ㅍㅍㅅㅅ

다니던 회사가 보안 인증 심사 대상에 포함됐다든지 하는 이유로 하루아침에 보안 담당자가 되신 분들이 업무의 어려움, 특히 제품 선정 등의 어려움을 토로할 때가 있다. 그럴 때 두 가지 기준만 세워두면 기술 배경 몰라도 보안 그리 어렵지 않다는 얘기를 건넨다. 그간 기술자로 일하면서 쪽팔리지 않으려 발버둥 치다 보니 자연스럽게 갖게 된 기준.

1. 뭐가 좋아지는가?

사는 이 입장에서는 다 비슷해 보이는데 파는 이는 서로 자기네가 최고라 하니 헷갈릴 수밖에 없다. 자동차 연비처럼 상식적인 지표가 있는 것도 아니고. 그럴 땐 ‘제일 싼 거’ 단도직입적으로 물어보면 된다. 해당 제품 도입하면 뭐가 좋아지냐는 질문에 우물쭈물하면 뭐가 좋아지는지 모른다는 얘기. 얼른 재껴서 선택지를 좁히자.

하지만 남의 돈 먹기가 어디 그리 쉬울까? 그 정도 대비도 없는 판매자는 드물다. 대신 동문서답은 종종 나온다. 속도가 빨라지니, 처리량이 늘어나니 등등. 물론 원래 목적이 속도나 처리량 개선이라면 상관없지만 보안 관점의 개선 포인트가 아니라고 생각된다면? 다시 물어보면 된다. ‘그러면 뭐가 좋아지냐고’.

2. 얼마나 좋아지는가?

대충 걸러졌으면 이제 진짜 중요한 걸 물어보자. 뭐가 좋아지냐 물으면 보통 보안 통합 관리, 위협 가시성 확보, 상관분석, 선제적 대응, 거버넌스 체계 등등 듣기만 해도 황홀해지는 미사여구의 향연이 펼쳐진다.

이런 효과가 뜬구름 잡는 얘기로 끝나지 않으려면 제품 도입 전 대비 얼마나 좋아졌는지 정량적으로 측정할 수 있어야 한다. 현재 수준과 도입 후 수준을 측정한 후 비교할 수 있어야 한다는 얘기.

물론 세상에는 구체적인 수치 측정이 어려운 정성적인 분야도 많다. 하지만 인간의 뇌 신경 측정도 가능한 세상에 살면서 기술 분야에서 수치 측정이 어렵다? 점수를 매기지 못하는 기술을 좋은 의미로 예술이라 부른다. 수준을 측정하지 못하는 기술은 예술의 경지에 오를 정도로 뛰어난 기술일까? 아니면 기술을 잘 모르는 걸까?

올바른 답을 얻으려면 올바른 질문을 해야 한다

1년 모자란 20년째 IT 분야에서 일하면서 아직 기술을 선택할 때 뭐가, 얼마나 좋아지느냐는 질문보다 더 효과적인 질문은 들어보지 못한 듯하다. 제안받은 기술이 목적에 부합한다면, 이제 기술 구현 결과를 수치로 보여줄 수 있는지만 따지면 되며, 자세한 기술 배경 같은 건 몰라도 된다.

사실 어설프게 아느니 차라리 아예 모르는 게 낫다. 도구인 기술에 매달리느라 정작 목적을 잃어버리는 경우를 워낙 자주 봐서(…) 쥐를 잡아야 하는데 얼마나 날쌘지, 이빨은 얼마나 날카롭고, 혈통은 또 얼마나 좋은지 자랑만 늘어놓는 고양이가 좋을까? 아니면 검은 고양이든 흰 고양이든 쥐를 잡고 그 수치를 알려주는 고양이가 좋을까?

사실 문제는 고양이가 아님. 오랫동안 기술은 돈을 버는 데 얼마나 도움이 되느냐는 질문의 답이 되어 왔다. 뭐가, 얼마나 좋아지느냐는 질문은 보안 이전에 모든 기술 분야에서 통용된다는 뜻. 그런데 보안은 원래 돈을 버는 대신 까먹는 분야.

이렇듯 컴퓨터 원천기술은 물론 천문학적 징벌 배상을 자랑하는 미국도 컴플라이언스 대응 이상의 투자에는 인색하다. 돈만 까먹으니까. 컴플라이언스라고 하니깐 뭔가 어렵고 복잡해 보이지만 간단히 얘기하면 법적 규제. 간단한 해결이 가능한데 누가 복잡하게 대응하려고 할까?