정보보안 산업의 현실과 문제 그리고 방향에 대해 정리
* 앞의 1,2편과 이어진 결론과 제안입니다.
국내 정보 보안 산업의 현실 #3
전편에 이어서 작성한다. 암울하면서도 부정할 수 없는 현실에 대해서는 전편에 작성한 내용을 참고하길 바란다. 문제 상황에 대해서 모두 정리를 하면서 이미 해결 방안과 대응 방법들은 모두 나왔다고 생각된다.
그동안 정리한다고 하면서 다른 일들로 인해 게을러서 정리가 늦었다. 그러나 이 달이 끝나기 전에는 정리해야 할 것 같아서 서둘러 정리해 본다.
전편에서 이미 우리는 세계 기준으로 보았을 때 7.5%를 차지하는 숫자만 너무 많은 보안 기업과 한 기업의 R/D 인력에도 미치지 못하는 국가 전체의 보안 R/D 인력의 현황을 적나라하게 본 바가 있다. 매출은 정체되어 있으며 인력 구성의 선순환 체계는 붕괴되어 새로운 희생자들의 유입을 통한 비용 절감과 인건비의 희생으로 유지되는 매출 상위 기업들의 현실은 현상 유지 만이 목표일 뿐이다.
과도한 공공 프로젝트에 대한 의존은 설사 그것이 잘못된 방향의 주제라고 하더라도 누구도 말을 하지 않았으며, 그 허망하고 허무한 목표와 방향에 따를 수밖에 없는 상황은 모두 기업과 국가의 책임이다. 방향을 설정하고 제안하는 것은 국가적인 역할이 중요할 수밖에 없다. 그런 면에서 보면 지금의 처참한 환경은 지난 20년 이상을 방향성 없이 비전문가에 의해 즉흥적으로 판단하고 결정된 결과물이라 할 수 있을 것이다. 한국 내에만 존재하는 황당한 서비스가 대체 무슨 경쟁력이 있을까? 모든 것이 연결되고 확장되는 세상은 이미 오래전에 예견되었었다. 그럼에도 불구하고 정책 결정자 들은 그 길을 한참이나 어긋나 버렸다.
국가적인 사건과 사고들이 있을 때마다 근원적인 문제를 해결하기보다는 단순히 보이는 것을 덮으려고 하는 행태로 인해 이제는 더 이상 자력으로 일어서는 것은 어려운 상황이다. 보안 기업의 입장에서도 새로운 기술에 대한 연구는 뛰어난 인력과 많은 비용, 시간을 투입해야만 가능한데 그럴 여유가 아무도 없다.
보안은 본질적인 것이다.
시스템과 네트워크, 개발, 서비스를 모두 이해하고 유기적으로 연결되어야 가능한 존재인데 이런 일들이 단순히 법적인 체계와 규정으로 될 수 있다고 생각하면 오산이다.
또한 여러 분야에서 경험을 쌓고 그것이 내재화된 상태에서 역량을 발휘해야 가치를 가질 수 있는 분야가 이 IT보안 분야다. 그렇다면 우리는 지금까지 어떠했을까? 현장을 모르는 자들이 정책을 만들고, 이론을 아는 자들이 현실을 통제했다. 규정과 판례를 살펴보며 잘잘못을 논하고 위반이라고 기술적인 가이드와 코칭은 고사하고 법과 정책에 기대에 단순한 기계적 판단 만을 하는 체계만 만들어져 있다.
기술적인 분야에 조예를 가지고 인사이트를 가진 자들은 모두 떠날 수밖에 없었고 지금은 그런 사람들을 키우기도 어렵다. 또 품을 만한 회사들도 없고..
지금의 현실을 적나라하게 바라보면 비관적이라 말하기도 민망하다.
답답함을 느끼는 사람들조차 떠나서 심각할 정도로 조용하게 죽어가고 있다.
지금껏 3편에 걸쳐 정리한 문제를 거시적으로 보면 다음과 같이 요약된다.
- IT 보안 산업 환경의 붕괴 ( 인력 선순환, 선 투자를 통한 전략 결정 등)
- 현장을 모르는 의사 결정과 정책 결정의 거대한 오판
- 잘못된 정책과 역량 및 상황 파악도 못한 상태에서 유행 만을 쫓는 행태
지금껏 사건/사고가 발생할 때마다 변화할 수 있는 기회들이 있었지만 그 기회들은 사라졌고 이제는 더욱 큰 사회적 비용을 들여서 감당해야 하는 상황이다. 그리고 그 비용의 대부분은 국내로 돌아오지 않는다.
