블로그
2015년 11월 17일 10시 13분 KST | 업데이트됨 2016년 11월 17일 14시 12분 KST

불확실성 바다의 등대, 두 개의 그래프

2015-11-16-1447653706-6256955-30_00.jpg

22개 국가 50개 기업 경영자 대상 설문을 정리한 'Global Risk Survey 2014'에 따르면, 오늘날 기업 경영에 있어 가장 위험한 리스크 1위는 55%(3항 선택 시, 1항 선택은 29%)를 차지한 '경제 불확실성', 2위는 50%(1항 선택 19%)를 차지한 '사이버 위협'이다.

하지만 경영 일선에서는 그 두 항목의 순위를 바꿔 곤란함을 호소하는 경우가 많다. 불확실성이야 오랜 전통적 리스크다 보니 마치 공기나 물의 존재처럼 당연하게 느껴지지만, 신예 리스크인 사이버 위협은 낯설다 보니 아무래도 더 껄끄럽고 불편한데 그 기세는 점차 거세져 사고가 터졌다 하면 모든 언론이 앞다투어 달려들어 물어뜯으니까 사후처리도 난감해서 도저히 감당 못하겠다는 불평이 많다.

사이버 위협의 가장 심각한 문제는 그게 뭔지 설명을 한참 들어 봐도 너무 어려워서 도대체 무슨 소리를 하는 건지 모르겠다는 점이다. 서점에 가 책을 찾아 봐도 한쪽은 숙련된 기술자들이나 겨우 읽는 기술서, 다른 한쪽은 이론이라 할 수도 없이 허술한 사이비 경영서뿐이라서, 배우고 싶어도 배울 수도 없다. 그러니 경영과 기술 사이의 갭은 점차 벌어져 그 틈을 노리는 범죄자와 사기꾼들만 드글거리고 각종 ICT 사건사고는 끊임없이 일어난다. 경영자와 기술자, 생산자와 소비자, 쌍방 모두 도대체 문제를 해결할 방법이 없다. 어쩌면 오늘날 기업 경영에 있어 가장 위험한 리스크는 '사이버 위협의 불확실성'인지도 모르겠다.

"사이버 위협 대처 가이드가 필요하다!" 기업 현장의 요구가 절실하다. 요구가 있으면 해법은 꼭 있는 법이니, 세계 유수의 경영자문 연구소들이 정기적으로 배포하는 ICT 시장분석 보고서가 이럴 때 크게 도움이 된다.

'가트너(Gartner, Inc.)'는 미국 코네티컷주 스탬퍼드에 있는 ICT 연구 및 자문 회사다. 1979년에 설립해 특유의 예리한 분석력을 무기 삼아 해마다 고도로 성장해 지금은 무려 5,700명의 직원이 근무하고 그 중 1,500명 가량이 리서치 애널리스트와 컨설턴트 인력으로 구성된 명실상부한 세계 최고 최대 연구집단이다. 생각해 보라. 생산품이라곤 딸랑 보고서뿐인 회사가 아주 비싼 인력 수천 명을 고용해 그 큰 조직을 유지하려면 그 보고서의 품질이 어느 정도 수준일지.

불확실성 바다의 등대, 하이프 사이클과 매직 쿼드런트

'가트너' 보고서의 품질은 오늘날 시장분석의 상징처럼 널리 통용되는 두 가지 그래프만으로도 충분히 증명된다. '하이프 사이클'과 '매직 쿼드런트'. 기업경영 의사결정의 중요한 자료인만큼 간단하게나마 내용을 살펴보자.

2015-11-16-1447653732-9640962-30_01.jpg

출처: 'Gartner's 2015 Hype Cycle for Emerging Technologies'

'하이프 사이클(Hype Cycle)'은 어떤 기술의 산업적 성숙도를 표현하기 위한 시각적 도구이다. 해당 기술의 연구개발 수준과 시장의 반응 등 여러 조건에 따라 각 항목을 1)기술 촉발(Technology Trigger), 2)부풀려진 기대의 정점(Peak of Inflated Expectations), 3)환멸(Trough of Disillusionment), 4)계몽(Slope of Enlightenment), 5)생산성 안정(Plateau of Productivity) 등 5개 주기로 분류해 그래프 상에 표시한다.

1)성장가능성이 잠재된 기술이 사회의 관심을 받고, 2)개념-모델에 집중된 과도한 관심 덕분에 시제품을 만들지만 대부분 실패하고, 3)숱한 실패에 좌절한 투자자들이 떠남에 따라 겨우 몇 개만 살아남은 회사에 의해 성공사례가 나타나기 시작하고, 4)팔아서 돈을 벌 수 있는 제품이 생산됨에 따라 다시 투자자들이 몰려들고, 5)시장의 주류에 진입해 품질로써 경쟁하는 일련의 과정이다. 대부분의 기술이 이런 전철을 밟는다.

