필자는 몇 년 전 A그룹에 강연을 하러 갔다가 곤란한 일을 겪은 적이 있다. 한국 대부분의 대기업이 그렇듯이 보안이 매우 엄격한 회사였다. 나는 직원들의 안내대로 메모리, 외장하드를 모두 빼놓고 회사로 들어갔다. 하지만 강연이 끝나고 나오는 과정에서 X-Ray 검색대에서 와이브로 단말기가 발견이 된 것이다. 보안 담당자는 와이브로 단말기는 압수하고 조사 후 일주일 정도나 뒤에 돌려준다는 것이다.
필자는 이동이 잦고 와이브로를 통해서 인터넷을 사용했기 때문에 이런 처사는 받아들일 수 없었다. 그리고 반입금지 물품 안내에 와이브로는 있지도 않았었다. 결국 임원분이 보증을 서서 해결을 했는데 어이 없는 해프닝이 아닐 수 없었다.
강연을 하러 간 강사를 잠재적인 도둑 취급하는 것은 너무한 처사가 아닐까 생각도 들었지만 먼저 직원들은 얼마나 불편할까 하는 측은함도 들었다. 하지만 몇몇 직원들은 이러한 공항 보안 검색대보다 철저한 보안 절차에 익숙해져서 당연하게 생각하고 있었다.
사실 회사 입구에 있는 보안 검색대는 직원들을 잠재적인 도둑 취급하는 것 같아서 기분은 별로지만 잠깐의 불편함만 감수하면 그럭저럭 견딜만하다. 정작 과도한 보안 정책의 문제는 실제 일을 할 때 발생한다. 회사마다 보안정책이 다르지만 보안이 철저할수록 개발자들은 일하기 힘들어진다.
개발자를 소스코드를 훔쳐갈 수 있는 잠재적인 도둑으로 보고 소스코드 접근을 철저히 통제하는 회사가 많다. 자신이 고칠 소스코드만 승인을 거쳐서 내려 받을 수 있도록 하거나 전체 소스코드는 절대로 보지 못하도록 하기도 한다. USB는 아예 차단을 하거나 소스코드를 눈으로 볼 수는 있지만 파일은 접근하지 못하도록 하기도 한다. 소스코드를 사진으로 찍어 갈 수 있다고 휴대전화 카메라에 스티커를 붙이기도 한다.
물론 보안은 매우 중요하다. 하지만 우리 주변에서 벌어지고 있는 소프트웨어 회사들의 보안 정책을 보면 소프트웨어를 이해하지 못한 경영진들이 소프트웨어를 잘 개발하지 못하게 방해하고 있다는 생각이 든다.
반도체 공장에서 설계도면 훔쳐가면 큰 일이 나듯이 소프트웨어도 소스코드를 훔쳐가면 큰 일 나는 것으로 생각한다. 그럼 A사의 개발자들에게 물어보자. 이렇게 보안을 철저하게 하면 개발자가 절대로 소스코드를 가지고 집에 갈 수 없나요? 대답은 당연히 아무리 보안을 철저히 해도 개발자는 모든 소스코드를 들고 집으로 갈 수 있다. 그리고 개발자는 집에서 일을 하기도 한다.
이것을 보고 있으면 우리나라 인터넷 뱅킹이 생각난다. 보안을 철저히 한다고 액티브X에 키보드보안, 개인방화벽, 보안카드, 인증서, OTP 등 수많은 장치들을 두어서 인터넷 뱅킹을 불편하게 하고 있지만 사고는 계속 발생한다. 그럴수록 점점 더 복잡하게 만든다. 그렇다고 보안사고가 잘 줄지 않고 있다. 복잡할수록 구멍이 많아진다.
소프트웨어 회사에서도 개발자가 소스코드를 훔쳐가려면 다 훔쳐갈 수 있다. 보안 담당자들은 개발자들과 창과 방패의 싸움을 해서는 보안도 못 지키고 개발 효율만 엄청 떨어질 뿐이다. 경영자는 보안 담당자의 목소리만 들어서는 안된다. 개발자들의 목소리도 균형 있게 들어야 한다. 보안도 지키면서 개발 효율도 떨어뜨리지 않는 방법을 치열하게 연구해야 한다.
