2018년 10월 1일 월요일

기술이 쉬워지는 두 가지 기준

다니던 회사가 보안인증 심사 대상에 포함됐다던지 하는 이유로 하루 아침에 보안 담당자가 된 분들이 업무의 어려움, 특히 제품 선정 등의 어려움을 토로할 때가 있다.

내가 보안 담당자라니

그럴 때 두 가지 기준만 세워두면 기술 배경 몰라도 보안 그리 어렵지 않다는 얘기를 건넨다. 그간 기술자로 일하면서 쪽팔리지 않으려 발버둥치다 보니 자연스럽게 갖게 된 기준.

1. 뭐가 좋아지는가?

사는 이 입장에서는 다 비슷해 보이는데 파는 이는 서로 자기네가 최고라 하니 헷갈릴 수밖에 없다. 자동차 연비처럼 상식적인 지표가 있는 것도 아니고. 그럴 땐 제일 싼 거 단도직입적으로 물어보면 된다.


해당 제품 도입하면 뭐가 좋아지냐는 질문에 우물쭈물거리면 뭐가 좋아지는지 모른다는 얘기. 얼른 재껴서 선택지를 좁히자. 하지만 남의 돈 먹기가 어디 그리 쉬울까? 그정도 대비도 없는 판매자는 드물다.

대신 동문서답은 종종 나온다. 속도가 빨라지니, 처리량이 늘어나니 등등. 물론 원래 목적이 성능 개선이라면 상관없지만 보안 관점의 개선 포인트가 아니라고 생각된다면? (성능과 정확도가 비례할까?) 다시 물어보면 된다. 그러면 뭐가 좋아지냐고.

2. 얼마나 좋아지는가?

대충 걸러졌으면 이제 진짜 중요한 걸 물어보자. 뭐가 좋아지냐 물으면 보통 보안 통합 관리, 위협 가시성 확보, 상관분석, 선제적 대응, 거버넌스 체계 등등 듣기만 해도 황홀한 미사여구의 향연이 펼쳐진다.


이런 효과들이 뜬구름 잡는 얘기로 끝나지 않으려면 제품 도입 전 대비 얼마나 좋아졌는지를 정량적으로 측정할 수 있어야 한다. 현재 수준과 도입 후 수준을 측정한 후 비교할 수 있어야 한다는 얘기.

물론 세상에는 구체적인 수치 측정이 어려운 정성적인 분야도 많다. 하지만 인간의 뇌신경 측정도 가능하다는 세상에 살면서 기술 분야에서 수치 측정을 못한다?

점수를 매기지 못하는 기술을 좋은 의미로 예술이라 부른다. 수준을 측정하지 못하는 기술은 예술의 경지에 오를 정도로 뛰어난 기술일까? 아니면 기술을 잘 모르는 걸까?
당신이 말하는 것을 측정하지 못하고, 숫자로 나타내지 못한다면 당신은 그것을 모르는 것 - 윌리엄 톰슨 캘빈

제안받은 기술이 목적에 부합한다면, 이제 기술 구현 결과를 수치로 보여줄 수 있는지만 따지면 되며, 자세한 기술 배경같은 건 몰라도 된다. 사실 어설프게 아느니 차라리 모르는 게 낫다. 도구인 기술에 열광하느라 정작 목적은 뒷전이 되는 사례가 얼마나 많은지(..)

쥐를 잡아야 하는데 얼마나 날쌘지, 이빨은 얼마나 날카롭고, 혈통은 또 얼마나 좋은지 자랑만 늘어놓는 고양이가 좋을까? 아니면 검은 고양이든 흰 고양이든 쥐를 잡고, 그 수치를 알려주는 고양이가 좋을까?

그런데 사실 문제는 고양이가 아님

오랫동안 기술은 돈을 얼마나 많이 벌 수 있느냐는 질문의 답이 되어 왔다. 뭐가, 얼마나 좋아지느냐는 질문은 보안 이전에 모든 기술 분야에서 통용된다는 뜻.

그런데 보안은 원래 돈을 버는 대신 까먹는 분야. 그래서 컴퓨터 원천기술은 물론 천문학적 징벌 배상을 자랑하는 미국도 컴플라이언스 대응 이상의 투자에는 인색하다. 돈만 까먹으니까.
버라이즌(Verizon)의 데이터 침해 사고 보고서에 따르면, 로그와 경고를 제대로 모니터링 했다면 방지를 하거나 문제점을 더 빨리 발견했을 사고가 전체의 90%에 달한다

컴플라이언스라고 하니깐 뭔가 어렵고 복잡해 보이지만 간단히 얘기하면 법적 규제. 간단한 해결이 가능한데 누가 복잡하게 대응하려고 할까?


명확한 평가 기준이 없다 

이런 환경에서는 잘 하기도 힘들고, 잘 한다 한들 별로 알아주지도 않는다. 왜 시키지도 않은 쥐를 잡느냐 구박을 당할 수도 있다. 그래서일까? 보안 분야에서 기술 구현 결과를 측정하고 그 수치를 공개한 사례를 본 적이 없다. (보신 분 제보 좀)

예쁘면 팔리는데 힘들게 쥐를 왜 잡니?

전세계는 미국 기술 갖다쓰기 바쁘다. 모두가 미국은 어떻게 하나 주시한다. 이런 상황에서 더 잘하길 바라는 건 욕심.

그래서 미국이 먼저 보안을 측정하기 전에는 누구도 그런 시도를 하지 않을 것이다. 기술 사대주의로 보일 수도 있겠지만 현실이 그런 걸 뭐(..)

좋은 팁 하나 알려줄 것처럼 하더니 이 반전 뭐냐고 분개하는 분 있을 듯. 그래도 기술을 선택해야 할 때, 낯선 기술 배경속에서 최선과 차선, 최악과 차악을 구분해야 할 때 저 두 가지 기준을 떠올린다면 도움이 되지 않을까?

관련 글

댓글 없음:

댓글 쓰기

크리에이티브 커먼즈 라이선스