• Skip to content
  • Skip to secondary menu
  • Skip to primary sidebar
  • Skip to footer

ㅍㅍㅅㅅ

필자와 독자의 경계가 없는 이슈 큐레이팅 매거진

  • Home
  • 스타트업
    • 마케팅
    • 투자
  • 시사
    • 경제
    • 국제
    • 군사
    • 사회
    • 언론
    • 역사
    • 정치
    • 종교
  • 문화
    • 게임
    • 교육
    • 덕후
    • 만화
    • 스포츠
    • 애니
    • 연예
    • 영화
    • 인문
    • 음악
    • 책
    • 학문
  • 테크
    • IT
    • SNS
    • 개발
    • 공학
    • 과학
    • 디자인
    • 의학
    • 환경
  • 생활
    • 건강
    • 부모
    • 성인
    • 여행
    • 영어
    • 음식
    • 패션
  • 특집
    • 개드립
    • 인터뷰
  • 전체글

기술이 쉬워지는 두 가지 기준

2019년 1월 8일 by 강명훈

다니던 회사가 보안 인증 심사 대상에 포함됐다든지 하는 이유로 하루아침에 보안 담당자가 되신 분들이 업무의 어려움, 특히 제품 선정 등의 어려움을 토로할 때가 있다. 그럴 때 두 가지 기준만 세워두면 기술 배경 몰라도 보안 그리 어렵지 않다는 얘기를 건넨다. 그간 기술자로 일하면서 쪽팔리지 않으려 발버둥 치다 보니 자연스럽게 갖게 된 기준.

내가 보안 담당자라니

1. 뭐가 좋아지는가?

사는 이 입장에서는 다 비슷해 보이는데 파는 이는 서로 자기네가 최고라 하니 헷갈릴 수밖에 없다. 자동차 연비처럼 상식적인 지표가 있는 것도 아니고. 그럴 땐 단도직입적으로 물어보면 된다. 해당 제품 도입하면 뭐가 좋아지냐는 질문에 우물쭈물하면 뭐가 좋아지는지 모른다는 얘기. 얼른 재껴서 선택지를 좁히자.

하지만 남의 돈 먹기가 어디 그리 쉬울까? 그 정도 대비도 없는 판매자는 드물다. 대신 동문서답은 종종 나온다. 속도가 빨라지니, 처리량이 늘어나니 등등. 물론 원래 목적이 속도나 처리량 개선이라면 상관없지만 보안 관점의 개선 포인트가 아니라고 생각된다면? 다시 물어보면 된다. ‘그러면 뭐가 좋아지냐고’.

2. 얼마나 좋아지는가?

대충 걸러졌으면 이제 진짜 중요한 걸 물어보자. 뭐가 좋아지냐 물으면 보통 보안 통합 관리, 위협 가시성 확보, 상관분석, 선제적 대응, 거버넌스 체계 등등 듣기만 해도 황홀해지는 미사여구의 향연이 펼쳐진다. 이런 효과가 뜬구름 잡는 얘기로 끝나지 않으려면 제품 도입 전 대비 얼마나 좋아졌는지 정량적으로 측정할 수 있어야 한다. 현재 수준과 도입 후 수준을 측정한 후 비교할 수 있어야 한다는 얘기.

물론 세상에는 구체적인 수치 측정이 어려운 정성적인 분야도 많다. 하지만 인간의 뇌 신경 측정도 가능한 세상에 살면서 기술 분야에서 수치 측정이 어렵다? 점수를 매기지 못하는 기술을 좋은 의미로 예술이라 부른다. 수준을 측정하지 못하는 기술은 예술의 경지에 오를 정도로 뛰어난 기술일까? 아니면 기술을 잘 모르는 걸까?

 

올바른 답을 얻으려면 올바른 질문을 해야 한다

당신이 말하는 것을 측정하지 못하고, 숫자로 나타내지 못한다면 당신은 그것을 모르는 것이다.

  • 윌리엄 톰슨 켈빈

1년 모자란 20년째 IT 분야에서 일하면서 아직 기술을 선택할 때 뭐가, 얼마나 좋아지느냐는 질문보다 더 효과적인 질문은 들어보지 못한 듯하다. 제안받은 기술이 목적에 부합한다면, 이제 기술 구현 결과를 수치로 보여줄 수 있는지만 따지면 되며, 자세한 기술 배경 같은 건 몰라도 된다.

