2018년 7월 17일 화요일

보안 경제학?

서울대 경제학과 이천표 교수의 2007년 저서. 제목이 너무 부럽다. 공부 열심히 하면 책 제목이 바뀌는구나. 그러니 학생은 닥공

그냥 경제학이 아니라 정보통신 경제학을 강의한다는 저자의 이력이 특이하다. 그리고 무엇보다 정보보안을 바라보는 경제학 교수의 관점이 재미있다.
"기술 만능의 사고는 모든 관련자들로 하여금 안전성 확보를 위해 노력하도록 경제적으로 유인하는 것보다 좋은 해결책이라 할 수 없다 "

경제적 이익으로 유인하면 알아서 척척척 스스로 원해서 보안을 하게 된다는 얘기.

정보보안은 기술적 문제를 넘어선 유인체계의 문제

금융 사고 입증 책임이 고객에게 있는 유럽보다, 은행이 사고 입증 책임을 지는 미국의 사고 발생률이 더 낮다고 한다.
은행이 입증 책임을 지는 미국식 은행제도에서는 은행들이 사고예방 및 안전에 대한 기술적 투자를 많이 하지 않을 수 없어 당현히 사고가 적게 되고 그로써 사후적으로는 높은 수익성을 올릴 수 있게 된다는 것이다. 이 예는 올바른 유인체제를 정립해야 한다는 필요를 보여야 할 때 가장 많이 인용

일리 있는 주장이다. 좋은 대학 가고 싶어서 하는 공부와 부모님 꾸중 듣기 싫어서 하는 공부의 수준이 같기는 힘드니까. 돈 잃을 가능성을 줄이거나, 더 벌 수 있다면 보안 투자에 대한 마인드가 달라지겠지.
해킹 발생으로 말미암은 피해액보다 예방 비용이 더 커질 가능성이 높다면 그냥 해킹을 당하는 게 더 경제적이지 않을까? - IDS와 보안관제의 완성(147페이지)

아직은 과징금보다 보안 투자 비용이 더 비싸겠지만, 언젠가는 더 싸게 먹히는 날도 오지 않을까? 문제는 돈을 버는 민간은 그 돈을 지키기 위해 투자할 수도 있다지만, 돈을 안 버는 공공은 어떻게 유인하나? 사명감? 모르겠다. 민간이 발전하면 공공까지 견인해주는 낙수효과가 생길 수도 있겠지.

안전 책임자의 도덕적 해이

저자가 두 번째로 거론한 정보보안의 어려움은 도덕성!?
보안시스템을 마련할 때 안전 책임자는 자사의 실정에 비추어 최선인 것을 선택하기보다는 유명한 것, 차후 문제되더라도 쉽게 책임을 회피할 수 있는 것을 선정하려는 성향을 가져 이른바 도덕적 해이를 보인다.

대략 난감(..) 좀 더 들어보자.
안전 전문가에게는 자신이 판단한 최선의 안전시스템을 갖추는 것보다는 외부에서 높게 평가받는 시스템을 도입해 장치하는 것이 훨씬 쉽고 무난하다. 때문에 이들은 자사에는 적합하나 갖추기 어렵고 상급자를 설득하기도 어려운 자체 시스템을 구축하려고 노력하기보다는 그 명성을 의심받지 않을 고급제품을 구입해 쓰려고 하는 성향을 보이게 된다.

안전 책임자가 잘 알려진 시스템 도입에 매달리는 이유는 상급자 설득이 쉽기 때문이라는 것. 빅데이터나 인공지능같은 걸 끼얹으면 설명이 쉬워지는 게 사실이다. 왜 그럴까?
안전 책임자의 도덕적 해이 행위는 감독자가 안전 책임자보다 안전성에 관련된 지식을 적게 가지고 있어 이른바 정보의 비대칭이 존재하고 있는 상황에서 종종 일어나는 현상

감독 분야에 대한 이해도가 낮은 감독자는 당연하게도 어려운 설명을 싫어한다. 덩달아 어렵게 설명하는 사람도 싫어함. 그리고 감독자에게도 설명하고, 설득해야 하는 상급자가 있다. 한마디로 모두의 밥줄이 걸린 문제. 도덕이 밥 먹여주나(..)

사람들은 포르쉐를 부러워하지, 운전 실력을 부러워하지 않는다. 자본주의 세상에서 비싼 포르쉐는 성공의 상징이기 때문. 그런 연유로 빅데이터나 인공지능같은 최신 미국 기술은 정보보안, 나아가 IT 분야의 포르쉐가 된다.


결정적으로 사명감을 가지고 최선의 보안 조치를 취한다고 해서 사고가 없으리란 보장도 없다. 군대 있다고 전쟁 안 나고, 경찰 있다고 범죄 없어질까?
단기적으로 정보 불안에 훌륭히 대처한다는 것은 어차피 어려운 일이기 때문에 면피성 처신이나 하면서 안전사고가 났을 때 책임을 외부에 전가(..)

경제학 교수의 정보보안 통찰은 다시 봐도 신기하지만 도덕성 문제 제기는 별로 도움이 안 될 것 같다. 어떻게 하면 좋을까? 저자는 유인체계를 정비하고 관련자들의 성실한 처신을 확보해야 한다는 결론을 내리지만, 구체적인 실행 방안을 제시하지는 못한다.

유인체계 정비와 종사자의 직업윤리

유인체계를 어떻게 정비하지? 돈 많이 주면 되나? 그러면 나야 땡큐 아무리 많이 준들 기술, 제도의 헛점을 악용했을 때의 경제적 이익보다 더 많이 줄 수 있을까?

결국 컴퓨터 범죄 시장의 파이를 줄이는 시도를 병행할 필요가 있다. 근데 어떻게? 돈 앞에서는 사람 목숨도 우스운 세상 아닌가.
자본주의를 폐기할 수도 없고, 참 어려운 문제다. 관련 종사자의 성실한 처신은 또 어떻게 확보한담. 분야를 막론하고 돈 받고 일하는 사람은 돈 주는 사람이 보고 싶어 하는 걸 보여주려, 듣고 싶어 하는 걸 들려주려 노력하게 되어 있다.

그리고 많은 분야에서 돈 주는 사람이 보고 싶고, 듣고 싶은 것들은 해당 분야의 솔루션에 근접할 때가 많다. 오랜 시행착오의 역사 덕. 반면 정보보안이란 용어가 등장한 시점은 빨라야 2000년 초. 아직은 더 많은 시행착오가 필요하지 않을까?

오랜 역사와 함께 눈에 보이는 적을 둔 덕에 존재만으로 가치를 인정받기 쉬운 군대나 경찰과 달리, 역사도 짧고 보이지도 않는 적과 상대해야 하는 정보보안은 일한 티를 내느라 오늘도 고달프다. 이런 사실을 진작 알았더라면(..)


관련 글

댓글 없음:

댓글 쓰기

크리에이티브 커먼즈 라이선스