼자 스크립트나 해석한다
+연설을 능숙하게 하고 싶어 하지만 실제로 프레젠테이션을 하기보다는 커뮤니케이션에 관한 책을 산다
+원하는 뭔가를 직접 배우는 일은 불편하고, 지루하고, 좌절감을 느낄 수 있다
+로저 크레이그는 〈제퍼디!〉에 실제로 등장했던 질문들로 자가 테스트를 했다
+에릭 배런은 자신이 만들 비디오게임에 들어갈 아트워크를 직접 만들어봄으로써 비디오게임 아트를 배웠다
+베니 루이스는 여행 첫날부터 외국어로 대화를 시도함으로써 외국어들을 빠르게 습득하고 말했다
+이런 접근법들의 공통점은 그 기술의 맥락에서 공부해서 마침내 실제로 그 기술을 사용할 수 있게 되었다는 점이다
+이와 반대되는 대표적인 접근법은 학교 수업 방식이다
+사실과 개념, 기술에 관해 실제 그것들을 어떻게 적용할지는 배제한 채 공부하는 것이다
+어떤 법칙들에 대해, 그것을 이용해 풀어야 할 문제들을 채 이해하기도 전에 그저 달달 왼다
+그 외국어 어휘를 사용하고 싶어서가 아니라 목록에 있기 때문에 암기한다
+졸업하고 나면 다시는 보지도 않을 수준 높고 이상화된 수학 문제들을 푼다
+이런 간접 학습 방법들은 전통적인 교육에만 국한되는 것이 아니다
+많은 자기주도 학습자 역시 간접 학습의 덫에 걸린다
+겉보기에 이 앱에는 사람들이 좋아할 만한 부분이 많다
+알록달록하고 재미있으며, 잘 배워나가고 있다는 느낌도 준다
+하지만 나는 이 ‘잘 배우고 있다’는 느낌 대부분이 착각이라고 생각한다
+최소한의 목표가 그 언어로 말하게 되는 것이라면 말이다
+이 앱은 사용자에게 먼저 배우려는 외국어 단어와 문장을 제공하고 단어 은행에서 해석할 모국어 단어를 고르도록 한다(물론 듀오링고에도 직접적인 형태로 연습하기 위한 방법들이 있다
+문제는 이것이 실제 말하는 일과는 전혀 다르다는 점이다
+외국어를 쓸 때 우리는 먼저 모국어로 말하려는 문장을 생각한 후 이를 외국어로 번역한다
+또 실제 말하는 상황에서 사용 가능한 외국어 단어나 문장이 다양한 선택지로 제공되는 것도 아니다
+우리는 기억에서 필요한 단어를 들춰보거나, 사용하고 싶은 단어를 아직 배우지 못했다면 그와 비슷한 단어를 찾아야 한다
+이는 매우 제한적인 단어 은행에서 번역어에 들어맞는 단어를 고르는 것과 완전히 다른 과업이며, 훨씬 더 어려운 일이다
+시작 지점에서 말을 먼저 해보는 베니 루이스의 방식은 어려울지 모르지만 마침내는 원하는 그 일에 완전히 능숙해진다
+나는 MIT 챌린지를 하면서 그 수업들에서 다 합격하려면 녹화된 강좌를 볼 게 아니라 문제 풀이를 해야 한다는 걸 깨달았다
+이 프로젝트가 끝나고 몇 년이 지났지만 아직도 학생들은 어떤 강좌 동영상이 없다는 불평은 해도 문제가 덜 갖춰졌다거나 충분하지 않다는 불평은 거의 하지 않는다
+그들은 어떤 교과를 배울 때 강좌를 보거나 듣는 방식을 주로 택하고, 문제 풀이는 자신의 지식을 피상적으로 점검하는 의식일 뿐이라고 생각하는 듯하다
+학습 자원들을 전체적으로 훑어보는 것은 연습을 시작할 때 필수적이긴 하지만, 직접 문제를 푸는 것은 배운 내용을 실제로 활용할 수 있게 해준다
+직접 하기를 가장 쉽게 하는 방법은 그저 잘하고 싶은 그 일을 행하는 데 많은 시간을 들이는 것이다
+만일 비디오게임 만드는 법을 터득하고 싶다면 에릭 배런처럼 만들어보면 된다
+이런 학습법을 모든 프로젝트에 적용할 수 있는 건 아니다
+‘진짜’ 상황은 드물고, 어렵고, 심지어 만들어내기 불가능할 수도 있다
+따라서 실제와 다른 상황에서 공부할 수밖에 없다
+로저 크레이그의 경우 〈제퍼디!〉에 수백 번 출연해서 연습할 수는 없었다
+그는 자신이 다른 상황에서 학습하고 있으며, 때가 되면 그 지식을 쇼에서 보여줘야 한다는 걸 알았다
+이런 상황에서는 점차적으로 수행 능력을 발전시켜 나가는 게 직접 하기의 대안이다
+〈제퍼디!〉 이전 회차들에 나온 문제들을 학습하는 크레이그의 방식은 무작위로 주제를 선정해서 학습하는 것보다는 훨씬 더 효율적이다
+자이스월의 경우 입사하고 싶은 회사들이 그를 고용하지 않았기 때문에 건축 기술을 습득하는 데 유사한 한계가 있었다
+하지만 자이스월은 그 회사에서 사용하는 것과 똑같은 소프트웨어를 익히고, 실제 현장에서 사용되는 설계도면들과 유사한 포트폴리오를 만듦으로써 한계를 극복했다
+상황을 모방해서 학습하는 직접 하기 방식이 때로 쉬운 연습에는 적절하지 않을 수 있다
+또한 처음부터 직접 하기로 공부한다 해도 강의 동영상을 보거나 앱으로 배우는 것보다는 강도도 높고 불편하다
+때문에 직접 하기 방식에 주의를 기울이지 않는다면 슬그머니 형편없는 학습 전략을 취하게 되기 쉽다
+자이스월의 이야기에서 우리가 귀 기울여야 할 내용은 그의 자기주도 학습 방식이 일궈낸 성과가 아니라 공식적인 교육의 실패다
+그가 처한 어려움은 대학에서 4년간 강도 높은 건축 공부를 한 뒤에 시작되었다
+이는 우리가 어떤 맥락에서(예를 들면 교실에서) 뭔가를 배우고 나서 그것을 다른 맥락에서(현실 생활에서) 사용할 때 일어나는 일이다
+기술적으로 들리기는 하지만 학습전이는 우리가 대부분 공부할 때 기대하는 일이다
+하지만 불행하게도, 100여 년 이상의 강도 높은 작업과 조사에도 불구하고 공교육에서는 대부분 학습전이가 일어나지 않는다
+예를 들면 고교 시절 잠시 맛본 심리학 입문 이론이 대학 심리학 입문 과정에서 적용되기를 바란다
+하지만 고교 시절 심리학 입문 과정을 들은 학생이 심리학과에 들어가서 고교 시절 심리학을 수강하지 않았던 학생보다 더 나을 바가 없다는 것은 수년 동안 익히 알려진 사실이다
+사실 학습전이 실패에 관한 인식은 학습전이 문제 연구만큼이나 역사가 오래되었다
+이 이론은 뇌가 근육과 유사하며 기억, 주의력, 추론과 관련해 상당히 일반적인 능력들을 담고 있어 이런 근육들을 훈련으로 증진시킬 수 있다는 것이다
+이는 학생들이 더 나은 생각을 할 수 있도록 돕는다는, 라틴어와 기하학의 보편적인 지도 방식에 깔린 지배적인 이론이었다
+손다이크는 학습전이가 흔히 생각하는 것보다 훨씬 협소하게 이뤄진다는 사실을 보여줌으로써 이 개념에 반박했다
+라틴어 공부의 인기가 사그라들면서 많은 교육 전문가가 형식도야 이론의 화신들을 부활시켰다
+누구나 프로그래밍이나 비판적 사고를 배우면 일반적인 지력을 증진시킬 수 있다는 것이었다
+인기 있는 수많은 두뇌 훈련 게임 역시 인지적 과제들을 훈련하면 일상적인 추론 능력이 확장된다는 추정을 기반으로 한다
+학습전이 과정에 관한 판결이 나온 지 100년이 넘었지만 아직도 학습전이의 매력은 여전히 성배를 찾고 있는 중이다
+이 모든 사실에도 상황이 완전히 절망적이지는 않다
+경험적 작업과 교육기관들은 유의미한 학습전이의 증거를 보여주는 데 실패했지만 학습전이가 존재하지 않는다는 예는 없다
+비유를 이용할 때마다, 즉 어떤 대상이 다른 어떤 대상과 유사하다고 말할 때마다 우리는 지식에 관한 학습전이를 하고 있는 것이다
+아이스스케이트 타는 법을 알고 있는 상태에서 롤러스케이트를 배운다면 기술에 대한 학습전이를 하고 있는 것이다
+해스컬의 지적처럼 학습전이가 정말로 불가능하다면 우리는 제 기능을 하지 못할 것이다
+우리가 어떤 분야에서 지식과 기술을 더 많이 개발할수록 그것들을 학습했던 좁은 맥락을 벗어났을 때 훨씬 더 유연하고 쉽게 적용할 수 있다
+여기서 학습전이 문제에 관해 내가 생각한 가설 하나를 더 추가하고 싶다
+나는 대부분의 공식적인 학습이 간접적이기 때문에 학습전이가 일어나지 않는다고 생각한다
+우선 우리가 결과적으로 그 기술을 적용하려는 분야에서 직접 배운다면 여기에서 저기로 학습전이를 할 필요가 줄어든다
+서로 다른 맥락과 상황에서 배운 것들은 학습전이를 유발하지 못한다는 관점을 진지하게 받아들여야 한다
+해스컬이 제안하듯이 “어떤 장소나 소재에 딱 달라붙어” 공부하면 그 상황은 우리가 나중에 그 기술을 사용할 상황에 더욱 가까워지기 쉽다
+두 번째로, 나는 직접 하기 방식에는 학습전이가 그다지 필요하지 않지만 그럼에도 이 방식이 배우고 익힌 것들을 새로운 상황에 전이시키는 걸 돕는다고 본다
+현실 세계에서 벌어지는 많은 상황을 살펴보면 세부적으로는 비슷비슷한 일이 제법 있다
+이것들은 절대로 수업이나 교과서의 추상적인 배경지식과는 겹치지 않는다
+새로운 것을 배우는 일은 서로 관련 있는 성문화된 지식들만 아니라 그 지식들이 현실과 상호작용하는 세부적인 방식들에도 달려 있다
+교실이라는 인위적인 환경이 아니라 구체적이고 현실적인 맥락에서 학습하면 실제로 벌어지는 새로운 상황에 전이하기 쉬운, 숨겨진 기술과 지식들을 배우게 된다
+개인적으로 내가 영어 사용하지 않기 프로젝트를 하면서 발견한 가장 중요한 기술 하나는 휴대전화 번역 앱이나 사전을 빠르게 사용하는 일이었다
+덕분에 나는 대화 도중에 내 언어 지식의 틈을 메울 수 있었다
+이것은 언어학습 교과과정에 드물게 깔린 실용적인 기술이다
+사소한 예지만 현실의 상황들에는 학교에서 배운 내용을 현실 세계에 적용할 때 필요한 기술과 지식들이 수천 가지 있다
+교육의 성배가 발견될지 아닐지를 결정하는 건 연구자들의 몫이다
+그전까지 학습자로서 우리는 초기의 배움이 종종 그 학습 상황에 고착된다는 사실을 받아들여야 한다
+학교에서 알고리즘을 배운 프로그래머는 나중에 직접 코드를 짤 때 그 알고리즘을 언제 사용해야 할지 어려워한다
+경영 서적으로 새로운 경영 철학을 배운 리더는 결국 직원들에게 늘 하던 방식으로 지시하고 그전과 똑같이 일할 것이다
+친구들에게 나는 그동안 배운 것들이 도박을 즐기는 데 방해가 되진 않느냐고 물었다
+그 상황이 재미있었던 이유는 그들이 보험계리사들이었기 때문이다
+그들이 몇 년 동안 배운 통계학에서는 우리가 절대 도박장을 이길 수 없다고 말해왔을 텐데, 당시에는 딱히 그 내용을 떠올리고 있는 것 같아 보이지 않았다
+새로운 것을 배울 때는 그 내용을 앞으로 사용할 맥락과 직접적으로 연결해서 정진해야 한다
+현장에서부터 시작해서 외부를 향해 지식을 쌓아나가는 편이 전통적인 학습 전략과 학습전이에 대한 희망을 가지는 것보다는 낫다
+가장 공부가 잘되는 시간에 하고 싶은 공부를 할 수 있다면 직접 하기의 문제는 날아가 버린다
+하지만 그렇게 할 수 없다면 자신의 기술을 시험해보는 프로젝트를 만들어보거나 환경을 조성해야 한다
+여기서 가장 중요한 것은 우리가 습득하려는 기술의 인지적 특성들과 그것을 실행하는 방식이 상당히 유사하다는 점이다
+실제로 나왔던 질문들을 활용하는 건 그가 만든 프로그램 배경색을 그 쇼의 무대 배경색인 푸른색으로 하는 일보다 훨씬 더 중요하다
+배경색에는 문제에 대한 그의 반응을 바꿀 어떤 정보도 담겨 있지 않으며 그가 연습한 기술이 그 배경색 때문에 바뀌지도 않는다
+당신이 학습으로 얻어낼 것이 실용적인 기술이 아닐 수도 있다
+내가 만난 많은 울트라러너의 최종적인 목표는 특정한 주제를 잘 이해하는 것이었다
+나 역시 MIT 챌린지를 통해 앱이나 비디오게임을 만들겠다는 보다 실용적인 목적이 아니라 컴퓨터공학을 깊이 이해하고 싶었다
+이런 학습에서는 직접 하기 방식이 그다지 중요하지 않아 보이지만 그렇지 않다
+보다 분명하거나 실제적인 부분이 덜한 것은 사실이지만 말이다
+마이니의 경우 기계 학습을 활용하는 회사에서 비기술직으로 자리 잡을 만큼 그 분야에 관해 지적으로 생각하고 말할 수 있기를 바랐다
+자신의 생각을 분명하게 표현하고, 그 개념들을 명확하게 이해하고, 관련 지식에 정통한 사람들과 비전문가들과 함께 논의할 수 있는 수준으로 향상되기를 원했다
+따라서 그의 목표는 기계 학습의 기초를 더욱 적절하게 다져주는 단기 강좌를 듣는 것이 되었다
+이 학습은 그가 해당 기술을 적용하려는 부분, 즉 다른 사람들과 기계 학습에 관해 소통하는 것과 직접적인 관련이 있었다
+학습전이에 관한 연구 결과들이 꽤나 절망적이긴 해도, 어떤 주제를 깊이 알면 그것이 미래의 학습전이를 보다 유연하게 해주리라는 희망 한 줄기는 남아 있다
+우리의 지식 구조가 불안정한 곳에서 세워졌어도 관련된 환경이나 맥락에 딱 달라붙어 더 많이 공부하고 시간을 들이면 융통성 있게 널리 활용할 수 있다
+새로운 학습자들에게는 그 문제에 관한 단기적인 해결책이 없다고 해도, 어떤 주제를 완전히 습득할 때까지 계속 공부하는 사람들에게는 한 가지 경로가 있다
+어떤 특화된 분야를 전문적으로 익힌 울트라러너들은 학습전이에도 통달한 사람들인데, 이는 대부분 깊은 지식에서 비롯된 것이다
+깊이 있는 지식은 성취를 보다 쉽게 해준다
+앞서 메타 학습과 관련해 언급했던 댄 에버렛이 대표적인 사례다
+그의 깊이 있는 언어 지식은 공식적으로 언어를 배운 사람들보다 상대적으로 새로운 언어를 배우기 쉽게 해주었다
+직접 학습은 책을 읽거나 앉아서 강의를 듣는 것보다 좌절하기 쉽고, 도전적인 일이며, 강도가 높다
+하지만 이런 극도의 어려움이 울트라러닝 지망생들에게는 경쟁적인 이점을 주는 강력한 원천이 되기도 한다
+당신도 어려움을 감수하고 기꺼이 직접 학습을 이용한다면 훨씬 효율적으로 원하는 지식이나 기술을 습득할 것이다
+이제 울트라러너들이 직접 하기 법칙을 극대화해서 전형적인 학교교육에서는 부족했던 이점을 취한 전략을 몇 가지 살펴보겠다
+뭔가를 만들어내기 위해 공부할 계획이라면 최소한 그것을 만들어낼 수 있어야 한다고 생각하기 때문이다
+수업을 듣는다면 목표에 다가가기보다 메모를 하고 글을 읽느라 많은 시간을 보낼 것이다
+컴퓨터 게임을 만듦으로써 프로그램 짜는 법을 배우는 건 프로젝트 기반 학습의 완벽한 본보기다
+엔지니어링, 디자인, 예술, 작곡, 목공, 글쓰기 등 수많은 기술들은 자연스럽게 뭔가를 만들어내는 프로젝트로 마무리된다
+지능과 관련된 분야 역시 프로젝트 기반의 학습을 할 수 있다
+내가 만난 울트라러너 한 사람은 군사 역사를 배우는 것을 목표로 프로젝트를 진행하고 있었는데, 그 프로젝트는 논문을 작성하는 것이었다
+그의 최종 목표는 군사 역사에 관해 지적인 대화를 나누는 것이었고, 논문을 작성하는 건 단순히 많은 책을 읽는 것보다는 더욱 직접적인 학습이다
+이는 그 기술을 이용할 상황에 자신을 노출시켜서 일반적인 학습 방식보다 훨씬 더 많은 연습을 하게 된다는 이점이 있다
+언어를 배우는 일은 고전적으로 담금형 학습이 잘 작동하는 사례다
+그 언어가 발화되는 환경 속에 뛰어들면 결과적으로 그 어떤 상황보다 해당 언어를 더 많이 연습하게 되고, 새로운 단어와 문장을 배워야 하는 다양한 상황들을 마주치게 된다