사실 어설프게 아느니 차라리 아예 모르는 게 낫다. 도구인 기술에 매달리느라 정작 목적을 잃어버리는 경우를 워낙 자주 봐서(…) 쥐를 잡아야 하는데 얼마나 날쌘지, 이빨은 얼마나 날카롭고, 혈통은 또 얼마나 좋은지 자랑만 늘어놓는 고양이가 좋을까? 아니면 검은 고양이든 흰 고양이든 쥐를 잡고 그 수치를 알려주는 고양이가 좋을까?

사실 문제는 고양이가 아님. 오랫동안 기술은 돈을 버는 데 얼마나 도움이 되느냐는 질문의 답이 되어 왔다. 뭐가, 얼마나 좋아지느냐는 질문은 보안 이전에 모든 기술 분야에서 통용된다는 뜻. 그런데 보안은 원래 돈을 버는 대신 까먹는 분야.

버라이즌(Verizon)의 데이터 침해 사고 보고서에 따르면, 로그와 경고를 제대로 모니터링 했다면 방지를 하거나 문제점을 더 빨리 발견했을 사고가 전체의 90%에 달한다. […] 기업은 과감하게 자본재를 매입한다. 그러나 운영 비용과 인력 증가를 꺼린다.

  • 「보안 전문가들이 감수해야 하는 6가지 불편한 진실」, ITWorld Korea

이렇듯 컴퓨터 원천기술은 물론 천문학적 징벌 배상을 자랑하는 미국도 컴플라이언스 대응 이상의 투자에는 인색하다. 돈만 까먹으니까. 컴플라이언스라고 하니깐 뭔가 어렵고 복잡해 보이지만 간단히 얘기하면 법적 규제. 간단한 해결이 가능한데 누가 복잡하게 대응하려고 할까?

  • 역대급 개인정보 유출사건의 판결, 어떻게 변해왔나
  • 컴플라이언스와 보안은 어떻게 다른가

이런 환경에서 잘하기도 힘들고, 잘한다 한들 별로 알아주지도 않는다. 왜 시키지도 않은 쥐를 잡느냐고 구박이나 안 당하면 다행. 그래서일까? 보안 분야에서 기술 구현 결과를 측정하고 수치를 공개하는 사례를 본 적이 없다. 보신 분 제보 좀.

전 세계는 미국 기술 갖다 쓰기 바쁘다. 모두가 미국은 어떻게 하나 주시한다. 이런 상황에서 더 잘하길 바라는 건 욕심. 그래서 미국이 먼저 보안을 측정하기 전에는 누구도 그런 시도를 하지 않을 것이다. 기술 사대주의로 보일 수도 있지만 현실이 그런 걸 뭐(…)

좋은 팁 하나 알려줄 것처럼 하더니 이 반전 뭐냐고 분개하는 분들 있을 듯. 그래도 기술을 선택해야 할 때, 낯선 기술 배경에서 최선과 차선, 최악과 차악을 구분해야 할 때 저 기준을 떠올린다면 도움이 좀 되지 않을까?

원문: Easy to analyze if you can arrange data

Filed Under: IT, 스타트업, 테크

필자 강명훈 twitter twitter

4년간의 시스템 엔지니어 경험만으로 용케 아직까지 정보보안 분야에 종사 중. 사고 분석이 아닌 데이터 분석 관점의 보안 솔루션 활용 방안에 관심 많음. 『엘라스틱서치로 알아보는 이상징후 분석』 『데이터 분석이 쉬워지는 정규표현식』 『빅데이터 분석으로 살펴본 IDS와 보안관제의 완성』 세 권의 책을 썼다.

Primary Sidebar

SPONSORED

RECOMMENDED

Footer

ㅍㅍㅅㅅ

등록번호: 서울, 아03293
등록일자: 2014년 8월 18일
제호: ㅍㅍㅅㅅ
발행인: 이승환
편집인: 이승환
주소: 서울특별시 서초구 강남대로 369 12층
발행일자: 2014년 8월 18일
전화번호: 010-2494-1884
청소년보호책임자: 이승환
Privacy Policy

Copyright © 2025 · Magazine Pro on Genesis Framework · WordPress · Log in