어느 인도네시아인의 질문

새해가 밝았다. 작년 한해동안 무슨 일이 있었나 생각해봤는데 딱히 기억나는 게 없음. 대통령 탄핵과 장미 대선으로 전반기는 어수선했고, 후반기는 기아 우승 정도?

그래도 굳이 찾자면 동시통역 당했던(?) 기억이 남달랐던 듯하다. 인도네시아 공무원 대상으로 동시통역사를 끼고 강의할 기회가 있었는데, 처음 경험하는 거라 그런지 많이 색달랐다. 뭐가 색달랐냐면, 내가 얘기를 하고 있는데 옆사람이 동시에 떠든다(..)

일단 시끄러워서 집중이 잘 안 되고(통역사분 성량 좋더라), 묘한 경쟁심(?)이 발동함. 참 색다른 경험이었다. 또 기회가 오면 그땐 익숙해질래나? 그리고 강의 중 받았던 한 인도네시아 공무원의 질문이 인상 깊었다.

한국은 왜 오픈소스 보안제품을 쓰지 않느냐?

별 차이도 없는데 왜 돈을 쓰냐는 뉘앙스. 해외원조 성격으로 수출된 전자정부 시스템에 포함된 국산 보안제품을 마다하고, Snort나 Suricata 등을 활용했나 보다. 그 과정에서 한국은 오픈소스를 잘 쓰지 않는다는 인식을 갖게 된 듯.

일단 국내산업 진흥 차원에서 공공기관은 국산 제품을 많이 쓰지만, 민간은 오픈소스도 꽤 쓸거라고 답해줬는데 사실 잘 모르겠다. 많이 쓰나?

오픈소스를 사용하면 뭐가 좋을까? 돈이 절약되겠지. 품질은? 상용제품이 오픈소스보다 나은 품질을 가질 수는 있겠다. 전세계적으로 IDS/IPS 만들면서 Snort 소스코드 한번 안 열어본 데는 없을테고, 전례가 있으면 보통은 개악보다 개선이 되니까.

오픈소스를 카피한 제품으로 돈을 번다는 게 왠지 부도덕해 보일 수도 있지만, 동그란 바퀴로 굴러가는 자동차처럼 너무 당연한 동작원리가 깔려있기 때문에 문제라고 생각하진 않는다. 이미 존재하는 바퀴를 또 발명할 필요는 없으니까.

그리고 오픈소스도 돈 잘 번다. Snort는 시스코가 27억 달러에 낼름했지. 어쨌든 오픈소스든, 상용제품이든 잘 쓰면 그만일 것이다. 잘 쓰기가 쉽지 않아서 문제지.

IDS를 설치하고 해당 장비에서 생산되는 로그를 분석하지 않는다면 이러한 시스템은 아무런 가치가 없다. 성공적인 IDS 설치에는 좋은 장비, 훈련된 관리자, 그리고 투명한 침해사고 대응절차가 필요 – 네트워크 보안 실무 (57 페이지)

리차드 베이틀릭이 무려 2004년에 이런 얘기를 한 이유는 당시에도 보안 예산 대부분이 제품 구매에 쓰여지고, 제품 구매가 보안 성과의 시작이자 끝이 되는 경우가 많아서였을 것이다.

수단과 목적이 잘 구분되지 않는 현실에서 오픈소스로 보안 인프라를 구축하면, 절약된 예산의 절반만큼이라도 정상 운영에 필요한 인력이나 조직 지원에 쓰여질까?

개인적으로 부정적이다. 지속적인 지원덕에 쌓인 인력과 조직의 역량이 오픈소스를 선택했다면 모를까, 그저 싼 맛에 오픈소스를 선택한 거라면 운 나쁜 누군가가 기존 업무에 더해 보안 겸직을 당하겠지. 회사에서 갑자기 보안 교육을 보냈다구요? 당신은 이제 보안 담당자

2013년에 썼던 ‘IDS와 보안관제의 완성’에 대해, 실습을 원하는 독자, 특히 학생들에 대한 배려가 부족한 것 같다는 평을 받은 적이 있는데, 오픈소스를 이용한 보안관제에 대한 이런 부정적인 생각이 한몫 했을 것이다. 인터넷 검색하면 너무 많아서 헷갈릴 정도로 매뉴얼이 쏟아지는 편이라, 실습 환경 구축은 어렵지 않다는 생각도 조금은 가지고 있었고.

그리고 영어만 되면 아시아 지역도 오픈소스를 적극적으로 활용하는구나 싶었다. 인도네시아 사람들 영어 잘하더라. 정보보호산업 수출이 줄고 있다는데 이런 것도 이유가 될까? 아시아 시장도 만만치 않겠다는 생각도 들고, 자국에서 1등 하면 자동으로 세계 1등이 되는 양키 형님들 부럽기도 하고(..)

어느새 2018년이다. (어감이 이상하다면 기분 탓일 겁니다^^;) 2017년은 16년 가을에 탈고한 책을, 17년 봄에야 출간하느라 기를 너무 빨려서 좀 맥없이 보냈지만, 올해는 재밌는 기억이 많이 남도록 열심히 뛰어봐야지.

이 글 보시는 분들도 모두 2018년 새해 복 많이 받으세요.~