[보안도시락] 결국 열린 놈이 난 놈이더라

SAP와 오라클, 그리고 ERP스캔의 좀처럼 보기 힘든 관계

내 돈 주고 내 실수를 알아내는 적극성, 앞으로 필요할 지도

[보안뉴스 문가용] 지금 기자를 아는 사람들은 믿지 못하겠지만, 학교 다닐 때만 하더라도 공부 잘 하려고 엄청나게 노력을 했다. 다만 노력의 방향이 조금 이상했다. 공부 잘 하려면 주어진 과제를 해내고 책을 탐독하고 교제를 읽고 또 읽고 외우고 이해하면 될 걸, 최대한의 효율을 뽑아내는 걸 목표로 삼고 방법론에만 매달렸던 것이다. 즉, 어떻게 하면 최대한 공부하지 않고 최대한 좋은 성적을 뽑아낼 수 있는가,가 인생 최대의 고민이었다.

결국 공부를 안 하기 위한 요령을 터득하는 게 목표였던 것인데, 그러다보니 주위의 성적 잘 나오는 아이들을 나도 모르게 관찰하고 있었다. 음, 저 녀석은 1등이긴 한데, 밤에 잠도 안 자고 공부하는 군, 탈락. 음, 저 녀석은 싸움도 많이 하고 다니는데 성적도 좋네, 합격. 저 녀석은 수업시간에 너무 티 나게 열심히 해, 탈락. 오, 저 녀석은 우리 반 농구 왕인데 과학도 잘 하네, 합격.

그런 게 수년 쌓여오다 보니 ‘성적’이라는 키워드 안에 천재형, 노력형, 중간형 등 여러 가지 유형의 카테고리를 나눌 수 있게 되었다. 하지만 학력이 올라가면서 공부 안 하고 높은 성적을 유지하는 부류는 결국 딱 하나, 겸손한 친구들이었다. 천재형이라 뭐든 한 번만 보면 아는 녀석들이나 밤새 공부해봐야 단어 한 스무 개 외우는 게 전부였던 노력형이나 결국 겸손한 아이들이 끝까지 남았다. 여기서 겸손은 ‘나는 아직 목마르다’의 히딩크식 겸손이 아니라 언제나 새로운 지식을 받아들일 줄 아는, 흥선대원군 격노할 ‘개방성’에 가깝다.

같은 천재라도 ‘난 다 아는 거야, 새로울 게 없어’라고 아예 눈 딱 감고 자기가 원하는 것만 보는 녀석들보다 ‘와, 이게 뭐야?’라고 설사 이후에 ‘에이, 별거 아니네, 난 또’라고 실망하더라도 한 번이라도 눈길을 주는 애들이 고학력도 버텨냈고 ‘그거 지난 일주일 동안 공부했던 거니까 안 봐’라는 열심형 녀석들보다 ‘일주일 내내 공부했는데 다른 게 나와 버렸네. 어쩔 수 없지, 한번 줘봐’라는 체념형 노력파들이 살아남았다는 것이다.

훗날 사회에 나와 기자 생활을 하게 되었는데, 우연찮게도 프랜차이즈 잡지, 즉 해외에 원판이 있고 그것에 기반을 두고 한국판을 발행하는 매체에 주로 있게 되었다. 그러니까, 해외 매체의 대략적인 정서와 한국 매체의 그것을 자연스럽게 비교할 수 있는 위치에 자주 있게 된 것이다. 또한 이 매체들이 다루는 업계의 온도차도 분명히 존재했다. 차이는 금방 두드러졌다. 비판의 수준 혹은 색깔이 바로 그것이었다.

기자의 극히 제한적인 경험 속에 한국 업계와 해외 업계, 혹은 한국 매체와 해외 업체의 가장 큰 차이는 한 마디로 ‘한국은 눈치를 너무 많이 본다’는 것이었다. 과장 좀 보태, 인터뷰 하러 가면 60%가 ‘오프더레코드’였고 그걸 기사로 한 줄 한 줄 옮기는 건 회사 전체의 사운을 등에 없고 살얼음판을 걷는 것 같았다. ‘잘못’이나 ‘책임’은커녕 ‘실수’를 언급할 때에도 몇 차례나 기업에 전화를 걸어 확인을 받고 수정을 하고 컴플레인에 시달려야 했다. 심지어 매체 장이 광고주에게 불려가기도 했다. 기사 말미를 훈훈하게 마무리 짓는 기술은 어지간한 매체 기자들의 기본 덕목이자 자질이었다.

사실 해외 사정이라고 정도의 차이는 있어도 본질의 차이는 없을 것이라고 본다. 하지만 그 정도의 차이가 생각보다 클 수 있겠다는 생각이 들게 한 쇼킹한 뉴스를 최근 접했으니 바로 ERP스캔(ERPScan)이라는 회사와 관련된 것이었다. 최근 SAP사의 솔루션, 오라클사의 솔루션에 있었던 작지 않은 취약점들을 죄다 공개한 회사인데, 이 ERP스캔이란 곳을 조사하다가 알게 된 사실이 가히 충격적이었던 것이다.

이 ERP스캔은 다름 아니라 SAP와 오라클의 파트너사였다. SAP와 오라클이 출시하는 여러 가지 솔루션을 파헤쳐 그 취약점을 파악하는 것으로 먹고사는 곳이었던 것이다(물론 그게 벌이의 전부는 아니다.) 요즘 하나 둘씩 늘어나는 버그바운티를 정액제로 하는 회사라면 적당한 비교일까. 게다가 이 취약점을 SAP와 오라클에게만 비밀리에 공개하는 게 아니라 각종 컨퍼런스에서 발표까지 한다! 회사 규모나 뭐를 봐도 ERP스캔이 갑일 수가 없는 입장인데 이 ‘을’이 갑의 잘못이며 실수인 것들을 대대적으로 공개한다고? 그것도 돈을 받고?

이것이 해외 시장의 특수성이라고 찬양하고 싶지는 않다. 외국에도 아직 버그바운티를 비공개로 하는 회사가 더 많으며 하더라도 ‘우리한테만 먼저 알려줘’라는 정책이 대부분이고 그나마도 전 제품을 대상으로 하지 않은 곳, 심지어 현금이 아니라 ‘명예’를 주겠다는 대기업도 넘치고 넘치기 때문이다. 그렇다면 오라클과 SAP도 충분히 이런 식으로 은밀한 운영을 해도 되지 않았을까? 자신들의 결점을 돈 주고 까발리는 이유는 무엇인가?

그 이유야 사실 이 파트너십을 최초에 체결한 당사자들 외에는 정확히 알 수 없을 것이다. 전화해봐야 홍보 담당자가 “그만큼 우리는 고객들에게 투명함을 제공하며...”라는 말을 하겠지. 하지만 분명한 건 이렇게 돈을 주면서까지 내 약점을 지적해달라는 엄청난 개방성 혹은 겸손함을 보이는 건 회사든 사람이든 찾기 힘들다는 것과, SAP와 오라클은 각각 2015 1사분기 수익 4억 4970만 유로(한화 약 5623억)와 9억 3천만 달러(한화 약 1조 437억)를 기록한 곳이라는 것이다.

돈 많은 사람도 무섭고, 잘난 사람도 무섭지만, 자신의 실수를 적극적으로 알아내기에 힘쓰는 사람만큼 무서운 사람은 없다. 동행하는 사람이 세 명이면 무조건 스승이 한 명 나온다는 옛 지혜보다 더 지혜로워야 살아남는 시대다.

[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)