Lemons Market

브루스 슈나이어는 암호화 알고리즘(Blowfish와 Twofish)을 개발한 암호학자로도, 보안회사를 창업한 이력으로도 유명하지만, 일반적인 (주로 기술적 이슈만을 얘기하는) 보안전문가와는 다른 차원의 언행으로 특히 유명한 보안전문가이다. 그런 그가 최근에 이런 얘길 했다.

For most of its life, the security industry has been plagued with the problems of a 'lemons market', akin to the market for second-hand cars, Schneier maintained.

보안 시장이 (재화나 서비스의 품질을 알 수 없기 때문에 불량품만 존재하는) 레몬 시장과 같다는 얘기인데, 이미 2009년 보안 연극(security theater)으로 업계의 눈총을 받은 슈나이어만이 할 수 있는, 뼈 있는 주장이 아닐까 싶다.

'레몬 시장'은 전문성이 없는 사용자로 인해 발생하는데, 슈나이어가 새로 합류한 회사의 홍보와는 별개로 상당히 정확한 현실 인식이며, 개인적으로는 현 보안 시장이 레몬 시장보다 더 나쁘면 나빴지, 좋은 상황은 아니라고 생각한다.

그 이유는

생산자의 전문성도 그닥이라고 생각하기 때문. 미국 얘기에요 미국 보안 제품의 기능적 완성도와 관련된 전문성을 말하는 것이 아니다. 정확히 얘기하자면 자동차를 만드는 사람도, 사는 사람도 운전을 못하는 상황이라고 해야 할까?

보통 보안 관련 데이터를 빨리 또는 많이 모으고(10G를 처리하니, 100G를 처리하니), 분류하는 식의 처리 성능이나, 이리 저리 지지고 볶는(상관분석이니, 3D니) 다양한 기능의 구현 수준은 높다.

문제는 

과연 그런 기능들이 실제 '보안'이라는 목표에 도움이 되는가이다. 자동차 시동 잘 걸리고 디자인 예쁜 것과 원하는 목적지에 정확히 도착하는 것은 얘기가 전혀 다르다. 기술이 아니라 기술이 사용되는 문화, 환경에 문제가 있다는 뜻. 

사금 채취 과정을 보자. 사람이 모든 보안 관련 데이터를 처리할 수 없기 때문에 보안 제품을 사용하듯, 사금 채취 과정에서도 다양한 이물질을 걸러내기 위한 기계 장비를 사용한다.

그런데 기계가 걸러준 흙탕물은 그저 조금 깨끗한 흙탕물일 뿐이며, 사람이 이 흙탕물을 계속 걸러내며 금알갱이를 골라내는 노가다를 거쳐야만 비로소 사금을 손에 쥘 수 있다.

보안 제품도 마찬가지. 사람의 개입없이 보안 제품, 즉 컴퓨터가 자동으로 위협을 걸러내주길 바란다는 건 '코끼리 뒷걸음에 쥐 밟기'나 '장님 문고리 잡기'식의 요행 수준을 벗어나지 못한다.

현재 상황은?

업계의 상황을 짐작해볼 수 있는 현상이 하나 있다. '시속 몇 KM 주파가 가능하니, 연비가 얼마니' 하는, 측정된 수치를 이용한 홍보는 돈을 받고 파는 자동차 업계에서 매우 상식적인 마케팅이다. (사실 대부분의 기술 소비재 시장에서 상식)

스티브 잡스 때문인지 요샌 소위 감성 마케팅이란 것도 많이 하지만 어디까지나 기본 기능이 충실하거나, 아니면 시장에 나와 있는 제품이 다 고만고만할 때나 통할 수 있다.

그런데 대부분의 보안 마케팅은 '최신 공격이 나타났다. (무섭지?) 근데 우리 기술이 막을 수 있어.' 라는 식. '보안은 ROI(투자 대비 효과)가 나올 수 있는 분야가 아니'라고 당당히 얘기하는 보안회사 CEO를 본 적도 있다.

보안회사라면 '우리 제품은 몇 %의 정확도로 보안위협을 찾아낼 수 있다'거나, '하루에 발생하는 보안위협의 몇 %를 처리할 수 있다.' 정도의 마케팅은 할 수 있어야 하지 않을까? 하지만 업계는 천편일률적인 감성(?) 마케팅으로 일관하고 있다.

왜? 

제품을 이용해서 보안이 얼마나 향상되는지 대략적인 수치라도 측정해본 적이 없거나, 측정해봤는데 그 수치가 형편없었거나, 측정 범위가 너무 커서 지레 포기했거나, 그것도 아니면 측정에 대한 수요가 없거나. 그렇게 품질을 측정하지 못한 시장은 결국 레몬 시장이 된다.

Economists have shown that because there’s no good way to test for quality, price becomes the most important differentiator and quality products that might be more effective get pushed out by cheaper products and services

피터 드러커는 '측정할 수 없으면 관리할 수 없다 '고 했으며, 절대온도를 제시한 윌리엄 톰슨 캘빈은 '당신이 말하는 것을 측정하지 못하고, 숫자로 나타내지 못한다면 당신은 그것을 모르는 것 '이라고 했다.

모르면서 팔고, 모르면서 사는 행위가 보안 시장에서 이루어지고 있는 것이다. 전에 비슷한 얘기를 한 적이 있다.

제안 대상이 자동차나 냉장고 등 일반적인 소비재라면 해피엔딩이 될 수 있다. 제안을 하는 사람이나 받는 사람 모두 제안의 목적과 결과를 충분히 예상할 수 있기 때문이다. 그러나 특수한 소비재가 필요한, 정보보안과 같은 분야에서는 얘기가 달라진다. 제안의 목적이나 결과를 서로 잘 알지 못한 상태에서 제안을 주고 받는 경우가 많으며, 그 결과 원래 목적에 도달하지 못했음에도 (몰라서) 제대로 된 평가가 이루어지지 않는다.

해결책은 뭘까? 

나도 잘 모르겠다(..) 그나마 IT 본고장인 미국도 해결하지 못하고 있다는 사실에 위안을 삼을 뿐. 그래도 굳이 찾자면 문제를 인정하고 공개하는 것 아닐까? 자고로 병은 널리 알려야 낫는다고 했으니 말이다.

보안은 왜 이렇게 복잡할까? 적이 눈에 보이는 것도 아니고, 위협에 대한 판단 기준이 명확하지도 않다. 그래서 (업체 홍보를 곧이곧대로 믿는) 모르는 사람(특히 상사)에게 설명하기가 정말 힘들다.

'보안 연극'에서 슈나이어는 실제 안전과 관계없이 안전하다는 느낌만을 주는 조치에 대해 경고했지만, 어쩌면 '안전하다는 느낌'이라도 줄 수 있다면 그게 최선이 아닐까 하는 생각이 많이 드는 게 요즘이다.

관련 글

• 보안 경제학
• 보안 제품의 한계
• 안전해지고 싶다면
• 알고 보면 쉬운 정보보안
• 시장은 항상 효율적일까?
• 기술이 쉬워지는 두 가지 기준