2014. 보안업계의 현실
원래 쓰려고 했던 글이 아니다. 문득 기사를 보다보니 최다금액 체불업체가 이 분야에서는 누구나 들어보고 알 수 있는 업체가 랭크되어 있어서 빠르게 떠오르는 단상들을 그대로 적어 보았다. 페북에 쓴 내용들이 파편화 되어 있어서 하나의 글로 묶어서 게재 한다. 영세 보안산업이 전체 IT를 보호 할 수 있을까?
위의 기사에서 보안업계와 관련이 있는 기업이 소프트런이 된다. 여기서는 해당 회사의 문제를 지적하고자 하는 것이 아니라 보안이라는 분야가 한국 SW 분야나 IT 분야에서 어떤 비중을 가지고 있는지 보고자 한다. 보안사고가 나도 이럴진대 대체~~
보안업계의 현실.
뭐 길게 말할 필요도 없다. 이중 최상위 업체인 소프트런의 경우 PMS를 운영하는 업체. 거의 대부분의 기업들에 도입이 되어 있을텐데.. 운영체제의 보안패치를 일괄적으로 설치하게끔 해주는 업체라 할 수 있다. 뭐 다른 문제가 있을 수도 있지만, 서비스에 대한 관리 비용과 보안의 일관성을 유지한다는 측면을 고려하지 않으니 당연히 서비스 유지율에 대한 비용을 인정받기 어려웠으리라..
뭐 다른 보안업체들이라고 무사할까?
소위 억지로 끌어 낼 매출이라도 있는 상위 업체들 몇 곳을 빼고 그 이외의 대부분의 보안 관련 업체들은 영세 SW.SI 업체에 포함된다고 봐야 하는데 다 적자 아닐까?
그렇다고 올해는 나아질 수 있을까?
그럴 가능성은 그다지 높지 않다고 본다.
새로운 혁신과 변화를 추구하지 않는다면 어렵다고 봐야 한다.
더 이상 도입할 장비나 제품이 없는 기업들..
주기적으로 실행해야 하는 인력기반의 프로젝트 ( 모의해킹 , 인증, 심사, 관제 )만 정기적이고, 강제적으로 발생될 뿐이다. 그 이외에는 없다.
새로운 장비라해서 APT 대응장비라고 한다해도 이젠 그 장비를 꽂을 포트라도 있을까 의문이다.~
마른 수건 쥐어짜봐야 더 나올 물이 없다. 물이 마르는 것은 가장자리부터 마르기 시작해서 중심부로 들어간다. 중심부의 몇몇 기업들도 한계에 직면하긴 마찬가지 일 것이다. 단지 조금 더 늦은 현실자각이 올뿐...
만약 지금까지 고민을 해왔고 근본 현실에 대해서 검토를 했었다면 기회는 있을 수 있다. 연구가 되고 방향성을 잡았다면 대대적 비용 투자 없이도 할 수 있는 서비스나 일관성 유지를 위한 체계. 저비용으로 위험을 제거하고 대응 할 수 있는 서비스 ...
그리고 지금까지의 보안 서비스나 보안제품들에도 부가될 수 있는 내용들을 덧붙여서 밸류를 높이는 상황..이런 방안들이 필요한 상황이다.
고민 하기 싫고, 연구 안했다면 그냥 말라 죽을 수밖에 없다.
영업력으로 마른 수건을 쥐어짜기에는 이젠 더 나올 물도 없다.
이게 지금 현실이다.
-> 추가 의견
강제적 실행이 필요한 인력 유지 분야 ( PT , 인증, 관제)를 제외한 거의 모든 보안 산업 분야에서 70~80% 이상의 기업 종말이 예상. 뭐 인력유지 분야도 발전 없기는 매 한가지이고. 정말 중요한 것은 기존의 보안 체계와 현실의 위협이 달라졌음에도 불구하고, 이전의 대응방식으로 처리를 하고 있다는 심각한 문제. 이젠 가릴 수 있는 손도 더 없는 상황이라 .. 이건 이미 2013년에 확실히 증명됨. 따라서 앞으로는 외국계 몇몇과 국내 인력기반 산업을 유지하는 곳, 상징적인 곳 한~두곳을 제외하고는 모두 제살 깍기외에는 안되고 종말 예상됨. 그래서 정부자금이나 프로젝트에 목을 매는 상황이 엄청나게 계속 될 것임. 이런 허무한 연구프로젝트 없으면 모두 죽음.
지원해줘도 죽고, 안해줘도 죽음.. 그럴바엔 차라리 모두 정리될 가능성이 높은 현재의 상황이 더 나을지도... 경영환경이 악화된 지난해 하반기부터의 경제 시그널이라면 더 이상 유지는 안될듯
악순환은 무너지고 난 뒤에야 풀릴 수 있는법.
악순환을 해소하기 위한 방안이 무엇일까? 라는 질문에 대한 답변으로 달은 글
현상유지하기에 바쁜데 혁신과 변화라는 말이 귀에나 들어오겠냐? 매번 나오는 돈 받고 유지하기에도 바쁜데 말이야.. 그러니 매번 똑같은 챗바퀴나 돌리고 있을뿐. 외국 회사들에게 안 밀리려면 제대로 연구라도 해야 하는데 그놈의 영업력과 인맥으로 지금까지 버티고 온거 아닌가 말이지.. 안 좋아도 이래저래 선타고 들어오면 도입은 해줘야 하고 ㅋㅋ..
결론은 매출을 올리려고 노력하지 말고, 눈을 크게 뜨고 변화를 관찰한 이후 노력을 하란거지. 근본적으로 그나마 경쟁력을 가질 수 있는 그런 부분들 말이야.. 규모에 맞는 , 수준에 맞는 것을 보는 것도 가장 중요.
