[보안칼럼]"고마해라 마이 고쳤다 아이가"

10여년 전 270만명의 관객을 동원하며 공전의 히트를 한 어느 영화의 클라이맥스 장면에 나오는 주인공의 한마디다. “고마해라, 마이 묵었다 아이가.”

이 문구는 당시 카리스마 넘치는 주인공의 열연에 힘입어 소주 한잔 걸친 남자들 사이에 배부르다는 표현 대신 농담으로 한동안 유행했다.

암울했던 시기에 한쪽 벼랑 끝까지 몰린 주인공의 처지도 한편 이해하면서 굵은 저음의 부산사투리가 많은 사람들의 고향에 대한 향수를 자극하기도 했다.

그런데 최근 몇 년 사이 많은 정보보안 사고를 접하면서 정보보안 제품을 개발 공급하는 나는 10여년 전 영화 속 주인공 같은 느낌이 많이 든다.

정보보안 산업은 분명 소프트웨어 산업이다. 그것도 미래창조경제 시대의 큰 축인 소프트웨어 패키지 산업이다. 이 소프트웨어 패키지 산업이 많은 정보보안 사고를 통해 시장이 확대될 텐데 왜 이런 느낌이 들게 되는 걸까. 이유는 바로 끊임없는 커스터마이징이다. 커스터마이징은 패키지 본연의 기능에 현장의 워크플로나 프로세스를 감안해 애플리케이션을 덧붙이는 작업이다. 이는 업무 편의성을 최대한 반영하기 위한 작업이기도 하다. 시간이 지나면서 결과론적으로 커스터마이징을 반영한 소프트웨어 패키지 업체나 요구했던 고객사 모두에 큰 짐이 되고 있기 때문이다.

우선 현업의 커스터마이징 요구사항을 별도의 애플리케이션 프로젝트화해야 한다. 많은 고객사가 국산제품을 구매하면 의례적으로 커스터마이징을 무상 요구하고 통상 `을`의 처지는 `갑`의 요구를 들어줄 수밖에 없다. 그러다 보니 계약서에 의하면 패키지 구매니 검수 후 100% 수금이고, 실제는 ?지 않은 기간의 SI 프로젝트를 선수금이나 중도금 없이 수행하고 있는 실정이다. 이런 상황이니 라이선스 판매로 인한 고부가 가치 대신 수익성이 떨어지고, 심지어 정보보안 업체가 영세하니 하는 말이 나오게 되는 것 아니겠는가.

최근 국회에서 정보보안산업 진흥법이 발의돼 토론회도 있었다. 제2의 영토인 사이버공간을 지키는 정보보안산업 전문가들이 수익성보다 전문기술개발에 매진할 수 있는 환경조성에 기여하는 좋은 법안이 빨리 마련되기를 기대해본다.

또 패키지의 커스터마이징은 향후 버전 업그레이드 등 형상관리에 큰 부담이 생긴다. 정보보안 제품은 CC인증과 같은 보안적합성 검증도 받아야 하고 특성상 매년 적지 않은 보안기능을 패치작업을 통해 보강해야 한다. 커스터마이징이 많이 반영될 때는 심지어 패치 적용 자체가 별도 프로젝트가 될 정도로 큰 작업이 필요하기도 하다. 결국 누군가는 그 원가를 부담해야만 하는 것이다.

작년에 금감원의 금융보안강화대책에 따르면, 일정 규모 이상일 때 정보보안을 총괄 책임지는 임원(CISO)을 별도 선임하게 되어 있다. 이는 금융기관의 정보보안 중요성을 다시 한번 확인하는 중요한 정책임과 동시에 현업에 종속되다시피 한 정보보안팀의 위상을 배려한 정책이기도 하다. 9·11테러 사고 이후 많은 탑승객들이 불편함을 감수하더라도 안전을 최우선시하는 점을 간과해서는 안 되겠다.

그래서 정보보안팀의 한 멤버인 나는 10여년 전 영화의 한 장면이 생각난다.

“고마해라. 마이 고쳤다 아이가.”

박동훈 닉스테크 사장 dpark@nicstech.com