말콤 글래드웰 - 다윗과 골리앗

출처 : 말콤 글래드웰의 "다윗과 골리앗"

원서를 읽지 않았지만 이미지는 원서를 넣었다. ^^

보안 직무를 맡은 지 2년이 안된 '약자' 입장이라 보안 카테고리에 리뷰를 쓰고 싶지만 사례를 드는 내용들이 많고 길어 몇가지만 추려서 해야겠다. 잘 시간도 되었고 안 하면 찜찜해서 적당한 선에서 타협을 ㅜㅜ

1. 농구 이야기 

대부분의 농구 게임을 보면 A 팀이 골을 넣으면 B 팀은 B 팀 골대 아래 라인에서 동료 선수에게 공을 주면서 상대방 코트로 전진해나가고 A 팀은 자기 골대 근처에서 수비를 시작한다.

28.7 미터 농구 코트에서 양 끝의 7.3 미터 내에 상대방이 올 때까지 가만히 기다리며 농구를 하고 있는 것이다.

내가 맡고 있는 팀이 약팀이라면 이렇게 해서 강팀을 이길 수 있을까?

상대팀이 내 코트로 올 때까지 아무것도 아니 하고 그들에게 생각할 시간을 준다면 결과는 뻔하다. 

체력만 받쳐준다면 상대방이 골대 아래서 패스를 시작할 때부터 한 사람씩 맡아 그들 앞에 서서 공을 못 받게 하고 나머지 한 명은 드리볼이 뛰어난 에이스를 추가로 맡는다면 어떠할까? 그것이 약팀이 할 수 있는 최선의 방법이다.

골대 아래서 동료에게 패스를 5초안에 안 하면 공격권이 넘어가는 룰이 있고 10초 안에 하프라인을 넘어가지 못하면 또 공격권이 넘어간다. 약팀이 그동안의 관습대로 하지 않고 규칙은 규칙대로 지킨다면 강팀도 당황함을 느끼고 실수를 하게 된다. 

실수를 하게 되면 상대팀의 코트내에서 공을 잡았으므로 우리팀 코트에서 오는 거리를 줄일 수 있고 운이 좋으면 골대 밑에서 공격해서 슛 성공율을 올릴 수 있다.

그런 기술이 약하고 조직력이 약하고 오합지졸인 약팀에게 단순함을 강조한다면 그것이 그들만의 장점이 될 수 있다.

금융 관련 개발은 오래 해봤지만 해커, 컨설턴트의 지식과 경험이 없어 모의 해킹 수준의 진단을, 보안 전문가 수준의 체계를 단시간내에 이룰 수 없다.

그렇다고 그들처럼 흉내를 내야 할까? 흉내를 낼 수는 있지만 강한 농구팀을 상대하는 약팀처럼 농구 기술적으로는 그들처럼 점수를 내거나 수비를 할 수는 없다.

그럼 농구 룰을 지키면서 공격을 막고 점수 획득이라는 내 목적을 달성하기 위해서는 어떻게 해야할까?

막무가내여야 한다. 

강자에게 익숙한 방법으로 접근을 하고 상대를 한다면 그들의 의도대로 놀아줄 뿐이다. 

막무가내는 무엇일까? 돌아이와 비슷할거 같다.

막무가내란 것은 주어진 환경에서 보안을 최대한 단순화 방법으로 접근하는 것이라 생각한다.

최초 생성되는 곳, 외부로 나가는 접점, 업무적으로 필요 여부 등을 따져 최대한 단순화해야 보안 약자는 강자에게 대처할 수 있다.

그런데 이러 전략은 아주 약팀이 받아들일 수 있다.

강팀도 아니고 약팀도 아닌 팀은 이렇게 힘든 플레이를 할 수 있도록 코치진이 선수들을 설득하지 못하고 선수들도 체면(?)때문에 하려고 하지 않는다. 이런 그들에게는 '필사적이지 않다' 는 것이다.

패스와 드리블, 슛 능력이 빵점인 선수들을 볼 때 우리는 그것이 가장 큰 약점이라고 생각하지만 그것은 약점이 아니다. 그 약점이 바로 승리의 전략을 가능하게 만드는 "장점" 이 될 수 있는 것이다.

경험, 지식이 없는 보안 약자는 필사적이야 한다.

경험해보지 않은 지식과 경험으로 부족한 티가 나고 무시도 당할 수 있다. 하지만 그것을 견디어야 악자는 경험이 쌓이고 배울 수 있는 기획가 오는 것이다. 아마추어적이고 세련되지 않은 노가다라도 해야 내 농구의 점수 획득이라고 할 수 있는 보안 직무를 수행할 수 있다.

경영진과 책임자는 체계, 전문가적인 진단 방법 등에 의미를 두지 않는다. 

"결국 막았어? 찾았어? 꼭 솔루션을 사야해? 이거면 돼?" 이렇게 물어보는 것이 다반사이므로...

2. 큰 연못의 물고기

우리는 명성과 자원을 얻고, 엘리트 기관에 소속되는 게 우리를 더 잘 살게 하는 길이라고 생각하는데 많은 시간을 쓴다. 반면 물질적인 이점이 우리의 선택을 제한한다는 방향으로 생각하는 데에는 충분한 시간을 쓰지 않는다.

