[이미지 = utoimage]

포네몬이 연구한 바에 따르면 64%의 기업들이 “하드웨어나 소프트웨어 등 IT 기술을 제공하는 업체에서 취약점과 보안 업데이트와 같은 보안 관련 사안들에 대해 투명했으면 좋겠다”고 답했다고 한다. 하지만 이런 ‘보안 투명성’에 대해 만족감을 느낀 기업들은 절반이 살짝 넘는 수준(53%)에서 그치고 있다. 투명성이 제대로 보장되지 않을 경우, 기업들은 “다른 벤더를 알아보겠다”고 말하기도 했다(약 75%).

포네몬의 의장 래리 포네몬(Larry Ponemon)은 “결국 보안 투명성을 요구한다는 건, 기업들이 자신들의 보안만이 아니라 서드파티 보안까지도 크게 신경 쓰기 시작했다는 뜻”이라고 해석한다. “구매자 입장에서 생각해 보죠. 일단 비슷한 기능과 성능을 가진 제품과 서비스들이 꽤나 많아졌어요. 선택지가 늘어났다는 것이죠. 동시에 보안은 갈수록 복잡해지고 중요해지고 있고요. 자연스럽게 보안성이라는 게 중요한 고려 요소가 될 수밖에 없는 것입니다. 기왕이면 보안에 대해 숨김이 없고 솔직한 파트너사를 두고 싶은 거죠.”

포네몬은 이같은 결론을 끌어내기 위해 미국과 영국, EMEA와 라틴아메리카 지역에서 1875명의 보안 담당자들과 이야기를 나눠보았다고 한다. 전부 회사의 제품 구매 과정에 참여하는 사람들이었다. 그 결과 IT 제품과 서비스를 구매할 때 기업들이 가장 많이 고려하는 건 순서 대로 다음과 같은 것으로 나타났다.

1) 기존 시스템들과의 호환성

2) 설치 비용

3) 이용성(혹은 시스템의 복잡성)

4) 판매 업체로부터의 지원

5) 확장성

여기에 66%가 “버그나 취약점이 발견되었을 때 재빨리 패치를 해줄 수 있는 능력 역시 대단히 중요한 요소로 여기고 있다”고 답했다. 즉 자기 제품에 문제가 생겼을 때 빠르고 정직하게 해결할 능력을 중요하게 본다는 것이다. “이제 보안을 설계 단계에서부터 적용하는 것이 그 어느 때보다 중요합니다. 고객들이 보안과 관련된 현황을 궁금하게 여기기 시작했거든요.”

그러나 보안이라는 것이, 구매 결정을 내림에 있어서 가장 중요한 요소들 중 하나로 작용하지 않는다는 점 역시 이번 조사를 통해 드러났다. 보안 투명성이 중요한 요소이기는 하나, 그것 뿐이라는 것이다. 이는 보안 인식과 관련된 문제라고 볼 수도 있지만 포네몬은 “소비자들이 원하는 수준의 보안 투명성을 제공하는 기업이 아직 드물기 때문”이라고도 풀이한다. 소비자 입장에서 시장에 없는 것을 찾을 순 없다는 것.

그렇다면 지금 구매 기업들은 벤더사들에 크게 만족하지 않지만, 다른 선택지가 없기 때문에 구매하는 것일까? 아니면 투명성을 요구할 분위기가 아니라고 판단하는 것일까? 포네몬은 “두 가지가 다 작용한다”고 말한다.

“‘좀 더 보안에 대해 투명했으면 좋겠다’는 불만을 가지고 있지만, 그걸 노골적으로 요구할 경우 복잡한 문제에 얽힐 수 있다는 것을 알고 염려하고 있습니다. 보안이 중요하다는 걸 여러 칼럼이나 전문가들을 통해 들어도, 현실로 돌아가면 그걸 같이 구현해 줄 파트너사를 구하는 게 어렵다는 겁니다. 한쪽에서는 보안이 중요하다고 하는데, 다른 쪽에서는 ‘그깟 보안’이라고 하는 격이죠.”

그래서 포네몬은 보안 수준을 전반적으로 높이고 IT 인프라를 강화하려면 보다 성숙한 보안 프로그램, 보안 문제와 관련하여 보다 투명한 태도, 클라이언트와 벤더의 정직하고 적극적인 협업 체제가 동시에 추구되어야 한다고 주장한다.

“그런 식의 변화가 지금 목격되고 있는 중입니다. 10년 전만 해도 투명성이라는 단어를 꺼내는 순간 웃음거리가 됐습니다. 보안 벤더들에게 가장 중요한 건 오로지 각자도생이었거든요. 어떻게든 자본주의 사회에서 경쟁해서 살아남는 것이 보안의 가장 큰 의미였죠. 하지만 지금은 업계 내에서 협업과 소통에 대한 고찰과 자기반성이 이뤄지고 있는 중입니다. 보안이라는 것을 돈벌이 이상의, 조금 더 거시적인 측면의 사회 요소로서 인식하기 시작한 겁니다.”

3줄 요약

1. IT 솔루션과 서비스 구매할 때 가장 중요하게 보는 건 호환성과 가격.

2. 보안도 꽤나 중요하긴 하지만 결정적 요인은 아직 아냐.

3. 그러나 취약점이나 문제 생겼을 때 투명하게 알려주고 빠르게 패치해 줄 기업들 선호하는 비율이 확실히 높아지긴 했음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

느낀점 : 과거에는 보안의 필요성에 대한 인식이 부족했는데 지금은 과거에 비해 보안이 강조되고 있다. 이는 바람직하고 다행스러운 변화지만 보안에 대한 인식은 아직 부족한 점이 많다고 생각한다. 보안의 중요성을 인식하고 보안 투명성을 요구할 수 있는 사회 분위기가 만들어지길 바라며, 이런 날이 오게 된다면 든든하게 한사람 몫을 할 수 있는 사람이 되고자 공부를 열심히 해야겠다고 생각했다.