2008년 8월 16일 토요일

bugtruck 에 올렸던 posting - economy of security 관점에서

bugtruck 에 올렸던 글인데 생각을 좀 더 가다듬어서 보안 저널에 투고해도 괜찮을 것 같다는 생각이 들었다. 일단 졸업논문 쓰고 난 후 시도해 볼 계획.

==================================

From: 김휘강(HK Kim)
Sent: Thursday, July 10, 2008 5:46 AM
To: bugtruck@googlegroups.com
Subject: RE: [BugTruck] Re: mass sql 과 토론 - 함께해요. ^^

^^ 재미에 동조해 주셔서 감사합니다.

일단 말씀하신 것처럼, 나중에 돌이켜 보면 최적이 아니었을 수는 있지만 그 시점에서는 최적이었다라고 내린 결론이고 그 결론에 본인의 효용성이 충족되었다랄까요. 그리고 조금 시간이 지난뒤 다시금 그 시점에서의 최적값을 택해서 이동해 나가는 것이라 보는 것이 맞을 것 같습니다.

매 그 시점시점에서의 최적이 전체를 놓고 보았을 때의 최적(global optimum)인 것은 그 시점에서는 모르나 그 상황에서는 최적(local optimum)을 선택한 것인데 운이 좋으면 local optimum 이면서 동시에 global optimum 일 수도 있는 것이겠고요. (시간이 또 흘러감에 따라 매 시점마다의 최적을 택하다 보면 global optimum 값에 도달할 수도 있겠지만 물론 불행히도 local optimum 에 머물러 탈출을 못하고 나락이 될 수도 있겠습니다.)

clip_image002

(Limit delta x -> 0 으로 수렴하는 매 시간단위에서 인간이 어찌 전체 x 를 볼 수 있겠습니까만서도. 한숨. 출처: 이런 종류의 그림은 많이 굴러다닙니다만 일단 급한데로 여기에서 짤라 왔습니다. http://vibration.pknu.ac.kr/graduate%20school/professor/0_2.pdf )

아, 여하간 북미는 나름 또 그렇게 최적화된 이유가 당연히 있을 것 같습니다. 비교해 가면서 생각해 보면 정말 재미날 것 같네요. ;-)

문화나 정서 자체가 자기 자산의 안전을 지키는 것은 개인의 책임이 우선한다라는 것도 있을 것 같고요.

한국은 end-user 가 돈을 내고 정품OS 나 AV 소프트웨어 구매를 안하는 인터넷 유저들이 너무나도 많지만, 북미는 돈을 쓰고 OS 나 AV 를 구매하는 것을 당연하고 올바른 일로 여기기 때문에 무료로 제공할 이유가 성립이 안되고, 서비스프로바이더가 독점적인 시장 지배력을 바탕으로 이런 솔루션을 무상공급하면 도리어 벤더에게 소송당할 확률이 높아서 일수도 있고,  서비스프로바이더가 한국에서 그러하듯 서비스프로바이더가 보안패키지를 구매해서 자신의 유저들에게/불특정 다수에게 무상공급하려는 라이센스를 취득하려면 천문학적인 비용을 보안회사에 지불해야 하니 언감생심 엄두를 못내는 것일 수도 있을 것 같습니다.

한국에서는 vendor 들이 어짜피 개인 user 들로부터 얻는 매출은 거의 적으니 서비스프로바이더들에게 공급하여 어느정도 이익이나마 얻고 대신 인지도를 얻고, 기업시장에 집중하는 것이 낫다고 판단한 것일 수도 있겠고요, 달리 수가 없어서 일수도 있을 겁니다. 이미 power 가 막강한 서비스프로바이더가 결심한 이상 내 product 을 가격조건이 안맞아서 안사더라도 다른 경쟁사 vendor 와 contact 해서라도 어짜피 공급할 태세이니 달리 수가 없다고 판단했을 가능성도 높겠죠.