+하지만 언어 학습만이 담금형 방식을 적용할 수 있는 건 아니다
+학습과 관계된 커뮤니티에 들어가는 것도 유사한 효과를 낼 수 있다
+이런 환경이 새로운 발상과 도전들을 지속적으로 접할 수 있게 해주기 때문이다
+가령 초보 프로그래머들은 코딩에 관한 새로운 도전을 하고자 공개 프로젝트에 참가할 수도 있다
+  모의 비행 방식 담금형 학습과 프로젝트는 무척 좋은 방법이지만 현실적으로 많은 기술의 경우 직접 연습할 방법이 없다
+비행기 조종이나 외과 수술 집도 같은 기술들은 이미 상당한 시간의 훈련을 받았다 할지라도 실제 상황에서 연습하는 것이 법적으로 허용되지 않는다
+학습전이는 인지적 특성, 다시 말해 무엇을 할지 결정할 필요가 있는 상황들과 머릿속에 저장되어 있는 단서적 지식들과 관련된 것이다
+이는 직접 연습이 불가능해서 가상으로 시뮬레이션 할 때, 문제가 되는 작업의 인지적 요소를 중심으로 연습해야 한다는 말이다
+가령 비행기 조종은 조종사들이 내려야 할 결정을 배우고 식별 능력을 키워야 한다
+따라서 비행 시뮬레이터에서 연습하는 것이 실제 비행기를 조종하는 것만큼이나 적절할 수 있다
+더 멋진 그래픽이나 음향이 중요한 게 아니다
+특정한 기술(지식)을 사용할 때 조종사들이 알아야 할 정보나 내려야 하는 결정들의 본질을 바꾸는 것이 아닌 한 말이다
+다양한 학습 방식들을 평가해보면, 직접 하기 방식을 시뮬레이션하는 것이 학습전이를 더 잘 일으킨다
+따라서 프랑스로 여행을 가기 전에 프랑스어를 배우려면 낱말 카드를 넘기는 것보다 스카이프를 통해 공부하는 편이 학습전이가 (완벽하지는 않다 해도) 더 잘 일어날 것이다
+그럼으로써 목표를 달성하는 데 필요한 기술 수준에 도달할 수 있다
+트리스탄 드 몽테벨로는 대중 연설 세계 챔피언십에 나갈 준비를 할 때 중학교에서 연설을 했다
+그가 보기에 토스트마스터 클럽의 피드백은 자신의 연설에서 무엇이 장점이고 무엇이 문제인지 딱 잘라 말하기에는 너무 온건하거나 너무 격려하는 내용이었다
+그의 농담이 재미없거나 연설이 지루하다면 아이들의 얼굴에서 즉시 알아차릴 수 있을 것이었다
+이런 과다 학습법은 극도로 까다로운 기준이 요구되는 환경에 처하게 만들어 중요한 피드백을 놓치지 않게 한다
+이 방식이 너무 강도 높게 느껴질 수 있다
+어쩌면 당신은 지금껏 가까스로 배운 그 언어로 대화하기에는 아직 준비가 덜 되었다고 느끼고 있을지도 모른다
+무대 위에 올라가서 연설을 하다가 외운 것을 잊어버릴까 봐 걱정스러울지도 모른다
+애플리케이션을 곧장 프로그래밍하는 것보다는, 누군가가 코딩하는 법을 촬영한 동영상이나 보고 싶을지도 모른다
+동기만 충분하다면 점점 더 이 방법을 밀어붙이기가 쉬워진다
+내가 언어 학습 프로젝트를 하는 동안, 새로운 나라에 갈 때마다 첫 주는 격동의 한 주였지만 곧 새로운 언어 환경에서 온전히 살아갈 수 있었다
+어떤 프로젝트에 과다 학습법을 적용하는 방법 한 가지는 당신 자신에게 필요한 수준 이상의 시험이나 과제에 도전하는 걸 목표로 삼는 것이다
+베니 루이스는 어학 시험을 보는 것을 좋아했는데, 그것이 구체적인 도전이 되기 때문이다
+그는 독일어 프로젝트에서 가장 상급 수준의 시험을 보는 걸 목표로 했다
+그 목표가 편안하게 대화하는 것 이상의 학습을 하도록 자신을 몰아붙이리라고 생각했기 때문이다
+내 친구 하나는 기술과 재능을 끌어올리기 위해 사진 전시회를 열기로 했다
+자신의 작업을 눈에 보이는 형태로 공개하겠다고 결정하면, 배운 지식 한 무더기를 단순히 점검하는 것이 아니라 학습에 접근하는 태도를 바꾸고 원하는 범위에서 활동할 수 있는 준비를 갖추게 해준다
+그렇게 하고 있지 않다면 학습전이 문제가 고개를 쳐들었을 때 조심스럽게 발을 디뎌야 한다
+하지만 직접 학습 방식은 잘 습득하는 방법에 관한 반쪽짜리 대답이다
+그 기술을 사용하려는 환경에서 직접 연습하는 것은 시발점으로서 중요하다
+하지만 기술을 빠르게 숙련하려면 연습량만으로는 충분치 않다
+잘하고 싶은, 바로 그 일을 하라 자이스월의 이야기는 울트라러닝의 세 번째 법칙을 완벽하게 보여준다
+형의 인쇄소에서 도제로 일하던 마지막 해에, 그는 그곳에서 벗어나기 위해 보스턴에서 도망쳐 필라델피아로 갔다
+빈털터리에 무명이었던 프랭클린은 처음에는 인쇄소에서 일하다가 자신의 인쇄소를 세우기에 이르렀다
+그리고 그가 쓴 《벤저민 프랭클린, 가난한 리처드의 달력》이 세계적인 베스트셀러가 되었고, 그는 마흔두 살에 직업 전선에서 물러났다
+하지만 그의 저작 활동은 이후에도 꾸준히 이어져 전 세계 사람들을 변화시켰다
+그는 우주에 관한 거대 이론보다 과학을 실용적으로 사용하는 데 더 관심이 있었다
+영국의 화학자 험프리 데이비 경은 프랭클린의 글에 대해 “철학자들뿐만 아니라 대중들까지 아우르는 내용이었다
+프랭클린은 사람들이 즐겁게 읽을 수 있도록 명쾌하고도 구체적인 내용을 그렸다.”고 말했다
+프랭클린의 이런 작가적 재능은 그의 실용적인 사고방식과 결합해 세계적인 돌풍을 일으켰다
+정치에서도 프랭클린은 글쓰기 재능으로 협력자를 얻고 잠재적인 적수들을 설득했다
+이 논설에서 그는 독일에 기원을 둔 브리티시섬의 초기 정착자들 때문에 프로이센 왕이 “세입은 영국 안에서 언급된 식민지들에서 인상돼야 한다.”라고 말하는 내용을 통해 영국-미국 연합에 관해 풍자했다
+나중에는 미국의 독립선언서에도 그의 글이 들어가기에 이른다
+그 글은 토머스 제퍼슨의 글을 편집한 것으로 바로 ‘우리는 이를 자명한 진실로 여긴다’라는 문장이다
+《벤저민 프랭클린 자서전》에서 그는 소년 시절 글쓰기 연습을 위해 작문 기술을 부분별로 잘게 쪼개는 데서 시작했다고 자세하게 묘사했다
+이에 그는 설득력을 향상시키기로 결심하고 글쓰기 기술을 연습하기 시작했다
+그의 연습 방법 한 가지는 자신이 좋아하던 잡지 《스펙테이터》Spectator에 나온 기사들을 기록해보는 것이었다
+그러고 나서 몇 주 동안 그 기록을 잊고 있다가 다시 돌아가서 머릿속으로 당초의 논쟁을 재구성했다
+다 끝나면 원래의 기사와 자신이 쓴 기사를 비교하고 실수를 발견하면 수정했다
+그러다 자신의 어휘가 제한적이라는 것을 깨닫고서는 다른 전략을 개발했다
+그는 단어들을 길이나 리듬이 서로 맞는 유의어로 바꾸었다
+그리고 산문의 수사적인 흐름을 익히는 데는 모방 방식을 다시 사용했는데, 이때는 단서들을 뒤섞었다가 그 발상들을 정확한 순서대로 배열해 다시 쓰는 연습을 했다
+글쓰기 시스템이 다소 세워지자 그는 조금 더 어려운 일인 설득하는 글쓰기로 넘어갔다
+언젠가 그는 영어 문법책을 읽으면서 소크라테스식 문답법 개념을 접한 적이 있었다
+이는 상대방의 의견을 직접 반박하는 것이 아니라 캐물음으로써 도전하는 방식이다
+그는 “변변찮은 질문자이자 의심꾼”이 되기보다는 “갑작스러운 반박과 긍정적인 논쟁”을 조심스럽게 피하는 데 초점을 맞춰 그 작업을 해나갔다
+열여섯 살에 그는 자신의 작품을 출판하고 싶어졌다
+형은 진짜 지은이가 누구인지 모른 채 그 원고를 출판해주었고, 프랭클린은 다시 글을 쓰기 시작했다
+자신의 글을 공정하게 평가받으려고 꼼수를 썼지만 다른 인물로 가장한 것은 훗날의 경력에 큰 도움이 되었다
+그의 저작 중 《벤저민 프랭클린, 가난한 리처드의 달력》은 그가 리처드 손더스라는 이름으로 1732년부터 25년간 발행한 달력이었다
+〈프로이센 왕의 칙령〉 역시 정치적 관점을 상상으로 풀어가는 유연성이 발휘되어 있다
+그리고 그를 특별하게 만들어준 것은 쓴 글의 양이나 타고난 재능이 아니라 그가 연습한 방식에 있었다
+그는 글쓰기 기술을 잘게 쪼개고 그 요소들을 각각 독립적으로 연습하는 방식으로 어린 시절부터 글쓰기를 연습했고, 이 방식은 훗날 다른 수많은 작업에도 적용되었다
+이런 주의 깊은 분석과 계획된 연습은 울트라러닝의 네 번째 법칙의 토대가 된다
+화학 반응은 여러 단계로 일어나는데, 그중 한 가지 반응에서 나온 부산물들이 나머지 단계들의 시약이 된다
+율속 단계는 이런 연쇄적인 반응들 중 가장 느린 반응이 병목 현상을 유발하면서 궁극적으로 전체 반응이 일어나는 데 필요한 시간을 결정한다
+학습도 이와 비슷하게 병목 현상이 일어나는 구간이 존재한다
+그리고 이 구간이 전반적인 숙련 속도를 관장한다
+수학은 다양한 단계와 요소가 포함된 복잡한 기술이다
+기초 개념들을 이해하고 특정 유형의 문제를 푸는 알고리즘을 기억해서 그것이 어떤 맥락에 적용되는지 이해해야 한다
+이런 능력의 기저에는 문제를 풀 수 있는 산술과 대수학 능력이 존재한다
+산술 능력이 약하거나 대수학 능력이 엉성하면 다른 개념들을 완벽히 숙지하고 있다고 해도 잘못된 답을 얻는다
+또 다른 예로 외국어를 배울 때 어휘를 들 수 있다
+성공적으로 말할 수 있는 문장의 수는 알고 있는 단어의 수에 달려 있다
+아는 단어가 적으면 많은 것에 대해 말할 수가 없다
+우리의 머릿속에 어느 날 갑자기 새로운 단어를 수백 개 집어넣을 수 있다면 발음, 문법, 기타 언어적 지식이 변하지 않은 상태에서도 유창하게 말하는 능력이 극적으로 확장될 것이다
+자신의 학습 반응 속도에서 율속 단계가 어디인지 확인함으로써 그 부분을 따로 떼어내 집중적으로 학습하는 것이다
+기술의 전체적인 숙련도를 지배하는 그 부분을 증진시키면 해당 기술의 모든 측면을 동시에 연습하는 것보다 훨씬 빠르게 발전할 수 있다
+프랭클린 역시 이런 방법으로 빠르게 글쓰기 실력을 향상시켰다
+글쓰기라는 큰 기술을 요소별로 나누고, 자신에게 중요한 부분을 집어내고, 그 부분을 강조해 연습하는 영리한 방식을 창안해, 단순히 글쓰기 연습을 많이 하는 것보다 단기간에 빨리 잘 쓸 수 있게 된 것이다
+  인지 부하를 예방하는 특화 학습 학습에서 율속 단계, 다시 말해 기술을 구성하는 어떤 한 가지 요소가 전체 수행 능력을 결정한다는 생각은 특화 학습을 해야 할 강력한 이유가 된다
+하지만 성과를 방해하는 측면이 따로 존재하지 않는 기술이라 해도 특화 학습을 적용할 수 있다
+프랭클린은 글을 쓸 때 글의 논리적인 부분뿐만 아니라 단어 선택, 수사학적 방식도 고려해야 했다
+어떤 한 측면에만 에너지를 쏟아부으면 다른 측면들이 무너질 수 있기 때문이다
+이때 전체적으로 능력이 얼마나 향상되었는지 확인해본다면 점점 발전이 느려지고 있는 것을 발견할지도 모른다
+특정한 부분에서는 나아지고 있지만 전체적으로는 나빠지고 있어서다
+특화 학습은 우리의 인지 자원들을 어떤 한 측면에 집중해서 사용하도록 기술을 단순화함으로써 이 문제를 해결한다
+당시 그는 단어 사용, 문법, 논쟁 내용에 신경 쓰지 않고 좋은 논설을 만드는 개념들의 시퀀스를 생각하는 데 집중했다
+영리한 독자들은 이 법칙과 나머지 법칙들이 팽팽히 대립한다는 사실을 알아차렸을 것이다
+직접 하기 방식은 어떤 기술이 사용되는 환경과 근접한 환경에서 전체적인 기술을 연습하는 것인데, 특화 학습은 이와 정반대 방향에 있다
+특화 학습은 직접 연습 방식을 취하고, 그것을 부분으로 쪼갠다
+따라서 우리는 하나의 요소만 따로 떼어 연습하게 된다
+많은 사람이 부분적인 기술들을 충분히 개발하면 학습전이가 일어나리는 희망을 품고 직접적인 맥락을 무시하거나 그 차이를 도외시한다
+이와 반대로 울트라러너들은 ‘직접 학습 다음에 특화 학습’이라고 부르는 전략을 이용한다
+첫 단계는 그 기술을 직접적으로 연습하는 것이다
+그 기술을 사용할 곳이 어디인지, 어떻게 사용할 것인지를 이해하고 그 기술을 실현할 환경과 비슷한 환경에서 연습한다
+이 같이 초기에 관련성 있는 일을 하고 피드백 순환 고리를 만들면 학습전이 문제가 일어나지 않는다
+마지막 단계는 직접 학습으로 되돌아가서 지금까지 배운 것들을 통합하는 것이다
+먼저 제아무리 잘 설계된 특화 학습일지라도 이전에 따로 떼어낸 기술들을 보다 복잡하고 새로운 맥락으로 옮겨야 하기 때문에 학습전이 문제가 튀어나온다
+이 단계의 두 번째 기능은 우리의 특화 학습이 적절히 조직되었는지 점검하는 것이다
+특화 학습은 대개 실패로 끝날 수 있는데, 실행 시 어려운 부분만을 떼어내 특화 학습을 하기가 어렵기 때문이다
+여기서의 피드백은 우리의 최종 목표와 관련해 중요하지 않은 것들을 배우느라 시간을 낭비하지 않도록 도와준다
+학습 과정 초기일수록 이 주기는 더 빨리 일어난다
+직접 학습과 특화 학습을 주기적으로 반복하는 것은 막 시작했을 때 좋다
+심지어 같은 단계에서도 조금이라도 더 빨리하는 것이 좋다
+학습 진도가 나갈수록, 전체적인 결과가 눈에 띄게 향상되려면 더 많이 노력해야 하고 특화 학습을 하면서 더 멀리 돌아간다는 걸 알게 된다
+점점 더 시간을 들여 특화 학습에 집중력 대부분을 쏟아야만 하고 그러다 보면 복잡한 기술들을 더욱 적절하게 쪼개는 방법을 알게 된다
+그리고 이 능력은 더욱 향상되고 각 부분들은 점점 더 어려워질 것이다
+첫 번째 문제는 언제, 무엇을 특화 학습할지 알아내는 것이다
+이는 당신이 알고 있는 지식을 실제 상황에 적용하는 데 방해가 된다
+언어를 배울 때 발음이 부정확하다면 제아무리 올바른 단어를 안다고 해도 언어 능력이 떨어질 것이다
+동시에 여러 측면에 인지 자원들을 충분히 쏟아부을 수 없기 때문이다
+조사한 내용, 이야기, 어휘를 효율적으로 조직해야 하는데 글을 쓸 때는 이런 수많은 측면을 동시에 다뤄야 할 뿐 아니라 그중 어느 하나가 훨씬 낫기란 어렵다
+어느 부분을 특화할지 결정하기는 까다로운 일 같지만 꼭 그렇지만도 않다
+방해꾼이 무엇인지 추적하고, ‘직접 학습 다음에 특화 학습’을 이용해 특화 학습으로 공략하고, 그것이 올바른 선택이었는지 잽싸게 점검한다
+두 번째 문제는 실력을 향상시킬 특화 학습을 설계하는 것이다
+자신이 어느 부분에 취약한지 알고 있다고 해도, 실제 실행할 때 어려운 요소를 제거하지 않은 채 그 요소를 특화해 학습하는 전략을 짜기가 어렵기 때문이다
+프랭클린이 행한 특화 학습은 일반적인 것이 아니다
+우리 대부분은 자신의 글쓰기 능력에서 어떤 부분이 부족한지 알고 있어도 논쟁을 설득력 있게 조직하는 것이나 성공적인 작법을 따라 하는 것 같은 하위 기술들을 특화 학습할 방법을 모른다
+자신의 성취를 가로막는 가장 취약한 부분이 무엇인지 알아내고, 그것을 따로 떼어내어 연습하는 것은 꺼려지는 일이다
+시간 쪼개기 특화 학습을 하는 가장 쉬운 방법은 행위 시퀀스에서 한 조각을 떼어내는 것이다
+곡의 어떤 소절에서 가장 어려운 마디를 찾아내고, 그 마디별로 연습하고, 그 부분들을 완벽하게 연주하게 되면 전체 곡에 합치는 것이다
