[보안칼럼]데이터 암호화로 본 `플랫폼적 사고`

‘플랫폼’은 요즘 가장 뜨거운 IT 용어다. ‘플랫폼을 지배하는 자가 (시장을) 결정한다’ ‘플랫폼이 패권의 요체다’ 나아가 ‘플랫폼은 모든 것이다’ 등 ‘플랫폼적 사고’의 대유행이다.

누구나 “플랫폼적으로 사고하라”고 말한다. 그런데 그 뜻이 모두 다르다. 어떤 이는 여전히 기술적 플랫폼을 이야기하고, 다른 이는 “유사 서비스를 하나의 틀에 담은 집합으로서 부가가치를 창출하려는 시도가 플랫폼”이라 정의한다.

응용 프로그램이 구동되는 환경이라는 전통적 의미는 흐릿해지고 다양한 상품을 생산하고 판매하기 위한 공통된 서비스 기반의 뜻으로 통용된다.

일반성과 확장성은 플랫폼의 가장 큰 매력이다. 컴퓨터 아키텍처를 뜻하던 시절에도 플랫폼은 그 자체로 상업적 생태계를 이룸으로써 온갖 상품들의 표준을 결정했고, 해당 규격에 따라 제반 요소가 유통됐다. 소프트웨어 프레임워크를 가리켜 플랫폼이라 부르는 것도 마찬가지, 예컨대 자바 플랫폼 또한 일반성과 확장성을 무기로 시장을 지배했다.

시장 지배 가능성은 누구에게나 매력적이겠지만 특히 전략가들에게 절실하다. 목마른 자가 우물을 파는 법이니, 요즘은 이 말이 주로 경영전략 용어로 쓰여 누가 플랫폼이라 말하면 열에 아홉은 ‘비즈니스 플랫폼’을 뜻한다. 기술적으로 보더라도 기존엔 그리 분류하지 않던 모바일 환경과 페이스북 등 웹 서비스 오픈 API에 이르기까지 플랫폼의 의미는 여러 모로 확장됐다.

하지만 의미의 혼돈은 어떤 측면으로든 결코 좋을 게 없다. 여러 맥락으로 달리 쓰이는 플랫폼의 공통된 정의를 시도해 보자. 말하자면 플랫폼이란 ‘표준 모듈로 구성하고 구조화한 전 영역 환경’이라 할 수 있다. ‘표준’은 플랫폼의 가장 큰 목적, 표준에 따름으로써 불필요한 노력 없이 제품을 생산하는 효율을 노린다. ‘모듈’의 뜻도 표준의 뜻을 따르니, 목적에 부합하는 여러 제품 중 임의로 선택할 수 있다는 것이 모듈의 최대 장점이다. 표준 또 모듈이어야만 매끄러운 구성과 구조화가 가능하다. 전 영역은 환경과 함께 놓여 플랫폼의 전체 큰 뜻을 이룬다. 전 영역을 감당하지 못하면 환경이라 할 수 없다. 요즘 유행인 생태계란 말도 비로소 성립 가능해진다.

그렇다면 플랫폼적 사고란 결국 ‘표준 모듈로 구성하고 구조화한 전 영역 환경’의 구축 노력으로 볼 수 있다. 이는 경영적 맥락 외에도 기술 개발과 제품화 과정 및 결과에도 영향을 미친다. 나아가 어떤 기술기업의 역량을 평가하는 척도가 되기도 한다.

예를 들어, 정보 보호의 초석인 데이터 암호화를 통해 ‘플랫폼적 기술’의 의의를 살펴보자. 데이터 암호화를 플랫폼적으로 보지 않는다면 어떻게 될까. “메신저 서비스에서, 사용자의 메시지 보안을 위해 데이터를 암호화하려면 데이터가 저장되는 DB 서버를 암호화하면 되는가?” 현장에서 흔히 듣는 질문이다. 결론부터 말하자면, DB 암호화만으로는 결코 보안을 위할 수 없다. 클라이언트 인증과 주요 파일, 웹 애플리케이션 그리고 DB서버와 통신하는 구간 등을 모두 암호화하고 또 암복호화 키의 저장과 접근제어를 관장하는 키 관리 서버까지 모두 갖춤으로써 시스템 환경 전체를 감당해 내야 비로소 ‘데이터 암호화를 통해 충분한 보안성을 달성했다’고 안심할 수 있다.

즉, 플랫폼적 기술이다. 단순한 DB 암호화 기술은 쉽다. 하지만 전 영역에 걸쳐 데이터 암호화 플랫폼 구조를 이루는 일은 결코 쉬운 일이 아니다. 이는 전체 환경 구조에 따른 각개 기술이 적재적소에 탑재 가능한 부품 형태로 제공돼야 가능하다. 그래야만 표준 모듈로 구성하고 구조화한 전 영역 환경을 이뤄 완벽한 보안성을 달성할 수 있다. 플랫폼적 사고는 플랫폼적 기술을 요한다.

오늘날 IT 사업자라면 누구나 백이면 백 플랫폼을 지향한다고 말한다. 개발자와 사용자 그리고 저작권자의 생태계를 구축해 부가가치를 창출하려 노력한다. 세분화된 부분은 제각각 불완전하지만 서로 융합된 전체가 또 다른 새로운 가치를 이루는 장으로 해석 가능한 플랫폼 지향은 경영적으로 보나 기술적으로 보나 온전히 추구할 만한 긍정적 방향성이다.

하지만 이렇게 반문할 수밖에 없다. “플랫폼을 이룰 수 있는 기술력은 보유하고 있는가?” 기술력이 부족한 플랫폼적 사고는 무의미한 탁상공론에 불과하다. 그런 뜻에서 지금의 플랫폼 유행을 다소 우려스럽게 바라본다. 누구나 플랫폼을 말하지만 모두가 플랫폼을 이룰 수 있는 것은 아니다.

이석우 펜타시큐리티시스템 대표 swlee@pentasecurity.com