'CxO가 알아야 할 정보보안'의 저자 강은성님의 최근 컬럼. 해커가 아닌 방어 전문가를 양성해야 하고, 이들이 성장할 수 있는 환경을 만들어야 한다는 내용.
'보안관제는 정보보호 분야에 처음 발을 들여 놓는 인력들이 맡는 업무 '라는 인식밑에서 고급 수비수를 아무리 많이 양성한들 그들이 수비를 하고 싶어 할까 싶지만, CxO급에서 이런 생각을 해준다는 것만으로도 힐링이 되는 기분이다. 인공지능에 혹하는 요즘 분위기에 타이밍이 좀 아쉬울뿐.
어쨌든 타당한 주장이며, 뭐 그리 고차원의 사고가 필요한 것도 아니다. 그런데 현장은 왜 이런 상식적인 운영방침을 갖지 못할까? 과연 저런 생각을 못해서, 몰라서 행동으로 옮기지 못하는 걸까? 순전히 개인적인 경험에 비춰보면 일단
바빠서 못한다
법규만 충족하면 되는 컴플라이언스 위주의 보호체계 수립, 공격수 위주의 인력 양성 업무만로도 충분히 바쁘다는 얘기.
그리고 그런 업무가 주가 되는 이유는 현재 리소스로 잘 할 수 있음이 이미 입증된, 과거에 했던대로만 하면 최소한 실패할 가능성이 적다는 사실이 이미 검증된, 안전한 업무이기 때문이다.
세속적 지혜에 의하면 관례를 거슬러 성공하는 것보다 관례를 따르다 실패하는 쪽이 평판에 유리하다 - 운과 실력의 성공 방정식 (235페이지)
경쟁이 심할 때 사람들은 '똑똑하게 일하기보다 쉬운 일을 열심히 하는' 경향을 보인다고 한다. 이 연구 결과가 말해주는 것은 무엇일까? 어리석은 사람들? 반대라고 생각한다. 똑똑하니까 안전빵을 선택하는 것.
그러나 실패하지 않기 위해 과거의 패턴을 답습하다 보면 시나브로 시야는 좁아지고, 새로운 관점의 시도는 점점 더 어려워질 수 밖에 없다. 현상 유지야 어찌어찌 하겠지만 발전까지 바라는 건 무리.
이런 문제를 우리만 갖고 있는 건 아니다
전에 원천기술과 시장을 가진 미국의 정보보안 수준이 가장 높다는 식의 얘기를 한 적이 있는데, 그런 미국도 속내를 들여다보면 답답하긴 매한가지.
다음은 사전에 로그 모니터링, 즉 수비를 충실히 하지 않아 대부분의 보안사고를 막지 못했다는 버라이즌의 보고서를 언급한 기사 한 토막.
미국도 수비는 잘 되지 않나 보다. (우리처럼 해커만 양성하고 있나?) 다음은 보안 장비 많아봐야 수비할 사람 부족해서 답이 안 나오니 인공지능에 기대를 걸어보자는 기사.
과연 인공지능이 해결책이 될 수 있을까? 알파고가 (대략 3,000만 개의 수로 이루어진) 16만 개의 기보 데이터 학습을 통해 이세돌을 꺽었듯이, 데이터 학습을 기반으로 특정 기능이 자동 실행되도록 구현한 것이 인공지능이다.
즉 인공지능을 만들려면 가르칠 데이터가 있어야 한다. 특정 기능에 대한 인간의 경험을 먼저 데이터로 쌓아놔야 기계를 가르칠 수 있다는 얘기. 기계를 가르칠만한 수비 데이터를 미국은 가지고 있을까? 사람이 부족해서 수비를 못한다는데?
모르겠다
미국이 저 모양이면 미국 기술 갖다 쓰는 우리는 어쩌나(..) 강은성님은 정부의 역할 변화에 기대를 거는 모양이지만 글쎄? 경험상 공무원은 감사를 제일 무서워하더라.
세금 갖다 썼는데 돈 쓴 티가 나지 않으면 골치 아파진다는 얘기. 탁상/소극행정의 이면, 빅데이터/인공지능에 세금을 쓰고 싶어 하는 이면에는 이런 사정도 조금은 있다.
세금을 많이 쓸수록 업적이 될 가능성은 커지겠지만 그만큼 티도 많이 나야 한다. '실력으로 승부할 수 있도록 시장을 만드는 정책'이 티 나는 업적이 될 수 있을까?