150년전에 프랑스 인상파 화가들은 당시 국가에서 관리하는 미술 전시회 "살롱" 에 작품을 내고 싶어했지만 인상파 그림들이 그 당시 주류가 아니었기에 작품을 낼 수도 없었다. 설령 심사를 통과해서 살롱에 걸려진다고 해도 사람들의 눈높이가 아닌 천장 등에 걸려 전시가 끝나면 폐기가 되곤 했다.

그래서 그들은 그들만의 전시회를 만들었다. 작품의 주제, 개수에 제한없이 표현하고 싶은 내용을 마음껏 그림으로 표현하였다.

살롱이 '큰 연못' 이라면 인상파 화가들만의 전시회는 '작은 연못' 이었던 것이다. 큰 연못에서 보잘것 없고 경쟁이 치열한 물고기가 되는 것보다는 작은 연못에서 큰 물고기가 되는 것을 선택한 것이었다.

3. 엘리트 대학의 진학

화학을 좋아하는 학생이 있다.

그녀에게는 지역 내 아주 좋은 대학과 그렇지 않은 대학 진학의 선택권이 생겼고 그녀는 좋은 대학을 선택을 했다.

고등학교에서는 공부를 잘 하는 축에 들었지만 좋은 대학에서는 그녀보다 훨씬 잘 하는 동기생들 때문에 그녀는 도저히 따라갈 수 없었다. 

자연히 그녀가 좋아했던 과학, 화학 과목에 관심은 줄어들고 논문 통과가 힘들어짐에 따라 이공계가 아닌 다른 분야로 전환하여 취직을 할 수 밖에 없어졌다.

그녀의 성적으로 상위권을 유지할 수 있는 대학으로 진학을 했다면 어떻게 되었을까?

그녀는 계속 좋아하는 과목을 공부할 것이고 상위권을 유지하고 있을것이므로 논문 통과도 엘리트 대학보다는 쉽게 되었을 것이다.

보안 직무를 수행하면 연봉이 더 좋은 회사, 네임벨류가 더 높은 회사를 가고 싶은건 누구나 바라는 것일 것이다.

대한민국에서 IT 는 일부 업종을 제외하면 대우를 못 받는 현실이고 보안도 다르지 않다. 

보안 전담 부서가 없는 회사는 그럴 경우가 덜 하지만 이미 전담 부서가 있는 - 연봉이 좋고 네임 벨류가 있는 회사 - 회사에 갈 경우 그 부서의 작은 업무의 담당자가 될 수 밖에 없는 경우가 많다.

구현해보고 싶은 체계, 개발, 방법 등이 의도대로 할 수 없는 경우가 많을 수 있다. 이미 그 곳은 큰 연못이고 엘리트 직원들이 차 있는 대학일 경우가 많다. 

그런 곳에서 잔챙이 물고기와 같은 그런 저런 직원이 될 수도 있고 아니면 그들보다 더 큰 물고기가 될 수가 있지만 일반적으로 회사 문화란 것이 있어 쉽지 않을 수 있다.

연봉은 좀 더 작고 네임 벨류는 좀 떨어지지만 내가 흥미를 잃지 않고 여러가지 방법을 접목하면서 문제점을 스스로 찾고 보안의 이상과 현실을 경험하는 곳을 택한다면 인상파 화가들의 작품이 나중에는 살 수 없는 값어치가 되고, 논문을 통과한 대학교 졸업장으로 원하던 회사로 입사하는 것과 같지 않을까? 

우리는 최상의 것을 얻으려고 분투하고, 할 수 있는 한 가장 좋은 기관에 들어가는 일에 큰 중요성을 부여한다. 그러나 인상파 화가들이 그랬듯, 가장 명성있는 기관들이 항상 우리에게 가장 이익이 되는지를 곰곰이 생각해보지는 않는다.

4. 난독증

버진 그룹의 리처드 브랜슨, 증권중개회사의 창립자인 찰스 슈워브, 시스코의 CEO 존 체임버스 그리고 골드만 삭스 회장 개리 콘.

이들의 공통점은 난독증을 갖고 있다.

난독증이 있으면 학업 진도를 따라가기 힘들다.

그들은 그들의 단점을 정확히 알고 그것을 극복하기 위해 방법을 찾아야했다.

그래서 수업 시간에 모든 수업을 듣고 바로 암기하거나 다른 정상인 친구들보다 점수가 항상 낮으니 점수를 한 단계라도 더 높이려고 자신의 난독증을 선생님을 설득했다.

즉 그들은 치열했고 필사적이었다. 그리고 단점을 단점으로만 바라보지 않고 다른 장점을 점점 키워나간 것이다.

보안 약자들은 보안 강자/고수/전문가보다 속칭 말발도 없고 문서 작성력, 발표력 등 모든 면에서 약하다.

어떻게 해야할까?

앞서 말한대로 치열하게 세련되지 않게 단순하게 노가다로 보안 직무를 수행해야 할 것이며 또한 보안 정책을 직접 적용받는 고객/직원들을 고충(?)을 좀 더 가까이 공감할 수 있다.

그리고 그들이 가지고 있지 않은 신선하고 이용자들의 불편할 수 있는 시각이 있고, 사내 환경을 더 알 수 있었던 경험이 있었다면 종합 셋트처럼 구축되는 솔루션의 사내 적용시 문제점을 먼저 알 수 있을 수 있다. 

보안의 난독증이 있겠지만 그것이 약점은 아니다. 

그 약점이 최적화된 보안을 구성할 수 있는 장점이 될 수 있고 찾을 수 있다.

왜? 보안 난독증 약자는 절박하니깐!!