사실 한국의 AV vendor 들이나 보안회사들은 약자이고 시장 구도 자체가 seller 가 power 를 갖는 seller market 이 나닌 buyer’s market 이기 때문에 먹히는 시나리오일 확률도 높습니다. 보안솔루션을 무료로 배포중인 서비스프로바이더들이 AV vendor 들이나 보안회사들에게 지불한 비용은 서구권에서는 아마 납득하기 어려운 적은 금액일 것입니다.

하지만 씨니컬하게도, 소위 자본시장에서의 가격이라는 것은 다 그 이유가 있어서 그 가격으로 정해지는 것이라고 생각해 보면… (아 너무 이야기가 무거워 졌나요 ^^)

그러고 보니 일본의 경우를 보면, 도시 곳곳에 위치한 소매점, 전자상점 (요도바시카메라, 빅카메라, 사쿠라야) – 한국으로 치면 전자랜드나 하이마트 격의 양판점- 만 가도 백신소프트웨어를 포함한 보안패키지들의 정품 박스가 늘어서 있고 높은 가격임에도 다들 정품을 잘 사고 있습니다.

일본내에서도 온라인백신 형태, 웹메일 바이러스 점검, 파일 암호화 등의 보안솔루션을 제공해주는 온라인 서비스 프로바이더들도 있습니다만, 아직은 몇 년전의 한국이 그러했듯 유료모델이 대부분입니다. 하지만 한국에 비견될 정도로 다양한 보안프로덕트/서비스를 제공하려고 노력을 많이 하고 있습니다.

야후BB나 빅블로그 가 가입자에게 제공하는 서비스 체계 (http://security.biglobe.ne.jp/, http://bbservice.yahoo.co.jp/service/bbsecurity/ )를 보시면 3~4 년 전쯤의 한국 상황처럼 느껴집니다. U-net (http://www.netsurf.ad.jp/sv/SEC/index.html) 이라든가 T-net (http://www.t-net.ne.jp/secure/index.html) 이라든가 , TST (http://www.tst.ne.jp/option_serv.html) 하는 소규모 CATV, ADSL service provider 들에까지 구석구석 provider 에 의한 보안솔루션 제공이 이루어 지고 있습니다. – 무료/유료 혼재 중입니다. 

참고로

http://search.yahoo.co.jp/search?p=%E7%84%A1%E6%96%99+%E3%82%A6%E3%82%A4%E3%83%AB%E3%82%B9%E3%83%81%E3%82%A7%E3%83%83%E3%82%AF&search.x=1&fr=top_ga1&tid=top_ga1&ei=UTF-8 (무료 바이러스 체크; 無料 ウイルスチェック라는 단어로 야후 Japan 에서 검색한 결과입니다.)

위 URL 에 검색된 내용들을 기준으로 일본의 주요 포탈과 백신 벤더들의 일본 홈페이지, ISP/ADSL provider 홈페이지들을 주욱 살펴보니 평가판 설치본을 다운받아서 설치받는 방식도 있고 ActiveX 방식으로 스캔해주는 방식이 혼재되어 있습니다. 기간제한이 있는 평가판 설치본을 다운받아서 설치하는 방식이 아직은 많은 상태로 보여집니다만 정말로 3~4 년 전의 한국 상황 같다는 생각이 드네요.

트랜드마이크로, 시맨텍, 맥아피 모두 평가판 다운로드 방식으로만 ISP/CATV 와 제휴하고 있지만, 자신들의 홈페이지 내에서는 ActiveX type 으로 무료 scan 기능을 제공해주고 있습니다.

한국과 명시적인 차이가 있다면, ActiveX 방식이라 하더라도 유저가 통제권을 가지고 있어서 ActiveX 설치후 즉시 구동이 아닌, 유저의 명시적인 click 에 의해 유저가 원할 때 구동을 시킵니다. 이유는 일본이 active X 방식으로 제공되는 물건을 꺼리는 점도 있고, 제공해 주어서 고맙긴 하지만 강제로 내 PC 에 무언가를 프로바이더가 깔아버리는 것은 싫다는 정서 때문이기도 하고요. 한국처럼 인터넷 뱅킹 웹에만 스쳐 닿아도 온라인백신이 자동으로 다운받아져서 설치되는 경우는 없는 것 같습니다.