보안이 중요하다고 말은 많이 했었고, 분야가 유망하다는 이야기는 30년 전부터 있던 이야기다. 또한 10만 양병설이라는 황당한 이야기도 때만 되면 출현한다. 사람만 학원에서 찍어 내듯이 기본 소양 교육 갖춰서 키워내면 되는 줄 안다. 지금 30년 지난 이 시점에 그 많은 비용과 양성 인력들은 어디에 있을까? 모든 정책이 현상을 이해하고 깊이를 가진 상태에서 결정되어야 했지만, 불행하게도 비전문가와 이론가들에 의해 결정된 거대하고 단기적인 탁상공론으로 귀결되고 말았다.
기술에 대한 이해가 없고 단순히 하나의 구성 요소와 비용으로 인식하는 상황에서 환경이란 것이 있을 리가 없다. "기술은 여전히 경영에 종속되며, 규제와 법령의 아래에서 존재한다." 이것이 어쩌면 문제의 근본적인 원인일 것이다.
현실은 빠르게 변화한다. 기술의 변화는 더욱 가파르게 변하고 있다. 지금의 상황에서 선택할 수 있는 것은 많지 않다. 기술적인 역량을 갖추려면 그에 걸맞게 뛰어난 인력을 유입시켜야 하나 환경도 능력도 부족하다. R/D 인력을 충원하려 해도 저가에 뽑으려 하니 지원하는 사람도 없다. 아무리 뽑아도 그 인력을 가르칠 역량 있는 사람들도 남아 있지 않다. 운영을 위해 공공에 의존해 보지만 그 결과물이 좋을 수가 없다. 페이퍼 상으로만 세계 최고이고 결과물들은 100%에 가까운 성과를 보였다고 한다. 지금껏 이런 결과물들의 성과라면 이미 우리나란 화성에 가 있지 않을까? 좀 돌아봐야 할 부분이다.
자 그럼 이 상황에서 살아날 방안은 무엇일까?
무엇보다 정책 결정 과정에서 현장 전문가들의 의견들이 반영되어야 하고 방향 결정에서도 역할을 할 수 있어야 한다. 이건 정부와 기업 모두 동일하다. 여기서 말하는 현장 전문가들은 진짜 현장 전문가들을 말한다. 각 기술 분야에 인사이트를 가진 사람들 말이다. 이론만 알고 규정과 정책을 아는 전문가들이 아니다. IT 보안 분야는 기술이지 법이 아니다. 분리가 필요하다. 실전을 모르는 자들에게 기술 전체에 대한 지휘를 맡겨선 안된다. 참모의 역할이면 족하다.
보안 기업 그리고 일반 기업 환경, 국가 정책 모두에게 영향을 미칠 수 있는 선순환 구조는 과연 있을까? 오랜 고민 끝에 개인의 생각이란 전제 하에 의견을 개진한다.
- 공공 프로젝트의 선택과 집중 - 필수 분야 선정과 판단
. 현장 전문가 의견 수렴이 필요. 또한 유행 따라 제발 만들지 마라. 이 모든 것들이 현실을 모르는 위정자들에게 보여주기 위한 식이 아닌가? 현실적인 수준과 상태를 파악하고 가장 필수적인 부분이 무엇인지 먼저 선택해야 한다. 그리고 연속성도 필요하다. 한 분야의 깊이는 단기간에 쌓이지 않는다. 이런 정도의 인식은 반드시 있어야 성공한다.
한 기업의 R/D 인력도 안 되는 상황에서 모든 분야에 걸쳐 진행하는 것은 욕심이다. 전략을 달리 가져가야 하는 것이 핵심이다. 다른 국가에서 이걸 한다고 우리도 해야 한다는 것은 틀렸다. 기술은 어디에나 공정하다. 그 바탕 위에 냉정하게 구성되어야 하며, 장기적인 계획으로 이루어져야 한다. 우린 국가나 산업 차원의 보안 산업에 장기 계획이 없다. 이것부터 해야 한다. 제한된 자원으로 성과를 달성하기 위해서는 기술에 대한 이해를 기본으로 하고, 현실적인 문제를 어떻게 해결해야 할 것 인가를 고민해야 방향을 찾을 수 있다.
- R/D 정책의 연속성과 유인책 발굴
기술의 방향성을 정하면 듣기 좋은 프로젝트와 도움이 되는 것들을 구분할 수 있게 된다. 또 자본이 부족한 기업들을 위해 특화 분야를 ( 지금까지 한 황당한 것 말고.) 현장 전문가들의 의견을 수렴해서 결정하고 또 장기적으로 이런 분야에 연구 개발 하는 기업들에게는 확실한 인센티브가 필요하다. 예를 들면 과도할 정도의 세제 혜택과 같은 것. 이래야 기업 입장에서도 더 좋은 인력을 유인할 수 있고 환경을 만들 수 있을 것이다. R/D를 하면 혜택이 된다는 인식을 만들어야 한다. 그래야 더 이상 비용이 아닌 요소가 된다. 물론 개인의 의견이다. 예를 들은 것이고 그만큼 유인책이 절실하다는 관점의 이야기다.
