2013.02.27

더러운 IT 보안 속임수 14개, 보안 전문가 편

Roger A. Grimes | IDG News Service
IT 보안 세계에서는 돌팔이와 모방꾼들이 넘쳐난다. 보안 분야에 종사하는 이라면 이런 이들을 조심하라는 '충고'를 접해보지 못한 이는 없을 것이다. 
 
보통 IT 보안 컨설턴트에게 기대하는 것은 전문적인 지식, 공정한 조언, 경험에서 우러난 충고, 합리적인 가격 등이다. 그러나 때로는 이들과의 관계가 득보다는 실이 많은, 떠올리기 싫은 경험이 될 수도 있음을 알아야 한다. 
 
구체적으로 예를 들면 사소한 문제를 과장해 값비싼 솔루션을 추천하는 컨설턴트나 계약 이후 말도 안 되는 기능 셋을 가져오는 컨설턴트, 또는 기한을 어기거나 작업이 끝난 후에 자사의 시스템에 무슨 일이 생기든 나 몰라라하는 컨설턴트 등이 있을 것이다. 
 
그러나 이런 징조를 알아채기란 쉽지 않은 것이 사실이다. 이들은 최고의 업체명이 적힌 명함을 건네면서 그 누구보다 친절하게 인사하고 자신이 직면한 어려움을 진심으로 걱정해주기 때문이다. 물론 그들이 악의를 가지고 피해를 주는 것은 아니다. 그들은 단지 자사의 문제를 효율적으로 해결해 줄 방법을 모르고 있는 것뿐이다. 
 
다음에서 자신이 외부 컨설턴트나 개발업체를 모색하는 과정에서 주의를 기울일 필요가 있는 14개의 못된 IT 보안 속임수들을 소개한다. 여기 소개된, 혹은 또 다른 속임수에 넘어가 본 경험이 있다면, 댓글을 통해 그 경험을 공유해주길 바란다.
 
IT 보안 속임수 NO. 1 : 꾸며낸 경험
한 재미난 TV 광고가 있었다. 누군가 어떤 솔루션의 설계를 막 끝마친 테크놀로지 컨설턴트들에게 솔루션 배치 지원을 요청하자, 컨설턴트들이 화를 내며 "저기, 우린 컨설턴트일 뿐이라고!"라고 말하는 것이었다. 
 
조금은 과장이 섞인 면도 있는 광고지만, 실제로 많은 컨설턴트들은 자신이 판매하고 있는 솔루션을 배치해본 적이 없는 것이 사실이다. 한번쯤은 이와 같은 술수와 마주해본 적이 있을 것이다. 
 
이런 장난을 치는 컨설턴트를 가려내고 싶다면, 이런 물음을 던져보자. "지금 추천하는 그 솔루션을 실제로 시행한 적이 몇 번이나 되는가? 그 증빙 자료를 확인할 수 있는가?"
 
IT 보안 속임수 NO. 2 : 만병통치약 솔루션
어떤 IT 보안 컨설턴트들은 그들이 마련한 솔루션을 마치 모든, 혹은 대부분의 IT 보안 문제를 단박에 해결해 줄 수 있는 만병통치약으로 설명하기도 한다. 
 
컨설턴트들은 문제를 제대로 듣지도 않고 바로 유창한 설명에 들어간다. 또 말을 하지 않을 때에도 눈빛만은 언제나 불타오르고 있다. 이런 컨설턴트들이 가져온 이 멋진 솔루션을 적용하는데 있어 우리 자신의 의사는 별로 중요할 것이 없다는 눈치다. 
 
그렇다면, 이 컨설턴트의 과거 고객들은 보안 문제를 말끔히 해결했을까? 
 
만약 컨설턴트에게 이런 질문을 던진다면 그는 자신있게 그렇다고 답할 것이다. 그러나 그 고객들의 증빙 자료를 확인할 것을 요구하면, 그 컨설턴트는 당황해 하며 이를 확인하지 못하도록 겁을 줄 것이다. 
 
그럼에도 불구하고 해당 업체에게 연락을 취해 진실을 알아냈다면, 이번엔 그들 기업의 실패 이유는 그들이 이 완벽한 솔루션을 자신이 설명한 방법으로 설치하지 않았다거나, 너무 많이 커스터마이즈했다는 등의 억지스런 주장이 되돌아올 것이다. 
 
고객의 무능력을 탓하는 이런 한심한 컨설턴트들의 주장은 간단히 무시하는 것이 최선의 방법이다. 
 