아직은 AV 의 평가판 배포가 많다는 점, 유료화 모델이 많다는 점과 소프트웨어 정품 구매의지가 높다는 점이 북미와 매우 비슷하나 유저들이 무료제공이라는 것에 입맛이 길들여 진다거나 하면 개인적인 추측으로는 3~4년 뒤에 왠지 한국처럼 될 가능성이 높을 것 같습니다.

웹을 뒤져보니 안랩의 MySaas (http://www.mysaas.jp/) , 잉카의 nProtect (nProtect 와 제휴하여 공급하는 회사들이 상당수군요. http://nprotect.jp/ 통신사들 외에도 금융권에도 제공중인 것 같습니다.) 가 일본에서 ASP 모델로 열심히 달리고 계신 것 같네요. 건승하시길 기원합니다. ;-)

===

여기서 이제 미국쪽에 대한 질문입니다.

아래의 free scan service 는 비단 일본에만 제공되는 기능은 아닙니다. 한국, 미국을 포함 글로벌하게 서비스가 제공되고 있습니다.

일단 백신회사 URL 들만 찾아보았긴 합니다만,

security.yahoo.com 에서는 시맨택의 온라인 상점 페이지 링크를 내세우기도 했지만 온라인무료바이러스 스캔 배너 역시 나란히 걸어두었습니다.

한국이나 일본만큼은 일단 다양한 것을 느끼지는 못합니다만,

과연 미국도 프로바이더들이 더 공격적으로 나서기 시작한다면 조금씩 무료의 맛에 젖어가기 시작할까요? 현재로써는 데이터가 없어서 잘 모르겠습니다만… 즐겁게 의견 부탁드립니다.

p.s.

safety.live.com (onecare.live.com) 에서 각 국가별 page 를 가보니 가난한 나라들 + 한국은 아직 상용화 전단계를 가장한 무료이고 (safety scanner 를 web based 로 무료로, 바이러스/스파이웨어/레지스트리정리: 점검+ 치료까지) , 나머지 제법 사는 국가들은 대부분 상용화가 되어 있네요.

--------------------------------------------------------

From: bugtruck@googlegroups.com [mailto:bugtruck@googlegroups.com] On Behalf Of Matt Oh
Sent: Thursday, July 10, 2008 3:19 AM
To: bugtruck@googlegroups.com
Subject: [BugTruck] Re: mass sql 과 토론 - 함께해요. ^^

예 재미 있는 내용 잘 읽었습니다.

그런데 북미쪽 상황은 한국 상황과는 아주 다르게 움직입니다. 번들로 보안 패키지를 많이 끼워 주기는 하지만 expire 되면 여지 없이 기능이 disable되고 돈 내라고 합니다. 보안은 가치를 지불해야 얻을 수 있는 것으로 확실히 인식되고 있지요. AV 패키지정도야 이래 저래 공짜로 구할 수 있지만, 그것도 그 보안 패키지 판매자들의 프로모션 때문이지, 웹서비스 제공자나 ISP가 적극적으로 커스터머들에게 공급하려고 노력해서가 아닙니다.

HK님 말씀대로라면 북미 벤더들이 그렇게 움직이는 것도 나름의 이유가 있을 것 같네요.

효율성의 측면에서 어느 쪽이 더 나은 선택일지는 두고 보아야겠지요.

그리고, HK님이 제시한 이론의 문제는 항상 "이미 이뤄진 결정"은 뭔가 이유가 있고 최적이라고 미리 판단해 버린다는 것입니다. "이미 이뤄진 결정이나 상태"가 최적의 선택이 아니었을 가능성도 있지 않나요?

이 토론을 좀 더 심화 시키면 아주 재미 있는 결론들이 도출 되지 않을까 합니다.

