본문 바로가기

IT governance

화타의 형제와 한국의 IT 보안 현실

화타와 삼형제.

죽은 사람도 살려 냈다는 편작(화타).
화타에게는 의술을 하는 두 형이 있었다. 어느날 위나라의 임금이 화타에게 물었다.

"그대의 삼형제 가운데 누가 병을 제일 잘 치료하는가? " 
화타가 답하길

"큰 형님은 어떤 이가 아픔을 느끼기전에 얼굴빛을 보고 병이 있을 것임을 예감합니다. 그리고 그 원인을 제거하여 환자는 아프지도 않은 상태에서 치료를 받게 됩니다. 고통없이 큰 병이 사라졌다는 것조차도 모르는 상태가 되다보니 의술이 가장 훌륭한데도 불구하고 신의로 소문 나지 않았습니다."



"둘째 형님은 상대방의 병세가 미미한 상태에서 병을 알아보고 치료해줍니다. 병세가 미미하다보니 환자는 큰 병으로 발전할 자신의 상태를 낫게 해주었다고 생각을 못합니다. 작은 상태에서 병을 치료하여 큰 병으로 발전 하지 않고 낫게 해주니 둘째 가는 의술을 지닌 명의 입니다."



" 마지막으로 저는 병이 커진 상태에서 환자가 고통에 신음할 때가 되어서야 비로소 병을 돌봅니다. 환자의 병이 이미 커진 상태이므로 진기한 약을 먹이고 때론 살을 도려내는 수술도 해야 합니다. 사람들은 저의 그러한 행동을 보고 제가 자신의 큰 병을 고쳐 주었다고 믿게 됩니다. 제가 세상 사람들에게 명의로 알려진 이유는 여기에 있을 뿐입니다. "


대충 생각나는 삼국지에 나오는 화타의 삼형제 이야기다.
의술과 가장 비교가 절실하게 되는 IT 분야가 보안이라 할 수 있다.

실제로 문제가 발생 되지 않도록 만드는 자는 무명에 다를 바 없고
문제가 발생된 초기 상황에서 문제를 수습하는 자는 그저 그런 역량으로 취급을 받는다. 문제가 커지고 난 뒤에야 크게 떠들어 대안을 만드는 자를 상수로 취급한다.

일개 개인에게 적용이 되는 의술이라면 충분히 문제가 되지 않을 수 있으나 전체에 영향을 미치는 부분이라면 심각하게 달라야 되지 않을까? 

지금껏 대형 사건사고들이 있을때 마다 수습하고 대책을 냈지만 재발방지나 문제의 원인을 제대로 파악해서 대응한 사례들은 있기는 할까? 문제가 발생 되지 않으면 비용을 축내는 천덕꾸러기 취급을 받고 문제가 크게 커져야 아주 중요한 필수 인력으로 대접을 받는다. 

보안이라는 분야가 한국 사회에서 지닌 딜레마가 화타의 삼형제 이야기와 다를 바 없다. 정말 국가와 산업 차원에서 제대로 인식하지 못한다면 더 큰 문제가 계속 될 것임은 당연한 일이다.


매번 화타만 찾다간 그나마 있는 것도 거덜날 지경이 지금의 상황이다. 

"징후와 조짐을 파악해 사고 발생 되기 이전에 미연에 방지 하는 것" 이런 일이 국가 인프라 차원에서 하수와 무명 취급 받는다면 누가 할 것인가?