[직업과 경제의 만남] <7> 컴퓨터 보안 전문가를 필요하게 하는 '내부화'

입력 2013-10-18 16:53

경제학은 우리가 일상에서 전개하는 다양한 경제 활동의 원리를 규명하는 학문이다. 하지만 경제학은 단순히 경제 활동의 원리만을 규명하는 데 국한된 학문이 아니라, 어떻게 하면 경제활동의 결과를 더욱 개선시킬 수 있는지에 대한 대안을 제시하는 학문이기도 하다. 이러한 대안 중 하나로 ‘내부화’라는 개념이 있다. 내부화란 대표적인 시장실패의 원인 중 하나인 외부효과를 해결하는 방법이다.

외부효과는 특정 경제행위로 인해 해당 경제행위에 참여하지 않은 제3자에게 의도하지 않은 혜택(긍정적 외부효과)이나 손해(부정적 외부효과)를 발생시키는 것을 말한다. 이러한 외부효과를 해결하는 방법은 크게 두 가지로 나눌 수 있다.

하나는 정부 정책 등을 통해 인위적으로 제약하는 방법이다. 대표적으로 외부효과를 유발하는 경제행위에 대해 보조금(조세)을 부과해 해당 행위를 인위적으로 권장(억제)하는 방식이 여기에 해당할 것이다. 정부가 해당 경제 행위를 직접 통제하는 것도 가능하다. 예를 들어 환경오염의 경우 오염물질 배출권을 발행해 이를 보유한 경제 주체만이 오염물질을 배출할 수 있도록 하는 제도 등이 여기에 해당할 것이다. 다른 방법은 시장 기능을 활용한 방식이다. 이것이 바로 내부화인데, 내부화는 정부의 인위적인 개입을 최대한 줄이고, 외부효과를 유발하는 경제 행위에 시장 기능을 부여해 문제를 해결하려는 방식이다.

시장통해 자발적 문제해결

외부효과를 해결하는 이상의 두 가지 방법론을 비교해 보자. 예를 들어 특정 두 기업이 자사의 이익을 위해 영업활동을 수행하는 과정에서 의도하지 않게 다른 기업에 피해를 주고 있다고 가정해 보자. 두 회사 모두 타사에 불이익을 주기 위해 영업활동을 수행하는 것이 아니라 자사의 이익 추구과정에서 의도치 않게 타사에 불이익을 주고 있기 때문에 외부효과을 유발하고 있다. 더 정확히 말해 외부불경제가 유발되고 있다고 볼 수 있다.

이런 상황을 정부의 인위적인 통제 내지 정책을 통해 해결하는 방법으로는 타사에 불이익을 미치고 있는 두 회사에 세금을 부과하거나 아니면 두 회사 모두의 영업 활동을 일정 수준 이하로 인위적으로 억제하는 방식을 들 수 있다. 하지만 현실적으로 쉽지 않은 일이다. 상대방에게 얼마의 피해를 입히고 있는지 정확히 추정하기가 어렵워 적정 세금 수준을 설정하기 어렵다. 당연히 인위적으로 통제할 적정한 경영 활동의 수준 또한 결정하기 쉽지 않다. 더욱이 우리가 일상생활 속 대부분의 경우, 한 쪽이 다른 한 쪽에 일방적으로 피해를 입히고 있는 것이 아니라 상호간에 서로 이익이나 불이익을 주는 경우가 많기 때문에, 이를 정확히 측정하기란 결코 쉬운 일이 아니다. 외부효과를 정부의 인위적인 개입 내지 통제를 통해 해결하기 어려운 이유다.

하지만 내부화를 통한 해결책은 다르다. 만일 서로간의 피해를 유발하는 두 기업이 M&A를 통해 하나의 기업으로 합병할 경우, 상황은 전혀 달라진다. 과거에는 각각의 기업이 자사의 이익만을 고려해 경영활동을 수행하였다. 하지만 이제는 두 기업이 합병해 하나의 기업이 되었기 때문에 두 기업의 이익 모두를 고려해 경영 활동을 수행해야 한다. 따라서 과거 한 쪽 측면만을 고려해 경영활동을 수행하며 유발되었던 외부효과를 막을 수 있다. 이와 같이 M&A를 통해 타사의 이익마저 고려해야 할 유인구조를 구축, 시장기능을 통해 자발적으로 해결하는 방식이 내부화라 할 수 있다. 이러한 내부화를 통한 해결책은 정부가 인위적으로 적정 수준의 통제 수위를 결정할 필요가 없기 때문에, 가장 효율적으로 외부효과를 해결하는 방법이라 할 수 있을 것이다.

