제 3자 평가가 할 수 있는 것과 없는 것


다음의 논문을 읽다가 문득 든 생각이다.

Security Process Capability Model Based on ISO/IEC 15504 Conformant Enterprise SPICE

SPICE기반으로 보안 프로세스 역량 성숙모델을 개발한 논문이다.

다음과 같이 프로세스를 만들었다. 훌륭하다.

PRIM.RISK.1. Security Vulnerabilities

Purpose Outcomes
To identify, analyze and report information security vulnerabilities of an artifact to be protected 1) Information security vulnerability analysis strategy is developed and maintained;
2) Vulnerabilities are identified;
3) Vulnerabilities are analyzed;
4) Dependent vulnerabilities are derived;
5) Information security vulnerabilities are reported.
Base Practices
PRIM.RISK.1.BP.1: Develop and maintain information security vulnerability analysis strategy. [Outcome: 1]

PRIM.RISK.1.BP.2: Identify vulnerabilities. [Outcome: 2]

PRIM.RISK.1.BP.3: Analyze vulnerabilities. [Outcome: 3]

PRIM.RISK.1.BP.4: Derive vulnerabilities. [Outcome: 4]

PRIM.RISK.1.BP.5: Report information security vulnerabilities of an artifact. [Outcome: 5]

 

문제는 저렇게 한건 좋은데, 그래서 security를 달성했다는 것을 검증하는 입장에서는 어떻게 확인할 수 있을까? 저렇게 하라는 대로만 하면 되는건가?

 

사람은 누구나 옷을 입는다. 정상적이지 않은 일부의 사람들이 공원에서 홀랑 벗고 돌아다니다가 경찰에 붙잡히기도 하지만..

옷을 잘 입기 위한 프로세스를 만든다고 치자.. 목적은 멋쟁이가 되기 위한 것일 것이다. 그래도 그런 절차가 목적을 달성해주지는 못할 것이다. 그렇게 해도 패션 테러리스트들에게 있어서 달라지는 것은 없을 것이라 본다.

위의 논문에서도 만든건 좋고 훌륭하다. 그 자체에 대해 뭐라고 하고 싶은건 아니다. 다만 그 행위가 과연 충분히 달성되었는지를 어떻게 입증할 것인지에 대해서는 답을 줄 수가 없다.

제 3자 평가라고 하는 것이 그것이 safety가 되었건 security가 되었건 제 3자가 product에 대한 기본적인 지식이 별로 없는 사람들이 safety/security의 충분성을 평가하기가 쉬울까?

제 3자 평가자라고 하더라도 사람마다 평가 기준이 각기 다를 것이고, 그것을 specification하는 것은 굉장히 어려울 것이다. 그리고 그렇게 하는 순간, 그것을 비웃으면서 우회할 수 있는 수많은 방법들이 생겨나게 될 것이다.

여러모로 굉장히 어려운 일이다. 이런점에서 제3자가 security나 safety에 대해 평가한다는 것은 일정정도 한계를 가질 수 밖에 없고, 그들이 아무리 평가를 한다고 해도 완전하게 할 수는 없다.

하지만 관리적인 차원의 활동은 좀 얘기가 달라질 수 있다. management측면의 프로세스 활동에 대해서는 엄격한 기준과 잣대를 표준화시킬 수 있다.

 

패션 테러리스트들에게 패션 리더가 되기 위해서는 무엇이 필요할까? 프로세스가 필요하다고 생각하는가? 우스운 일일 것이다. 감각을 갖춘 best practice를 보면 될까? 조금은 나아질 것이다. 그렇다고 없던 감각이 생겨나진 않지 않을까? 여전히 어설프고 이상한 복장이 되지 않을까?

패션리더가 되었다는 것을 평가를 제 3자 평가자가 한다고 하면, 그런 sense에 대해 객관적이고 표준화시킬 수 있는 지표라는 것이 존재할 수 있을까? 제 3자 평가라는 것이 가능하기나 한건가? AI가 바둑도 정복하고 스타크래프트도 정복하려고 하는 마당에 언젠가는 정량화 시킬 수는 있을거라고 생각하는데, 현재로서의 ‘나’는 아직 답을 모르겠다.

safety나 security도 이와 유사하지 않을까 하는것이 개인적 생각이다. 최신 자료 계속 리서치하고, best practice를 계속 따라하는 수 밖에 없다. 그것이 패션 테러리스트들의 슬픈 숙명이다.

Advertisements

답글 남기기

아래 항목을 채우거나 오른쪽 아이콘 중 하나를 클릭하여 로그 인 하세요:

WordPress.com 로고

WordPress.com의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Twitter 사진

Twitter의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Facebook 사진

Facebook의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Google+ photo

Google+의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

%s에 연결하는 중