이러한 단계 범주에 입각해 그래프를 바라보면, 매우 흥미롭다. 세상에 어떤 새로운 용어가 등장하고 언론들이 몰려들어 막 호들갑을 떨다가도 곧 태도가 차갑게 돌변해 비아냥거리며 비웃는 와중에 숱한 젊은이들이 청춘을 불태우며 치열하게 경쟁하다가 매우 적은 수만이 겨우 살아 남아 성공해 큰 부자가 되어 다시 언론 지면을 도배하는 과정이 눈앞에 선하게 그려지지 않나? 정말 흥미롭다. 즉, 잘 만든 그래프다. 하이프 사이클의 변화상을 참조하면 그 복잡한 IT 업계의 불확실성도 어느 정도는 사라진다. 겨울날 자동차 앞유리에 낀 성에를 슥 걷어내는 와이퍼처럼.

그럼, '매직 쿼드런트(Magic Quadrant)'도 살펴보자. 이번엔 '가트너' 못지않게 유명한 연구집단인 '프로스트 앤 설리번(Frost & Sullivan)'의 비슷한 그래프를 보자. 축 개념이 약간 다르지만 그래프가 뜻하는 바와 그로부터 얻을 수 있는 영감은 비슷하다.

'프로스트 앤 설리번'은 40년 전통의 기업성장 컨설팅 회사다. 약 800여 명의 애널리스트들이 포진된 세계 각국의 현지지사 네트워크를 통해 수집한 정보를 바탕으로 한 시장분석 보고서의 균형 잡힌 국제적 시각과 날카로운 해석력으로 명망이 높다.

2015-11-16-1447653809-3011123-30_02.jpg

출처: 'Frost & Sullivan's Asia Pacific Web Application Firewall Vendors 2015'

세로축은 현재 시장의 분배 상황을 뜻하고 가로축은 미래 성장 전략의 우수성과 실행 가능성을 뜻한다. 소비자 입장에서는 얼리-어답터 전략을 택할지 레이트-어답터 전략을 택할지 등 자사의 의사결정 기준에 따라 위 4분면 그래프 상의 여러 후보군의 위치와 변화로부터 각자 다른 시사점을 읽을 수 있을 것이다. 물론 최종 의사 결정 단계가 아닌 초반 검토 단계에서 활용하는 게 현명한 일일테고.

그래프 상에 배치된 기업들의 위치는 "이 회사는 대충 여기쯤 놓을까?" 라며 막 찍은 건 아니고 매출, 유통망의 규모와 품질, 직원 수, 특히 개발자 인력의 수와 수준, 판매, 지원 등 여러 사업 분야별 직원 비율 등에 따라 결정된다. 최종 산출물의 형태가 단순한 그림으로 그려질 뿐, 그 배후엔 왜 이런 그래프를 그렸는지 이유를 설명하는 읽기 힘들 정도로 두꺼운 보고서가 있다. 중요한 건 그래프가 아니라 그 두꺼운 보고서다. 그러니 하이프 사이클이나 매직 쿼드런트 등 간단히 그려진 그래프들은 늘 바쁘셔서 긴 문서 읽기 싫어하시는 윗분들을 위한 소위 '중역용 요약본(Executive summary)'라고 봐도 무방하다.

다시 말해, 그래프는 지나치게 주관적으로 보이기도 하지만 이를 뒷받침하는 보편성은 갖추고 있기 때문에 객관성을 인정받는 것이다. '가트너'나 '프로스트 앤 설리번' 등 이름을 대면 누구나 알 만한 유명 컨설팅 회사의 애널리스트들은 쓸데없는 말만 장황하게 늘어놓을 뿐 세상 물정은 아예 모르는 흔한 책상물림들이 아니다. 산업 현장의 경향을 실질적으로 파악하기 위한 연구 체계를 충실히 갖추고 있다는 점도 전체 업계가 그들의 분석 결과를 크게 인정하는 까닭이다. 그러니 다들 일단 그 전문성을 인정하고 보는 것이다.

"그딴 회사 애널리스트들보다 내가 훨씬 더 많이 알아!" 사내의 해당 부문 전문가가 애널리스트들보다 뛰어난 기술자일 수는 있지만, 그들처럼 업계 전반을 두루 살피지는 못하고 직접적으로 연결된 업계 내 인적 네트워크 때문에라도 종종 객관성을 잃게 마련이다. 간단히 말해, 대개의 경우 애널리스트들이 훨씬 더 똑똑하다. 불쾌하더라도 어쩔 수 없다. 그건 그들의 '일'이고 그들은 공히 인정 받는 전문가들이니, 만약 제대로 못한다면 오히려 더 이상한 일 아닌가.