+운동선수들도 이와 유사한 과정을 거치는데, 전체 운동 시간에서 부분적인 기술들을 집중 훈련할 시간을 마련한다
+예를 들면 레이업 슛이나 승부차기를 따로 시간 내어 연습하는 것이다
+새로운 언어를 공부할 때 나는 초기 단계에서 몇 가지 핵심 문장들을 강박적으로 반복하곤 했다
+인지 요소 거르기 때로 우리가 연습하려는 기술이 보다 큰 단위의 기술이라서가 아니라 특정한 인지 요소라서 시간별로 쪼갤 수 없을 때도 있다
+언어를 말할 때 문법, 발음, 어휘는 모든 순간에 일어나는데, 이 요소들은 각기 다른 인지적 측면들을 이루고 있어서 동시에 관리해야 한다
+이처럼 서로 다른 요소들이 동시에 일어날 때 한 가지 요소만 파고드는 방식을 찾아야 한다
+만다린어 공부를 할 때 나는 서로 억양이 다른 단어들을 짝지어 발음하고, 그것을 녹음하는 억양 특화 학습을 했다
+이렇게 함으로써 그 단어의 의미나 문법적으로 정확한 문장을 만드는 방법을 생각하느라 정신 팔지 않고 서로 다른 억양을 빠르게 발음하는 연습을 했다
+흉내 내기 특화 학습이 어려운 이유는 어떤 기술은 다른 측면들을 공부하지 않은 상태에서 어떤 한 측면만을 따로 연습하기가 불가능한 경우가 있기 때문이다
+예를 들어 프랭클린이 논점을 논리적으로 배열하는 능력을 향상시킬 때 전체 논설을 작성하지 않고 그 일을 하기란 불가능했다
+이 문제를 푸는 데는 프랭클린에게 배울 부분이 있다
+그는 공부하는 기술에서 파고들고 싶지 않은 부분은 흉내를 냄으로써(타인이나 자신의 과거 작업을 따라 할 수 있다) 다른 부분에 집중력을 쏟아부었다
+이는 시간을 많이 절약해줄 뿐만 아니라 우리가 파고 있는 그 부분만을 반복하게 해주어 인지 부하를 줄인다
+이 말은 특정 측면에만 집중력을 활용해서 잘할 수 있게 된다는 의미다
+그림 그리기 프로젝트를 할 때 나는 사진이 아니라 다른 사람들이 그린 그림에서 시작했다
+그렇게 함으로써 그 장면에 포함된 세부적인 모습들과 장면의 뼈대를 잡는 방법을 단순화하여, 사진을 선으로 적절하게 그리는 데 집중할 수 있었다
+창조적 작업의 경우 자신이 과거에 만든 작업물을 편집하는 것도 같은 효과를 낸다
+원본의 구성 요소들에 필요한 것들을 고려하지 않고, 선별적으로 어떤 한 가지 측면을 향상시킬 수 있게 되는 것이다
+이는 전체적인 성과가 줄어들거나 전체 투입 시간이 늘어나는 것을 감수하면서 숙달되려는 하위 기술에 시간과 인지 자원들을 훨씬 많이 쏟아붓는 방식이다
+조사를 하는 데 이전보다 10배나 되는 시간을 들인 것이다
+글을 쓰기 위한 다른 부분들도 함께 연습했지만 조사에 훨씬 더 많은 시간을 들임으로써 새로운 습관과 기술들을 개발할 수 있었다
+되돌아가기 울트라러너들에게서 반복적으로 목격된 한 가지 전략이 있다
+그때 그들은 특정 단계로 되돌아가서 기초적인 내용 하나를 배우고, 연습하기를 반복했다
+이런 연습은 시작이 무척 힘들고 필요한 선행 지식을 습득하는 과정에서 좌절을 겪을 수 있지만, 실제로 성과를 높이지 못하는 기술들은 배제할 수 있다
+에릭 배런은 픽셀 아트를 직접 만들어 실험해가면서 배웠다
+그는 색채 같은 특정한 부분에서 어려움을 겪으면 처음으로 되돌아가서 색채 이론을 배우고 작업을 반복했다
+그는 문장집에서 말하는 것을 먼저 배우고 나중에 그 문장들의 기능이 어떤지 설명하는 문법책을 팠다
+특화 학습을 고안해서 과제를 해나갈 때 완전히 시간 낭비인 곳에 시간을 쏟는 것이다
+자신이 연습하는 근본적인 이유나 그 연습을 보다 넓은 맥락에 맞추는 방법을 모르기 때문이다
+맥락을 배제한 특화 학습의 문제는 너무나 지루하다는 것이다
+하지만 그것이 단순히 병목 현상임을 알면 이 문제는 오히려 새로운 목적을 불어넣는다
+스스로 방향을 설정하는 울트라러닝에서는 특화 학습이 새로운 빛이 된다
+알지 못하는 목적을 위해 하는 게 아니라 자신이 가장 어렵게 생각하는 특정 부분을 빠르게 습득해나감으로써 학습 과정을 증진시키는 방법이기 때문이다
+이 방법을 어떻게 찾느냐는 당신에게 달려 있다
+이런 관점에서 특화 학습은 전통적인 학습의 반대편에 있는 울트라러닝에 특별한 풍미와도 같다
+신중하게 설계된 특화 학습은 복잡한 기술을 부분별로 쪼개고 그 과제를 해결하기 위해 분투하는 사이에 창조성과 상상력을 끌어낸다는 말이다
+우리가 어떤 주제를 집중해서 파고들 때는 대개 편안하고 능숙한 주제인 경우다
+특화 학습은 배우고 있는 것이 무엇인지 깊이 생각하게 할 뿐만 아니라 가장 어려운 부분이 어디인지 알아내고 그 취약점을 공략하게 한다
+가장 재미있는 것이나 이미 숙달된 부분에 초점을 맞추는 것이 아니다
+여기에는 강력한 동기가 필요하고, 적극적인 학습에 편안해져야 한다
+《벤저민 프랭클린 자서전》에서 프랭클린은 작문 특화 학습에 온몸을 바쳤다고 말했다
+에릭 배런도 이와 유사하게 픽셀 아트를 수십 번 반복해서 만들었고, 완벽해질 때까지 선행적인 개념들과 이론을 공부하는 일로 돌아가곤 했다
+특화 학습의 어려움과 유용성은 패턴으로 반복되는데, 이는 울트라러닝 법칙 전체적으로 반복해서 일어난다
+이런 불굴의 정신은 손쉬운 일보다는 학습에 훨씬 큰 이득을 제공한다
+다음 법칙만큼 이런 패턴이 보다 분명하게 드러나는 법칙은 없다
+이 법칙의 핵심은 학습 자체의 어려움이 학습을 더욱 효율적으로 만들어준다는 것이다
+인지 부하를 예방하는 특화 학습 학습에서 율속 단계, 다시 말해 기술을 구성하는 어떤 한 가지 요소가 전체 수행 능력을 결정한다는 생각은 특화 학습을 해야 할 강력한 이유가 된다
+인도의 마드라스 포트 트러스트 회사에서 일하는 한 회계 직원이 보낸 편지에는 놀랄 만한 주장들과 함께 자신을 소개한 단출한 메모가 들어 있었다
+편지를 쓴 사람은 자신이 당대 최고의 수학지성들도 풀지 못한 문제들에 관한 정리를 발견했다고 주장했다
+나아가 그는 대학 교육을 받은 적이 없고, 혼자 깊이 연구한 끝에 이런 결과들을 도출하게 되었다고 했다
+유명한 난제들을 해결했다고 주장하는 괴짜 아마추어 수학자의 편지를 받는 건 하디같이 수학계에서 한자리를 차지한 사람에게는 흔한 일이었다
+그래서 그 역시 처음에는 비슷한 다른 편지들과 똑같이 취급하면서 그 편지를 무시했다
+첨부된 메모들을 몇 장 넘겨봤지만 거기에 적힌 방정식들은 그의 마음에 남지 않았다
+하지만 몇 시간 후 하디는 자신이 그 방정식들에 대해 생각하고 있다는 것을 깨달았다
+그러나 그들은 그중 몇 가지만 겨우 증명해냈고 몇 가지는 아예 증명하지 못했는데, 하디는 이 사실을 믿을 수 없었다
+그는 어쩌면 이 편지가 괴짜가 쓴 것이 아닐지 모른다고 생각하기 시작했다
+그것들이 참이 아니라면 누구도 그것들을 고안할 상상조차 하지 못할 것이기 때문이다.”라고 하디는 회상했다
+사실 수학에 대한 사랑 때문에 종종 어려운 상황에 처하기도 했다
+다른 과목을 공부하기 싫어해서 대학에 떨어지고 만 것이다
+여가 시간이나 일거리가 없을 때 그는 슬레이트 판 하나를 손에 들고 집 앞 벤치에 앉아서 몇 시간이고 수학 공식들을 가지고 놀았다
+때로 늦게까지 밥도 먹지 않고 잠도 자지 않고 수학에 빠져 있기도 했다
+그럴 때면 어머니가 손에 음식을 쥐어주어 겨우 끼니를 해결했다
+라마누잔은 당대 수학의 불모지에서 살았기 때문에 전문적인 수학 서적을 접하는 것조차 보통 일이 아니었다
+이 책은 학생들을 위한 입문서로 다양한 수학 정리들을 큼직큼직하게 목록화한 것인데, 대개 설명이나 증명은 딸려 있지 않았다
+증명이나 설명은 없었지만 카의 책은 라마누잔 같은 영리하고 열정적인 누군가의 손에서 아주 강력한 재료가 되었다
+라마누잔은 어떤 이론이 파생된 방식을 따라 하고 암기하기보다는 스스로 이해하고자 했다
+하디도 그랬지만, 당대 수많은 호사가는 라마누잔이 교육을 받지 못하고 최신 수학 이론들을 늦게 접한 것이 그의 천재성에 돌이킬 수 없는 해를 끼쳤다고 주장했다
+하지만 현대의 심리학 실험들은 좀 다른 관점을 제시한다
+수학 공식에 관한 비상한 집착을 발휘해 카의 수학 정리 목록을 다루면서, 라마누잔은 자신도 모르는 사이에 깊이 있는 이해를 구축하는 가장 강력한 연습 방법을 실행하고 있었던 것이다
+제한된 공부 시간을 이용할 3가지 방법이 있다
+노트와 책을 들여다보고 나중에 보지 않고도 떠올릴 수 있을 때까지 전부 공부한다
+책을 덮고 그 안의 내용을 떠올리려고 애쓰는 것이다
+다이어그램 안에 주요 개념들을 적어 넣고 그것이 어떻게 조직되었는지, 공부해야 하는 다른 내용들과 어떤 관계가 있는지 적는 방법이다
+그리고 앞으로 치를 시험에서 몇 점을 받을 것 같으냐는 질문을 받았다
+가장 좋은 점수를 받을 것이라고 대답한 학생들은 반복 복습 집단이었고, 그다음으로 한 번 복습한 집단과 개념도를 그린 집단이 뒤따랐다
+자유 회상 연습을 한 집단, 다시 말해 책을 보지 않고 자신이 할 수 있는 만큼 기억해내는 연습을 한 집단은 가장 낮은 기말 고사 점수를 받으리라고 예측했다
+하지만 실제 결과는 이 예상을 완전히 뒤집었다
+스스로 시험을 치러보는 방식, 다시 말해 교과서를 보지 않고 기억 인출을 시도한 행위가 다른 모든 방식을 뛰어넘은 것이다
+교과서 내용과 직접 관련이 있는 질문에 대해 자유 회상을 연습한 학생들은 다른 집단보다 약 50퍼센트 이상을 더 기억했다
+직접 하기 규칙에서는 학습전이가 이뤄지기 어렵다고 말한다
+자체 시험과 실제 시험이 대부분 유사한데, 어쩌면 이런 유사성 때문에 이 방식이 잘 작동하는 것일 수도 있다
+평가 방식을 달리하면 복습이나 개념도 그리기가 우세할 것이라는 의심은 합당하다
+하지만 다른 실험에서 카피크와 블런트는 이것이 이유가 아님을 증명했다
+이 실험에서는 개념도를 만드는 것을 기말고사로 치렀는데, 평가 과제가 무척 유사했음에도 자유 회상을 연습한 학생들이 여전히 개념도로 공부한 학생보다 잘해냈다
+자체 시험 방식이 어째서 작동하느냐에 관한 또 다른 가능성 있는 설명은 ‘피드백’이다
+뭔가를 수동적으로 복습하면 자신이 뭘 알고 뭘 모르는지에 관한 어떤 피드백도 받을 수 없다
+시험이 대개 피드백과 함께 이뤄지는 것을 생각해보면 자체적으로 시험을 본 학생들이 개념도 그리기와 수동적 복습을 한 학생들을 어떻게 이겼는지 설명할 수 있을지도 모른다
+하지만 그렇다고 해도 인출 방식은 단순히 더 많은 피드백을 얻어내는 것이 아니다
+앞서 언급한 실험에서 학생들은 자신이 누락했거나 잘못 대답한 내용에 관한 어떤 피드백도 받지 못했다
+기억에서 지식을 소환하려고 애쓰는 행동은 직접 학습이나 피드백과 연계되는 것을 넘어서서 그 자체로 강력한 학습 도구다
+학습에 관한 이런 새로운 관점은 라마누잔의 사례를 설명해준다
+해답은 없이 증명 목록만이 담긴 카의 책은 그것을 터득하고야 말겠다는 한 영리한 남자의 손에서 눈부시게 빛을 발휘하는 도구가 되었다
+라마누잔은 그 책을 반복해 읽는 대신 머릿속에서 정보를 인출해 자신만의 해답을 만들어냈다
+대신 우리는 공부 경험에서 오는 단서들, 이른바 잘 배우고 있는지에 관한 느낌에 의존한다
+이는 ‘학습 판단’이라고 불리는데, 부분적으로 우리가 뭔가를 얼마나 유려하게 처리할 수 있느냐에 기반한다
+학습 과제가 쉽고 평이하게 느껴진다면 우리는 그것을 습득했다고 느끼는 경향이 있다
+반대로 고통스럽게 느껴지면 아직 습득하지 못했다고 느낀다
+공부에 어느 정도 시간을 들이고 난 뒤에 이뤄진 학습 판단은 정확할 수도 있다
+수동적인 복습 전략을 사용해서 뭔가를 공부하고 몇 분이 지나면 인출 연습을 한 뒤보다 수행 능력이 낫기 때문이다
+책을 덮고 기억해내려고 시도하는 것보다 책을 읽고 있을 때 더 잘 습득하는 것 같은 느낌도 틀린 게 아니다
+며칠 후 다시 시험을 치러보면 인출 방식이 수동적 복습을 어마어마한 차이로 이겨버린다
+수동적 복습은 학습 직후에는 도움이 되지만 실제 학습한 내용을 실행하는 데 필요한 장기 기억을 만들어내지는 못하기 때문이다
+학생들이 인출 방식보다 비효율적인 복습 방식을 택하는 또 다른 이유는 스스로 시험해볼 만큼 그 내용을 잘 안다고 느끼지 못하기 때문이다
+한 실험에서 카피크는 학생들에게 학습 전략을 선택하게 했다
+필연적으로 수행 능력이 떨어지는 학생들은 먼저 그 내용을 복습하는 것을 택했고, 시험을 치를 ‘준비’가 될 때까지 기다렸다
+반대로 초기에 인출 방식을 연습한 학생들은 더 많이 습득했다
+준비가 되었든 아니든 인출 연습은 더 잘 작동한다
+특히 인출 방식과 답을 찾는 능력을 결합시키면 이는 대부분의 학생들이 활용하고 있는 학습 방식보다 훨씬 더 나은 학습 형태가 된다
+인출 연습이 어려울수록 학습에 더 긍정적인 영향을 미치며, 인출 행위를 하는 것은 그 자체로 성공이라는 것이다
+자유 회상은 유도 요인 없이 가능한 한 많이 기억해내야 한다
+반면에 단서가 주어진 회상 시험은 기억해야 할 내용에 관해 힌트를 주기 때문에 자유 회상보다는 기억에 덜 남는다
+그러나 정답을 알아차려야 하는 사지선다형 식의 인지 시험은 가장 기억에 덜 남는다
+뭔가를 학습한 뒤에 즉시 시험을 보는 것은 그 지식이 머릿속에 남아 있지 않을 정도의 시간 간격을 두고 시험을 보는 것보다는 기억에 잔류하는 양이 적다
+낮은 강도의 학습 전략들은 대개 쉬운 수준의 인출 작업을 요구한다
+따라서 어려움을 높이고 미처 ‘준비가 되기’ 전에 자체 시험을 치르는 것이 훨씬 효율적이다
+루이스는 스스로 더 어려운 상황에 처하고자 했다
+매번 어떤 단어나 문장을 기억에서 끄집어내는 방식은 교실 환경에서 똑같은 인출 행위를 할 때보다 더 강하게 기억에 남는다
+적어도 단순히 단어나 문장 목록을 훑어볼 때보다는 훨씬 잘 기억될 것이다
+하지만 인출이 불가능해질 만큼 어려움이 커지면 이는 바람직하지 않다
+새로 배운 사실에 대한 첫 시험은 다소 시간을 두고 보는 것이 즉시 보는 것보다 조금 더 이득이다
+하지만 그 기간이 너무 길어지면 학습한 내용을 완전히 잊어버릴 수도 있다
+인출할 대상을 깊이 기억하기 위해서는 충분히 시간을 두되, 그 내용을 잊을 정도로 지체되어서는 안 된다
+너무 오랜 기간을 두고 자체 시험을 보면 인출 단서가 너무 적어져서 어려움이 증가하고 불이익을 줄 수 있지만, 나중에 거기에 대한 약간의 피드백을 제공하면 도움이 될 때도 있다
+  마치 ‘시험을 보듯’ 예습하라 시험이 중요하게 여겨지는 이유는 우리가 수업에서 배운 지식을 평가하는 기능이 있기 때문이다
