보안 업계의 수많은 진짜와 가짜를 구별하는 법 10

2020-04-13 07:59
  • 카카오톡
  • url
보안에 대한 관심 증폭하면서 수요 늘어나자 시장에 가짜들도 많이 생겨
구매가 발생할 때는 항상 조사와 연구부터 하는 게 소비자의 몫...보안도 마찬가지


[보안뉴스 문가용 기자] 라틴어에서부터 나온 말 중에 ‘매수자 위험 부담 원칙’이란 게 있다. 구매 물품이 제대로 되었는지 아닌지, 구매자가 확인해야 한다는 것이다. 이 말은 즉, 판매자가 하는 말을 곧이 곧대로 믿으면 안 된다는 뜻이다. 뭔가를 위해 돈을 지불하기 전에 우리는 반드시 적절한 연구와 조사를 실시해야 한다.


[이미지 = iclickart]

안타깝게도 정보 보안이라는 분야에서는 매수자 위험 부담 원칙이 구매자에게 너무나 불리하게 작용한다. 보안의 중요성이 요 몇 년 동안 대두됨에 따라 보안에 대한 관심이 높아지면서 자칭 보안 전문가들과 보안 전문 업체들이 너무나 많이 늘어났다. 보안 업계 내에서는 인력난이라고 하는데, 외부인들이 보기에는 전혀 그렇지 않다. 너도 나도 보안 전문가들이니 말이다.

아직 소비자들이 진짜와 가짜 보안 전문가를 구분하는 법을 배우기도 전에 이런 상황이 벌어졌다. 그래서 어려운 시기에 아껴 살자는 마음에서 필자는 가짜 구분에 도움이 되는 10가지 조언을 하고자 한다.

1) 어려운 말을 좋아한다 : 우리 모두는 교육을 잘 받은 사람, 책을 많이 읽은 사람처럼 보이고 싶어 한다. 그래서 어렵고 전문적인 말들을 써가며 대화를 하곤 하는데, 물론 전문용어와 어려운 말들이 반드시 사용되어야 하는 경우도 있지만, 대부분은 말하는 사람이나 듣는 사람 모두 길을 잃게 만든다. 그래서 진심을 담아 이해를 돕고자 하는 사람들은 어려운 말을 적절하게 사용해 아무도 무슨 말인지 못 알아듣는 사태를 방지한다.

가짜들은 정 반대다. 전문용어를 사용하는 이유 자체가 혼란을 주기 위해서다. 따라서 추가 설명을 하거나 친절한 단어를 섞어 쓰는 일 따위 하지 않는다. 그러면 듣는 우리는 어떤가? 하필이면 우리 대부분에게는 못난이처럼 보이고 싶지 않은 욕구가 존재한다. 이해가 안 가도 바보처럼 보이기 싫어 고개를 끄덕인다. 바로 이 욕구가 가짜들을 배양한다.

이를 이해했다면 가짜 분별법 제1 원칙을 자연스럽게 터득할 수 있다. 어려운 말을 너무 많이 반복해서 연달아 사용하는 사람, 그러고도 아무런 해석이나 설명을 덧붙이지 않는 사람이라면 대부분 가짜다.

2) 기록을 남기는 데 인색하다 : 진짜 보안 전문가라면 기록으로 남는 서면 소통을 두려워할 이유가 없다. 이메일을 쓰거나 어떤 동의서를 작성하는 데 있어 거부감이 없다. 실제 많은 회의들에서 나오는 사안들이, 그 회의 한 번에 다 결정되지 않는다는 걸 우리는 잘 알고 있다. 회의 후에도 여러 이메일과 문서들이 오가며 일이 진행된다. 그 기록들이 근거 자료로 남고, 나중에 있을 회의에도 사용된다. 그런데 이런 기록을 잘 남기지 않고 구두로만 자꾸만 약속을 하려 한다? 분명히 뭔가 수상하다.

3) 행동이 없다 : 분야를 막론하고 회의에 참석하는 것 자체가 이상한 건 아니다. 그러나 회의는 회의일 뿐, 거의 모든 사람들이 근무 시간의 대부분을 실제 업무와 생산에 활용하는 것이 사실이다. 그런데 연락을 할 때마다 회의가 있고, 그래서 가시적인 성과를 좀처럼 내지 못하는 사람이라면 문제가 있다.

4) 빈번한 강의 : 우리는 이따금씩 ‘큰 그림을 볼 줄 알아야 한다’는 말을 듣고 고개를 끄덕이며 그 동안 미세한 것들에만 신경 썼던 우리의 아둔함을 깨우치곤 한다. 큰 그림을 보고, 그 맥락 안에서 작은 일들을 실천하는 건 당연히 좋은 일이고 맞는 말이다. 하지만 큰 그림만 보고 매일 해야 할 작고 사소한 것들을 하지 않는다면 그 사람이 외치는 ‘큰 그림’의 실체는 의심해 보아야 한다. 당신이 지금 하는 일을 왜 하는가, 어떻게 해야 하는가, 어떤 의미를 가지고 삶을 살아야 하나, 따위의 소리를 만날 때마다 하는 사람, 하지만 세부적인 디테일에 있어서는 한없이 약해지는 사람이 있다면 조심하라.