2008/7/9 김휘강(HK Kim) <cenda@ncsoft.net>:

한동안 버그트럭을 못보고 있다가 간만에 보니 불타는 토론이 이루어 지고 있네요. 바다란 님이 의도한 불타는 토론 목적은 이미 소기에 달성되신 듯 ^^;;;

저는 아래 논의되신 거랑 전혀 무관하게 그냥 재미난 이야기를 적어보고 싶어져서 답글을 달게 되었습니다.

에또… 일단 제 글은 PC 단이 문제냐 웹서버단이 문제냐 라는 이슈와는 전혀 상관없는 별개 thread 입니다.

PC 보안은 유저책임이니 사실 service provider 들이 제공할 의무가 없다라는 말씀에서 떠오른 생각입니다만, 경제학 관점에서 썰을 풀어볼 겸 학계의 연구 분야도 언급할 겸 주저리 적어보았습니다.

일단 서두에 사람, 회사 등 모든 인격체들은 다 경제적인 판단에 의거 움직이는 객체들이어서 자기 관점에서 최적이라 생각되는 economic 한 선택을 하게 된다를 일단 전제로 깝니다.

어떤 사람에 대해 저 시점에 저 선택을 한 것은 삽질이었다라고 나중에 평할 수 있을지 몰라도, 그 사람은 항상 그 시점에서 나름 최선의 선택을 한 것이라고 보아야 합니다. 그 이유는 이미 현존하는 대부분의 시스템이 pareto-optimal 상태이기 때문인데요. (http://www.aistudy.co.kr/economics/pareto_optimal.htm, 미시적으로 보면 내가 주어진 자원하에서 자원분배와 이용이 이미 자기 나름의 기준에서 최적을 했고, 이 배분률을 바꾸는데 들어가는 cost 또는 만족도/한계효용의 저하 (경제학의 utility function입니다. ) 를 가져오기 때문에 왠만해서는 잘 안움직이려는 경향을 인간들이 보인다. 또는 모든 것들이 일단 움직였다면 최적을 향해 움직이려는 동기가 안움직이는 것보다 낫다는 납득을 스스로 확실하게 했기 때문에 움직였다라는 관점입니다.

네 그렇습니다. 거창한 이야기는 아니고 그저 경제학 원론 책에 보면 나오는 이야기들에 살을 좀더 붙여 적은 것 뿐인 이야기입니다. ;-)

