[화두 이야기] 정보보안 분야의 화두(14)

자본은 공격을 선호한다.

자본은 공격에 몰리고 방어에는 몰리지 않는다.

"자본은 공격에 몰리고 방어에는 몰리지 않는다"는 표현이 있다. 경제분야에서 종종 사용되는 꽤 널리 알려진 표현 중 하나이기도 하다. 자본이란 본래 위험을 감수하고 적극적인 투자(공격)를 통해 큰 이익을 추구하는 속성을 가지고 있음을 은유적으로 표현한 것이다. 자본은 안정성만을 추구하는 수비적 투자에는 쉽게 몰리지 않고 적극적인 기회에만 움직인다는 의미이기도 하다.

대저 투자란 이익을 얻을 수 있어야만 이루어지는 법이다. 적은 투자로 보다 많은 이익을 얻어낼 수 있을수록 더 많은 투자가 이루어진다. 그것이 경제의 기본 원칙이며 자본이 돌아가는 원리다.

따라서 자본이란 투자 규모 대비 높은 수익률을 기대할 수 있는 혁신적, 확장적 분야에 집중되고, 상대적으로 이익이 없거나 적은 분야는 투자 대상에서 제외될 수밖에 없다는 특징을 가지고 있다.

보안업계에 종사하는 전문가들이 모두 공통적으로 불만을 제기하는 주제 중 하나가 기업 최고경영진들의 보안에 대한 무관심이다. 무관심하니 보안에 대한 투자도 상대적으로 빈약할 수밖에 없다. 그런데 보안업계가 처한 이 상황은 자본의 측면에서 바라보면 쉽게 이해가 된다.

해커들의 침해공격은 불법이라는 위험을 무릅쓰고 공격을 감행하여 (개인)정보라는 큰 이익을 얻어내기 위한 투자에 해당한다. 공격에 성공하면 상당히 큰 이익을 기대할 수 있으며, 불법이라는 특징에도 불구하고 공격자의 신원이 노출되어 구속되거나 하는 위험한 상황에 놓일 가능성은 낮은 편이다. 그러므로 단순히 이익추구라는 자본의 입장에서 본다면 상당히 매력적인 투자 대상이다.

기업 보안조직이 진행하는 방어는 적지 않은 규모의 우선 투자가 요구되는 투자 대상이다. 보안인력을 채용해야 하고, 보안설루션들도 도입해야 하고, 정책/지침/절차 등 규정도 마련해야 하기 때문이다. 문제는 그럼에도 불구하고 그로 인해 얻게 될 이익(방어효과)이 명확히 드러나지 않는다는 것이다. 겉으로 드러나지 않으므로 실제로 이익이 어느 정도 발생할 것이라고 장담하기도 어렵고 구체적인 자료나 수치로 체감할 수도 없다. 이러한 불명확성은 자본의 입장에서 보면 투자가 이루어지기 어려운 분야에 해당한다. 그래서 기업의 보안에 대한 투자는 이익에 대한 기대효과가 아닌 오로지 법적 강제성에 의존해 이루어지는 특징을 가지고 있다.

기업이란 자본주의 체계하에서 자본시장을 대상으로 해 굴러가는 존재다. 따라서 철저하게 자본의 논리에 충실하다. 그리고 자본의 논리에서 바라보는 보안이란 공격적인 이익추구형 상품이 아닌 현재의 상태를 유지하기 위한 보수형 상품이자 매력 없는 투자대상이다.

자본은 공격을 선호한다. 성공에 따른 보다 많은 이익을 추구하기 때문이다. 경영진 역시 이익을 추구하는 집단이므로 당연히 공격을 선호한다. 따라서 보안을 바라보는 인식의 전환이 필요하다. 기존의 수동형 보안이 아닌 능동적이고 공격적인 보안, 경영진의 투자대상에 당당히 합류할 수 있는 보안, 투자의 효과를 기대이익으로 제시할 수 있는 보안으로의 전환이 말이다.

자본이 공격을 선호하는 만큼 보안에 자본을 끌어들이는 방법 역시 간단하다. 왜 보안에 관심이 없냐고 자본에게 탓하지 말고 자본이 원하는 공격적 보안으로 환골탈태하는 것이다.