하지만 제가 이 책을 언급하며 보안이니, 새로운 패러다임이 시작되고 있다느니 따위의 제목으로 글을 쓰는 것은 속빈 강정 씹어먹는 소리를 하자는 것 아니라 저의 생각이 이 책의 전체적인 논조에 닿아 있도 또 더 나이가 이 시대의 리더십이 개방과 평준화의 이름으로 바뀌고, 재편되고 있는 것을 보며 보편적이기도 하지만 보수적이기도 한 보안 시장과 그 시장을 주도하는 개념/기술과 또 공격 기법도 바뀌고 있다는 생각에서 입니다.
서론이 길었습니다. 이번 포스팅을 통해서, 그리고 앞으로 관련 있는 책들을 읽으며 저의 저그만 생각을 정리해 보고자 합니다.
자, 먼저 이 책의 서평을 통해 시작해봅다.
오히려 질문이 많이 생기게 한 책입니다
1. 보안이 산업인가? 무엇을 파나?
2. 보안은 믿음에서 기인하나 두려움에서 기인하나
이 책이 말하고 있는 것도 추상적으로 말하면 이런 질문에서부터 시작한 것이 아닌가 합니다. 오래 이 일을 하면 자연스레 하는 질문인가요?! 그래도 책을 쓰고 실천에 옮기고 한 회사의 일부분을 책임지고 이끌어 가는 것이 대단합니다.
이 책에서 말하는 것 중 하나는, 많은 사람들이 보안에 대해서 관심을 갖는 것은 두려움 때문이고, 그래서 알지도 못하면서 많은 비용을 지불하고 있고, 그래서 보안 기업들은 실제 (사용성이 있는) 보안보다는 (처음그렇게 시작했다고 해도) 팔기 위한 - 솔루션에만 집착을 하고 있다라고 말하고 있는 것이 아닌가 합니다
누구나 이런 질문을 해볼 수 있습니다.
여기에 찬성도 있고 반론도 있는데, 반론부터 말하면,
솔루션이라고 하는 것은 하나의 돈을 벌기 이한 단위도 될 수 있지만 (제품이나 서비스) 이것은 기업 담당자와 커뮤니케이션의 단위가 될 수 있다는 것입니다. 보안을 파는 기업이 있는 한 (회사 담당자가 직접 보안을 깊이 고민하고 생각하여 방어책을 세우지 못하는 상황) 자산인 회사를 지키기 위해 외부 솔루션을 검토해야하는 입장에서는 더더욱 보안 기업은 이를 솔루션화 해서 그 회사 담당자에게 이를 보이고 설득해야 한는 해결의 단위가 되는 것입니다.
여기에 차이(갭)이 있는 것인데,
이 때 팔려고만, 또 돈을 지출하려고만 해서는
결론적으로 엄한 산에 올라가 있을 수 있다는 것이입니다.
찬성의 입장은 당연히,
보안은 돈으로만 해결할 수 없는 것이고 그러니 이 책에서 말하는 점을 곰곰히 생각해 볼 필요가 있다는 것입니다.
여기에서 생각해볼 만하는 것은
자발적인 보안의 개념에 해당하는 "균형"입니다. 어디나 중용이 중요한 덕목이라 할 수 있겠습니다. 하지만 아무것도 하지 않는 중립이 아니라 내재화 개념이 있는 적극적인 개념이라 하고 싶습니다.
모든 보안을 혼자서 해결할 수 없는 노릇이라는 것은 모두 동감할 것입니다. 스스로, 혼자
하다가는 주 업무를 하지 못하는 상황이 이를 수 있겠지요. 방어 노력은 분담해야하고 또 효율성(가용성)이 뒤 따라야 합니다.
또한 먼저의 측면에서의 보안은 솔루션에만 집착하는 산업화를 추구해서는 안되고 솔루션을 도입하는 회사의 업무에 스며들도록하는 것에 목표가 있어야 합니다. 업무에 스며들어야 한다는 말은 곧 업무를 하는 사람에게 이해되어야 하고 업무와 유기적인 연결이 있어야 보안이 된다는 것입니다. 이제 보안만은 보안이 아니라 더 큰 사고를 일으키는 리스크로 고스란 떠 안게 될 것입니다.
그리고 따로국밥 보안 업체만 배를 불려는 꼴이된다는 것입니다.
조금 많이 진도가 나갔습니다. . 정리하면,
1. 솔루션으로 법금하는 보안 산업은 지고 있습니다.
2. 업계가 볼 때는 서비스로 접근하고 싶지만,
3. 그 서비스는 결국 보안을 원하는 기관에서는 사람과 조직에 스며드는 들고 업무의 연속성과 사용성을 고려하제 않으면 안되게 업무 환경부터, 특히 사람이 바뀌고 있습니다.
4. 그렇다면 보안을 도입하는 기관은 보안을 더 이상 솔루션으로 서비스로도 생각하지 않고 조직 문화로 생각하는 것이 다 적절해보입니다.
5. 지금으로서는 보안의 새로운 패러다임을 이 단어 "조직 문화" 로 밖에 표현할 새로운 단어를 못찾았을 뿐 입니다.
하지의 짧은 밤이 가고 있습니다.
읽어주셔서 감사합니다.
댓글 없음:
댓글 쓰기