  • 예: Home PC user 들이 무지하고 보안에 대해 신경을 쓰지 않으려 하는 것은 보안에 대해 귀찮게 배우는 것보다 그 시간에 다른일을 하는 것이 자기 기준에서는 optimal 이기 때문입니다. 더 강력한 동기부여가 되지 않는한 스스로 맞춘 이 개인에게 주어진 시간과 노력이라는 balance 를 누가 옮길 수 있을까요. 계정도용을 당해서 또는 바이러스에 지독하게 감염되어 소중한 자료를 날려서… 이런 경험이 학습되지 않는한 크게 보안을 강화할 노력을 하고 싶어하지 않습니다. 보안을 강화할 노력을 하는 것은 자신의 자원에서 나름 자원분배를 최적화 한 균형을 깨야 하는 cost 가 발생하기 때문입니다.
  • 예: 개발자들이 보안담당자들에게 지적을 받아서 소스를 수정하는 것은 보안담당자들에게 험한소리듣는다거나 취약점 레포트가 자기 상사에게 전달되어 자기에게 불이익이 오는 것보다 수정하는 것이 낫다, 그것이 최적이다라고 경제학적으로 판단했기 때문에 움직인다고 볼 수도 있습니다. 또는 자기가 개발한 웹이 해킹당하지 않는 안전하면서도 훌륭한 기능과 user experience 를 보여줄 수 있는 명품으로 되는 것이 자기 만족도를 높이게 되고 이럼으로 인해 자기가 할당한 다른 시간과 노력이라는 자원을 굳이 옮겨와 소스코드상 취약점을 제거하는 것이 optimal 이라고 생각했기 때문입니다.
  • 예: 온라인게임회사, 온라인 포털사이트, ISP 들이 한때는 유료로 보안서비스, 또는 보안회사와 제휴에 의한 보안솔루션(백신, 보안패치, 보안점검서비스, …)를 제공했었는데 어느 시점부터는 무료로 제공하는 것이 대부분이 되었습니다. 원인은 여러 개가 있을 것 같습니다.
      • 정말로 순진하게 ASP type 의 보안솔루션 공급모델 (온라인 백신/온라인 스파이웨어에서 탐지는 공짜이나 치료는 건별로 돈을 받고, 서비스프로바이더와 백신업체가 수익을 분배해 갖는)이 수익을 제법 내주긴 하지만, 기업들이 어느순간 user 에게 좀더 나은 가치를 제공할 것인가를 고민하다가 "고객의 보안을 책임져 주는 것이 기업이미지에도 좋고 고객에게도 보다 나은 가치를 제공할 수 있다"라고 판단했기 때문이다고 볼 수도 있겠습니다.
      • 전자금융거래법에서 이용자보호법위 확대에 대한 것 때문에, 인터넷 뱅킹 상에서 금융사고가 발생했을 때에 사실 대부분은 우매한 고객의 피씨보안이 허술해서 생긴일일 수도 있지만 금융권에서 책임져야 할 범위가 늘어나서 금융권이 좀더 돈을 쓰는 한이 있더라도 고객보안을 향상시켜주는 것이 전체적으로 cost effective 하다라고 판단을 하게 되어 온라인 백신을 무료로 인터넷뱅킹 접속시에는 쓸 수 있게 해주었습니다. (또 금융사에 따라서 백신 소프트웨어 정품 패키지 자체를 무상제공하는 경우도 있었습니다.)
            • 이것이 외부 변수가 되어, 인터넷 뱅킹 사이트에 접속하면 일단은 백신을 한시적으로나마 무료로 쓸 수 있게 되어 굳이 사용자들이 치료시 결제를 안하고도 치료받을 수 있는 경로가 생겼어서 더 이상 유료화 모델이 이미지만 손상시키고 수익에도 별반 도움이 되지 않는 상태가 되어서 무료화를 했을 것이다. – 저 은행은 공짜로 제공하는데 너는 왜 치료시 돈을 받니 라는 이야기가 나오면 해줄거 해주고 욕먹는 경우니까요.
            • 굳이 인터넷 뱅킹이 아니어도 MS 의 safety.live.com 이라든가 McAfee, 구글패키지에서 Symantec Antivirus 를 제공하는 등 실시간탐지기능이 없다 뿐이지 치료까지 되는 백신이 무료로 제공되기 시작해서 신뢰할 수 있는 vendor 의 좋은 무료백신이 공급되어지는 마당에 유료화를 고집할 이유가 없어서 무상제공을 더 가속화 하였다고 볼 수도 있겠습니다.