+그러나 인출은 시험이 학습의 원재료일 뿐만 아니라 비슷한 시간을 들여 복습한 것보다 훨씬 더 나은 학습 결과를 낸다고 말하면서 이런 관점을 쉽사리 뒤엎는다
+그럼에도 지식을 처음 획득하고 나서 나중에 강화하거나 시험을 치른다는 관습적인 생각에도 들어맞는다
+인출이 사전에 학습된 내용을 강화할 뿐만 아니라 더 잘 습득하는 준비 과정이 될 수 있다는 것이다
+사전에 학습된 정보에 대해 정기적으로 시험을 치르는 것은 새로운 정보를 쉽게 배울 수 있게 해준다
+연구에 따르면 아직 배우지 못한 지식을 찾으려고 애쓰는 행위, 그러니까 아직 답을 배우지 못한 문제를 풀려고 애쓰는 일은 검색 전략을 강화한다
+머릿속에 아직 존재하지 않는 어떤 답을 인출해내려고 시도하는 건 아직 지어지지 않은 건물로 들어가는 길을 닦는 일과 같다
+목적지는 존재하지 않지만 목표가 될 곳으로 가는 길은 일단 구축되면 그와 상관없이 개발된다
+어떻게 대답해야 할지 아직 알지 못하는 문제에 맞닥뜨리면, 우리는 나중에 그 내용을 배울 때 해답처럼 보이는 정보를 특정하는 데 자동으로 주목한다는 것이다
+정확한 메커니즘이 무엇이든, 사전 시험 효과는 현실로 나타나고 있다
+이는 인출 연습이 시험 준비를 할 때는 물론 정확한 답을 전혀 모를 때조차도 이점으로 작용하리라는 점을 시사한다
+  무엇을 인출해야 하는가 이 연구가 전하는 메시지는 분명하다
+누구나 모든 것을 다 통달할 시간은 없다
+MIT 챌린지를 하는 동안 나는 수많은 다양한 개념을 다루었다
+어떤 개념은 내가 나중에 필요한 프로그램과 직접 관련이 있는 것이어서, 그것을 기억해야 할지 먼저 확실히 해야 했다
+또 어떤 개념들은 흥미롭지만 즉시 사용할 계획은 없어서 기술적인 계산보다 기본 개념들을 인출하는 데 더 노력했다
+나는 논리학자가 될 계획이 전혀 없었으므로, 솔직히 말하자면 8년 후인 지금도 양상논리학의 정리들을 증명할 수 없다
+하지만 나는 양상논리학이 무엇을 위한 것인지, 그것을 언제 사용하는지 정도는 말할 수 있다
+세상에는 늘 우리가 완벽히 습득하려고 선택한 것들과, 필요하다면 찾을 수 있다고 아는 데 족하는 것들이 존재한다
+이 질문에 대답하는 한 가지 방법은 직접 연습을 하는 것이다
+직접 하기는 그 기술을 사용하는 도중에 나타날 내용을 인출함으로써 이 문제를 피해 간다
+만일 언어를 배우고 있는데 단어 하나를 기억해내야 한다면 우리는 그것을 연습할 것이다
+또 어떤 단어가 필요하지 않다면 기억하지 않을 것이다
+이 전략의 이점은 우리가 자동으로 그 대상을 높은 빈도로 공부하게 된다는 것이다
+드물게 사용되거나 검색하는 게 더 나은 대상은 인출되지 않는다
+이런 것들은 그다지 중요하지 않은 대상이 된다
+그러나 직접 실행에만 의존하면 머릿속에 없는 지식은 문제를 푸는 데 사용할 수 없다는 문제가 생긴다
+구문을 검색하는 일은 작업 속도를 늦추겠지만 그는 문제를 풀 수 있을 것이다
+하지만 우리가 문제를 해결하기 위해 어떤 기능을 사용해야 하는데 그것을 알아차릴 만큼 지식이 충분치 않다면, 그 어떤 검색 행위도 도움이 되지 않는다
+지난 20년 동안 온라인에서 쉽게 접근할 수 있는 지식의 양이 폭발적으로 증가했다
+어떤 개념이든, 어떤 사실 정보든 이제는 누구나 스마트폰으로 알아낼 수 있다
+하지만 이런 어마어마한 발전에도 여전히 사람들은 한 세대 전의 사람들보다 수천 배쯤 영리해진 것 같지는 않다
+뭔가를 검색할 수 있다는 건 분명 이점이지만 머릿속에 어느 정도 지식이 없다면 어려운 문제를 푸는 데 하등 도움이 되지 않는다
+직접 연습만으로는 문제를 푸는 데 도움이 될 지식이 누락되어 인출을 촉구할 수 없고, 또 그렇게 하는 게 엄밀하게 필요하지도 않다
+A는 훨씬 더 효율적이지만 B 역시 그 일에 필요한 방식이다
+그는 자신이 알고 있는 방식이 덜 효율적이라고 해도 계속 그 방식으로 문제를 풀 것이다
+하지만 단순히 읽는 행위는 반복된 인출 연습보다는 비효율적이기 때문에 그 기술을 적용해야 할 때 정작 그 선택지를 잊었을 가능성이 있다
+추상적으로 들리겠지만, 프로그래머들에게 무척이나 공통적으로 일어나는 일이다
+위대한 프로그래머와 별 볼 일 없는 프로그래머를 가르는 차이는 대개 이들이 풀 수 있는 문제의 범위가 아니다
+위대한 프로그래머들은 문제를 푸는 수십 가지 방법을 알고 있으며 각 상황에서 최선의 방법을 선택할 수 있다
+이런 폭넓은 경험을 갖추기 위해서는 처음에는 어느 정도 지식에 수동적으로 노출되어야 하며, 그렇게 한 후에 인출 연습에서 이득을 얻을 수 있다
+노력 자체가 장애물이 되기도 하고, 때로는 어떻게 해야 하는지 분명하지 않을 때도 있다
+수동적인 복습은 완전히 비효율적인 것도 아니고 최소한 간단하기는 하다
+책을 펴고 내용을 머리에 집어넣을 때까지 반복해 읽는 것이다
+대부분의 책과 자료에는 그 내용을 우리가 기억하고 있는지 알아보는 시험 문제 같은 것들이 딸려 있지 않다
+이런 상황에서 도움이 될 수 있도록 웬만한 주제에 관해 인출 방법을 사용할 수 있는 몇 가지 유용한 방법들을 소개하겠다
+낱말 카드 낱말 카드는 놀라우리만큼 간단하지만 효율적인 방법으로 질문과 해답을 짝지어 학습하는 것이다
+스스로 특화 학습을 하기 위해 종이에 낱말을 적어 카드를 만드는 이 오랜 방법은 최근에는 SRS로 널리 대체되고 있다
+이 소프트웨어 알고리즘은 일곱 번째 법칙을 다룰 때 논의할 것이다
+이는 수만 장의 ‘카드들’을 접하게 해주고, 복습 일정을 짜준다
+낱말 카드의 주요 결점은 그것들이 특정한 유형의 인출 작업에만 잘 작동한다는 것이다
+그러니까 특정한 단서와 구체적인 대답이 결합되는 경우다
+예를 들어 외국어 어휘, 지도, 인체해부도, 정의, 방정식 등은 낱말 카드 방식을 통해 암기할 수 있다
+하지만 그 정보를 기억해내야 하는 상황이 변동성이 큰 경우 이 연습법은 결함이 있다
+프로그래머들은 낱말 카드로 구문을 암기할 수는 있겠지만 실제 프로그램에 적용될 개념들은 단서-반응이라는 낱말 카드의 기본 틀에 적합하지 않은 경우가 많다
+자유 회상 인출 작업에 적용할 수 있는 간단한 전술 하나는 책의 어떤 한 부분을 읽거나 강의를 끝까지 들은 뒤, 빈 종이에 기억나는 것을 모조리 적는 것이다
+이와 같은 자유 회상은 무척 어려울 수 있으며 놓친 것도 많을 수 있다
+그 책을 막 다 읽었다고 해도 말이다
+하지만 이런 어려움 때문에 이 방식이 도움이 되기도 한다
+주요한 핵심과 논점들을 기억하도록 스스로를 다그침으로써 나중에 그 내용을 더 잘 기억하기 때문이다
+예를 들어 이 책을 위해 조사하는 동안 나는 종종 기사를 인쇄해서 몇 장의 백지들과 함께 철해두었다
+다 읽은 후에는 글쓰기 작업을 할 때 중요한 내용들을 기억하고 있는지 확인하고자 재빨리 자유 회상 연습을 했다
+문제집 방식 우리는 대부분 공부를 하다 핵심 정보가 나오면 그 내용을 따라 쓰는 방식으로 메모를 한다
+바로 기록할 내용을 문제로 바꿔서 적고 나중에 답하는 것이다
+답 대신 문제 형태로 기록함으로써 나중에 인출 연습을 하기 위한 자료를 만들어두는 방법이다
+이 기술을 사용하면서 내가 저지른 실수는 잘못된 유형의 질문을 했다는 것이다
+의도한 일은 아니었지만 그 책에 나온 정보들을 질문으로 안이하게 기록하면서 생긴 실수였다
+더 어렵지만 더 유용한 방법은 그 장이나 부문에 관한 큰 개념들을 질문 형태로 재작성해보는 것이다
+이는 요약한 내용을 단순히 질문으로 바꾸는 것이 아니라 함축적인 작업이기 때문에 더 깊이 있는 사고를 하게 해준다
+여기에 도움을 주는 규칙 하나는 각 장별로 질문을 한 가지로 제한하는 것이다
+그러면 나중에 크게 상관없어질 세부적인 내용들을 들여다보지 않고도 주요 핵심만 습득해서 이를 변형해 표현할 수 있다
+도전 만들기 앞서 소개한 전술들은 간단한 정보를 인출하는 데 가장 잘 작동한다
+책이나 강의의 내용 그 자체나 광범위한 발상에 관한 요약 내용에 적합하다는 말이다
+하지만 단순히 정보를 기억하는 것이 아니라 어떤 기술을 실행하려면 이것으로 충분하지 않다
+프로그래머라면 알고리즘들이 의미하는 바를 알기만 해선 안 된다
+이런 경우 자료들을 살펴볼 때 나중에 스스로 해결해볼 도전 과제를 만들 수 있다
+책을 보다 새로운 기술이 나오면 그 기술을 실제 예시로 표현해서 기록하는 것이다
+이런 과제 목록을 만드는 일은 나중에 실전에서 그 정보를 완벽히 다룰 단서 자료가 되며 우리가 실제로 활용할 수 있는 무기고를 확장시킨다
+개념도 작성은 카피크와 블런트의 실험에서 학생들에게 잘 먹히지 않은 전략인데, 책을 보지 않고 개념도를 작성하면 이 문제를 상당히 보완할 수 있다
+만일 실험에서 책을 덮고 개념도를 작성하는 전략을 사용했더라면 이 학생들이 최종적으로 개념도 작성 시험에서 훨씬 나은 성적을 거두었을 것이다
+직접 하기든 특화 학습이든, 대상을 검색하는 능력을 차단하고 연습할 수 있다
+자료를 참고하지 않으면 그 정보는 참고 매뉴얼이 아니라 우리 머릿속에 저장된다
+  천재를 만드는 최고의 학습 도구 라마누잔은 천재였다
+하지만 그의 천재성은 울트라러너들의 도구 상자가 지닌 2가지 특징의 도움을 받았다
+아침부터 밤까지 슬레이트를 손에 들고 드문드문 이가 빠진 카의 수학 정리들을 이해하는 작업은 상상도 못 할 만큼 힘든 작업이었다
+하지만 이 일은 ‘바람직한 어려움’이 되어 그의 정신에 거대한 도구와 비결의 저장고를 구축하게 해주었고, 이는 훗날의 수학 작업들에서 큰 뒷받침이 되었다
+인출 작업은 라마누잔의 수학적 성장에서 중대한 역할을 했다
+이 전략에서 이점을 취한 사람은 그만이 아니다
+위대한 천재들을 비롯해 내가 만난 현대의 울트라러너들의 전기 대부분에는 각기 다른 형태의 인출 연습이 언급돼 있다
+벤저민 프랭클린은 머릿속으로 논설들을 재구축하면서 글쓰기 연습을 했다
+메리 서머빌은 밤에는 촛불을 끄고 머릿속으로 문제들을 끝까지 다 읽었다
+로저 크레이그는 해답을 보지 않고 일반 상식 문제를 풀었다
+인출은 천재성을 만들어내기 위해 필요한 도구가 아니라 필수적인 도구인 것 같다
+하지만 단순히 해답을 복습하지 않고 해답을 만들어내는 시도를 하는 것은 반쪽자리 해결책일 뿐이다
+인출 작업이 실제 효과를 발휘하려면 우리가 머릿속에서 떠올리는 해답이 올바른 것인지 알 수 있어야 한다
+마음의 준비가 될 때까지 자체 시험을 회피하는 것처럼, 우리는 그 답이 마음에 들 것 같을 때까지 자신의 기술 수준에 대한 정보를 찾는 일을 회피하곤 한다
+그 정보를 효과적으로 처리할 수 있는 것과 그 안에 담긴 메시지를 크고 분명하게 듣는 것은 쉬운 일이 아니다
+HBO 특별 중계와 함께하는 공연은 관객의 함성으로 가득했다
+스탠드업 코미디언인 록의 공연은 마치 록 콘서트 같았다
+그는 마치 음악의 코러스처럼 주요 농담 하나를 계속 반복하는 것으로 잘 알려져 있는데, 그의 에너지 넘치는 리듬을 보고 우리는 그가 재미있는 농담을 할 것이라고 예상한다
+손에는 직접 휘갈긴 문장들이 쓰인 카드 더미가 들려 있었다
+주말 목사인 택시 운전사 할아버지에게 배운 새로운 코미디 소재였다
+그는 다른 때처럼 자신의 공격적인 스타일로 나아가지 않았고, 무대 벽에 풀썩 기대앉았다
+이곳은 그의 실험실이었고, 그는 새로운 코미디를 시도하는 중이었다
+그건 좋았다! 그는 어떤 농담도 하지 않았다
+하지만 그게 좋았다!’ 손에 쪽지를 쥐고, 록은 이것이 자신의 전형적인 공연 방식이 아니라는 걸 청중들에게 재미있게 경고했다
+그는 통제된 조건 아래서 새로운 내용을 실행해보고 싶었다
+“사람들은 당신이 유명하기 때문에 당신에게 6분 정도를 줄 겁니다
+코미디 셀라는 유명인들이 잠시 들르는 곳으로 유명하다
+데이브 샤펠, 존 스튜어트, 에이미 슈머 등 수많은 코미디언이 주요 시간대의 특집 방송에서, 콘서트 규모의 공연에서 코미디를 하기 전에 이곳의 소규모 청중들 앞에서 그 내용을 시험해본다
+〈제퍼디!〉 문제 출제에 관한 단서들을 자체 시험한 로저 크레이그의 단순한 방식에서부터 새로운 언어를 말하기 위해 낯선 사람들에게 걸어가는 베니 루이스의 불편한 방식에 이르기까지 피드백은 울트라러너들의 가장 공통적인 전술 중 하나다
+전통적인 학습 방식과 울트라러닝 전략을 가장 크게 구분 짓는 것은 제공된 피드백의 즉시성, 정확성, 강도다
+트리스탄 드 몽벨로는 대부분의 토스트마스터들처럼 대본을 세심하게 준비하고 한 달이나 두 달에 한 번 강연을 하는 평범한 길을 택할 수도 있었다
+자신의 연설에 관해 다양한 관점을 얻고자 여러 강연장을 다니면서 매주 몇 차례 연설을 한 것이다
+좀 불편하지만 이렇게 급격히 몸을 담금으로써 그는 무대에서 발생할 수많은 불안들에 둔감해질 수 있었다
+안데르스 에릭슨과 다른 심리학자들이 수행한, 전문가의 계획된 연습에 관한 연구에서는 피드백이 현저한 특징으로 나타난다
+에릭슨의 연구에 따르면 행위에 관한 즉각적인 피드백을 얻는 능력이 전문가 수준에 도달하게 만드는 근본 요소다
+피드백 없이는 어떤 기술을 계속 연습해도 더 나아지지 않는 침체기가 있다
+때로 피드백 결핍은 능력을 감소시키는 결과를 가져올 수도 있다
+의사들 대부분이 의과대학에서 축적된 지식이 사라지기 시작하고 진단에 대한 빠른 피드백을 받지 못하면 더 많은 경험을 가지고도 실력이 악화된다
+자신이 무엇을 바르게 했는지, 무엇을 잘못했는지에 대한 정보는 학습을 가속화한다
+피드백에 관한 연구에서 흥미로운 사실은 피드백이 많다고 더 좋은 것은 아니라는 점이다
+피드백은 전반적으로 긍정적인 효과가 있었지만 38퍼센트 이상의 사례에서 부정적인 영향을 끼쳤다
+그러나 한편으로는 계획된 연습에 관한 과학적인 연구가 보여주듯, 피드백은 전문가 수준으로 기술을 습득하는 데 필수였다
+또한 피드백은 울트라러닝 프로젝트의 큰 특징으로서 피드백 하나 없이 울트라러너들이 성공했으리라고는 생각하기 어렵다
+하지만 동시에 증거를 검토해보면, 피드백이 보편적으로 긍정적이라는 그림을 그릴 수가 없다
+피드백은 장래의 학습에 지침이 될 유용한 정보를 제공할 때 잘 작동한다
+우리가 뭔가를 잘못하고 있다거나 그것을 어떻게 수정할 것인지 말해주는 피드백은 강력한 도구가 될 수 있다
+하지만 피드백이 개인의 자아에 초점을 맞춘 것일 때는 종종 역효과를 낳는다
+나아가 피드백에 유용한 정보가 포함되어 있다고 해도 그 피드백을 학습의 동기부여 요소나 도구로 올바르게 처리해야만 한다
+클루거와 드니시는 피험자 스스로가 피드백을 건설적으로 사용하지 않아서 부정적인 영향력을 발생시킨 몇 가지 연구들을 주시했다
