다니던 회사가 보안 인증 심사 대상에 포함됐다든지 하는 이유로 하루아침에 보안 담당자가 되신 분들이 업무의 어려움, 특히 제품 선정 등의 어려움을 토로할 때가 있다. 그럴 때 두 가지 기준만 세워두면 기술 배경 몰라도 보안 그리 어렵지 않다는 얘기를 건넨다. 그간 기술자로 일하면서 쪽팔리지 않으려 발버둥 치다 보니 자연스럽게 갖게 된 기준.
1. 뭐가 좋아지는가?
사는 이 입장에서는 다 비슷해 보이는데 파는 이는 서로 자기네가 최고라 하니 헷갈릴 수밖에 없다. 자동차 연비처럼 상식적인 지표가 있는 것도 아니고. 그럴 땐 단도직입적으로 물어보면 된다. 해당 제품 도입하면 뭐가 좋아지냐는 질문에 우물쭈물하면 뭐가 좋아지는지 모른다는 얘기. 얼른 재껴서 선택지를 좁히자.
하지만 남의 돈 먹기가 어디 그리 쉬울까? 그 정도 대비도 없는 판매자는 드물다. 대신 동문서답은 종종 나온다. 속도가 빨라지니, 처리량이 늘어나니 등등. 물론 원래 목적이 속도나 처리량 개선이라면 상관없지만 보안 관점의 개선 포인트가 아니라고 생각된다면? 다시 물어보면 된다. ‘그러면 뭐가 좋아지냐고’.
2. 얼마나 좋아지는가?
대충 걸러졌으면 이제 진짜 중요한 걸 물어보자. 뭐가 좋아지냐 물으면 보통 보안 통합 관리, 위협 가시성 확보, 상관분석, 선제적 대응, 거버넌스 체계 등등 듣기만 해도 황홀해지는 미사여구의 향연이 펼쳐진다. 이런 효과가 뜬구름 잡는 얘기로 끝나지 않으려면 제품 도입 전 대비 얼마나 좋아졌는지 정량적으로 측정할 수 있어야 한다. 현재 수준과 도입 후 수준을 측정한 후 비교할 수 있어야 한다는 얘기.
물론 세상에는 구체적인 수치 측정이 어려운 정성적인 분야도 많다. 하지만 인간의 뇌 신경 측정도 가능한 세상에 살면서 기술 분야에서 수치 측정이 어렵다? 점수를 매기지 못하는 기술을 좋은 의미로 예술이라 부른다. 수준을 측정하지 못하는 기술은 예술의 경지에 오를 정도로 뛰어난 기술일까? 아니면 기술을 잘 모르는 걸까?
올바른 답을 얻으려면 올바른 질문을 해야 한다
당신이 말하는 것을 측정하지 못하고, 숫자로 나타내지 못한다면 당신은 그것을 모르는 것이다.
- 윌리엄 톰슨 켈빈
1년 모자란 20년째 IT 분야에서 일하면서 아직 기술을 선택할 때 뭐가, 얼마나 좋아지느냐는 질문보다 더 효과적인 질문은 들어보지 못한 듯하다. 제안받은 기술이 목적에 부합한다면, 이제 기술 구현 결과를 수치로 보여줄 수 있는지만 따지면 되며, 자세한 기술 배경 같은 건 몰라도 된다.
사실 어설프게 아느니 차라리 아예 모르는 게 낫다. 도구인 기술에 매달리느라 정작 목적을 잃어버리는 경우를 워낙 자주 봐서(…) 쥐를 잡아야 하는데 얼마나 날쌘지, 이빨은 얼마나 날카롭고, 혈통은 또 얼마나 좋은지 자랑만 늘어놓는 고양이가 좋을까? 아니면 검은 고양이든 흰 고양이든 쥐를 잡고 그 수치를 알려주는 고양이가 좋을까?
사실 문제는 고양이가 아님. 오랫동안 기술은 돈을 버는 데 얼마나 도움이 되느냐는 질문의 답이 되어 왔다. 뭐가, 얼마나 좋아지느냐는 질문은 보안 이전에 모든 기술 분야에서 통용된다는 뜻. 그런데 보안은 원래 돈을 버는 대신 까먹는 분야.
버라이즌(Verizon)의 데이터 침해 사고 보고서에 따르면, 로그와 경고를 제대로 모니터링 했다면 방지를 하거나 문제점을 더 빨리 발견했을 사고가 전체의 90%에 달한다. […] 기업은 과감하게 자본재를 매입한다. 그러나 운영 비용과 인력 증가를 꺼린다.
- 「보안 전문가들이 감수해야 하는 6가지 불편한 진실」, ITWorld Korea
이렇듯 컴퓨터 원천기술은 물론 천문학적 징벌 배상을 자랑하는 미국도 컴플라이언스 대응 이상의 투자에는 인색하다. 돈만 까먹으니까. 컴플라이언스라고 하니깐 뭔가 어렵고 복잡해 보이지만 간단히 얘기하면 법적 규제. 간단한 해결이 가능한데 누가 복잡하게 대응하려고 할까?
이런 환경에서 잘하기도 힘들고, 잘한다 한들 별로 알아주지도 않는다. 왜 시키지도 않은 쥐를 잡느냐고 구박이나 안 당하면 다행. 그래서일까? 보안 분야에서 기술 구현 결과를 측정하고 수치를 공개하는 사례를 본 적이 없다. 보신 분 제보 좀.
전 세계는 미국 기술 갖다 쓰기 바쁘다. 모두가 미국은 어떻게 하나 주시한다. 이런 상황에서 더 잘하길 바라는 건 욕심. 그래서 미국이 먼저 보안을 측정하기 전에는 누구도 그런 시도를 하지 않을 것이다. 기술 사대주의로 보일 수도 있지만 현실이 그런 걸 뭐(…)
좋은 팁 하나 알려줄 것처럼 하더니 이 반전 뭐냐고 분개하는 분들 있을 듯. 그래도 기술을 선택해야 할 때, 낯선 기술 배경에서 최선과 차선, 최악과 차악을 구분해야 할 때 저 기준을 떠올린다면 도움이 좀 되지 않을까?