            • 이미 대부분 무료화 된 뒤에 무료화의 굳히기 레벨이었겠지만, 결정타로 메가패스와 같은 대형 ISP 에서 메가닥터를 메가패스 가입자에게는 무료로 공급하였고 실시간 탐지기능도 있는 백신이 제공되었던 것 + 알약의 출현 + Naver 의 실시간탐지기능까지 있는 무료백신 공급 등 대규모 고객을 이미 보유하고 있는 service provider 가 움직이기 시작했습니다.
  • 하지만 근본적으로는 고객들의 PC 보안이 높아지는 것이 provider 들의 관점에서 여러모로 최적의 이익이라는 것을 깨달았기 때문에 이렇게 움직였다고 봅니다. 정품 MS user 가 아니어서 패치를 제대로 받지 못한 user 들에게 MS OS patch 를 제공하는 서비스나 – 물론 개개별 patch 별로 download url 따서 설치하면 정품 인증 따위 안해도 되긴 하지만요 - 무상 온라인 백신을 제공하는 것들이 그 예입니다. 물론 mobile OTP 라든가 보안카드, CAPTCHA, SMS/e-mail 를 이용한 login 보안 강화와 같이 자기 product 에 관련된 보안 – 협의적으로 보면 계정도용이나 아이템도용을 막는 것에 국한된 것도 있고, 보안패치/온라인백신 같이 PC 보안도 높여주고 덤으로 이 취약점을 제거함으로써 특정 게임의 id/pw 를 steal 해가는 Trojan, dropper 들을 예방하여 주는 것을 동시에 노린 것들도 있습니다.
      • 1. 고객 PC 보안을 높여서 계정도용을 막을 수 있다면 call center 비용이나 대고객 응대 cost 가 대폭 save 됩니다.
          • 계정도용 신고/처리/비밀번호 변경에 드는 service provider 의 비용은 inbound ARS call 비용, call center 장비 및 회선 유지비, 전화응대요원 비용감소, 비밀번호 변경시 본인인증 비용 (휴대폰 본인인증용 SMS 문자 발송비 라든가… ) 등 엄청납니다. 고객 PC 보안이 향상되기만 해도 간접적으로 절감되는 비용이 큼과 동시에 고객 계정도용이나 PC보안상 문제로 엄하게 들어오는 응대 비용과 시간을 절감해서 그 절감된 시간을 이용 서비스만족도를 더 끌어올리는데 투자를 해서 전반적인 품질/만족도 향상으로 이어지게 됩니다.
          • 인터넷 뱅킹에서의 금융사고 예방차원까지 가면 단순한 계정도용 이상의 비용절감을 발생시켜줍니다. 좀 과장하면 PC 보안을 위해 몇억을 들여 무료 솔루션을 제공해주는 것이 거의 보험과 비슷한 레벨이라고도 표현할 수 있을지도요. 
      • 2. 기타 정량적으로 측정하기는 어렵겠지만 대외 이미지 개선 (우리는 고객의 보안에 최선을 다합니다.), 법적 risk 감소 효과가 있습니다. 특히 법적 risk 감소 효과는 측정하기 어렵지만 측정하기 어려울 정도의 큰 비용절감/이익을 제공해 줍니다.
      • 3. 보안자체가 경쟁사 대비 우위를 갖을 수 있는 전략이 되어 버렸습니다. 기왕이면 보다 안전한 곳을 이용하고픈 심리가 생겼고 이제 안전하다라는 것 자체가 전자상거래에서 경쟁요소가 되어 버렸습니다. 예전엔 좀 일반 인터넷 이용자에게는 개념적이었고 피부에 와닿지 않다가 모 온라인 경매 사이트 사건 덕에 더 인식을 해버린 계기가 되었습니다. 경쟁사가 보안사고 여파를 겪는 동안 지마켓의 역대 최대매출치 갱신 (물론 설날 세배돈effect 와 발렌타인데이 effect 도 시너지를 낸 결과지만, 경쟁사로 갈 매출이 유저들의 불안감 때문에 지마켓으로 간 것 역시 매우 큰 이유죠) 이 되어버린 것이 좋은 예가 되겠네요.