+이 피험자들은 피드백을 거부했는데, 자신에게 기대되는 기준을 낮추거나 학습 과제를 전적으로 포기한 듯했다
+클루거와 드니시는 누가 피드백을 주느냐 역시 중요할 수 있다는 점에 주목했다
+동료나 선생님의 피드백이 우리의 능력을 향상시키는 정보 이상으로 중요한 사회적 역학 관계를 이루는 것처럼 말이다
+나는 이 연구에서 2가지 흥미로운 사실을 발견했다
+먼저 정보 피드백은 이득을 주지만 적절하게 처리되지 않거나 유용한 정보를 제공하지 못하면 역효과가 날 수 있다
+이는 피드백을 구할 때 2가지 가능성을 경계해야 함을 의미한다
+먼저 피드백이 긍정적이든 부정적이든, 실력 향상으로 이끄는 특정한 정보를 제공하지 못하는 피드백에 과잉 반응을 해서는 안된다
+어떤 피드백이 실제로 유용한지 감지한 다음에 나머지 것들을 조율해야 한다
+이것이 내가 만났던 울트라러너들이 모두 피드백을 이용했지만 각각의 가능성 하나하나까지 죄다 대응하지는 않았던 이유다
+예를 들어 에릭 배런은 게임 초안을 작성할 때 자신에게 돌아오는 비평 모두에 주의를 기울이지는 않았다
+그 조언이 자신의 비전과 상충될 때는 무시했다
+다음으로 피드백은 정확하게 적용하지 않으면 동기에 부정적인 영향을 미칠 수 있다
+몹시 부정적인 피드백도 우리의 동기를 약화시키지만 몹시 긍정적인 피드백 역시 마찬가지다
+우리는 자신의 현재 학습 단계에 관한 올바른 수준의 피드백을 요구하고, 둘 사이에 균형을 맞춰야 한다
+앞에서 록이 자신의 명성에서 나온 긍정적인 피드백을 무시했던 것은 이 때문이다
+이 연구에서 내가 흥미를 느낀 두 번째 관점은 왜 사람들은 피드백을 구하려고 노력하지 않는지다
+일반적인 사람들의 입장에서 볼 때 피드백은 불편한 것이다
+그것은 가혹하거나 의지를 꺾는 것일 수 있고, 늘 좋은 기분을 안겨주지는 않는다
+코미디 클럽 무대에 서서 농담을 던지는 것은 어쩌면 스탠드업 코미디를 더 잘하게 되는 최선의 방법 중 하나일 수도 있다
+하지만 그 행위 자체는 어색한 침묵을 깊게 가르는, 무척이나 끔찍한 일일 수 있다
+이와 비슷하게 새로운 언어를 즉시 말하는 것도 모국어를 사용할 때보다 소통 능력이 급격하게 떨어지는 느낌을 준다는 점에서 고통스러울 수 있다
+피드백에 대한 공포는 종종 피드백 그 자체를 경험하는 일보다 불편하게 느껴진다
+결과적으로, 향상을 지연시키는 것은 부정적인 피드백 그 자체라기보다는 비판을 들을지 모른다는 공포심이다
+그래서 처음에는 엄청나게 부정적인 피드백을 받게 되어도 극한의 환경으로 곧장 뛰어들어 가는 것이 좋을 수 있다
+이 행동들에는 모두 자신감, 단호함, 끈기가 필요하다
+이 때문에 공격적인 피드백이 더 빠른 결과를 낼 수 있게 해줌에도 많은 자기주도 학습자가 이를 구하지 않는 것이다
+상황 한복판으로 들어가 곧장 피드백을 받고 그 정보를 이용하여 빨리 습득하는 대신, 우리는 한 방 먹고 중요한 학습 자원을 회피하곤 한다
+이와 다르게 울트라러너들은 공격적인 피드백을 추구해서 기술을 빠르게 습득한다
+스탠드업 코미디를 잘하는 일과 컴퓨터 프로그램을 배우는 일은 피드백의 종류가 무척이나 다르다
+고등수학을 배우는 일과 언어를 배우는 일은 다른 방식으로 피드백을 이용해야 한다
+더 나은 피드백을 구하는 기회는 무엇을 배우느냐에 따라 달라진다
+어떤 종류의 피드백을 받아야 할지 알면 그것을 가장 잘 이용할 수 있게 되고 그 한계도 알게 된다
+결과 피드백은 가장 흔한 것이자 많은 상황에서 받을 수 있는 피드백 형태다
+여기서는 우리가 학습 중인 일부분에 관해 피드백을 얻고자 결과들을 쪼갤 수 있을 때와, 전체적인 결과에 관한 피드백만이 가능할 때를 알아차리는 것이 중요하다
+수정 피드백은 구하기가 가장 힘들지만 학습을 가장 가속화한다
+이는 우리가 전반적으로 얼마나 잘하고 있는지는 말해주지만 더 나아지고 있는지, 혹은 나빠지고 있는지는 알려주지 않는다
+이는 그가 잘했는지 못했는지를 말해줄 수 있지만 왜, 어떻게 그것을 수정해야 하는지는 말해주지 못했다
+기업은 새로운 상품을 시장에 내놓았을 때 이런 종류의 피드백을 경험한다
+그 피드백은 다량으로 오나 상품을 다양한 측면에서 직접적으로 분석하지 못한다
+또한 연구를 살펴보면 성과 향상과 관련된 메시지가 결여된 이런 피드백조차도 도움이 될 수 있다
+한 연구에 따르면 시각적인 예리함을 요구하는 작업에서는 피드백이 학습을 용이하게 하는데, 심지어 그 피드백이 너무 총괄적이고 광범위해서 의미 있는 정보를 주지 않을 때조차도 그렇다
+프로젝트에 피드백이 아예 결여되어 있다면 이런 광범위한 수준의 피드백을 얻는 것으로도 쉽게 변화시킬 수 있다
+에릭 배런은 자신의 게임 작업을 공개하고 게임 초안에 대해 피드백을 받기 위해 신개발품 블로그를 만들었다
+그 블로그에서 정확히 무엇을 향상시키고 변화시켜야 하는지 자세한 정보를 얻어낼 수는 없었지만, 단지 피드백을 주는 환경 속에 있는 것만으로도 유용했다
+결과 피드백은 몇 가지 메커니즘을 통해 우리가 더 나은 방식으로 학습할 수 있게 해준다
+그중 한 가지는 목표에 관한 동기적 기준점을 우리에게 제공한다는 것이다
+어떤 특정한 질적 피드백에 도달하는 게 목표라면 이 피드백은 우리에게 진척 상황을 계속 알려줄 수 있다
+다른 한 가지는 우리가 시도 중인 방식들 간의 상대적 이점을 알려준다는 점이다
+빠르게 발전 중일 때는 기존의 학습 방식을 고수할 수 있다
+발전이 지체되고 있을 때는 현재 방식에서 무엇을 바꿀 수 있을지 살펴볼 수 있다
+결과 피드백은 완전하지는 않지만 이용할 수 있는 유일한 피드백인 경우가 많으며, 우리의 학습 속도에 강력한 영향을 미칠 수 있다
+하지만 그것을 어떻게 고쳐야 할지까지 말해주는 것은 아니다
+나와 다른 언어를 사용하는 사람과 그 나라 언어로 말하는 것은 정보 피드백 활동이다
+우리가 단어를 잘못 사용했을 때 상대의 혼란스러운 눈동자는 어떤 단어가 정확한지는 말해주지 않지만, 우리가 잘못을 하고 있다는 사실은 말해준다
+트리스탄 드 몽테벨로는 연설 후 청중으로부터 자신의 연설에 관한 전반적인 평가를 받는 것뿐 아니라 순간순간 어떻게 진행되고 있는지 생생한 정보 피드백을 얻었다
+록의 스탠드업 코미디 실험 또한 정보 피드백을 받는 행위다
+그는 어떤 농담이 제대로 먹혔을 때와 그렇지 않을 때를 청중의 반응을 보고 알 수 있었다
+하지만 청중은 무엇을 해야 더 재미있어질지는 알 수 없다
+이런 종류의 피드백은 실시간으로 피드백을 받을 수 있는 상황에서 얻기 쉽다
+그러나 프로그램이 적절하게 명령어를 번역하지 못할 때 에러 메시지를 접한 컴퓨터 프로그래머는 자신이 무엇을 잘못했는지 알 수 없다
+다만 실수가 증가하거나 줄어듦으로써 자신이 했던 일을 생각해보고 그 신호를 통해 문제를 수정할 수 있다
+자체 피드백 또한 무척이나 흔한 것으로, 어떤 경우에는 타인의 피드백만큼이나 잘 작동한다
+그림을 그릴 때 우리는 단순히 그 그림을 보고 붓질을 더하거나 덜해야 한다는 걸 감지할 수 있다
+이런 종류의 피드백은 대개 환경과 직접 소통하는 데서 오기 때문에 세 번째 울트라러닝 법칙인 ‘직접 하기’와 좋은 짝을 이루곤 한다
+이는 우리가 무엇을 잘못하고 있는지, 그것을 어떻게 수정해야 할지까지 알려준다
+이런 종류의 피드백은 대개 코치, 스승, 교사에게서 오는데, 올바른 학습 자원을 사용하고 있다면 자동적으로 받을 수 있다
+MIT 챌린지를 하는 동안 나는 과제와 해답을 왔다 갔다 하면서 공부했다
+따라서 한 문제를 다 끝마치고 나면 그 문제를 맞혔는지 틀렸는지는 물론, 내 답이 정답과 어떻게 다른지 정확히 볼 수 있었다
+이와 유사하게 낱말 카드나 다른 활동적인 회상 방식들도 질문에 관해 우리가 답을 추측한 뒤에 정답을 보여줌으로써 수정적인 피드백을 제공한다
+최선의 피드백은 현재 상태와 목표의 차이를 알려주고 학생들이 더 잘 공부할 수 있는 단계를 취하도록 돕는 것이다.”라고 주장한다
+이런 유형의 피드백은 우리의 실수를 콕 집어주고 바로잡아줄 교사, 전문가, 스승과 접촉해야 한다는 점이 어렵다
+하지만 단순한 정보 피드백 이상으로 수정의 칼날이 덧붙여지기 때문에 그런 스승들을 찾는 노력은 할 만하다
+트리스탄 드 몽테벨로는 마이클 젠들러와 함께 연습함으로써 자체 피드백이나 경험이 적은 청중의 폭넓은 피드백으로는 알아채지 못했을 자신의 취약점을 상세히 알아차릴 수 있었다
+이 피드백은 무엇을 증진시켜야 하는지 알려주지 못하는 결과 피드백과, 무엇을 증진시켜야 하는지는 알려주지만 어떻게 해야 할지는 알려주지 못하는 정보 피드백을 능가한다
+하지만 이 역시 불안정한 것일 수 있다
+트리스탄 드 몽테벨로는 연설 후 서로 상충하는 조언들을 얻기도 했다
+어떤 사람들은 그에게 말의 속도를 늦추라고 말했는데, 어떤 사람들은 속도를 올리라고 말했다
+이럴 땐 차라리 코치나 교사에게 비용을 지불하는 편이 좋다
+그들은 우리가 저지른 실수의 특징을 정확히 알아차리고, 우리 입장에서 보다 손쉽게 수정할 수 있도록 해주기 때문이다
+울트라러닝의 이런 자기주도적인 특성은 학습이 온전히 혼자서 해나가는 것이 최선은 아님을 알려준다
+먼저 피드백 ‘업그레이드’를 시도할 때 주의를 기울여야만 한다
+결과 피드백을 정보 피드백으로 바꾸기 위해서는 그동안 행한 것들의 각 요소에 대한 피드백을 끌어내야만 한다
+그 피드백이 우리가 행한 일 전반에 관한 평가라면 이를 정보 피드백으로 바꾸는 시도는 역효과를 낼 수 있다
+게임 디자이너들은 이런 것을 조심해야 한다는 사실을 안다
+게임 테스터들에게 어떤 게임에서 무엇이 마음에 들지 않느냐고 물으면 종종 거짓된 답변이 돌아오기 때문이다
+여기서 진실은 테스터들이 그 게임을 전반적으로 평가하고 있으며, 따라서 그들은 이런 종류의 피드백을 줄 수 없는 경우가 많다는 것이다
+피드백을 주는 사람이 해당 내용을 한 측면씩 개별적으로 체험한 것이 아니라 전체적으로 체험을 한 것이라면, 전문적인 부분에 대해 묻는 건 그저 추측을 끌어낼 뿐이다
+이와 유사하게 수정 피드백에도 올바른 대답 혹은 인정받는 전문가가 필요하다
+만일 전문가가 없거나 접근 방식이 틀렸다면 정보 피드백을 수정 피드백으로 바꾸려는 시도는 역효과를 낼 수 있다
+잘못된 피드백을 적용해서 학습 방법을 수정할 수 있다는 말이다
+트리스탄 드 몽테벨로는 대부분의 사람들이 해준 조언은 끔찍할 만큼 유용하지 않았으며, 그 조언들 간에 일관성이 있을 때만 유용했다고 말했다
+연설을 하고 나서 각기 다른 무수한 반응들이 나왔다면 그는 자신이 해야 할 일이 많다고 여겼다
+피드백이 훨씬 더 일관적으로 나오면 그는 자신에게 뭔가 가능성이 있다고 여겼다
+울트라러닝은 단순히 피드백을 많이 끌어모으는 것이 아니다
+유용한 정보를 끌어내기 위해 언제 어떤 피드백들을 선별적으로 무시할지 알아야 한다
+이렇게 각 유형의 피드백이 지닌 장점들을 이해하는 일은 올바른 학습 전략을 선택하는 데 매우 중요하다
+그는 피드백이 실수를 규정하고 수정하는 데 도움을 줄 때, 피드백을 받고 나서 수정과 개선 방법을 강구해야 할 때는 즉각적으로 이뤄지는 편이 낫다고 말한다
+이에 대해 문제와 답을 다시 언급해주는 일은 일정 간격을 두고 한 번 더 그 내용을 접하게 하는 것이라고 설명한다
+피드백 시간에 관한 과학적인 문헌들을 보면 언뜻 그 결과가 뒤죽박죽으로 보인다
+일반적으로 나는 피드백은 빠른 편이 좋다고 생각한다
+더 빨리 실수를 알아차릴 수 있게 해주기 때문이다
+하지만 이는 문제의 답을 찾는 데 최선을 다하거나 직접 문제를 풀기도 전에 피드백을 먼저 받아버리는 위험을 초래할 수 있다
+피드백 시간에 관한 초기 연구들은 학습에서 즉각적인 피드백의 중립적 혹은 부정적 영향을 보여주곤 했다
+하지만 이런 연구들에서는 종종 피험자가 시험지를 다 작성하기 전에 그들에게 정확한 답을 보는 재량을 주었다
+이는 피험자가 답을 머릿속에서 끄집어내려고 애쓰는 것이 아니라 정답을 보고 따라 쓸 수 있었음을 의미한다
+이처럼 너무 빠른 피드백은 인출 작업을 수동적인 복습 상태로 넘어가게 한다
+그리고 답을 이미 알고 있는 것은 학습의 효율성을 떨어뜨릴 수 있다
+  더 나은 피드백을 얻는 4가지 전략 지금까지 우리는 학습에서 피드백의 중요성을 살펴봤다
+나는 어째서 피드백이, 특히 다른 사람들에게 받는 피드백이 때때로 역효과를 발생시키는지 설명했다
+또한 결과, 정보, 수정 피드백이라는 3가지 유형의 피드백이 어떻게 각기 다른 강점을 지니는지, 그것들이 효율적으로 작동하기 위해서는 무엇이 전제되어야 하는지 이야기했다
+이제 당신이 더 나은 피드백을 얻기 위해 적용할 수 있는 몇 가지 구체적인 전술을 설명해보려고 한다
+소음을 제거하라 피드백에는 우리가 처리하고 싶은 유용한 정보가 담긴 신호와 소음, 2가지가 존재한다
+스스로 발전하기 위해 노력하고 있을 때는 거기에 과도하게 반응해서는 안 된다
+그 글들 대부분은 많은 주의를 끌지는 않겠지만 만일 크게 주의를 끌게 된다면 그건 대개 우리의 통제 바깥에 있는 요소들 때문이다
+당신의 글쓰기 자질도 그 글이 퍼져나가는 요인이겠지만 그보다는 무작위적인 요인 때문이다
+하지만 당신은 그 데이터 지표에 근거하여 전반적인 접근법을 바꾸지 않도록 신경 쓸 것이다
+기술을 향상시키는 노력을 할 때 소음은 실제 문제가 된다
+글을 잘 쓰기 위해 동일한 정보를 얻으려고 더 많은 일을 하게 되기 때문이다
+그러면 소음을 줄이고 더 많은 진짜 신호를 얻어낼 것이다
+음성 처리 방식에서 사용되는 소음 제거 기술은 필터링이다
+음향 엔지니어들은 인간의 음성이 특정한 주파수 범주에 속하며, 반대로 백색 소음은 전체 주파수 스펙트럼을 아우른다는 점을 알고 있다
+그래서 인간의 음성에서 일어나는 주파수를 증폭시켜 신호를 증가시키고 다른 모든 소리는 잠재울 수 있다
+그 한 가지 방식은 프록시 신호를 찾는 것이다
+정확히 똑같이 성공하는 것은 아니지만 이는 소음 데이터 일부를 제거한다
+블로그 글쓰기에서도 이와 비슷하게 마지막까지 당신의 글을 읽는 사람들의 비율을 알아내는 추적 코드를 사용할 수 있다
+이것이 당신의 글쓰기가 좋은지는 입증해주지 못하지만, 순수 유입 지표보다는 소음을 훨씬 많이 줄여준다
+정보가 많다는 말은 학습 기회가 많다는 말이다
+정보에 대한 과학적 측정은 거기에 어떤 메시지가 담길지 얼마나 쉽게 예측하느냐에 기반한다
+우리가 성공이 보장돼 있다는 걸 안다면 피드백은 정보를 제공하지 못한다
