소프트웨어, 자본주의, 보안

소프트웨어 세상에서 제발 건설식  비유가 사라지면 좋겠습니다. 건설업은 시설을 중심에 놓고, 사람을 부품으로 사용하는 생산체계입니다. 매번 맨땅에서부터 시작해야 하니 그런게 이해됩니다. 하지만, 소프트웨어 세상에선 그런걸 잘했다고 돈을 더벌진 않죠. 그냥 잘팔리는 제품을 만들어야 합니다. 즉, 소프트웨어 세계에선 사람이 비용이 아니라 투자대상입니다.

IT 분야에서 남다른 통찰력을 보여주는 김수보님의 최근 글. IT 환경과 함께 변해온 개발 문화/방법론 및 변화 배경을 읽을 수 있다. 정말 오래된, 개발 분야에 건설 방법론을 적용하지 말자는 떡밥인데 개인적으로 해결책은 간단하다고 생각한다. 글 안에 답이 있다.

그냥 잘 팔리는 제품을 만들어야 합니다

자본주의 최대 장점은 동기부여가 확실하다는 것. 돈을 버는 분야에서 가장 쉽고, 가장 정확한 평가 지표는 결국 돈일 수밖에 없다. 자본주의는 더 많은 돈을 벌 수 있는 방향으로 알아서 진화한다. 사람에게 투자했을 때 잘 팔리는 제품을 만들 수 있다면, 돈을 더 많이 벌 수 있다면 하지 말라고 해도 그렇게 하지 않을까?

­

그럼 돈을 못 버는 분야는?

오랫동안 기술은 돈을 버는 데 얼마나 도움이 되느냐는 질문의 답이 되어 왔다. 뭐가, 얼마나 좋아지느냐는 질문은 보안 이전에 모든 기술 분야에서 통용된다는 뜻. 그런데 보안은 원래 돈을 버는 대신 까먹는 분야

어느 공공기관 침해사고 대응을 총괄할 당시 내가 제일 많이 기획했던 업무는 '비상근무'였다. 연말이니까 비상근무, 명절이니까 비상근무, 선거철이니까 비상근무. 그 다음은 훈련

근데 이게 은근 꿀이다. 전화 대기만 하는 수준으로도 상급자에게 업무 실적을 인정받을 수 있음. 성공률이 높은 보고는 보고 대상 수준에 맞추는 보고이다. 보고 대상이 장차관까지 올라간다면 어떻게 보고해야 실적을 인정받기 쉬울까?

감독 분야에 대한 이해도가 낮은 감독자는 당연하게도 어려운 설명을 싫어한다. 덩달아 어렵게 설명하는 사람도 싫어함. 그리고 감독자에게도 설명하고, 설득해야 하는 상급자가 있다. 한마디로 모두의 밥줄이 걸린 문제

'룰 정확도 개선'보다 '비상근무 수백 시간' 타이틀이 먹힐 수밖에 없다. 분야 자체에 대한 이해도가 낮으니 평가 지표가 뚜렷해질 수 없고, 결국 일을 많이 하는 것이 평가 지표가 돼버린 것. 소방대가 벌집 제거, 문 따주기, 고양이 구조 등으로 업무 가짓수를 늘리는 것과 비슷하지 않을까?

2017년 소방청 통계

­

물론 자본주의랑 어울리는 보안도 있다

보통 보안 투자가 효과적으로 이루어지는 곳은 금융권이나, 포털, 게임 업계 등등 해킹당하면 금전 피해가 피부에 와닿기 쉬운 그런 곳

네이버가 해킹으로 털렸다고 상상해보자. 불안해진 사용자의 네이버 이탈이 발생할 것이고, 이렇게 시작된 트래픽 감소는 자연스럽게 매출 감소로 이어질 것이다. 네이버가 보안도 열심히 하는 이유.

은행이나 게임도 마찬가지. 내 캐쉬를 지켜주지 못하는 서비스를 누가 이용하려 할까? 네이버 서버보다 네이버 사용자를 터는 게 더 쉽고, 은행 서버를 터는 것보다 은행 사용자를 터는 게 더 쉬운 이유는 결국 돈을 벌어주는 보안이 가능하기 때문. 자본주의는 어쨌든 돈이 걸리면 곧잘 돌아간다.

­

자본주의랑 어울리지 못하는 분야는 결국 최종 보스의 판단에 맡기는 수밖에 없다. 분야의 특성과 목적을 잘 이해하는 보스가 올바른 평가 지표를 제시해주면 좋고, 아니면 할 수 없고(..)

작전계획이 유용하다고 믿는다. '계획을 수립했음 '을 입증하는 증거로서... 하지만 콜디츠 대령은 계획 그 자체에 대해서는 '솔직히 실제 전투 현장에서 아무런 쓸모도 없다 '고 말한다. 이에 따라 1980년대에 미군은 군사계획 절차를 수정하고 (바람직한 최종 상태를 의미하는) '지휘관의 의도 '라는 신개념을 도입했다. - 스틱 (50페이지)