20 Oct 05 보안 문제에 대한 프로그래머의 책임
SecureLondon 2005 컨퍼런스에서 Howard Schmidt는 소프트웨어의 보안 문제에 대해 프로그래머가 개인적으로 책임을 져야 한다고 주장했다고 한다. 물론 이런 제도가 현실화될 가능성은 없어보이고, 개인이 아닌 회사가 책임을 져야 한다는 좀 더 현실적인 대안을 주장하는 이도 있지만, 만약 정말로 이런 제도가 시행된다면?
– 프로그래머들은 지금의 의사와 좀 더 비슷해질 것이다. 더 많은 교육과 훈련을 거친 후에야 스스로 코드를 commit할 수 있는 자격이 생기게 되고 그래도 어쩌다 발생할 수 밖에 없는 보안 사고에 대비, 개인적으로 보험을 들고 소득의 일부를 보험회사에 내야 할 것이다.
- 보험회사는 어쩌면 정기적으로 혹은 항상 가입자가 작성하는 코드에 대해 코드 리뷰를 실시할 것이다.
- 저수준 언어가 반드시 필요한 경우가 아니면 프로그래밍 언어는 Java나 C#, 또는 이보다 더 보안성이 높은 언어를 사용하게 될 것이다.
- 소프트웨어의 가격은 지금보다 한참 더 비싸지고, 개발 기간도 여러 배 늘어난다. IT 산업의 발전은 지금보다 더뎌지고 타 산업으로의 파급효과도 고비용으로 인해 지금보다 작아진다.
긍정적인 면을 생각해보면,
- 보안 문제에 대한 대응이 보안과 관련 없는 버그 발생률도 많이 낮추게 되어, 전반적으로 소프트웨어의 품질이 비약적으로 향상될 것이다.
- 프로그래머의 월급이 비약적으로 향상된다. 의사나 변호사 같이 전문성있는 직업이 될 것이다.
- IT 기술의 진보가 느려지고 속도보다 품질이 강조되면서 프로그래머들의 정년이 연장된다.
IT에 들어가는 코스트가 많이 늘어나겠지만 대신 보안이나 버그로 인한 간접 코스트가 줄어들 것이므로 산업 전체로는 어쩌면 그렇게까지 코스트가 많이 늘어나지 않을 수도 있다. 저런 주장에 대해 프로그래머들이 대부분 불쾌하게 생각했겠지만 잘 생각해보면 결과적으로 프로그래머들의 경제적/사회적 지위가 획기적으로 향상될지도 모르겠다.
Reader's Comments
Leave a Comment
100% 동감입니다
글쎄요. 이건 꼭 GM이 자사 제품에 문제가 생기면 자기들이 리콜부담을 하는게 아니라 그 파트를 제작한 회사한테 책임을 떠넘기는거와 대동소이 하다는 느낌이 드는군요. 책임은 최종 판매자나 developing firm/corps.이져야지 individual developer한테 전가하는건 책임회피/책임전가 라는 느낌이 드는군요.
Prometheus님, 물론 말씀하신 것이 맞고 그 때문에 그런 제도가 시행될리는 없어보입니다. 하지만 제가 얘기하고자 했던 것은 만약에라도 시행된다면 개발자들에게 꼭 나쁜 것만이 아닐 수도 있다는 얘기였습니다.
안녕하세요
만약에 프로그래머가 쓴 코드가 회사의 핵심기술에 관련되 있거나 보안상 외부유출이 되서는 안되는거라면 보험회사가 정기적으로 코드리뷰를 하는건 불가능할것 같은데요.
대신에 프로그래머가 한번씩 보안사고(?)가 날때마다 보험금이 올라가는건 웬지 가능성 있어 보이네요.
GardiZ님, 보험회사는 아니지만 지금도 회계나 법률, 특허 관련해서 외부회사가 회사기밀을 다루는 경우는 꽤 많기 때문에 소스코드라고 해도 마찬가지가 아닐까 합니다. 특히 다른 사람이 일일이 리뷰를 한다고 하면 코드를 작성하는 측에서도 아무래도 더 신경을 쓸 것이기 때문에 보안 뿐만 아니라 코드의 전반적인 질이 향상되는 효과도 있을 수 있을 겁니다. 물론 작성하는 속도는 좀 느려지겠지만.
최근 소니의 rootkit 사태를 보면 소프트웨어 사고와 관련된 보험이나 제3자의 감사, 리뷰도 앞으로 활성화될 수 있지 않을까 싶습니다.