기술이 쉬워지는 두 가지 기준
다니던 회사가 보안인증 심사 대상에 포함됐다던지 하는 이유로 하루 아침에 보안 담당자가 되신 분들이 업무의 어려움, 특히 제품 선정 등의 어려움을 토로할 때가 있다.
그럴 때 두 가지 기준만 세워두면 기술 배경 몰라도 보안 그리 어렵지 않다는 얘기를 건넨다. 그간 기술자로 일하면서 쪽팔리지 않으려 발버둥치다 보니 자연스럽게 갖게 된 기준.
뭐가 좋아지는가?
사는 이 입장에서는 다 비슷해 보이는데 파는 이는 서로 자기네가 최고라 하니 헷갈릴 수밖에 없다. 자동차 연비처럼 상식적인 지표가 있는 것도 아니고. 그럴 땐 제일 싼 거 단도직입적으로 물어보면 된다.
해당 제품 도입하면 뭐가 좋아지냐는 질문에 우물쭈물거리면 뭐가 좋아지는지 모른다는 얘기. 얼른 재껴서 선택지를 좁히자. 하지만 남의 돈 먹기가 어디 그리 쉬울까? 그정도 대비도 없는 판매자는 드물다.
대신 동문서답은 종종 나온다. 속도가 빨라지니, 처리량이 늘어나니 등등. 물론 원래 목적이 속도나 처리량 개선이라면 상관없지만 보안 관점의 개선 포인트가 아니라고 생각된다면? 다시 물어보면 된다. 그러면 뭐가 좋아지냐고.
얼마나 좋아지는가?
대충 걸러졌으면 이제 진짜 중요한 걸 물어보자. 뭐가 좋아지냐 물으면 보통 보안 통합 관리, 위협 가시성 확보, 상관분석, 선제적 대응, 거버넌스 체계 등등 듣기만 해도 황홀해지는 미사여구의 향연이 펼쳐진다.
이런 효과들이 뜬구름 잡는 얘기로 끝나지 않으려면 제품 도입 전 대비 얼마나 좋아졌는지를 정량적으로 측정할 수 있어야 한다. 현재 수준과 도입 후 수준을 측정한 후 비교할 수 있어야 한다는 얘기.
물론 세상에는 구체적인 수치 측정이 어려운 정성적인 분야도 많다. 하지만 인간의 뇌신경 측정도 가능한 세상에 살면서 기술 분야에서 수치 측정이 어렵다?
점수를 매기지 못하는 기술을 좋은 의미로 예술이라 부른다. 수준을 측정하지 못하는 기술은 예술의 경지에 오를 정도로 뛰어난 기술일까? 아니면 기술을 잘 모르는 걸까?
당신이 말하는 것을 측정하지 못하고, 숫자로 나타내지 못한다면 당신은 그것을 모르는 것 - 윌리엄 톰슨 캘빈
올바른 답을 얻으려면 올바른 질문을 해야 한다. 1년 모자란 20년째 IT 분야에서 일하면서 아직까지 기술을 선택할 때 뭐가, 얼마나 좋아지느냐는 질문보다 더 효과적인 질문은 들어보지 못한 듯.
제안받은 기술이 목적에 부합한다면, 이제 기술 구현 결과를 수치로 보여줄 수 있는지만 따지면 되며, 자세한 기술 배경같은 건 몰라도 된다. 사실 어설프게 아느니 차라리 아예 모르는 게 낫다. 도구인 기술에 매달리느라 정작 목적을 잃어버리는 경우를 워낙 자주 봐서(..)
쥐를 잡아야 하는데 얼마나 날쌘지, 이빨은 얼마나 날카롭고, 혈통은 또 얼마나 좋은지 자랑만 늘어놓는 고양이가 좋을까? 아니면 검은 고양이든, 흰 고양이든 쥐를 잡고 그 수치를 알려주는 고양이가 좋을까?
근데 사실 문제는 고양이가 아님
오랫동안 기술은 돈을 버는 데 얼마나 도움이 되느냐는 질문의 답이 되어 왔다. 뭐가, 얼마나 좋아지느냐는 질문은 보안 이전에 모든 기술 분야에서 통용된다는 뜻.
그런데 보안은 원래 돈을 버는 대신 까먹는 분야. 그래서 보안 기술은 물론 컴퓨터 기술이란 기술까지 죄다 만든 미국도 컴플라이언스 대응 이상의 투자에는 인색하다. 돈만 까먹으니까.
이런 환경에서 잘 하기도 힘들고, 잘 한다 한들 별로 알아주지도 않는다. 왜 시키지도 않은 쥐를 잡느냐고 구박이나 안 당하면 다행. 그래서일까? 보안 분야에서 기술 구현 결과를 측정하고 수치를 공개하는 사례를 본 적이 없다. (보신 분 제보 좀)
전세계는 미국 기술 갖다쓰기 바쁘다. 모두가 미국은 어떻게 하나 주시한다. 이런 상황에서 더 잘하길 바라는 건 욕심. 그래서 미국이 먼저 보안을 측정하기 전에는 누구도 그런 시도를 하지 않을 것이다. 기술 사대주의로 보일 수도 있지만 현실이 그런 걸 뭐(..)
좋은 팁 하나 알려줄 것처럼 하더니 이 반전 뭐냐고 분개하는 분들 있을 듯. 그래도 기술을 판단해야 할 때, 낯선 기술 배경속에서 최선과 차선, 최악과 차악을 구분해야 할 때 저 기준을 떠올린다면 도움이 좀 되지 않을까?