IT 보안 속임수 NO. 3 : 허풍 섞인 지식
자신이 어떤 분야의 전문가라 허풍을 떨다 제대로 된 용어를 몰라 정체가 탄로나는 컨설턴트는 의외로 꽤 많다. 
 
때론 기술적인 고급 질문들을 하지 않고도 컨설턴트들의 허풍을 밝혀내는 경우도 있다. 필자가 직접 경험한 일이다. 어느 날 한 '공인 전문가'가 찾아와 그들의 노벨(Novell) 네트워크가 우리에게 큰 도움이 될 것이라 설명한 적이 있다. 그런데 그 전문가라는 사람은 자신이 설명하는 테크놀로지의 발음조차 제대로 하지 못하는 것이 아닌가! 민망스러워 웃을 수도 없던 상황이었다. 
 
IT 보안 속임수 NO. 4 : 전방위적 판매 압박
속보이는 판매 전략으로 결정을 독촉하는 컨설턴트도 경계해야 할 인물 유형 가운데 하나다. "분기 마감일인 오늘 전에 계약하면 정상가에서 20%를 할인해 주겠다"는 식의 꾀임 말이다. 실제로 많은 이들이 이런 제안을 받아본 적 있을 것이다. 
 
하지만 도대체 어떤 업체가 13일의 월요일을 분기 마감일로 잡는 회계 연도를 만든단 말인가? 아, 물론 그럴 수도 있다. 그러나 개인적으로는 이런 제안을 받을 때면 한번 다음날까지 기다려 본 뒤 같은 조건으로 계약을 요구해보곤 한다. 
 
아마 구매가 일찍 이뤄지면 그들에게 돌아가는 성과급도 커질 것이다. 그러나 그들의 성과급이 나와 무슨 상관인가? 
 
우리가 신경써야 하는 것은 우리 기업이다. 필자와 계약을 통해 보너스를 얻고 싶은 컨설턴트라면 필자가 그들의 상품을 구매하지 않으면 안 되는 이유를 설명하는 것이 빠른 방법일 것이다. 컨설턴트가 종사하는 회사의 재무 지표는 절대 필자의 관심사가 아니며, 더군다나 필자는 심사숙고하는 것을 방해받는다는 느낌을 들 때에는 더욱 완고한 태도를 취하게 되곤 한다.  
 



2013.02.27

더러운 IT 보안 속임수 14개, 보안 전문가 편

Roger A. Grimes | IDG News Service
IT 보안 세계에서는 돌팔이와 모방꾼들이 넘쳐난다. 보안 분야에 종사하는 이라면 이런 이들을 조심하라는 '충고'를 접해보지 못한 이는 없을 것이다. 
 
보통 IT 보안 컨설턴트에게 기대하는 것은 전문적인 지식, 공정한 조언, 경험에서 우러난 충고, 합리적인 가격 등이다. 그러나 때로는 이들과의 관계가 득보다는 실이 많은, 떠올리기 싫은 경험이 될 수도 있음을 알아야 한다. 
 
구체적으로 예를 들면 사소한 문제를 과장해 값비싼 솔루션을 추천하는 컨설턴트나 계약 이후 말도 안 되는 기능 셋을 가져오는 컨설턴트, 또는 기한을 어기거나 작업이 끝난 후에 자사의 시스템에 무슨 일이 생기든 나 몰라라하는 컨설턴트 등이 있을 것이다. 
 
그러나 이런 징조를 알아채기란 쉽지 않은 것이 사실이다. 이들은 최고의 업체명이 적힌 명함을 건네면서 그 누구보다 친절하게 인사하고 자신이 직면한 어려움을 진심으로 걱정해주기 때문이다. 물론 그들이 악의를 가지고 피해를 주는 것은 아니다. 그들은 단지 자사의 문제를 효율적으로 해결해 줄 방법을 모르고 있는 것뿐이다. 
 
다음에서 자신이 외부 컨설턴트나 개발업체를 모색하는 과정에서 주의를 기울일 필요가 있는 14개의 못된 IT 보안 속임수들을 소개한다. 여기 소개된, 혹은 또 다른 속임수에 넘어가 본 경험이 있다면, 댓글을 통해 그 경험을 공유해주길 바란다.
 
IT 보안 속임수 NO. 1 : 꾸며낸 경험
한 재미난 TV 광고가 있었다. 누군가 어떤 솔루션의 설계를 막 끝마친 테크놀로지 컨설턴트들에게 솔루션 배치 지원을 요청하자, 컨설턴트들이 화를 내며 "저기, 우린 컨설턴트일 뿐이라고!"라고 말하는 것이었다. 
 
