2008년 2월 28일 목요일

기사 스크랩 - 보안담당자들이 말하는 “이런 업체 싫다!” (보안뉴스, 2008-2-5)

보안담당자들이 말하는 “이런 업체 싫다!”
[입력날짜: 2008-02-05]




기업의 요구사항 충분히 파악하지 않고 제품 개발 문제

체계적이지 못한 QA활동...믿음 사라져

5년전 컨설팅 기법 그대로 사용...SW 저작권도 무시




정보보호 업체들, 올해는 지난해보다 보안분야에 숨통이 좀 트이지 않을까 내심 기대하고 있다. 정보통신부가 사라지는 등 다소의 정책적 혼란이 초반에 예견되지만 정보보호에 촉각을 곤두세우고 있는 공공시장과 차세대를 준비하고 있는 금융, 기술유출을 막기 위해 안간힘을 쏟고 있는 대기업 등에서 보안 수요는 꾸준히 발생할 것으로 보인다.








이에 지난해와 마찬가지로 정보보호 업체들의 영업전쟁은 더욱 치열해질 전망이다. 그 와중에 자사 제품에 대해 너무 과장된 선전이나 홍보가 오히려 악영향을 미치는 경우가 있다.




현재 기업의 보안담당자들의 퀄리티는 상당히 높은 편이다. 정보보호 업체들의 영업담당자나 보안컨설팅 인력들이 보안담당자들의 업그레이드된 보안지식을 따라가지 못하는 경우도 종종있다.




그래서 이들 보안담당자들이 정보보호 업체에 바라는 점과 쓴소리 몇마디를 모아봤다.




SK커뮤니케이션즈 시스템보안팀 송재훈 팀장은 “기업의 요구사항을 잘 파악하고 그에 맞는 제품을 개발해길 바란다”며 “또 영업시 지원되지도 않는 기능이나 제공할 수 없는 서비스에 대해서는 솔직하게 인정하는 모습을 보여줬으면 좋겠다”고 지적했다.




CJ CGV 정보전략파트 권성호 대리는 “시간이 갈수록 기능 업그레이드 솔루션이 나오지만 결국 한방에 끝낼 수 있는 것을 너무 시간차를 두고 잘라서 판매하는 것 같다”고 말하고 “정보보호가 단순 SW를 파는 것이란 인식을 주는 행위는 지양하고 좀더 멀리보고 원칙을 지키는 모습을 보여줬으면 한다”고 밝혔다.








또한 Daum 인프라본부 박나룡 정보보호 과장은 “프로세스에 기반한 제품이 많이 나와줬으면 한다”며 “ITIL적 관점과 컴플라이언스 대응을 위해서는 각 장비가 독립적으로 운영되는 것 보다는 기존에 회사에서 만들어 놓은 보안 프로세스에 쉽게 적용할 수 있고 해당 데이터를 통해 신속, 정확한 정보를 취득·판단할 수 있도록 지원해주는 기능이 더욱 요구된다”고 말했다.




또 박 과장은 “보안컨설팅 업체들이 좀더 많은 연구와 고민을 해야한다고 생각한다. 5년 전이나 지금이나 컨설팅 결과물이 크게 달라진 것이 없다. 접근 방식 등이 비슷하다. 다양한 부분을 검토하고 판단해야 하는 보안담당자에게는 아쉬운 부분이다. 더욱이 적용하기에 거리감이 있는 산출물은 의미가 없다고 본다”고 지적했다.








G마켓 보안팀 박의원 팀장은 “제품에 대한 퀄리티 높은 유지보수가 필요하다. 국내 대부분 업체 솔루션은 도입 후 잦은 장애와 에러가 발생하고 있다. 이는 대부분이 체계적이지 못한 QA관리 때문이다. 따라서 이러한 체계적인 QA활동이야 말로 현재 국내 보안 업체가 깊이 인식하고 개선해 나가야 할 점”이라고 밝혔다.




엔씨소프트 정보보안팀 김휘강 팀장은 “경영환경이나 재무여건이 좋지 않다 하더라도 기술력이 있다면 시장에서 선호받게 될 것”이라며 “고객이 필요로 하고 가려워하는 부분을 짚어내는 시장 친화적인 면에 더 초점을 맞춰 제품이나 서비스를 이끌어 냈으면 한다”고 말했다.






<엔씨소프트 김휘강 팀장>

또 김 팀장은 “요즘은 고객보다 전문성이 떨어지는 보안회사 직원들이 많은 것 같다. 영업을 위한 영업보다는 기술력과 품질로 승부하는 회사들이 많이 나왔으면 한다”고 지적했다.




한편 오픈소스를 개발하고 있는 네트워크 보안전문가 이경문씨는 “많은 정보보호 업체 관계자들을 만나다 보면 한가지 특징을 발견하게 된다. 정보를 제공하려는 자와 정보를 수급하는 자의 구분이 갈수록 심해진다는 것이다. 게다가 문제는 대부분 후자에 속하는 업체가 매출이나 수익을 얻어가는 성향이 있다”며 “결국 정보를 제공하려는 의지가 사라지고 올바른 공유 문화가 형성되기 어려울 것으로 보인다. 타인의 저작물(문서·프로그램·취약점 분석) 등에 대한 윤리적

<네트워크 보안전문가 이경문>

인 마인드를 스스로가 인식하고 앞장서는 모습을 보여주었으면 하는 바람이다”라고 밝혔다.




기업 보안담당자들이 정보보호 업체에 전하는 쓴소리를 종합해보면 다음과 같다. 보안담당자보다 보안마인드가 떨어지는 업체 영업담당자들, 제품만 팔면 끝이라는 얄팍한 상혼, 우리 제품은 무조건 다 막을 수 있다는 과대포장 광고, 고객 입장을 전혀 고려하지 않은 무의미한 컨설팅, 타인의 저작권을 침해해 제품을 슬쩍 개발하는 행위 등이 사라져야 한다는 것이다. 정보보호 업체들은 잘 새겨들어야 할 말들이 아닐까.

[길민권 기자(reporter21@boannews.com)]




<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>