+지금 하는 일이 계속 잘될 거라는 걸 알고 있으니 말이다
+예측하기가 어려워야 피드백을 받을 때마다 더 많은 정보를 얻게 된다
+학습은 맞닥뜨리는 어려움에 따라 영향을 받곤 한다
+많은 사람이 지속적인 실패를 직관적으로 피하는데, 이때의 피드백이 늘 도움이 되는 건 아니기 때문이다
+하지만 반대의 문제, 즉 무척이나 성공하고 있다는 피드백의 문제 역시 넘쳐난다
+울트라러너들은 자신이 성공할지 실패할지 예측할 수 없도록 환경을 주의 깊게 조정한다
+실패가 너무 잦으면 문제를 단순화해서 그 일을 제대로 하고 있는지 알아차릴 수 있다
+실패가 거의 없으면 과제를 더 어렵게 하거나 기준을 더 엄격하게 올린 뒤 다양한 방법으로 해보고 무엇이 더 성공률이 높은지 알아볼 수도 있다
+메타 피드백 전형적인 피드백 유형은 성취에 대한 평가다
+이는 우리가 목표를 제대로 달성했는지 보여주는 시험 점수나 측정 가능한 평가 같은 것이다
+하지만 이보다 훨씬 더 유용한 피드백이 있다
+이 피드백은 우리의 성과가 아니라 우리가 사용하는 학습 전략의 전반적인 성공도를 평가한다
+메타 피드백에서 중요한 유형 하나는 ‘학습 속도’다
+이는 우리가 얼마나 빨리 내용을 습득하는지 알려준다
+최소한 학습 중인 내용의 어떤 한 측면에서 얼마나 빨리 발전하고 있는지에 관한 정보를 준다
+언어를 공부하는 사람들은 글을 쓰거나 말을 할 때 자신이 배운 어휘나 저지른 실수를 추적한다
+이 도구는 2가지 방법으로 사용할 수 있다
+한 가지는 이미 사용했던 전략에 집중해야 할 때와 다른 방법을 실험해야 할 때를 결정하는 것이다
+만일 학습 속도가 느려지고 있다면 현재 사용 중인 방식에서 수확체감의 법칙이 시작되었다는 뜻이다
+따라서 이때는 기존의 학습 방식에서 벗어나 특화 학습, 바람직한 어려움, 환경 등 다른 학습 방식을 적용해보는 게 이득이 될 수 있다
+메타 피드백을 적용하는 두 번째 방식은 어느 것이 더 잘 작동하는지 보는 것이다
+MIT 챌린지를 하는 동안 나는 종종 문제들을 하위 주제들로 쪼개서 각기 다른 방식으로 자체 시험을 봤다
+빠르고 강도 높은 피드백을 받아라 피드백을 향상시키는 가장 쉬운 방법 하나는 많이, 자주 받는 것이다
+이는 피드백 빈도가 낮거나 피드백 자체가 적을 때 좋은 방법이다
+드 몽벨로의 대중 연설 향상 전략은 기본적으로 다른 연설자들이 하는 것보다 훨씬 많이 무대에 올라가는 것이었다
+해당 언어 환경에 잠겨 공부하는 루이스의 전략 역시 대부분의 학생이 단어를 소리 내어 말하지 않고 있을 때 그가 발음에 관한 정보에 많이 노출되게 해주었다
+강도 높고 재빠른 피드백은 정보적 이점을 제공하지만 훨씬 더 큰 장점은 감정적인 부분에 있다
+피드백에 대한 두려움은 종종 그 무엇보다 우리를 움츠러들게 한다
+강도 높고 빠른 피드백이 몰아치는 상황에 스스로 몸을 던지면 처음에는 불편하겠지만, 몇 달이고 몇 년이고 기다렸다 피드백을 받는 것보다 나을 수 있다
+또한 피드백 상황에 놓이는 것은 다른 일보다 훨씬 더 공격적인 학습을 하도록 촉구한다
+자신의 작업에 관한 평가를 받을 거라는 사실을 알면 최선을 다하게 된다
+강도 높은 피드백에 몸을 맡기는 일은 결국 피드백이 제공하는 정보적 이점보다 이런 동기부여의 이점을 훨씬 더 크게 얻는 일이다
+  빠르고 강한 피드백으로 소음을 제거하라 피드백을 받는 일은 쉽지 않다
+피드백을 자신의 기술에 관한 것이 아니라 자기 자신에 관한 것으로 처리한다면 그 주먹질에 쓰러지기 쉽다
+피드백 환경을 신중하게 통제해서 사기를 북돋울 수 있다면 좋겠지만 현실의 삶은 그런 기회가 존재할 형편이 거의 안 된다
+대신 빨리 피드백을 구해 한 대 맞고 심판이 숫자를 세지 못하게 하는 편이 낫다
+단기적 피드백은 스트레스를 줄 수 있지만 일단 피드백을 받는 습관이 들면 감정적으로 과잉 반응하지 않고 더 쉽게 처리할 수 있다
+스스로 어마어마한 양의 피드백에 노출되어 신호에서 소음을 제거하는 것이다
+하지만 피드백과 정보는 그것이 가르쳐주는 내용을 기억할 때만 유용하다
+망각은 인간의 본질이지만 학습을 하는 데는 괜찮지 않다
+여기서는 우리가 배운 교훈을 잊지 않게 해주는 전략들에 대해 논의할 것이다
+리처즈는 이전에 세 차례 우승을 했고, 뛰어난 기량과 수수께끼 같은 성격으로 경쟁이 심한 스크래블 세계에서 전설이 되었다
+그리고 이번에는 영어 십자말풀이 대회가 아니라 프랑스 세계선수권대회에서 우승하는 위업을 달성한 것이다
+대부분의 영어 사전들에는 대략 20만 개의 유효 단어가 실려 있다
+약 38만 6,000개의 유효 단어 형태가 있다
+단어의 양이 거의 두 배에 이르는 것이다
+그리고 사람들의 이목을 끄는 또 다른 사실이 있다
+바로 리처즈가 프랑스어를 한마디도 못 한다는 것이다
+긴 수염에 복고풍 고글을 낀 그는 간달프와 나폴레온 다이너마이트를 섞은 듯 보인다
+그는 20대 후반 어머니의 말에 고무되어 비교적 늦은 나이에 게임을 시작했다
+하지만 꾸준히 가지고 놀 수는 있을 거야.” 시작할 때는 그다지 전망이 좋다고 할 수 없었지만, 그는 경쟁이 심한 스크래블 세계의 맨 꼭대기 자리까지 올라갔다
+어떤 이들은 그가 역사상 가장 훌륭한 스크래블 선수라고 말하기도 한다
+당신이 세상과 담을 쌓고 사는 사람이라면 십자말풀이 형태의 스크래블을 할 것이다
+선수들은 각각 7개의 철자가 쓰인 타일 7개를 자루에서 꺼내 단어 형태를 만든다
+어려운 점은 그 단어들을 칠판에 있는 단어들과 연결시켜야 한다는 것이다
+게임을 잘하려면 일상적으로 사용되는 단어는 물론 단어 길이 때문에 유용하면서도 사람들이 잘 알지 못하는 단어까지 방대하게 기억해야 한다
+괜찮은 수준의 평범한 선수는 철자 2개짜리 유효 단어들을 빠르게 습득하는데, 여기에는 ‘AA’(용암의 종류), ‘OE’(페로제도에서 부는 폭풍)같은 범상치 않은 단어들도 포함되어 있다
+토너먼트에 출전할 수준까지 가려면 최대 7자에서 8자 정도의 짧은 단어를 모조리 암기해야 한다
+만일 한 번에 7개의 타일을 모두 사용한다면 추가 50점의 보너스(스크래블 용어로 ‘빙고’라고 한다)를 획득할 수 있다
+하지만 여기에 필요한 기술은 암기가 전부가 아니다
+다른 시합들처럼 토너먼트 형식의 스크래블 경기도 시간제 시스템이다
+따라서 숙련된 선수들은 뒤죽박죽 섞인 타일들로 유효 단어들을 만들어낼 뿐 아니라 빠르게 공간을 찾고 가장 높은 점수를 기록할 단어들을 계산해내야 한다
+그는 분명히 보이는 ‘CHILDREN’이라는 단어를 무시하고, 대신 몇 개의 십자말풀이들을 연결해서 훨씬 더 점수가 높은 ‘CHLORODYNE’이라는 단어를 만든다
+이런 리처즈의 기술은 그를 둘러싼 수수께끼 같은 분위기 때문에 더욱 유명하다
+그는 조용한 성품으로 평소엔 방 안에 틀어박혀 지낸다
+온갖 취재를 거절하고 유명세나 돈, 심지어 자신이 어떻게 그런 실력을 발휘하는지 설명하는 데도 전혀 관심이 없다
+같은 십자말풀이 선수 밥 펠트는 한 경기에서 수도승처럼 고요한 그와 마주쳤을 때 이렇게 말을 걸었다
+이번에 그는 시합에서 우승하기 전에 딱 9주간 준비를 했다
+결승에서 가봉의 셸리크 일라구 레카웨라는 프랑스어권 선수를 이긴 후 기립박수를 치는 청중에게 감사 인사를 하기 위해 통역사를 거쳐야 할 정도로 프랑스어를 말하지 못했다
+  십자말풀이 챔피언의 비결 나이절 리처즈에 관한 기사를 읽으면 읽을수록 나는 점점 흥미를 느꼈다
+그는 취재 요청들을 무시하고 우승한 비결에 대해서는 아주 간단히 말하는 것으로 유명하다
+루뱅라뇌브에서 우승했을 때 한 기자가 그에게 그 모든 단어를 기억하는 특별한 방법이 있느냐고 물었다
+이렇게 전략을 밝히지 않았지만 어쩌면 몇 가지 실마리를 파볼 수는 있을 것이다
+내가 발견한 첫 번째 사실은, 벨기에 루뱅라뇌브에서 리처즈의 승리는 무척 놀랍지만 완전히 선례가 없는 일은 아니라는 점이다
+다른 스크래블 선수들도 해당 대회의 언어에 능숙하지 않은 상태에서 우승을 한 적이 있다
+예를 들어 스크래블은 태국에서 인기가 별로 없는데, 전 우승자인 파누폴 수쟈야콘과 파콘 네미트르만수크는 영어에 능숙하지 않았다
+모국어에서 단어를 기억하는 일과 스크래블에서 단어를 기억하는 일은 암기 기술이 다르다
+언어를 발화할 때는 단어의 의미, 발음, 느낌이 중요하다
+리처즈는 프랑스어를 말하지 못하면서 프랑스어 스크래블 대회에서 우승할 수 있었는데, 이는 경기가 영어 대회와 크게 다르지 않기 때문이었다
+그는 단지 다른 철자 패턴만 기억하면 되었다
+그래도 스크래블 경기를 할 수 있는 모든 언어에는 공통점이 있다
+수수께끼 같고 익숙하지 않은 단어들을 수없이 암기해야 하며, 철자를 재조합해서 보드에 넣고 계산해 최대한의 점수를 획득하는 기술이 있어야 한다
+내가 발견한 두 번째 사실은, 리처즈가 유난히 잘하는 활동이 스크래블만은 아니라는 점이다
+초창기에 뉴질랜드의 더니든에서 토너먼트를 할 때 그는 직장에서 퇴근한 뒤 자전거를 타고 경기장까지 왔다
+그가 우승한 후 다른 선수들이 그에게 집까지 차로 태워다주겠다고 제안했는데, 그는 정중하게 거절했다
+다시 하룻밤 동안 자전거를 타고 달려서 크라이스트처치의 집으로 가겠다는 것이었다
+처음 그의 프로필에서 느꼈던 괴짜 같은 느낌, 이를테면 집에서 머리를 직접 자른다거나 취재를 꺼린다는 데서 느낀 그 느낌이 찾아왔다
+거기에 수수께끼의 일부를 푸는 열쇠가 있다는 생각이 들었다
+물론 사이클에는 대단한 암기 기술이 필요치 않다
+하지만 이는 리처즈의 성격에서 일관되게 나타나는 특징 하나를 드러내는데, 내가 만났던 울트라러너들과 겹치는 특성이기도 하다
+그가 평범한 수준을 넘어서서 극단적인 강도로 노력한다는 점이다
+그는 철자 2개짜리 단어에서 시작해 점차 철자가 많은 단어로 나아가는 목록들을 읽는 것에 대해 이렇게 말했다
+그러고 나서 사이클을 타는 몇 시간 동안 기억에서 단어를 끄집어내 계속 반복하고 또 반복한다
+다른 울트라러너들에게서도 공통적으로 나타나는 이 방식은 지금껏 다룬 울트라러닝 법칙들과도 합치한다
+단어를 인출함으로써 리처즈는 대단한 암기력을 쌓고, 이를 적극적으로 연습함으로써 난공불락의 실력으로 만든다
+그는 짧은 단어에서 시작해서 긴 단어로 갔다가, 다시 이것을 반복하면서 작업한다
+그는 자신이 단어를 시각적으로 떠올린다며, 단어를 입으로 말하는 것만으로는 외울 수가 없다고 말한다
+이 실마리들을 통해 그의 머릿속을 살짝 들여다볼 순 있지만 밝혀지지 않은 것들은 훨씬 많다
+스크래블에서 그토록 특출한 것은 그 게임에 온몸을 다 바친 결과일 수도 있다
+우리는 이 질문들에 대한 대답을 절대 알 수 없을 것이다
+리처즈의 재능이 단지 타고난 것인지, 아니면 기억력이 다른 사람들보다 나을 뿐인지 우리는 알 수 없다
+무엇보다도 그의 방식은 아무도 모를 정도로 담대하거나 독창적인 부분이 없다
+몇 시간이고 사이클을 타면서 머릿속으로 단어 목록을 복기하는 강도 높은 훈련과 강박적인 성격이 최소한 부분적으로나마 이를 설명할 수 있지 않을까 생각한다
+그가 어떤 재능을 소유했든지 간에, 그 역시 내가 이 책에서 다룬 울트라러너들의 정신을 소유하고 있는 듯하다
+그것의 가치가 무엇이든 리처즈는 전자보다 후자를 더 강조한다
+하지만 기억은 어떤 대상을 잘 배우는 데 필수다
+회계사들은 비율, 조례, 법규 등을 기억해야 한다
+의사들은 해부학에서 약물 작용에 이르기까지 수만 건의 시시콜콜한 정보들을 기억해야 한다
+이해, 직관, 실용적 기술과 같은 더 큰 개념들에 둘러싸여 있을지라도 기억은 필수적이다
+무엇이 어떻게 작용하는지, 특정한 기술을 어떻게 수행하는지 이해한다 해도 기억해낼 수 없다면 무용지물이다
+유지는 전략적으로 우리가 배운 것을 머릿속에서 새나가지 않게 하는 능력이다
+  뇌는 처음에 배운 것부터 망각한다 리처즈의 경우는 극단적인 사례지만, 그렇더라도 그의 이야기는 중대한 의미를 담고 있다
+이전에 학습한 지식에 접근하지 못하는 일은 교육자, 학생, 심리학자들에게 영원히 반복되는 문제다
+희미해진 지식은 우리가 일을 하는 데 영향을 미친다
+한 연구에서는 의사들이 일한 기간이 오래되었을수록 의학적 처치의 질이 떨어졌는데, 직업적으로 하루 종일 일하고 있음에도 의과대학 시절 저장했던 지식을 점차적으로 잊었던 것이다
+  더 경험 많은 의사들은 몇 년간 실무 경험을 하는 동안 지식과 기술이 축적되었고, 따라서 더 질 높은 의료를 제공했다고 믿었다
+하지만 증거에 따르면 의사들이 실무를 한 햇수와 그들이 제공한 의료의 질 사이에는 반비례 관계가 성립했다
+이 독창적인 연구는 나중에 더 실험적이고 견고한 연구들로 입증됐는데, 여기서 에빙하우스는 망각 곡선을 발견했다
+이 곡선은 우리가 공부를 한 다음에 어마어마하게 빨리 그 내용을 잊는 경향이 있음을 보여준다
+지식은 기하급수적으로 쇠퇴하며, 특히 학습 직후 가장 급격하게 쇠퇴한다
+하지만 시간의 흐름에 따라 이런 망각은 점차 줄어들고 잊히는 지식의 양도 줄어든다
+하지만 대부분의 구멍은 꼭대기 쪽에 있으며, 따라서 바닥에 남은 물은 훨씬 더 서서히 새나간다
+그로부터 수년 후 심리학자들은 우리의 뇌가 최초에 배웠던 것을 훨씬 많이 망각하는 이유를 설명하는 3가지 주요 이론을 규정했다
+  쇠퇴: 시간의 흐름에 따라 망각한다 망각의 첫 번째 이론은 기억이 단순히 시간의 흐름에 따라 쇠퇴한다는 것이다
+이 관념은 기억에 대한 일반적인 생각들과도 부합한다
+우리는 지난주의 사건, 뉴스, 학습 내용을 지난달의 것보다 훨씬 명확하게 기억한다
+올해 배운 것들은 10년 전에 일어났던 사건들보다 훨씬 더 정확하게 회상한다
+이렇게 생각하면 망각은 단지 시간의 흐름에 따른 필연적인 쇠락이다
+모래시계 속의 모래들처럼 우리의 기억은 계속해서 빠져나가고, 우리는 그 기억들에서 점점 멀어진다
+하지만 완전한 설명을 제공하는 이론에도 취약점은 있다
+많은 사람이 지난주 화요일 아침에 무엇을 먹었는지는 기억하지 못해도 아주 어린 시절의 사건들은 생생하게 기억할 수 있다
+이를 보면 기억이 처음에 새겨진 후 시간의 흐름을 넘어서 기억되는 대상과 잊히는 대상들에 패턴이 있음을 보여준다
+말하자면 생생하고 유의미한 대상들이 평범하거나 임의적인 정보보다 쉽게 기억나는 것이다
+단순히 쇠퇴하는 망각에 어떤 요인이 있다면 그것이 유일한 요인은 아닐 것이다
+  간섭: 새로운 기억으로 과거의 기억을 덮어쓴다 간섭은 또 다른 관념을 제공한다