5) 고상하고 높은 차원의 계획 : 어떤 조직이나 비전을 가지고 있다. 보안 업계도 마찬가지다. 심지어 분기별, 반기별, 연간 목표를 세워두고 차근차근 좇아가야 직성이 풀리는 업체도 있다. 목표를 세우고 좇는 일이 잘못 된 건 아니다. 하지만 이 목표라는 게 매번 너무 거창하고 모호하며 아무런 맥락 없이 발표되는 경우가 있다. 자기는 목표 실적 액수만 찍어놓고, 실천 계획은 전부 실무자에게만 맡기는 무능력한 윗사람들을 우리는 사회 생활 속에서 얼마나 많이 만나는가? 보안 사기꾼들 중에 이런 유형이 많다. 거대하고 아름다운 그림은 온갖 감언이설로 그려내지만 세부적으로 들어가면 말이 막히는 사람들에 유의하라.

6) 이름에 집착한다 : 보안 업계는 한 편으로는 매우 좁은 곳이기도 하다. 그래서 이 사람 저 사람이 한두 다리만 건너면 아는 사이가 된다. 게다가 컨퍼런스도 많고, 이직자도 많아서 사람 만나기가 어렵지 않다. 그래서 이름이 좀 알려진 회사나 인물과 잘 알고 지내는 것처럼 스스로를 포장하는 사람들도 많다. 아, 그 사람 전에 같이 일한 적이 있는데... 아, 그 회사에서 제가 근무했었는데... 하지만 진짜 실력자는 자신의 작업 결과물을 가지고 자신을 증명하려 하지, 아는 사람이나 회사 이름에 의존하지 않는다. 유명한 고유명사를 입에 달고 다니는 사람도 조심해야 할 유형이다.

7) 지나치게 화려한 이력서나 프로파일 : 이력서나 링크드인 프로파일, 명함만 보면 빌 게이츠 저리가라 할 정도로 대단한 사람들이 있다. 물론 마음먹고 사기를 치려는 게 아니라면 거짓 이력을 끼워 넣지는 않았을 것이다. 하지만 그것들이 다 진실이라고 해도, 개인적인 경험 상 과도하게 빽빽한 이력서나 명함, 링크드인 프로파일을 운영하는 사람은 진짜보다는 가짜에 가까울 때가 많았다. 아마 자기 분야에서의 전문성보다는 이력서 한 줄 추가해 보여주는 게 그 사람의 진짜 관심사여서 그런 것일 수도 있다.

8) 놀라운 행운 : 누구나 살면서 감사한 행운이나 절망적인 불운을 겪는다. 그러나 그것이 ‘운’이라고 알려진 데에는 이유가 있다. 자주 일어나지 않기 때문이다. 게다가 한 분야에서 손꼽히는 커다란 프로젝트에 참여할 기회는 소수의 몇 사람에게만 허락되는 행운이다. 누군가 스스로를 소개하면서 참가한 유명 프로젝트를 꼽는데, 그 수가 너무 많다면 의심해야 한다. 거짓말을 하고 있거나, 사돈의 팔촌이 가족 모임에서 조언을 잠깐 구한 것 정도만으로도 ‘나는 참여했다’고 생각하는 과대망상증 환자니까.

9) 사연이 너무 많다 : 누구나 피치 못할 사정이 있고, 누구나 독특한 경험이 한두 개 있다. 그런데 언제 어디서건 대화 중 나오는 모든 주제를 다 경험해본 듯한 사람들이 있다. 이 들은 화제가 변할 때마다 자신의 풍부한 경험을 이야기 하는데, 듣다 보면 그 경험의 스펙트럼이 너무 넓어 한 200년은 족히 살아본 사람 같다. 하지만 대부분은 어디선가 들은 이야기를 자기가 경험한 것처럼 이야기 하는 사람들이다. 즉, 과도히 부풀리는 데 능력이 출중한 사람일 가능성이 높다. 보안 전문가는 아닐 것이다.

10) 입이 가벼운 사람 : 도교에는 이런 격언이 있다고 한다. “아는 사람은 말하지 않으며, 말하는 사람은 알지 못한다.” 정확한 말이라고 생각한다. 입이 가벼운 사람은(이런 사람은 몇 마디 대화를 나누다 보면 금세 정체를 드러낸다) 아무리 보안 전문 지식이 뛰어나도 관계를 맺지 않는 것이 좋다. 성향 자체가 보안 리스크이기 때문이다.

글 : 조슈아 골드팝(Joshua Goldfarb), 보안 컨설턴트
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

이전 스크랩하기

과월호 eBook List 정기구독 신청하기

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기