본문 바로가기

Security Indicator/Insight

만두...멸치..그리고 CCRA

최근 보안 전문 업체의 업종 다변화와 맞물려 CCRA 인증 협약이 며칠전 발효가 되었다.

 

두 가지 사안과 뉴스가 다른 시점에 나타났으나 연관관계는 매우 밀접하고 또 관계가 깊다.

 

CCRA: 국제 공통평가기준 상호인정협정으로 협약에 가입된 국가간에 보안제품에 대한 인증을 통과한 업체에 대해서는 해당 협약에 가입한 국가에 공통적인 평가 기준으로 인정이 됨을 말한다.

 

예전 90년대 부터 보안 장비 부분을 버티게 해주던 정책이 K4 인증이였다. 국정원에서 보안제품에 대한 인증을 수행하고 해당 장비에 대한 보안성이 검증되면 부여하던 인증인데.. 소스코드 및 기능 설계에 대한 부분도 검증을 받아야만 K4 인증을 받을 수 있는데 외국기업 중 어떤 기업이 한국 시장만을 보고 자사의 전체 재산과도 다름없는 방화벽이나 침입탐지 시스템의 소스코드를 공개할 것인가?.

 

따라서 공공기관에 도입 기준으로 정해진 K4 인증을 획득하지 못하여 진입 자체가 힘들었으며 민간용 구매의 경우에도 세계적으로 점유하고 있는 점유율 만큼을 인정 받지 못하였다.

 

현재 협약이 체결된 CC 인증에 관한 문제는 2년전 부터 이슈화가 된 부분이나 그동안 보안업체들은 무엇을 준비했는지 묻고 싶다. 또한 그 이전에 전문 기술 부분에 대해 얼마나 투자 했는지도 묻고 싶다. 엔지니어가 없는 회사. 전문 엔지니어가 대접받지 못하는 회사. 회사 정책상 얼마만큼의 당장 눈앞에 보이는 수익에 집착하고 그 이익을 위해 불나방처럼 자신의 날개를 불사르는 짓을 얼마나 했던가?

 

침입의 변화와 트렌드의 변화는 조금만이라도 눈을 뜬 자들에게는 그리 어려운 부분이 아니다. 모든 정보가 공유되고 공개되는 세상에서 그다지 어렵지 않은 부분이나 이런 부분을 외면하고 또 장기적인 투자를 외면한 그 실상은 참혹하다 할 수 있다.

 

멸치를 팔고.. 만두를 팔고.. 보안이 아닌 기타업종으로 진출을 하고.. 왜 이럴까?..

보안이 돈이 안되어서?.. 이건 변명꺼리도 될 수 없다. 왜 국내 시장에만 안주 하였는가?

왜 외국 시장에서는 뛰어난 성능으로 견주지 못하였는가?  성능이 안되어서? 독창성이 없어서? 기술이 안되어서?. 모든게 정답일 것이다.

 

작금의 시장은 뛰어난 성능과 남과 다른 그 무엇이라도 있다면 인정 받을 수 있는 시장이다.

그 시장에서 겨루지 못하고 국내시장에만 그것도 제한된 시장에만 안주하여 안정된 이익을 보장 받기를 원한 그 결과라고 볼 수 있다. 위협이 글로벌화된 현재 상황에서 보안 전문분야에서는 기술이 뒷받침 되지 않는 이상 더 이상 방패막이는 없을 수 밖에 없다. 이게 국제 사회에서의 통설이다. 방패막이는 스스로를 죽일뿐인 것을..

 

파장 및 파급효과에 대해서는 따로 기회가 되면 언급을 하겠으나 현재 변화된 상황만 보고 단편적인 이야기만 하면 개인적인 생각은 위와 같다.

기회는 많았으나 그 기회를 볼 줄 아는 눈이 없었다. 당장의 이익을 위해 변화하는 것은 좋으나 큰 방향으로 나아갈 큰 기업이 될 재목은 없었다라고 정의 할 수 있을 것 같다.

 

틈새 시장으로 진출한 보안 업체들도 있고 전문 분야를 고수하고 있는 업체도 있으나 제품을 만드는 곳은 앞으로 힘들어 질 것으로 보인다. 앞서 올린 글들에서도 언급 하였듯이 패러다임의 변화는 이미 대세에 이르렀는데 이제와서 돌아 갈 수는 없는 불변의 변화에서 상황이 호전되기만을 기다린 다는 것은 죽음을 기다리는 것과 같다.

 

생명력이 얼마나 될까?.. 그리 오래 가지는 못할 것이다. 최소한 보안이라는 부분에서.. 권토중래를 하기 위해서는 와신상담이 필수 이건만 이젠 그 기간조차 보장 받지 못할 것이다.

 

살아남은 기업들은 외산제품의 기능이나 연구역량에 밀려 점차 입지가 좁아질 것이므로 특정 기능 및 독창적인 기술에 집착하여야만 성공을 바랄 수 있을 것이고 역량 집중 없이 영업 및 사업 부분 확장으로만 버텨온 기업에게만 더 이상 기댈 것이 없는 시점이 곧 올 것이다. 지금이 그때인지도..

 

만두와 멸치는.. 살아남기 위한 몸부림!.

그러나 이런식의 몸부림으로는 이 보안이라는 분야에서 오래 버티기는 어려울 것이다. 적어도.. 아무리 늦었어도 3~4년 전 쯤에 승부수를 던지고 몸부림을 쳤어야 했다. 그 시점은 2001년에서 2002년 무렵이였을 것이고...

그때 던졌더라면 충분히 될 수도 있었을텐데.. 기술인력 다 보내고 역량 집중도 못하고 기업의 규모가 작아서 그런면도 있었을 테지만..무리한 확장 보다는 내실을 다졌어야 했는데.. 매출이 중요한 것이 아니라 얼마만큼의 독창성을 보유하고 있는지가 중요한 포인트임을 알고 세계의 흐름을 볼 수 있는 눈을 가진 경영자가 있었어야 했는데.. 그렇지 못한 것이 오늘날의 패인이라고 볼 수 있다.

 

경영만을 가지고 1대를 꾸려가는 기업을 만들 수도 있을 것이다.

비전이나 기술이 뒷받침 되지 않고서는 보안과 같은  전문분야 에서는 경영 다각화만으로는 1대 조차도 못 꾸릴 것이다.

 

살아날 길은 무엇일까?.. 틈새기술..독창성.. 그 무엇이든 뼈를 깍는 노력이 필요하다. 구조조정이나 사업 다각화가 아닌 독창성을 보유하기 위한 처절한 몸부림이 있어야만 성공 할 것이다. 그러나 지금 언론지상을 누비는 뉴스에서는 그런 몸부림을 전혀 느낄 수가 없다.

 

* 개인 사견 입니다. ^^ ; p4ssion