+우리의 기억은 컴퓨터 파일과 달리 뇌에서 그것들이 저장된 방식으로 또 다른 기억에 겹쳐진다는 것이다
+그리하여 서로 다르지만 비슷하게 보이는 기억들은 서로 경쟁할 수 있다
+이것들은 모두 뭔가를 반복적으로 행하는 일이라는 유사점이 있지만 그 방식은 모두 다르다
+때문에 포 루프가 정확히 어떤 행위인지 기억하는 데 나머지 용어들이 간섭한다
+이런 간섭은 2가지 형태로 나뉘는데, 순행 간섭과 역행 간섭이다
+순행 간섭은 이전에 배운 정보가 새로운 정보를 받아들이기 어렵게 만들 때 일어난다
+이는 어떤 단어의 정의를 배우고 싶은데, 그 단어가 이미 머릿속에서 다른 것과 연관돼 있어서 새롭게 배우기가 어려워지는 경우다
+여기서 ‘부정적’이라는 단어는 ‘나쁜’이라는 의미가 아니라 ‘결핍된’이라는 의미다
+따라서 부정적 강화는 뭔가를 제거함으로써, 즉 고통스러운 자극 같은 것을 제거함으로써 어떤 행동을 촉구하는 일을 말한다
+하지만 ‘부정적’이라는 단어는 이미 우리 머릿속에 ‘나쁜’이라는 의미로 존재하기 때문에, 우리는 이 용어를 기억하는 데 어려움을 겪고 부정적 강화를 징벌과 동일시하기 쉽다
+역행 간섭은 새로운 뭔가를 배우는 것이 과거 기억된 것을 삭제하거나 넘어서는 경우를 말한다
+스페인어를 배운 뒤 프랑스어를 배운 사람은 역행 간섭 때문에 얼마나 힘들어질 수 있는지 안다
+다시 스페인어를 말하려고 할 때 프랑스어 단어가 튀어나오기 때문이다
+  망각된 신호: 열쇠 없이 잠긴 상자 망각에 관한 세 번째 이론은 우리의 많은 기억이 실제로는 잊히는 게 아니라 단지 꺼낼 수 없을 뿐이라는 것이다
+즉 뭔가를 기억하고 있다는 말은 그것이 기억 창고에서 인출될 수 있다는 말이다
+우리는 장기 기억 전체를 동시에 끊임없이 경험하지는 못하기 때문에 적절한 신호가 주어지면 그 정보를 건져 올리는 약간의 과정이 필요하다
+이 경우 정보를 인출하는 고리에 연결된 링크 중 하나가 (어쩌면 쇠퇴 혹은 간섭 때문에) 끊기면 전체 기억에 접근할 수 없게 된다
+하지만 신호가 다시 저장되거나 그 정보에 접근하는 다른 경로가 발견되면 우리는 지금보다 훨씬 더 많이 기억할 수 있다
+이 설명에는 또한 몇 가지 이점이 있다
+또 다른 예로, 뭔가를 다시 배우면 처음에 배웠을 때보다 훨씬 더 빨리 배울 수 있다
+최초의 학습이 완전히 새 건물을 짓는 것이라면 재학습은 보수 작업에 가깝기 때문이다
+망각된 신호 이론 역시 우리가 많은 것을 잊는 일에 관해 완전히 설명해주지는 못한다
+우리의 기억에 대한 고민들을 완전히 설명하기에 망각된 신호라는 개념은 그 자체로 문제가 있다
+기억을 다루는 많은 연구에 따르면 현재 우리가 기억하는 행위는 수동적인 과정이 아니다
+사실 정보, 사건, 지식을 회상하는 데 있어 우리는 재구축이라는 창조적인 과정에 참여한다
+기억은 기억되는 과정에서 종종 수정되고, 강화되고, 조작된다
+어쩌면 새로운 신호를 통해 인출된 ‘잃어버린’ 기억들은 실제로는 날조된 것일 수도 있다
+이는 트라우마에서 회복된 증언자들의 사례에서 흔히 볼 수 있다
+이와 관련된 실험들은 제아무리 진짜 같이 느껴지는 생생한 기억도 진실이 아닐 수 있음을 보여준다
+때문에 울트라러너들은 이런 삶의 진실에 대항하기 위해 다양한 전략들을 고안했다
+첫 번째 범주는 울트라러닝 과정에 착수하는 동안 기억 유지 문제를 다룬다
+이 범주를 비롯해 다른 수많은 범주에서는 습득된 정보량이 너무 많아서 망각이 즉시 장애물이 된다
+두 번째 범주는 프로젝트가 완료된 후 얻은 지식과 기술을 지속적으로 적용하는 일을 다룬다
+크레이그 같은 사람들은 보다 복잡한 것을 감수하고 멋진 알고리즘으로 낭비 없고 효율적으로 기억을 최적화할 정교한 전자적 시스템을 선호했다
+반면 나이절 리처즈 같은 사람들은 그들의 소박한 성향에서 성공하는 기본적인 체계를 선호했다
+다른 기간에는 말하기 능력을 유지하기 위해 대화하는 것을 선호했다
+그 방법이 무척이나 정확도가 떨어진다고 해도 말이다
+다른 주제에서는 앞으로도 계속 사용해야 하고 다시 배울 수 있는 기술들인 경우에는 오래 연습한 만큼 어느 정도 잊는 것도 즐겁게 허용한다
+내가 취한 학습법들이 이상적이라고 할 순 없지만 실수 가능성을 낮춰주고 더 쉽게 기억을 유지시키면서 잘 작동했다
+하지만 어떤 시스템이든 4가지 메커니즘 중 하나에 포함되는 것 같다
+이는 내가 MIT 챌린지를 하면서 주의했던 점이기도 하다
+처음 몇 가지 수업을 들은 뒤에 나는 한 번에 한 가지 수업을 듣는 것에서 동시에 몇 가지 수업을 듣는 것으로 바꿨다
+빡빡한 학습 시간이 기억에 미치는 영향을 줄이기 위해서였다
+10시간을 들여 뭔가를 공부한다면 하루에 10시간 공부하는 것보다 하루 한 시간씩 열흘 동안 공부하는 편이 훨씬 낫다
+하지만 학습 사이의 간격이 길어진다면 단기 기억 효과가 장기 기억 효과를 능가하기 시작한다
+10년 동안 일정한 주기 없이 무작위로 몇 차례 뭔가를 공부한다면, 두 번째 공부를 하기 전에 처음에 배웠던 내용을 완전히 잊을 수도 있다
+어떤 울트라러너들은 공백이 너무 길거나 너무 짧지 않도록, 정확한 중간 지점을 찾는 데 다소 집착한다
+학습 기간들 사이의 공백이 너무 짧으면 효율성이 떨어진다
+또 공백이 너무 길면 이미 배운 내용을 잊게 된다
+여기에 있는 일반적인 법칙은 많은 언어 학습 결과들을 반영한다
+이런 프로그램들은 기본적으로 ‘공백’ 알고리즘을 깔고 있는 경향이 있는데, 그 때문에 성가시다면 다른 프로그램을 추천한다
+SRS는 놀랍기 그지없는 도구지만 너무 애플리케이션에 집중되는 경향이 있다
+사실 정보나 일반 상식, 단어, 정의는 한 가지 답을 지닌 한 가지 문제를 제시하는 낱말 카드식 소프트웨어에 이상적이다
+이는 현실 세계에서 연습해야만 구축되는 복잡한 정보 조합에 기반한 보다 복잡한 정보 덩어리에는 적용하기 어렵다
+하지만 여전히 몇 가지 일에서는 이 기억의 병목 현상이 무척이나 빡빡해서, SRS는 이를 느슨하게 하는 데 강력한 도구가 된다
+심지어 다소 후퇴할 수 있다고 해도 그렇다
+의과대학 학생들이 보는 인기 있는 연구 지침서의 저자들은 SRS를 활용한다
+이는 의과대학 학생들이 기억해야 할 것이 너무나 많고, 망각과 재학습을 기본값으로 한 전략이 무척이나 많은 시간 투자를 요하기 때문이다
+하지만 공백 전략에는 굳이 복잡한 소프트웨어가 필요한 건 아니다
+리처즈의 이야기가 분명하게 보여주듯이, 단순히 단어 목록을 프린트하고 거듭 읽은 후 그 목록을 보지 않고 머릿속으로만 되짚어보는 일은 어마어마하게 강력한 기술이다
+이와 유사하게 어떤 기술을 반정기적으로 연습하는 일도 무척이나 도움이 될 때가 있다
+나는 1년간 언어를 공부하고 나서 그 내용을 잊지 않았는지 확인하고 싶었다
+아이토키는 전 세계적으로 상대를 바꿔가며 공부하는 교육 및 언어 학습 온라인 서비스다
+나는 1년을 이렇게 공부했고, 그 후 2년 동안은 한 달에 한 번 연습했다
+이 연습 일정이 괜찮은지는 모르겠지만 그 기간 동안 자발적으로 한 번 더 연습하는 편이 아무것도 하지 않은 것보다는 훨씬 나았다고 생각한다
+공백을 적용하는 또 다른 전략은 반정기적으로 재환기 프로젝트를 행하는 것이다
+이 전략은 우리의 일상생활 습관들에 통합되기 어려운, 보다 정교한 기술들을 더 잘할 수 있게 해준다
+나는 MIT 챌린지에 이 전략을 시도해보기로 했다
+내가 가장 유지하고 싶은 기술은 코드를 작성하는 것이었는데, 일주일에 딱 30분밖에 할 수 없었다
+이 방식은 최적의 공백 기간과는 무척이나 거리가 멀 때도 있다
+하지만 재학습으로 보강을 좀 하려고 한다면 아예 연습하지 않는 것보다는 이렇게라도 하는 게 낫다
+이런 유지 방법을 적용할 일정을 사전에 계획하는 것은 학습이 한 번에 끝나는 일이 아니라 평생 계속되는 과정임을 일깨워준다
+자전거 타기와 같은 절차적 기술은 피타고라스 정리나 사인 법칙을 아는 것 같은 서술적 지식과는 다른 방식으로 저장된다
+이렇게 ‘방법을 아는 것’과 ‘그 대상을 아는 것’ 사이의 차이는 또한 장기 기억에서 각기 다른 결과를 낸다
+자전거 타는 법을 평생 기억하는 일 같은 절차적 기술은 인출할 때 분명하게 떠올려야 하는 지식보다는 훨씬 덜 망각된다
+학습에 관한 지배적인 한 가지 이론은 대부분의 기술이 단계적으로 발전한다는 것이다
+이 말은 연습을 해나갈수록 서술적으로 시작되어 절차적으로 끝난다는 말이다
+키보드로 타이핑을 할 때 시작 단계에서는 철자들의 위치를 기억해야만 한다
+어떤 단어를 입력하고 싶을 때마다 철자를 떠올려야 하며, 키보드 위에 해당 철자가 어디 있는지 기억에서 끄집어내고 손가락을 움직여 그 키를 두드려야 한다
+키가 어디에 있는지 잊으면 자판을 내려다보며 그 키를 두드려야 한다
+하지만 연습을 거듭할수록 자판을 내려다보지 않게 된다
+나중에는 키의 위치를 생각하거나 그 키에 가 닿기 위해 손가락을 어떻게 움직여야 하는지도 생각하지 않게 된다
+심지어는 철자들을 떠올리지 않고도 그 위치에 가 닿을 수 있으며, 전체 단어가 동시에 튀어나온다
+이런 절차적 지식은 무척이나 탄탄하며 서술적 지식보다 훨씬 오래 기억되곤 한다
+가령 타이핑에 익숙해진 뒤 누군가가 키보드 위에 ‘w’ 키가 어디 있느냐고 물어본다면, 우리는 실제로 키보드의 그 위치에 손을 가져가서(혹은 그것을 상상하고) w 키를 치는 흉내를 내면서 정확하게 말할 것이다
+내가 이 문장을 타이핑할 때 내게 일어나는 일이 꼭 이렇다
+초기에는 지식, 그러니까 자판 위치에 관한 정확한 기억에 접촉한다
+그러나 이런 상황은 점차 사라지고, 이제는 우리의 운동 영역에 부호화되어 보다 지속력 있는 절차 기억을 불러와야 한다
+자주 사용하는 비밀번호나 핀코드를 입력할 때도 우리는 철자나 숫자의 정확한 조합을 떠올리는 게 아니라 느낌으로 떠올린다
+절차적 지식이 더 오랫동안 저장된다는 사실을 고려해, 한 가지 유용한 체험 학습 방법을 생각할 수 있다
+대량의 지식이나 기술을 균등하게 공부하기보다 일부 핵심 정보에 훨씬 자주 초점을 맞춰 공부하는 것이다
+그러면 이는 절차적 지식이 되어 더욱 오래 저장될 수 있다
+룸메이트와 내가 언어 학습 프로젝트를 할 때도 이런 의도치 않은 부수적 효과가 나타났다
+지속적으로 언어를 말해야 하는 상황이 되자, 일부 문장과 패턴을 자주 반복하게 되어 우리 둘 다 그것들을 잊지 않게 된 것이다
+사용된 단어나 문장들의 빈도수가 덜하다면 상황이 다를 수도 있지만 회화 연습의 시작 단계에서는 망각이 거의 불가능하다
+고전적인 언어 학습 방식에서는, 다시 말해 초급 단어와 문법에서 더 복잡한 단어나 문법으로 옮겨 간 학생들은 다르다
+이런 핵심 패턴들은 반복 연습을 하지 않고서는 몇 년씩 기억에 달라붙어 있지 않는다
+핵심 기술을 완전히 절차화하지 못한 일은 내가 처음 시도한 자기주도 학습인 MIT 챌린지의 주요 흠결이었다
+나는 이후 언어 학습 프로젝트와 초상화 그리기 프로젝트를 할 때는 이를 강화했다
+MIT 챌린지는 자주 반복되는 수학과 프로그래밍 기술을 주로 다루긴 했지만, 이를 절차화하는 것은 응용컴퓨터공학의 필수적인 기술들 대부분을 자동화하는 의식적 판단을 내리는 일보다 훨씬 무작위적인 일이다
+우리가 배운 대부분의 기술은 완전하게 절차화할 수 없다
+그중 일부를 자동적으로 행할 수는 있겠지만 대부분은 머릿속을 활발하게 탐색해야만 한다
+하지만 지수나 삼각법에 관해서는 조금 더 생각을 해야 할 수 있다
+어떤 기술들은 그 자체의 특성 때문에 완전히 자동화할 수 없다
+이 때문에 더 오랜 시간 착실하게 얻어진 지식과 잘 잊히는 다른 지식들이 뒤섞인다
+여기서 나올 수 있는 한 가지 전략은 실행이 끝나기 전에 특정한 양의 지식을 완전히 절차화하는 것이다
+또 다른 방법은 어떤 기술을 절차화하는 데 추가적인 노력을 하는 것이다
+이는 다른 지식에 관해서는 신호나 접근 지점이 된다
+예를 들어 새로운 프로그래밍 프로젝트를 시작하기 위해 사용하는 과정을 완전히 절차화하기로 목표를 세웠다면, 새로운 프로그램을 짜는 과정 속에서 그 일을 처리할 수 있다
+이런 전략들은 다소 투기적이지만 나는 지식의 서술적-절차적 이행을 가능하게 하는 많은 방식을 장래의 울트라러닝에 활용할 수 있으리라고 생각한다
+초과 학습: 더 연습할수록 완벽해진다 초과 학습은 많이 연구된 심리학적 현상으로, 이해하기도 무척 쉽다
+어떤 내용을 충분히 익히는 데 필요한 것 이상으로 연습을 더하면 기억이 더 오래 저장될 수 있다는 것이다
+이와 관련된 전형적인 실험 설계는 피험자에게 라이플총을 조립한다든지 응급 상황 점검표를 살펴보게 하는 등 한 가지 과제를 주고 이를 정확히 해낼 수 있도록 연습 시간을 충분히 주는 것이다
+피험자가 정확히 실행하면 그다음에는 각기 다른 양의 초과 학습을 허용하거나 계속 연습할 수 있게 해준다
+피험자들은 이미 그 기술을 정확히 시도했기 때문에 이 시점에서 수행 능력이 전보다 나아지지는 않는다
+하지만 초과 학습은 그 기술의 지속 기간을 늘려준다
+일반적인 경우 초과 학습으로 인한 지속성은 무척 짧을 수 있다
+한 번에 약간 더 연습하는 것은 한두 주 정도 기억을 더 유지시킨다
+이는 초과 학습이 애초에 단기적 현상임을 의미한다
+그래서 응급 처치나 응급 대응 매뉴얼 같은 기술, 즉 연습을 거의 할 수 없지만 정기적인 훈련 기간들 사이사이에 환기해야 하는 일들에 유용하다
+하지만 나는 초과 학습이 훨씬 장기적인 프로젝트를 통해 공백이나 절차화 방식과 결합된다면 장기적인 영향을 미칠 수 있지 않을까 생각한다
+초상화 그리기 프로젝트를 할 때 나는 비트루비안 스튜디오에서 배운 얼굴 특징들을 배치할 때의 사고 과정을 잊기 어려울 만큼 수없이 반복했다
+또한 프로그래밍이나 수학에서 반사적으로 튀어나오는 어떤 일들은 중간에 연습한 적이 없었음에도 MIT 챌린지 덕분에 아직도 쉽게 기억에서 끄집어낼 수 있다
+그것들이 당시 정확한 수행에 필요한 것 이상으로 많이 반복해서 패턴화가 되었기 때문이다
+초과 학습은 직접 하기 법칙과 멋지게 들어맞는다
+기술을 직접 사용하는 건 특정 핵심 능력들을 초과 연습하는 것과 연관 있으며, 이는 대개 몇 년이 지난 뒤에도 망각에 저항하기 때문이다
+반대로 공교육에서는 전체 교과과정을 다루기 위해 각 교과나 분야에서 최소한의 역량을 갖출 수 있도록 전체적으로 고르게 연습을 시킨다
+그동안 만나본 사람 중 내가 습득한 외국어를 공교육을 통해 배운 이들은 나보다 어휘나 문법적인 차이들을 훨씬 많이 알고 있었다
