Home > 전체기사
[보안도시락] 결국 열린 놈이 난 놈이더라
  |  입력 : 2015-06-08 18:06
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

SAP와 오라클, 그리고 ERP스캔의 좀처럼 보기 힘든 관계

내 돈 주고 내 실수를 알아내는 적극성, 앞으로 필요할 지도


[보안뉴스 문가용] 지금 기자를 아는 사람들은 믿지 못하겠지만, 학교 다닐 때만 하더라도 공부 잘 하려고 엄청나게 노력을 했다. 다만 노력의 방향이 조금 이상했다. 공부 잘 하려면 주어진 과제를 해내고 책을 탐독하고 교제를 읽고 또 읽고 외우고 이해하면 될 걸, 최대한의 효율을 뽑아내는 걸 목표로 삼고 방법론에만 매달렸던 것이다. 즉, 어떻게 하면 최대한 공부하지 않고 최대한 좋은 성적을 뽑아낼 수 있는가,가 인생 최대의 고민이었다.


결국 공부를 안 하기 위한 요령을 터득하는 게 목표였던 것인데, 그러다보니 주위의 성적 잘 나오는 아이들을 나도 모르게 관찰하고 있었다. 음, 저 녀석은 1등이긴 한데, 밤에 잠도 안 자고 공부하는 군, 탈락. 음, 저 녀석은 싸움도 많이 하고 다니는데 성적도 좋네, 합격. 저 녀석은 수업시간에 너무 티 나게 열심히 해, 탈락. 오, 저 녀석은 우리 반 농구 왕인데 과학도 잘 하네, 합격.


그런 게 수년 쌓여오다 보니 ‘성적’이라는 키워드 안에 천재형, 노력형, 중간형 등 여러 가지 유형의 카테고리를 나눌 수 있게 되었다. 하지만 학력이 올라가면서 공부 안 하고 높은 성적을 유지하는 부류는 결국 딱 하나, 겸손한 친구들이었다. 천재형이라 뭐든 한 번만 보면 아는 녀석들이나 밤새 공부해봐야 단어 한 스무 개 외우는 게 전부였던 노력형이나 결국 겸손한 아이들이 끝까지 남았다. 여기서 겸손은 ‘나는 아직 목마르다’의 히딩크식 겸손이 아니라 언제나 새로운 지식을 받아들일 줄 아는, 흥선대원군 격노할 ‘개방성’에 가깝다.


같은 천재라도 ‘난 다 아는 거야, 새로울 게 없어’라고 아예 눈 딱 감고 자기가 원하는 것만 보는 녀석들보다 ‘와, 이게 뭐야?’라고 설사 이후에 ‘에이, 별거 아니네, 난 또’라고 실망하더라도 한 번이라도 눈길을 주는 애들이 고학력도 버텨냈고 ‘그거 지난 일주일 동안 공부했던 거니까 안 봐’라는 열심형 녀석들보다 ‘일주일 내내 공부했는데 다른 게 나와 버렸네. 어쩔 수 없지, 한번 줘봐’라는 체념형 노력파들이 살아남았다는 것이다.


훗날 사회에 나와 기자 생활을 하게 되었는데, 우연찮게도 프랜차이즈 잡지, 즉 해외에 원판이 있고 그것에 기반을 두고 한국판을 발행하는 매체에 주로 있게 되었다. 그러니까, 해외 매체의 대략적인 정서와 한국 매체의 그것을 자연스럽게 비교할 수 있는 위치에 자주 있게 된 것이다. 또한 이 매체들이 다루는 업계의 온도차도 분명히 존재했다. 차이는 금방 두드러졌다. 비판의 수준 혹은 색깔이 바로 그것이었다.


기자의 극히 제한적인 경험 속에 한국 업계와 해외 업계, 혹은 한국 매체와 해외 업체의 가장 큰 차이는 한 마디로 ‘한국은 눈치를 너무 많이 본다’는 것이었다. 과장 좀 보태, 인터뷰 하러 가면 60%가 ‘오프더레코드’였고 그걸 기사로 한 줄 한 줄 옮기는 건 회사 전체의 사운을 등에 없고 살얼음판을 걷는 것 같았다. ‘잘못’이나 ‘책임’은커녕 ‘실수’를 언급할 때에도 몇 차례나 기업에 전화를 걸어 확인을 받고 수정을 하고 컴플레인에 시달려야 했다. 심지어 매체 장이 광고주에게 불려가기도 했다. 기사 말미를 훈훈하게 마무리 짓는 기술은 어지간한 매체 기자들의 기본 덕목이자 자질이었다.


사실 해외 사정이라고 정도의 차이는 있어도 본질의 차이는 없을 것이라고 본다. 하지만 그 정도의 차이가 생각보다 클 수 있겠다는 생각이 들게 한 쇼킹한 뉴스를 최근 접했으니 바로 ERP스캔(ERPScan)이라는 회사와 관련된 것이었다. 최근 SAP사의 솔루션, 오라클사의 솔루션에 있었던 작지 않은 취약점들을 죄다 공개한 회사인데, 이 ERP스캔이란 곳을 조사하다가 알게 된 사실이 가히 충격적이었던 것이다.


이 ERP스캔은 다름 아니라 SAP와 오라클의 파트너사였다. SAP와 오라클이 출시하는 여러 가지 솔루션을 파헤쳐 그 취약점을 파악하는 것으로 먹고사는 곳이었던 것이다(물론 그게 벌이의 전부는 아니다.) 요즘 하나 둘씩 늘어나는 버그바운티를 정액제로 하는 회사라면 적당한 비교일까. 게다가 이 취약점을 SAP와 오라클에게만 비밀리에 공개하는 게 아니라 각종 컨퍼런스에서 발표까지 한다! 회사 규모나 뭐를 봐도 ERP스캔이 갑일 수가 없는 입장인데 이 ‘을’이 갑의 잘못이며 실수인 것들을 대대적으로 공개한다고? 그것도 돈을 받고?


이것이 해외 시장의 특수성이라고 찬양하고 싶지는 않다. 외국에도 아직 버그바운티를 비공개로 하는 회사가 더 많으며 하더라도 ‘우리한테만 먼저 알려줘’라는 정책이 대부분이고 그나마도 전 제품을 대상으로 하지 않은 곳, 심지어 현금이 아니라 ‘명예’를 주겠다는 대기업도 넘치고 넘치기 때문이다. 그렇다면 오라클과 SAP도 충분히 이런 식으로 은밀한 운영을 해도 되지 않았을까? 자신들의 결점을 돈 주고 까발리는 이유는 무엇인가?


그 이유야 사실 이 파트너십을 최초에 체결한 당사자들 외에는 정확히 알 수 없을 것이다. 전화해봐야 홍보 담당자가 “그만큼 우리는 고객들에게 투명함을 제공하며...”라는 말을 하겠지. 하지만 분명한 건 이렇게 돈을 주면서까지 내 약점을 지적해달라는 엄청난 개방성 혹은 겸손함을 보이는 건 회사든 사람이든 찾기 힘들다는 것과, SAP와 오라클은 각각 2015 1사분기 수익 4억 4970만 유로(한화 약 5623억)와 9억 3천만 달러(한화 약 1조 437억)를 기록한 곳이라는 것이다.


돈 많은 사람도 무섭고, 잘난 사람도 무섭지만, 자신의 실수를 적극적으로 알아내기에 힘쓰는 사람만큼 무서운 사람은 없다. 동행하는 사람이 세 명이면 무조건 스승이 한 명 나온다는 옛 지혜보다 더 지혜로워야 살아남는 시대다.

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)