정보보안 경제학?
서울대 경제학과 이천표 교수의 2007년 저서. 제목이 너무 부럽다. 그냥 경제학이 아니라 정보통신 경제학을 강의한다는 저자의 이력이 특이하다. 그리고 무엇보다 정보보안을 바라보는 경제학 교수의 관점이 재미있다.
경제적 이익으로 유인하면 알아서 척척척 스스로 원해서 보안을 하게 된다는 얘기.
정보보안은 기술적 문제를 넘어선 유인체계의 문제
금융 사고 입증 책임이 고객에게 있는 유럽보다, 은행이 사고 입증 책임을 지는 미국의 사고 발생률이 더 낮다고 한다.
일리 있는 주장이다. 좋은 대학 가고 싶어서 하는 공부와 부모님 꾸중 듣기 싫어서 하는 공부의 수준이 같기는 힘드니까. 돈 잃을 가능성을 줄이거나, 더 벌 수 있다면 보안 투자에 대한 마인드가 달라지겠지.
- 강명훈, 『IDS와 보안관제의 완성』, 147쪽
아직은 과징금보다 보안 투자 비용이 더 비싸겠지만, 언젠가는 더 싸게 먹히는 날도 오지 않을까? 문제는 돈을 버는 민간은 그 돈을 지키기 위해 투자를 할 수도 있다지만, 돈을 안 버는 공공은 어떻게 유인하나? 사명감? 모르겠다. 민간이 발전하면 공공까지 견인해주는 낙수효과가 생길 수도 있겠지.
안전 책임자의 도덕적 해이
저자가 두 번째로 거론한 정보보안의 어려움은 도덕성!?
대략 난감(…) 일단 좀 더 들어보자.
안전 책임자가 잘 알려진 시스템 도입에 매달리는 이유는 상급자 설득이 쉽기 때문이라는 것. 빅데이터, 인공지능 같은 걸 끼얹으면 설명이 쉬워지는 게 사실이다. 왜 그럴까?
감독 분야에 대한 이해도가 낮은 감독자는 당연하게도 어려운 설명을 싫어한다. 덩달아 어렵게 설명하는 사람도 싫어함. 그리고 감독자에게도 설명하고, 설득해야 하는 상급자가 있다. 한마디로 모두의 밥줄이 걸린 문제. 도덕이 밥 먹여주나(…)
사람들은 포르쉐를 부러워하지, 운전 실력을 부러워하지 않는다. 자본주의 세상에서 비싼 포르쉐는 성공의 상징이기 때문. 그런 연유로 빅데이터나 인공지능 같은 최신 미국 기술은 정보보안, 나아가 IT 분야의 포르쉐가 된다.
결정적으로 사명감을 가지고 최선의 보안 조처를 한다고 해서 사고가 없으리란 보장도 없다. 군대 있다고 전쟁 안 나고, 경찰 있다고 범죄 없어질까?
경제학 교수의 정보보안 통찰은 다시 봐도 신기하지만 도덕성 문제 제기는 별로 도움이 안 될 것 같다. 어떻게 하면 좋을까? 저자 역시 유인체계를 정비하고 관련자들의 성실한 처신을 확보해야 한다는 결론을 내리지만, 구체적인 실행 방안을 제시하지는 못한다.
유인체계 정비와 종사자의 직업윤리
유인체계를 어떻게 정비하지? 돈 많이 주면 되나?(그러면 나야 땡큐) 아무리 많이 준들 기술, 제도의 허점을 악용했을 때의 경제적 이익보다 더 많이 줄 수 있을까? 결국 컴퓨터 범죄 시장의 파이를 줄이는 시도를 병행할 필요가 있다. 근데 어떻게? 돈 앞에서는 사람 목숨도 우스운 게 자본주의 아닌가.
자본주의를 폐기할 수도 없고, 참 어려운 문제다. 관련 종사자의 성실한 처신은 또 어떻게 확보한담. 분야를 막론하고 돈 받고 일하는 사람은 돈 주는 사람이 보고 싶어 하는 걸 보여주려, 듣고 싶어 하는 걸 들려주려 노력하게 되어 있다.
그리고 많은 분야에서 돈 주는 사람이 보고 싶고, 듣고 싶은 것들은 해당 분야의 솔루션에 근접할 때가 많다. 오랜 시행착오의 역사 덕. 반면 정보보안이란 용어가 등장한 시점은 빨라야 2000년대 초. 아직은 더 많은 시행착오가 필요하지 않을까?
오랜 역사와 함께 눈에 보이는 적을 둔 덕에 존재만으로 가치를 인정받기 쉬운 군대나 경찰과 달리, 역사도 짧고 보이지도 않는 적과 상대해야 하는 정보보안은 일한 티를 내느라 오늘도 고달프다. 이런 사실을 진작 알았더라면(…)
원문: 케세라세라