하지만 대부분의 회사는 보안 담당자(전문가는 아닌)의 목소리가 크고 개발자들의 불편하다는 아우성은 귀담아 듣지도 않는다. 보안을 위해서는 어쩔 수 없다고 생각한다. 생산성을 중요시하는 경영진들이 이런 비효율적인 결정을 하는 이유는 직원들을 잠재적인 도둑, 또는 노예 취급을 하기 때문으로 생각한다. 그렇다고 보안이 잘되는 것도 아니다.
보안을 강조하는 회사에서는 소스코드를 신주단지 모시도록 하지만 소프트웨어 회사에서 소스코드의 보안적인 가치는 별로 없다. 사실 자사에서도 자신들이 개발한 소프트웨어의 소스코드를 유지보수하기가 쉽지 않다. 그런데 이런 소스코드가 유출이 된들 누가 이 소스코드를 가지고 소프트웨어를 흉내 내서 만들어 낼 수 있을까? 중요한 것은 개발자들의 경험과 노하우다. 소스코드보다 개발자를 지키는 것이 더 중요하다.
어떤 개발자는 소스코드를 옆 팀, 심지어는 동료들도 안 보여준다. 보안 때문이라고 한다. 이런 경우 십중팔구 개발자가 철 밥그릇 지키려고 소스코드를 공개하지 않는 것이다.
우리 회사에서 소스코드가 중요하고 가치가 있는 이유는 이를 잘 아는 개발자들이 있기 때문이다. 소스코드 내용뿐만 아니라 소스코드를 이해하고 개발하는데 필요한 많은 지식과 경험이 있기 때문이다. 게다가 대부분의 소스코드는 다른 개발자가 이해하기 쉽게 잘 작성되지도 않는다.
보안이 중요하지 않다는 것이 절대로 아니다. 엉뚱한 방향으로 헛발질 하고 있는 것이 문제다. 물리적인 보안에 너무 치중하다가 정작 중요한 것을 놓치는 경우가 많다. 물리적인 보안도 신경을 써야 하지만 직원들의 의식 교육이 더 중요하다. 그리고 경영진들은 소프트웨어에 대한 이해를 좀더 높여야 한다. 어디 공장에서나 쓰일 법은 규칙을 소프트웨어 개발현장에 들이밀면 개발자들의 개발 효율성은 뚝 떨어진다. 하지만 개발은 엄청 불편하게 만들어 놓고 개발 시간을 더 주지 않는 것이 현실이다. 이는 결국 소프트웨어 품질의 저하로 이어지고 개발 문화의 후퇴를 가져온다.
이 글은 ZDNetKorea에 기고한 칼럼입니다.
글 잘 읽었습니다. 확실히 회사에서 보안을 하드웨어적으로 생각하는게 문제입니다.
답글삭제말씀하신대로 좀 더 개방적 보안이 필요하다는 말에는 절대 공감합니다.
개방적인 보안에는 동의 하지만 만든 사람도 보고 유지보수 하기 힘들어서 다른 사람도 소스를 가지고 무엇인가를 못할것이란 것은 코드의 구조나 가독성이 좋지 않을 때 이야기지 항상 그런 것 같진 않다고 생각합니다. 오픈소스를 잘 갖다 ㅆ듯이 잘 갖다 쓸 수 있으며, 잘짜여진 코드라면 코드에서 노하우를 배우기도 좋습니다.
답글삭제액티브X 문제는 위에서 설명하는 회사 프로세스의 문제라기보단 액티브X라는 방식 자체의 문제죠. 액티브엑스가 보안적으로 취약한 방식이니까요. 그럼에도 불구하고 액티브엑스를 바꾸지 않는 이유는 법제도가 액티브엑스를 쓰도록 강요하고 있기 때문입니다. 그 못지않게 액티브엑스를 쓸 수밖에 없게 만드는 카드사, 금감원의 압력도 존재한다고 구글 컨퍼런스에서 얘기하더군요. 구글 크롬이 액티브X를 동작못하게 하는 방향으로 가고 있는 이유도 알고보면 보안문제 때문입니다. 구글 정도 되는 기업이 그걸 모를 리가 없잖습니까...
답글삭제공감합니다.기업에서 보안을 핑계로 말도안되는 개발환경을 강요합니다.
답글삭제