따라서 업계 일선의 경영자들은 이러한 보고서를 열람하고 심사숙고함으로써 의사결정 과정에 참조하면 이래저래 편리하고 크게 도움이 된다. 기술은, 특히 ICT 관련 기술은 신진대사가 매우 활발한 생물이라서 늘 변화하므로 한 번 봤으니 이제 판도 흐름을 좀 알겠다며 슥 덮어 두지 말고 정기적으로 그리고 지속적으로 관찰하는 게 좋다. 적어도 해마다 갱신되는 그래프쯤은 챙겨 보자.

문제는 늘 새롭게 등장하고 기술적 판단의 기준도 늘 변화하니 해법도 늘 달라진다. 실제로 중요한 건 그래프 상 어떤 요소가 위치한 지점 좌표가 아니라 상황 변화에 따라 그 요소가 어디서 어디로 이동하느냐, 즉 변화 그리고 변화의 이유와 근거다. 일례를 살펴보자.

기업정보보안 환경의 변화와 WAF의 위상 변화

최근 '가트너' 보고서 상의 WAF 위상이 변화했다. 작년까지만 하더라도 '가트너'는 WAF를 "'PCI DSS(신용카드 데이터 보안 표준, Payment Card Industry Data Security Standard)' 등 법적 규제 때문에 어쩔 수 없이 도입해야 하지만 그 효용성이 의심스러워 적자생존 법칙에 따라서 시장에서 곧 사라질 상품" 정도로 정의했었다. 하지만 최근 보고서를 보면 "WAF는 기업정보보안에 있어 꼭 필요한 필수요소"로 내용이 변경되었다.

보고서 문장을 그대로 보더라도, 'Hype Cycle for Application Security, Gartner 2013' 보고서는 "WAF는 여타 경쟁 제품군에 비해서 효용성 및 확장성이 낮아서 여전히 작은 시장을 겨우 유지만 하고 있다"고 격하 평가했다. 하지만 'Hype Cycle for Application Security, Gartner 2014' 보고서에는 "규제 대상에 해당하지 않아서 WAF를 도입하지 않았던 기업들도 이제 웹 어플리케이션 보안의 중요성을 알게 되어 WAF 도입이 단지 규제 충족을 위한 결정만이 아니라는 사실을 깨닫고 있다"고, 보다 현실적인 평가로 돌아섰다. WAF에 대한 태도가 완전히 달라진 것이다.

앞서 중요한 점은 어떤 요소의 위상 변화의 이유와 근거라고 했으니, WAF 위상 변화의 까닭을 유추해 보면,

- 단지 규제 때문에 강제로 사는 게 아니라, 도입해 보니 실제로 보안 효과가 높았다.

- WAF의 대안이라고 볼 수 있는 '시큐어 코딩'은 결과적으로 비현실적 희망일 뿐이었다.

- 제대로 시큐어하게 코딩하고 또 관리하하려면 WAF에 비해 훨씬 더 많은 비용이 든다.

그래서, WAF의 위상이 급속도로 상승한 것이다. 이렇듯 변화 자체보다 변화의 까닭에 집중해 볼 필요가 있다. 해법의 핵심은 '이유'에 있으니.

특히 우리나라는 시큐어 코딩을 강조하는 분위기다. 안타깝다. 이거 진짜, 비현실적인 희망일 뿐인데,, 학교 선생님들 가리켜 구름 위 둥둥 떠 다니는 책상물림들이라고 막 폄하하려는 건 아니지만, 구체적 정책 결정 과정에 현장 실무자들의 목소리가 좀 더 커졌으면 바랄 따름이다. 현실이 제발 좀 그렇게 하라고 자꾸자꾸 요구하고 있지 않냔 말이다. -_-

기업정보보안 환경은 늘 급변하고 있으며 날이 갈수록 점점 더 위험해진다. 끊임없이 벌어지는 온갖 보안침해 사건사고들만 보더라도 ICT 리스크는 비즈니스 연속성을 해치고 투자자의 투자심리에 악영향을 미칠 뿐 아니라 심각한 경우 엄청난 사회혼란으로 인한 재해재난 수준의 경제활동 마비와 기업활동 중단으로 이어지는 결과를 초래하기도 한다. 그럼에도 기업 현장에서는 정보보안에 대한 종합적 이해 부족으로 인한 의사결정 어려움을 호소한다.

그럴 때, '가트너'나 '프로스트 앤 설리번'의 보고서를 참조하라. 불확실성의 바다의 등대처럼, 기업의 의사결정 과정에 매우 큰 도움이 될 것이다.