조금은 과장이 섞인 면도 있는 광고지만, 실제로 많은 컨설턴트들은 자신이 판매하고 있는 솔루션을 배치해본 적이 없는 것이 사실이다. 한번쯤은 이와 같은 술수와 마주해본 적이 있을 것이다. 
 
이런 장난을 치는 컨설턴트를 가려내고 싶다면, 이런 물음을 던져보자. "지금 추천하는 그 솔루션을 실제로 시행한 적이 몇 번이나 되는가? 그 증빙 자료를 확인할 수 있는가?"
 
IT 보안 속임수 NO. 2 : 만병통치약 솔루션
어떤 IT 보안 컨설턴트들은 그들이 마련한 솔루션을 마치 모든, 혹은 대부분의 IT 보안 문제를 단박에 해결해 줄 수 있는 만병통치약으로 설명하기도 한다. 
 
컨설턴트들은 문제를 제대로 듣지도 않고 바로 유창한 설명에 들어간다. 또 말을 하지 않을 때에도 눈빛만은 언제나 불타오르고 있다. 이런 컨설턴트들이 가져온 이 멋진 솔루션을 적용하는데 있어 우리 자신의 의사는 별로 중요할 것이 없다는 눈치다. 
 
그렇다면, 이 컨설턴트의 과거 고객들은 보안 문제를 말끔히 해결했을까? 
 
만약 컨설턴트에게 이런 질문을 던진다면 그는 자신있게 그렇다고 답할 것이다. 그러나 그 고객들의 증빙 자료를 확인할 것을 요구하면, 그 컨설턴트는 당황해 하며 이를 확인하지 못하도록 겁을 줄 것이다. 
 
그럼에도 불구하고 해당 업체에게 연락을 취해 진실을 알아냈다면, 이번엔 그들 기업의 실패 이유는 그들이 이 완벽한 솔루션을 자신이 설명한 방법으로 설치하지 않았다거나, 너무 많이 커스터마이즈했다는 등의 억지스런 주장이 되돌아올 것이다. 
 
고객의 무능력을 탓하는 이런 한심한 컨설턴트들의 주장은 간단히 무시하는 것이 최선의 방법이다. 
 
IT 보안 속임수 NO. 3 : 허풍 섞인 지식
자신이 어떤 분야의 전문가라 허풍을 떨다 제대로 된 용어를 몰라 정체가 탄로나는 컨설턴트는 의외로 꽤 많다. 
 
때론 기술적인 고급 질문들을 하지 않고도 컨설턴트들의 허풍을 밝혀내는 경우도 있다. 필자가 직접 경험한 일이다. 어느 날 한 '공인 전문가'가 찾아와 그들의 노벨(Novell) 네트워크가 우리에게 큰 도움이 될 것이라 설명한 적이 있다. 그런데 그 전문가라는 사람은 자신이 설명하는 테크놀로지의 발음조차 제대로 하지 못하는 것이 아닌가! 민망스러워 웃을 수도 없던 상황이었다. 
 
IT 보안 속임수 NO. 4 : 전방위적 판매 압박
속보이는 판매 전략으로 결정을 독촉하는 컨설턴트도 경계해야 할 인물 유형 가운데 하나다. "분기 마감일인 오늘 전에 계약하면 정상가에서 20%를 할인해 주겠다"는 식의 꾀임 말이다. 실제로 많은 이들이 이런 제안을 받아본 적 있을 것이다. 
 
하지만 도대체 어떤 업체가 13일의 월요일을 분기 마감일로 잡는 회계 연도를 만든단 말인가? 아, 물론 그럴 수도 있다. 그러나 개인적으로는 이런 제안을 받을 때면 한번 다음날까지 기다려 본 뒤 같은 조건으로 계약을 요구해보곤 한다. 
 
아마 구매가 일찍 이뤄지면 그들에게 돌아가는 성과급도 커질 것이다. 그러나 그들의 성과급이 나와 무슨 상관인가? 
 
우리가 신경써야 하는 것은 우리 기업이다. 필자와 계약을 통해 보너스를 얻고 싶은 컨설턴트라면 필자가 그들의 상품을 구매하지 않으면 안 되는 이유를 설명하는 것이 빠른 방법일 것이다. 컨설턴트가 종사하는 회사의 재무 지표는 절대 필자의 관심사가 아니며, 더군다나 필자는 심사숙고하는 것을 방해받는다는 느낌을 들 때에는 더욱 완고한 태도를 취하게 되곤 한다.  
 

X