화이트 해커 vs 블랙해커

사실 최근 컴퓨터 보안 업계에서 컴퓨터 보안 시스템에 심각한 문제를 야기시킬 수 있는 해커들을 고용해 이런 문제를 해결하려는 방식도 내부화의 일종이라 볼 수 있다. 한국은 IT 강국을 자부하고 있지만, 보안 부분에서는 취악한 나라다. 한국은 악성코드 감염률에서 전 세계 1위, 유포율에서 전 세계 3위를 차지하고 있다. 이러한 수치는 굳이 최근 전개된 디도스 공격, 2013년 방송사, 금융사 전산망 마비 등의 사례를 언급하지 않더라도 우리의 컴퓨터 보안 시스템이 얼마나 취악한지를 확인시켜 준다.

해커하면 흔히 부정적인 의미로만 떠올리기 쉬운데 사실 해커는 두 종류가 있다. 해커는 화이트해커와 블랙해커(크래커라고도 함)로 구분할 수 있다. 우리가 흔히 해커하면 떠올리는 것은 블랙해커에 해당한다. 반면 화이트해커는 주로 보안 취약점과 해킹방어 전략 등을 연구하기 위해 모의해킹을 시도하여 실제 해커들의 공격 상황을 가상으로 연출하며 이 과정에서 보다 개선된 보안 시스템을 구축해 주는 전문가를 말한다. 현재 국내에서 활동 중인 화이트해커는 민관을 포함하여 200~300여 명 정도라고 한다.

실제로 해커들 중에서는 개인의 이익을 위해 악의적으로 특정 기관의 시스템에 침투하는 해커들이 많은 것이 사실이다. 하지만 어떤 해커들은 지적 호기심 내지 개인적 관심사를 위해 특정 사이트가 얼마나 보안 시스템이 잘 구축하였는지 확인하기 위해 해킹을 시도하기도 한다. 이들의 해킹은 자신들의 지적 호기심 등을 충족시키기 위한 행위지만 이로 인해 다른 사람들에게 의도하지 않게 커다란 불이익을 가져다 줄 수 있다. 즉, 외부효과를 유발할 수 있는 것이다.

많은 컴퓨터 보안업체들이 이러한 해커들을 고용하는 이유는 내부화를 통한 해결책으로 볼 수 있다. 해커들이 자신들의 지적 호기심 등을 충족시키기 위해 해킹하는 것에 시장 기능을 부여한 것이다. 즉, 그들의 해킹에 대한 목적과 방향성을 시장 기능을 활용해 긍정적인 형태로 수정한 것이다. 이미 선진국에서는 실제로 일류 해커를 채용해 해킹을 막는 새로운 전략을 사용해 왔다. 마이크로소프트의 경우 최근 자사 게임기 X박스를 해킹한 14세 소년을 채용하여 시스템을 보안한 바 있으며, 페이스북 또한 ‘천재 해커’로 유명한 조지 호츠를 영입하여 세간에 화제가 된 바 있다. 호츠는 17세 때 아이폰 운영프로그램(iOS)을 해킹해 사용자가 통신사를 옮기지 못하도록 막아놓은 차단을 푼 일로 유명세를 탔으며, 2008년에는 흔히 탈옥이라고 부르는 돈을 지불하지 않고 앱을 다운받을 수 있는 방법을 처음 고안해 낸 인물로 유명세를 탔던 해커다. 인도의 경우는 정부차원에서 화이트해커들을 다수 고용하여 ‘보안총괄기구’라는 보안 관련 정부 기구를 설립한 바 있다.

정보 보안 중요성 대두

최근 우리 정부에서도 정보통신 부문 연 매출액 100억원 이상 또는 일일 평균 이용자 수가 100만명 이상인 사업자는 정보보호 관리체계 인증을 의무화하는 등 컴퓨터 보안 분야에 대한 관심도가 그 어느 때보다 높아지고 있다. 이러한 추세는 앞으로도 지속될 것으로 보인다. 이처럼 컴퓨터 보안 전문가에 대한 사회적 수요가 증가된다고 해서 컴퓨터 보안 전문가가 되기 위해 해킹을 할 필요는 없다. 해서도 안 된다. 현재 국내에서는 컴퓨터 보안 전문가를 양성하기 위한 다양한 프로그램이 개설되어 있기 때문에 이를 활용하는 것이 가장 효과적인 방법이 아닌가 생각된다.

박정호 KDI 전문연구원 aijen@kdi.re.kr


용어 풀이

▨ 컴퓨터 보안 전문가= 컴퓨터 보안 전문가로 활동하기 위해서는 사실 별도의 연령 제한이나 자격 제한이 있는 것은 아니다. 가장 중요한 것은 해당 분야의 경력으로 정보보호 대응·관리 체계 구축 또는 제안, 정보보호 취약점 분석 등의 실무 경력이 중요하다. 관련 자격증으로는 CISSP, SIS 1급 등이 있다.

▨ 내부화= 외부효과를 해결하는 방법으로 외부효과를 유발하는 경제 행위에 유인구조를 구축해 이를 통해 시장 기능이 작동하도록 유도하여 해결하는 방식을 말한다.