'Integrity'에 해당되는 글 1

  1. 2008.12.14 The integrity of Security Consulting Results(Documents) (1)
프로젝트를 수행한 후 제공되는 산출물에 대해서 생각해봤으면 하는 것이 있다. 

일반적으로 제공되는 것은 종이로 출력하여 책 형태로 제공되는 것과 파일 형태로 CD에 담아서 제공하게 된다. 그런데 여기서 말하고 싶은 것은 파일 형태 즉 문서의 포맷이다. 공공기관은 HWP, 일반 기업은 DOC 포맷을 제공하고 있는 것이 일반적이다. 

그런데 이런 생각을 해본 적이 있는가?

“왜 수정이 가능한 문서 포맷으로 전달을 해야 하는 것일까?”

과거 수정이 불가능한 형태의 문서 포맷이 존재하지 않거나 이러한 문서 포맷을 보는데 너무 불편함이 존재했던 시기엔 흔히 사용하는 워드 프로세서의 파일 포맷으로 제공하는 것이 당연하다고 생각한다. 그러나 요즘은 대부분의 컴퓨터에 인쇄본을 보기 위한 PDF Viewer가 일반화 되어 있으며, 공공기관 뿐만 아니라 일반 기업에서도 수정이 불가능한 형태로 PDF 문서를 외부에 많이 공개하고 있다. 그런데 보안을 주업으로 하고 이 는 보안 컨설팅 회사는 여전히 산출물의 문서 포맷을 DOC, HWP, PPT 등으로 제공하는 것일까?

이런 이슈를 제기한 적이 몇 번 있었지만 몇 가지 이유로 진지하게 고려되어 본 적은 없었던 것 같다. 

그 이유는 크게 두 가지 정도로 요약될 수 있다. 

첫 번째, 보안에 대해 생활화하고 있지 못하다.
보안을 직업으로 삼고 있으면서 정작 자신은 보안에 대해서 취약한 것이다. 보안 마인드는 단지 고객에게만 해당되는 것으로 아니면 주어진 진단 또는 컨설팅만을 보안이라 생각하기 때문일 것이라고 생각한다. 자신이 제공하는최종 산출물의 보안성을 한번도 생각해보지 않은 사람들도 있을 것이라고 생각한다.

두 번째, 고객이 해당 포맷을 요구하기 때문이다. 
문서 포맷에 대한 이슈를 제기했을 때 가장 많이 되돌아온 답이다. 고객이 요구를 하니 어쩔 수 없다. 그게 현실이다. 고객이 수정 가능한  DOC, HWP, PPT 등의 포맷을 요구하는 것은 우선 자신에게 친숙하기 때문이다. PDF Viewer가 많이 보급된 것은 사실이지만, 왠지 낯설은 것이다. 또 다른 한편으로는 수정이 불가능하다는 것에 조금은 심적 불편함이 있다고 생각한다. 마지막으로는 다른 목적으로 사용하기 위해서이다. 자신이 만들어야 하는 문서에 그대로 Copy & Paste 하기 편하기 때문에 해당 포맷을 요구한다. 

두 번째의 경우는 고객을 위해서 일하는 입장에서 정말 답이 없다. 하지만 첫 번째 경우까지 고려하지 않는 경우는 자신의 책임을 고객에게 전가하는 것이라고 생각한다. 또한 두 번째의 경우엔  최근 수정 금지를 설정할 수 있으므로 Copy & Paste를 할 수 있도록 하되, 원본을 훼손 시키지 못하도록 수정 금지를 반드시 설정해야 한다. 

고객 측에도 한 가지 당부하고 싶은 것이 있다. 산출물이 수정이 불가능한 상태로 제공된다고 해서 이를 자신의 무엇인가 손해를 보고 있다고 생각하지 않아야 한다. 보안 문서의 무결성을 위해서 수정이 불가능한 형태로 제공되는 것은 바로 고객을 위해서라는 사실이다. 보안 컨설턴트는 고객사의 보안성 향상을 위해서 고용이 된 것이며, 시작과 끝 그리고 떠난 후에도 보안성을 지켜야 하는 것은 고객사에게 당연한 일이기 때문이다. 진정 보안을 생각하는 컨설턴트는 문서의 무결성까지 책임질 것이다. 

“원칙은 PDF와 같은 수정 불가능한 문서 포맷으로 제공되어야 하며, 고객에 요청이 요청하는 경우에 한해서만 요청한 포맷으로 제공이 되어야 한다. 이때도 고객이 임의적으로 문서의 내용을 수정하지 못하도록 쓰기 금지를 설정되어야 할 것이다.”

혼자서 진행한 프로젝트의 경우 수정 불가능한 형태로 제공한 적이 몇번 있기는 하지만, 공동 작업의 경우 다른 문서 포맷과의 통일성을 이유로 그냥 제공된 적이 많다. 모든 사람들의 마인드가 바뀌었을 때 보안 문서의 무결성이 지켜지지 않을까 한다.
신고
이전 1 다음

티스토리 툴바