정보보안이든 뭐든, 사람 하는 일은 다 비슷하더라. 모르고, 하기 어렵고, 할 수 없어도 해야만 하는 일이 있을 때, 리소스를 어떻게든 해결하고 책임져주는 리더가 없으면 개개인에겐 최선의 선택이, 모두에겐 최악의 선택이 돼버리는 죄수의 딜레마에 빠질 수도 있다는 얘기.
사람들은 결국 리더가 보고 싶어 하는 걸 보여주려, 듣고 싶어 하는 걸 들려주려 노력하게 되어 있다. 결론은 다 리더빨.꼭 이순신일 필요도 없는데, 원균만 아니면 되는데
관련 글
그러나 실패하지 않기 위해 과거의 패턴을 답습하다 보면 시나브로 시야는 좁아지고, 새로운 관점의 시도는 점점 더 어려워질 수 밖에 없다. 현상 유지야 어찌어찌 하겠지만 발전까지 바라는 건 무리.
현재까지 해온 일을 더 잘하기 위해서는 다른 측면에 주의를 뺏기지 말아야 한다. (좋지 않은 것에서 멀어지기 위한) 회피동기가 도움이 된다. 하지만 새롭고 혁신적인 것을 기대한다면 문제 공간을 넓게 보고 다른 방식의 시도를 이끌어내야 한다. (좋은 것에 가까이 가기 위한) 접근동기가 필요 - 지혜의 심리학 (150 페이지)
이런 문제를 우리만 갖고 있는 건 아니다
전에 원천기술과 시장을 가진 미국의 정보보안 수준이 가장 높다는 식의 얘기를 한 적이 있는데, 그런 미국도 속내를 들여다보면 답답하긴 매한가지.
다음은 사전에 로그 모니터링, 즉 수비를 충실히 하지 않아 대부분의 보안사고를 막지 못했다는 버라이즌의 보고서를 언급한 기사 한 토막.
미국도 수비는 잘 되지 않나 보다. (우리처럼 해커만 양성하고 있나?) 다음은 보안 장비 많아봐야 수비할 사람 부족해서 답이 안 나오니 인공지능에 기대를 걸어보자는 기사.
과연 인공지능이 해결책이 될 수 있을까? 알파고가 (대략 3,000만 개의 수로 이루어진) 16만 개의 기보 데이터 학습을 통해 이세돌을 꺽었듯이, 데이터 학습을 기반으로 특정 기능이 자동 실행되도록 구현한 것이 인공지능이다.
데이터가 차곡차곡 쌓여있는 바둑 분야 |
즉 인공지능을 만들려면 가르칠 데이터가 있어야 한다. 특정 기능에 대한 인간의 경험을 먼저 데이터로 쌓아놔야 기계를 가르칠 수 있다는 얘기. 기계를 가르칠만한 수비 데이터를 미국은 가지고 있을까? 사람이 부족해서 수비를 못한다는데?
모르겠다
미국이 저 모양이면 미국 기술 갖다 쓰는 우리는 어쩌나(..) 강은성님은 정부의 역할 변화에 기대를 거는 모양이지만 글쎄? 경험상 공무원은 감사를 제일 무서워하더라.
세금 갖다 썼는데 돈 쓴 티가 나지 않으면 골치 아파진다는 얘기. 탁상/소극행정의 이면, 빅데이터/인공지능에 세금을 쓰고 싶어 하는 이면에는 이런 사정도 조금은 있다.
세금을 많이 쓸수록 업적이 될 가능성은 커지겠지만 그만큼 티도 많이 나야 한다. '실력으로 승부할 수 있도록 시장을 만드는 정책'이 티 나는 업적이 될 수 있을까?
사람들은 포르쉐를 부러워하지, 운전 실력을 부러워하지 않는다. 자본주의 세상에서 비싼 포르쉐는 성공의 상징이기 때문. 그런 연유로 빅데이터나 인공지능 같은 최신 미국 기술은 정보보안, 나아가 IT 분야의 포르쉐가 된다.
정보보안이든 뭐든, 사람 하는 일은 다 비슷하더라. 모르고, 하기 어렵고, 할 수 없어도 해야만 하는 일이 있을 때, 리소스를 어떻게든 해결하고 책임져주는 리더가 없으면 개개인에겐 최선의 선택이, 모두에겐 최악의 선택이 돼버리는 죄수의 딜레마에 빠질 수도 있다는 얘기.
사람들은 결국 리더가 보고 싶어 하는 걸 보여주려, 듣고 싶어 하는 걸 들려주려 노력하게 되어 있다. 결론은 다 리더빨.
관련 글
댓글 없음:
댓글 쓰기