결과적으로는 제공할 의무가 없긴 하지만 서비스제공자 기준에서 볼 때 보안강화 방편을 고객에게 제공해주는 것이 economic 한 관점에서 optimal 이라고 판단되었기에 그렇게 움직였고, 더불어서 국내 많은 업체들이 최근 몇 년동안 그러했듯 service provider (ISP 건 포탈서비스 업체건, 온라인 게임업체건) 가 움직여 주는 것이 대량의 유저들에게 효과적으로 PC 보안을 높여줄 수 있는 가장 좋은 방안중 하나가 되었음을 부인하지 못합니다. 대부분의 사람들이 이용하는 웹서비스, ISP 서비스라면 플랫폼이나 다름없는 시대가 되었으니까요.

국내 경영학 분야에서 MIS (경영정보시스템; Management Information System) 분야중 technical 한 분야는 많이 알려져 있지만 Economy of MIS (Management Information System) 분야는 많이 퍼져 있지는 않습니다. 주로 Economy of MIS 에서는 이런 정보시스템을 투자한다거나 했을 때 어떤 경제적 효과가 있고, 외부요인(Externality) 가 있는 문제일 때 어떻게 해결하는게 최적일까를 경제학수학모델을 세워서 풀어보고 이를 통해 전략을 수립할 수 있게 해주는 분야입니다.

Economy of MIS 에서 파생되었다고 봐야 할까요 (최소한 이론 배경, 모델은 완전히 똑같기 때문에 파생이라고 보는게 맞을 것 같습니다만) Economy of Information Security 분야가 최근 3~4 년 사이에 대단히 학계 쪽에서는 emerging 하고 있습니다.

Security Engineering 책으로 제법 유명한 R. Anderson 교수가 이 분야의 개척자 입니다. (http://www.cl.cam.ac.uk/~rja14/, http://www.cl.cam.ac.uk/~rja14/econsec.html )

scholar.google.co.kr 같은데에서 economics information security 를 검색어로 넣으면 제법 많은 paper 들을 보실 수 있습니다.

이제 보안이라는 것을 중요한 외부변수로 인식하기 시작해서, 보안에 어떤 투자를 하는 것이 우리 서비스에 또는 우리 회사 내부적으로 얼마나 benefit 이 되는지를 모델을 세워서 검증한 뒤 최적의 전략을 수립할 수 있는데 도움을 주는 학문 분야입니다. 

긴 잡설의 결론은 ^^ 이렇습니다.

PC 보안을 높이려는 행위를 ISP 뿐 아니라 온라인포탈, 온라인게임회사, 인터넷 뱅킹 등 많은 유저가 access 하는 서비스들에서 하고 있고 제법 효과도 있다라고 판단됩니다.

소규모 영세 회사에서야 당연히 법적인 risk 건 나발이건 고객PC 보안보다는 일단 유저PC 보안에 투자 안하고 먹고사는게 더 이익이니 안하는/못하는 것이지만 대형회사들은

의무는 없지만 그렇게 하는 것이 서비스프로바이더들에게도 장기적으로 이익이라고 생각했기 때문에 많이들 이렇게 움직이는 것이라 생각되고요.

지금은 온라인으로 제공해 줄 수 있는 PC보안 향상 방안이라는 것이 레퍼토리가 좀 뻔한 상태입니다만 (무료로 실시간 탐지까지 되는 백신제공, 온라인 PC방화벽, 또는 자기 서비스/제품/고객정보를 보호하는데 목적을 더 둔 mobile OTP, token, 보안카드, 그림문자인증…) 좀더 재미있고 보안수준도 높여줄 수 있는 방법이 많이 나올 것이라 생각됩니다.

  • OS Vendor 가 직접 나선 MS 의 OneCare 서비스 (북미에서 유료이긴 하지만 제법 Saas 를 맵시나게 이끌어 낸 것 같습니다. – network packet 이 출발하기 전에 OS 단에서 방어를…
  • 일단 packet 이 출발하는 지점에서 ISP 가 보안솔루션 무상 제공을 (과대망상이긴 하지만 각 ADSL 의 edge network 단이나 aggregation network 단마다 하부 domain controller 을 따로 구축하고 ADSL가입자들은 무조건 이 domain 에 join 시켜서 보안정책 배포를 받게 한다거나, NAC agent 를 강제 배포해서 백신강제무인설치 라든가 -_- 하는 조치도 /* 퍼펑, 파쇼군요 */)
  • Packet 의 목표지인 온라인서비스 제공자가 보안제공을… (이미 모 온라인 포탈과 모 온라인 게임회사에서 한 방법이지만 특정 보안 패치가 설치되어 있지 않으면 자사 게임이 패치 설치를 무료로 해주고, 패치가 안되어 있는 상태로는 게임이 구동되지 않도록 한 사례도 국내에 존재합니다.)

정도 3연타 콤보가 여기저기에서 자주 날아가 주면 조금은 더 optimal 한 세상이 되지 않을지 하여 잡설이 좀 길어졌습니다.