예를들면 .. 설치형 제품으로는 도저히 영업력 경쟁이나 지원이 불가능한 규모이니 서비스 형태로 컨셉을 잡고 개발한다. 또한 외국회사 제품의 경쟁력 보다 나은 지점을 몇개라도 확실히 확보한다 뭐 이 정도는 되어야지.. 구글의 방대한 디비를 이길 수 있는 방법은 뭐라고 생각해? 그 회사를 이길 수 있는 방법은 없어. 누구나 다 알듯이 그 회사를 이기는 것은 영역을 좁히고, 그들보다 빠르게 할 때에야 일시적인 우세를 가질 수 있다.
구글의 SB 는 궤도위성 , PCDS는 정지위성~ 뭐 이런 차이 말이야.. 여기다대고 사람들은 또 그러긴 하지.. 그래도 전 세계 커버는 안되잖아요?.. ^^; 한국에서 전 세계 웹서비스 들어갈 일은 뭐람? 암튼 이런 식으로 변화되고 살아날 수 있는 방안을 자체적으로 해어야 됐는데 지금 우리는 빵점에 가까울껄..
어줍잖게 똑같은 흉내나 내고 말이야 ( 연구인력도 극히 부족, 연구비도 극히 빈약 , 지원도 없어...근데 모양만 찍어냄.. ) 이러니 악순환이 반복이 되지. 누군가가 밖으로 나가지 않으면 이 악순환의 챗바퀴는 멈추지 않아.. 그리고 모두다 죽는거지!
제품 껍데기는 좋게 만들 수 있다. 그러나 지금 같은 가혹한 위험 상황에서 기본 기능도 안되면 역시 국산은 안된다. 이 소리만 듣지.. 그러니 책임 전가하기 좋은 외산으로 도입하는 것이구. 이것보고 국산은 차별한다 또 이런 소리들이나 하지.
연구개발도 안하고 매일마다 똑같은일 시키는 반복 업무하니 인력들이 전문성을 확보하지 못하고 좌절하다 이탈하게 되는 것이고.. 이건 기업의 경쟁력이 오로지 싼 인력을 누가 얼마나 더 확보하냐하는 인건비 경쟁으로 넘어가는 것이니 인력송출회사와 다를바가 없지. 이럼서 전문분야라고 하면 안되는 것이고.. 사건/사고 났을때 어디 대응이라도 하냐? 보안 전문회사가 일반 IT회사보다도 전문성이 떨어지면 그걸 누가 신뢰하냐고?
이러니 악순환이 끊임없이 도는 것!
끊는 방법은 마약이나 담배 끊듯이 금단현상을 극복해야 하는데 지 회사 아니라고 생각하는 분들이 대부분인데 누가 이러나? 당장 실적에 쫗기지 않는 경영자 있음 나와보라 그래.. 그러니 연구개발은 개뿔이 되는거지..
결론은 수준에 맞는 창의적 발상과 남들과 차별화 될 수 있는 강력한 포인트, 남들보다 더 제공이 가능한 부가 서비스를 통해 레벨을 높이는 것 이런 것 이외에는 답이 없다라고 본다. 그리고 알고 있다고 해도 현 상태로는 답 안나올듯.
여기에 현재의 보안산업의 문제와 현실 그리고 미래방향이 일정수준 들어 있다고 본다.
오래 전부터 지금까지 그곳에 있는 관계로 방향의 변화는 유기적이여야만 생존 할 수 있다.
보안이라는 분야를 보자. 기술의 발전과 동떨어져서 움직일 수가 없다. 과연 그 분야에서 그만큼의 노력을 해서 따라가려는 시도를 했었나? 공격 기술의 발전이든 IT 기술의 발전이든 기술의 수준과 적용성은 이미 글로벌화가 되어 있다. 그 상황에서 인맥을 통한 영업과 외국제품 딜러 형식의 판매가 과연 자양분이 되었을까?
칼에 묻은 꿀인줄 알면서도 핧을 수 밖에 없는 것. 그렇게 출혈은 나게되고 죽어간다.!
2014년은 정리가 되는 해가 될 것이다. 도저히 거스를 수 없는 기술의 수준과 파급이 닥쳐 왔었고 이제 직면하고 있는 상황에서 기존의 관념으로 이 영역은 우리가 한다~~ 뭐 이런 말도 안되는 이야기는 아무런 의미가 없다.
시장은 무너지고 재편된다. 강제적인 양분의 투입도 한계치다. 도저히 흉내내기 어려운 상황에서 대체 무엇으로 사기를 친단 말인가?
지금 보안산업의 문제점, 직면하고 있는 과제와 도전에 대해서 느끼는대로 써 보았다. 또한 그 해결의 실마리에 대해서도 말이다. 연구하고 준비하지 않았다면 이제 서서히 몰락을 느낄 때다. 이제부터는 속도가 빨라질 것이고.. 설 자리는 더욱 좁아질 것이다. 구조조정 정도로는 택도 없을 것 같으다.
- 2013년 1.6 바다란
'Security Indicator > Insight' 카테고리의 다른 글
금융정보 유출의 문제는 경영진의 문제. 보안은 비용이 아니다. (0) | 2014.01.18 |
---|---|
구글 Stopbadware 차단 모델의 공식 활용의미. (0) | 2014.01.16 |
연목구어(緣木求魚) “문제의 해결은 원인을 제거함으로써 완성된다.” (0) | 2013.10.08 |
6.25 사건 이전의 징후에 대한 팩트 정보 ( Red October 류의 백도어 포함) (0) | 2013.07.03 |
6.25 사이버 공격에 대한 다른 시각과 분석 (0) | 2013.07.02 |