- 규제와 통제의 발상 전환.
정보가 집중되는 시대에 중요 기업 및 기반 시설들에 발생되는 보안 사고는 전체 산업과 국가에 영향을 미치는 재해와 같다. 이미 오래전부터 그랬지만 바뀌지 않았다. 그리고 올해 또 발생한 것이고.. 환경 자체를 탓하기엔 너무 오래되었다. 재해와 같은 관점에서 사고가 발생되어야 만 조사를 하고 그 결과에 따라 차별적인 처벌을 하는 것은 그 다지 효과가 없다. 지금도 그걸 보고 있는 상황이고.. 재해를 줄이도록 과도하게 노력하고 힘을 쏟는 기업들에게는 인센티브를 주고 피해가 발생된 곳들은 노력했는지 여부에 따라 솜방망이 처벌이 아니라 강한 제재가 필요하다. 지금처럼 국가에서 규정한 규제와 통제를 최소한으로 이행하는 것 만으로는 환경은 바뀌지 않는다. 노력을 해서 이익이 발생된다면 보안은 비용이 아니게 되지만 지금껏 그러지 못했다. 그래서 최소한으로만 보여주기 식으로 유지된 것이고, 기업 내에서 새로운 시도도 이루어질 수 없었던 것이 현 상황의 핵심이기도 하다. 노력을 하면 그만큼 의 보상을 주고, 하지 않아서 문제가 생기면 과도한 징벌을 가하는 환경이라야 변한다. 즉 법령과 규제는 최소한의 가이드라인을 제시하는 정도가 되어야 하며, 그 이외에는 자율로 하도록 제시되어야 한다. 하나하나 세부 지침이 있는 순간 그 지침 이외에는 아무것도 하지 않는다. 이 또한 개인의 의견이다.
단순히 예를 들면 방산 분야와 비교할 수 있다.
ADD에서 연구 개발의 주제를 정하며 전문가 집단에서 현실적인 위기 상황과 문제들을 해결하기 위해 우선순위와 방향을 같이 설정한다. 여기에 비전문가와 현실을 모르는 자들은 결정 과정에 들어가지 않는다.
제일 중요한 부분은 현실적으로 실제 위협이라는 것을 인식하느냐 하는 것인데 방산은 생존이라는 것이 걸려 있고 눈으로 위협의 실체를 볼 수 있어서 더 진지한 것일 수도 있다. 산업의 발전에 있어서 IT 보안은 국가 전체에 영향을 미칠 수도 있는 현실 적인 위협으로 발전해 있는 상황이다. 국가 주도의 연구 기관에서 어렵고 핵심적인 주제들을 맡아서 국가의 자금으로 장기적인 연구 개발을 진행하고 이후 민간 기업에 이전을 한다. 그 이후에 민간 기업에서는 자체 연구 개발을 통해 지속적으로 발전시킨다. 현실적인 위협을 대응하려다 보니 남들과 다른 노력이 들어간 것이고 꾸준히 개발하다 보니 어느 시점에는 임계점을 넘어서 남들이 부러워하는 체계가 되어 수출이 되는 상태에 있다.
이와 같은 장기적인 성장 전략이 필요한 상황이 지금의 보안 산업이 아닐까?
중세 유럽은 철 갑옷을 입고 말에게도 철을 씌운 중 기갑의 기사단이 대부분의 전력이었고 기사단 간의 전쟁에서 더욱더 갑옷을 많이 입고 더 많은 수의 기사를 보유한 곳이 전쟁에서 이기는 것이 일상이었다. 그런 그 중세 시대의 기사단은 거지 몰골에 갑옷조차 걸치지 못한 몽골군에게 학살당하다시피 하였으며 전 유럽이 몽골의 지배 하에 들어갔다. 갑옷을 더 입는 것이 아닌 속도 있는 말과 떨어져서 쏘는 활로 인해 따라가지도 못하고 전멸한 유럽의 기사단 사례는 지금과 다르지 않다.
지금 우리는 다른 사람이 하는 것을 흉내 낼 것이 아니라 냉정하게 현실을 인식하고 우리에게 맞는 것, 시장에서 필요로 하나 없는 것을 준비해야 할 것이다. 전략적인 고민 없이는 한치도 발전하지 못할 것은 명확하다.
* 너무 주제넘는 이야기를 썼네요. 그래도 오랜 기간 지켜보고 노력한 입장에서 정리한 부분이라 생각하면 되겠습니다. 전술이 아니라 전략적인 상황에서 해결 방안을 만들지 않으면 안 되는 시기에 한참 전에 들어섰다는 위기의식이 있어서 이런 글을 쓰게 되었습니다. 참고 삼아 보시면 됩니다. 그럼.
출처: https://p4ssion.tistory.com/447 [바다란 세상 가장 낮은 곳의 또 다른 이름:티스토리]