+하지만 이들은 무척이나 기초적인 구문에서 발이 걸려 넘어졌다
+공통적인 패턴을 이루는 요소들을 파고들기보다는 전반적인 내용과 기술을 골고루 배웠기 때문이다
+초과 학습 전략을 적용할 때 나는 2가지 주요 방법을 사용했다
+첫 번째는 핵심 연습으로, 어떤 기술의 핵심 요소들을 꾸준히 연습하고 제련하는 것이다
+두 번째 전략은 고급 과정의 연습으로, 보다 상위 수준에서 하위 기술의 핵심 부분들을 연습하는 것이다
+즉 좀 더 어려운 영역에서 작은 기술들을 사용하는 것이다
+대수학을 공부하는 학생들에 관한 한 연구는 이 두 번째 전략의 결과를 보여준다
+대수학 수업을 들었던 학생들에게 몇 년 후 다시 시험을 치르게 하자 대부분 자신이 배운 것을 거의 다 잊어버렸다
+정보가 진짜로 사라져서일 수도 있고, 단순히 망각 신호가 그 지식의 많은 부분에 접근하지 못하게 만들어서일 수도 있다
+흥미롭게도, 망각되는 비율은 성적이 좋은 학생과 나쁜 학생이 똑같았다
+더 잘하는 학생들이 못하는 학생들보다 더 오래 기억하기는 했지만 망각되는 비율은 똑같았던 것이다
+하지만 한 집단은 이런 급격한 망각 곡선을 보이지 않았다
+이는 더 고급 수준으로 올라가자 이전의 기술이 초과 학습되어서, 망각을 다소 가로막은 것이다
+여기서는 연상 기호 전략의 특징과 일부 예시만을 살펴볼 것이다
+이 전략들의 공통점은 우선 무척이나 특화적인 경향이 있다는 점이다
+다시 말해 정보의 아주 특정한 패턴들을 기억하도록 고안된 전략이라는 말이다
+또한 이 전략들은 대체로 추상적이거나 자의적인 정보를 생생한 그림이나 공간적인 지도로 변환하는 것과 관련이 있다
+연상 기호가 내는 결과들은 대개 믿기 어려울 정도다
+수학 정수 파이의 수를 기억하는 것에 관한 세계기록 보유자인 라즈비어 메나는 7만 개의 소수를 암기했다고 알려져 있다
+기억력 대회에 출전하는 연상술의 달인들은 60초 안에 한 벌의 카드 순서를 외우고, 시 한 구를 1~2분만 보고 몽땅 외운다
+더 인상적인 사실은 인내심만 있다면 이 역시 배울 수 있는 기술이라는 점이다
+외국어 단어를 자신의 모국어에서 소리가 비슷한 단어로 변환시키는 방법이다
+나는 프랑스어를 배울 때 이 방법을 썼다
+원래 단어를 떠올리는 데 효율적인 신호로 작동하도록 소리가 비슷한 단어로 바꾼 것이다
+다음으로 나는 소리가 비슷한 단어와 그 변환 단어의 이미지를 독특하고 잊기 어려운 생생한 배경 이미지와 결합시켰다
+위 단어의 경우 나는 뒤집힌 배에 앉아서 긴 수염을 면도 중인 거대한 귀를 상상했다
+그러고 나서 ‘뒤집히다’라는 뜻의 프랑스어를 생각해내야 할 때면 뒤집힌 배를 떠올리고, ‘셰이빙 언 이어’를 연상시키는 구체적인 그림을 끄집어냈다
+연습을 하다 보면 이런 유형의 변환을 하는 데 각각 15~20초밖에 들지 않으며, 외국어 단어를 기억하는 데 도움이 된다
+하지만 목록, 숫자, 지도, 절차적 단계에서 작동하는 연상법은 따로 있다
+연상 기호들은 무척 잘 작동하고 누구나 연습할 수 있다
+이것은 잘 모르고 있던 사람들에게 새로운 가능성들을 열어줄 수 있다
+하지만 많은 시간을 들여 연상 기호를 탐색해보고 현실 세계의 학습법으로 적용해보면 처음 생각했던 것보다는 협소하게 적용될 수 있고 때론 번거로운 일이 될 수도 있다
+내가 보기에 연상 기호 전략에는 2가지 단점이 있다
+그 투자를 하고 나면 숫자들을 쉽게 암기할 수 있지만 실제로 유용한 일은 아니다
+우리 사회 대부분은 사람들이 일반적으로 숫자들을 암기할 수 없다는 사실에 맞춰져 있다
+그래서 우리는 종이나 컴퓨터로 그 일을 한다
+두 번째 단점은 연상 기호로 기억을 끄집어내는 건 뭔가를 직접 기억해내는 것만큼 자동적이지 않은 경우가 많다는 점이다
+외국어 단어에 관한 연상 기호를 만들어두면 그 단어를 전혀 기억하지 못하는 것보다야 낫지만, 연상 기호로 암기된 단어들 외에 다른 단어들로 문장을 만들려면 속도가 느릴 수밖에 없다
+연상 기호들은 기억하기 어려운 정보를 위한 다리 역할을 할 수 있지만, 영원히 지속될 기억들을 만들어내는 최종 단계는 아니다
+따라서 연상 기호는 매우 강력하지만 다소 불안정한 도구다
+또는 정보가 무척이나 조밀할 때 초기 정보 습득을 매끄럽게 해주는 중간적인 전략으로 사용할 수 있다
+내게 연상 기호는 언어 공부나 전문 용어를 습득할 때 유용했다
+전부를 기억할 방법이 없다고 느껴질 때 SRS와 함께 사용하면 꽤 깊이 기억하는 데 효율적이었다
+실제로 세상에 종이, 컴퓨터, 기타 외부 기억 장치들이 나타나기 이전에 연상 기억술은 마을에서 주요한 게임이었다
+하지만 대부분의 사람이 컴퓨터처럼 기억할 수 없다는 사실에 관한 훌륭한 대응 메커니즘이 개발된 현대 사회에서는 연상 기호가 학습 방식이라기보다는 멋진 마법처럼 사용되고 있는 듯 보인다
+하지만 여전히 이 기술을 맹렬하게 사용하는 울트라러너들도 있으며, 내 생각이 최종 평결은 아니다
+이 과정은 우리 모두에게서 일어나고 있으며 완전히 피할 방도는 없다
+하지만 공백, 절차화, 초과 학습, 연상 기호 등 특정한 전략들로 단기적이고 장기적인 망각에 맞서고, 기억에 거대한 차이를 만들어낼 수 있다
+나는 스크래블을 정복한 나이절 리처즈의 수수께끼로 이 장을 시작했다
+그가 수많은 단어를 빨리 기억해내고, 그 단어들을 스크래블 타일 한 묶음으로 보는 비결은 아직 수수께끼다
+그러나 그에 대한 또 다른 사실들은 기억 집약적인 주제를 공부하는 울트라러닝 프로젝트와 유사한 측면이 있다
+적극적인 회상, 공백 있는 리허설, 강도 높은 연습과 강박적인 헌신이 그것이다
+당신이나 내가 리처즈보다 훨씬 더 멀리 갈 수 있을지는 아직 알 수 없다
+하지만 노력과 좋은 전략이 있다면 망각과의 싸움에서 지고만 있지는 않을 것이다
+리처즈의 스크래블 연습은 의미도 모르는 단어를 기억하는 데 도움이 되었지만, 실제 우리의 삶은 다른 종류의 기억에 보상을 해준다
+지식을 사물을 깊이 이해하는 데 통합시키는 것이다
+십자말풀이 챔피언의 비결 나이절 리처즈에 관한 기사를 읽으면 읽을수록 나는 점점 흥미를 느꼈다
+하지만 파인만을 아는 사람들은 그가 마법사라고 말한다
+파인만은 다른 사람들이 몇 달 동안 애쓰고 있던 문제들에 즉시 해답을 내는 사람이었다
+고교 시절 그는 수학경시대회에 나간 적이 있는데 종종 문제가 언급되고 있는 도중에 정답을 말하곤 했다
+다른 참가자들은 계산을 막 시작했는데 그는 이미 답에 동그라미를 그리고 있었다
+대학 시절 그는 우승자가 하버드대학교를 선택하면 장학금을 받을 수 있는 퍼트넘 수학경시대회에 나간 적이 있다
+이 대회는 어렵기로 악명이 높았는데, 이전에 배웠던 법칙들을 직접적으로 활용하는 문제가 아니라 꾀바르게 꼰 문제를 냈기 때문이다
+어떤 문제는 평균 문제 풀이 시간이 0이었다
+즉 참가자들이 정답을 하나도 내지 못했다는 뜻이다
+하지만 파인만은 일찌감치 시험장 밖으로 걸어 나갔고, 그는 1위를 했다
+그런데 그는 늘 파인만에게 제일 먼저 찾아와 대화를 청했다
+어린 시절 그는 사람들의 라디오를 고쳐주고 다녔는데, 대공황 시기에는 수리 비용이 무척이나 비쌌던 데다가 그는 사람들이 혀를 내두를 만큼 수리를 잘했다
+한번은 수리할 라디오를 켰는데 끔찍한 소리가 나서 그는 원인을 알아내려고 골똘히 생각하고 있었다
+한번은 장난으로 연장자인 동료의 파일 캐비닛 자물쇠를 땄는데, 거기에는 핵폭탄을 만드는 기밀문서가 들어 있었다
+나중에 그는 군 장교에게 자물쇠 따는 기술을 보여주었고, 그 장교는 보안 규칙을 수정하는 대신 파인만이 그들의 금고를 열 것이라고 경고하는 적절한 방안을 만들어냈다
+브라질 여행을 할 때 그는 주판 영업사원에게 정면으로 맞선 적이 있는데 1,729.03의 세제곱근 같은 어려운 숫자들을 계산해냈다
+그는 정답인 12.002를 답으로 냈을 뿐만 아니라 주판 영업사원보다 더 많은 소수점 자리까지 계산해냈다
+그가 숫자 다섯 개를 보여주었을 때 영업사원은 아직 12를 계산 중이었다
+그는 누구든 10초 안에 10퍼센트의 오차 이내로 말할 수 있는 문제에 관해 자신은 1분 안에 정답을 말할 수 있다고 주장했다
+그러나 마술의 트릭은 무엇보다도 그 마술이 어떻게 행해졌는지 모를 때 가장 빛이 난다
+어쩌면 이것이 그토록 많은 사람이 그의 비법을 알기보다는 그의 마술에만 집중하는 이유일지도 모른다
+파인만이 무척이나 영리하기는 했지만 그의 마술에는 약간의 간극이 있다
+그는 수학과 물리학에는 탁월했지만 그 외에는 영 소질이 없었다
+그의 대학 시절 역사 성적은 과에서 밑에서 다섯 번째였고, 문학 성적은 밑에서 여섯 번째, 미술 성적은 동기들 중 하위 7퍼센트도 안 되었다
+심지어 시험을 통과하기 위해 커닝 쪽지를 만든 적도 있었다
+대학 졸업자들의 평균은 115로, 파인만은 보통보다 약간 높은 수준이었다
+어쩌면 훗날 사람들의 이야기처럼 파인만의 천재성은 아이큐 지수로는 측정될 수 없는 것이었거나 그저 그가 시험을 잘못 치른 것일 수도 있다
+이런 일화들은 파인만이 사실은 보통 사람이었음을 말해준다
+비결은 특정한 계산 결과에 대한 비상한 기억력과 수에 관한 직관으로, 이것들을 보정하기만 하면 된다
+하지만 파인만을 연구한 학자들 몇몇은 여전히 그의 계산 능력을 마술 같은 능력으로 여긴다
+자물쇠가 작동하는 조합이 어떤 것인지 알아내는 데 몰두하던 파인만은 어느 날 금고가 열렸을 때 마지막 비밀번호 두 개를 알아냈다
+그 동료의 방을 떠나기 전에 그는 공책에 그 숫자 두 개를 적어 넣었고, 나중에 다시 살금살금 그 방으로 들어가서 다소의 인내심을 가지고 남은 숫자들을 알아냈다
+그리고 금고 안에 불길한 쪽지를 남겨둔 것이다
+그는 물리학에 관한 마술적 직관에 관해서도 이렇게 설명한다
+더 많은 정보가 주어질수록 그것을 자신이 떠올린 예시를 통해 살펴본다
+그러면 말하는 상대방이 실수를 저질렀을 때 그것을 알 수 있다
+그러고 나서 그 공들에서 색이 생기고, 털이 숭숭 돋아나고, 뭐 이런 식으로 제 머릿속에서 그것들의 조건이 점점 더 많아집니다
+나는 그의 정신이 우리 같은 사람들과는 근본적으로 다른 방식으로 작동한다는 생각을 폄하하는 것도, 그의 위업을 부인하는 것도 아니다
+파인만의 날랜 솜씨 뒤에 있는 논리를 알고 있어도 나는 그가 손쉽게 했던 계산을 할 수 없을 것이며, 내 머리로는 그의 복잡한 이론을 따라갈 수 없을 것이다
+이 정도 설명으로는 만족스러운 ‘유레카’의 순간을 맞이할 수 없다
+그러니까 마술사의 트릭을 밝혀내지 못할 거라는 말이다
+따라서 우리는 파인만 같은 사람이 이런 믿기지 않는 직관을 어떻게 계발할 수 있었는지 더욱 깊이 파봐야 한다
+한 연구에서는 상급 박사와 물리학과 학부생에게 물리학 문제들을 주고 분류시켰다
+여기서 우리는 이들이 어떤 물리학 법칙으로 그 문제를 분류했음을 대략 알 수 있다
+문제의 표면적 특징은 그것을 풀어야 하는 올바른 절차와 관계없다
+학생들은 시행착오를 거치며 그 문제를 풀 올바른 절차를 알아나가지만, 전문가들은 즉시 올바른 방식으로 접근하며 시작한다
+문제 풀이에 관한 경험이 충분히 축적돼야만 다른 문제를 풀 방법에 관한 정신적 모형이 구축될 수 있다
+문제를 다루는 수많은 경험들이 조직화된 생성물이라는 말이다
+또 다른 연구에서는 체스 선수들과 초급자들을 비교했는데, 이 연구는 왜 이런 일이 벌어지는지에 대한 설명을 제공한다
+체스 마스터들과 초급자들 간에 체스 말의 위치를 기억하게 한 실험으로, 체스 배열을 본 뒤에 빈 체스판 위에 복기하는 실험이었다
+체스 마스터들은 초급자보다 훨씬 많은 것을 기억했다
+초급자들은 하나씩 체스 말을 놓았고, 대개 그 위를 다 기억해내지 못했다
+반대로 마스터들은 패턴으로 인지하고 그에 따라 판 위에 체스 말들을 뭉텅이로 기억했다
+심리학자들은 체스 마스터가 초급자들과 다른 점은 그들이 몇 수 앞서 계산할 수 있다는 게 아니라, 실제 경기를 통해 나온 정신적 표상들로 거대한 도서관을 세운 것이라는 이론을 제시했다
+연구자들은 전문가의 위치에 도달하기 위해서는 이런 정신적 뭉텅이들이 약 5만 개 정도 저장되어 있어야 한다고 추정했다
+이런 표상들은 그들이 복잡한 체스 배열을 보고 몇 가지 패턴으로 축소해서 직관적으로 기억하게 한다
+‘의도적 훈련’ 모형을 주장한 심리학자 안데르스 에릭슨은 ‘장기 작업 기억’이라고 불리는 대안적인 모형을 선호한다
+하지만 이런 체스 마스터들의 기술은 실제 게임에서 나타나는 패턴에 따라 달라진다
+초급자들과 전문가들에게 무작위로 배열된 체스 판을 제시하자(일반적인 게임에서 발생하지 않는 배열로), 전문가들은 더 이상 이 같은 장점을 보여주지 못했다
+그들은 패턴의 도서관을 갖추지 못한 초급자들처럼 체스 말을 개별적으로 기억했다
+이 연구는 파인만처럼 위대한 직관주의자들의 정신이 어떻게 운용되는지 어렴풋한 실마리를 전해준다
+파인만 역시 먼저 법칙에 초점을 맞추고, 사례들의 표면적인 특징을 보지 않고 그것을 해체해 문제가 나타내는 것이 무엇인지 그 핵심으로 곧장 들어갔다
+이렇게 할 수 있는 능력은 물리학적・수학적 패턴들이 저장된 방대한 도서관에서 세워진 것이다
+우리에게는 무척이나 인상적이지만 그에게는 별일 아니었던 대단한 암산 능력은 그가 수많은 수학적 패턴들을 알고 있는 덕분이었다
+하지만 그의 직관 역시 이런 가정들과 관계없는 주제에서는 빛을 발하지 못했다
+파인만의 수학자 친구들이 반직관적인 수학적 정리들을 가지고 그를 시험한 적이 있었다
+그 방법의 특징(예를 들어 무한한 수의 작은 조각들로 잘릴 수 있는 물체 같은 것)이 일반적인 물리학 법칙에서 벗어나자 그의 직관은 발휘되지 않았다
+파인만의 마술은 수년 동안 수학적·물리학적 패턴을 가지고 논 데서 만들어진 비상한 직관이었다
+깊이 있는 직관을 기르는 법 깊이 있는 직관을 형성하는 데는 단순히 시간을 많이 들여 공부하는 것만으로는 충분치 않다
+그는 학생들이 특정한 문제에 대한 해답을 잘 기억하고 있으면서도 교과서 바깥 영역에 적용하는 데는 실패하는 모습을 수없이 보았다
+학창 시절 그는 반 친구들이 곡선제도용 운형자를 어떻게 붙잡고 있는지와 관계없이 그 끝이 수평선으로 접선接線되기 때문에 특별한 것이라고 믿게끔 속인 적이 있었다
+하지만 반 친구들은 이것이 매끈한 형태에서 참이며, 미적분 초급 내용이라는 사실을 알아야 했다
+파인만은 학생들이 이미 배운 것을 교과서 밖의 문제와 연결시키지 못한다는 불안정한 학습의 예로 이 일화를 들었다