Category: Uncategorized

SRE 를 보고 느끼는 점들..

SRE(Site Reliability Engineering) 이라고 부르는게 요새 자주 들린다. 모든 내용을 다 아는건 아니지만, 이것저것 살펴보고 난 후 웃음이 났다. 그동안 내가 바라보는 관점이 그대로 같았기 때문이다. 나는 오래전부터 인프라 시스템, 좁게는 리눅스를 개발자 관점에서 다룰 수 있어야 한다고 생각해왔다.

나는 오랫동안 인프라 분야에 몸 담았다. 이렇게 말을 하면 대부분 서버, WAS 등을 다루는 것으로 생각할지 모른다. 실제로 내가 지원하는 분야는 TA 인데, 각 프로젝트마다 다르지만 그래도 TA 하면 인프라적인 요소를 많이 생각한다.

하지만 나는 적어도 인프라를 그야말로 전통적인 운영(Traditional Organizations) 을 지향하지 않았다. 대학교때에는 리눅스(Linux) 에 미쳐살았지만 그것을 벗어나 PHP 웹 개발하면서 취업도 개발자로 했다. 그러던 것이 인프라 팀으로 적을 옮겼는데, 정확하게는 인프라 개발팀이였다. Python 을 그때 배웠다. 그리고 인프라 백엔드 개발과 서버운영을 같이하는 일을 하게되면서 자연스럽게 OSS 와 인프라 개발을 위한 각가지 프로그래밍을 익혔다.

SRE 을 한국에 적용한다면 “인프라 개발팀” 이 가장 현실적이다. SRE 의 정의는 대략 다음과 같다.

https://newrelic.com/sites/default/files/2021-08/site-reliability-engineering-handbook.pdf
Google defines an SRE as an operationally minded software engineer, but what does that mean? At Google, SRE teams are responsible for both capacity planning and provisioning. The teams are different from purely operational teams in that they seek software engineering solutions to problems.

소프트웨어 엔지니어 마인드로 운영을 다룬다는 것인데, 오래전부터 개발자 관점에서 인프라 시스템을 바라보고 다루어야 한다고 생각했었다.

문제는 현실이 그렇지 않다는 것이다. 더군다나 프리랜서 직업에서 프로젝트에 투입되보면 대부분 OS, WAS, 최근에는 Cloud 까지 구축과 운영을 하는 경우가 많았다. 이런 경우에 소프트웨어 엔지니어, 더나가 개발자적 시각으로 일을 할만큼 여건이 되지 않았다. 그리고 그런걸 원하지도 않았다. 전통적인 운영과 구축이였다.

한국의 상황이 안타까움이 있다. TA 직군에서 계약을하고 프로젝트를 하게되면 기술적인 부분에 있어서 그런대로 최근의 트랜드를 따라가긴 한다. 자동화, IaC, 데이터 분석등이 그런 것이다. 문제는 기술적인 부분만 강조할 뿐, 이것을 기반으로 SRE 까지는 가지 못한다는데 있다.

TA 들도 문제다. TA 들은 전통적인 구축, 운영에 적어 있다. 이들에게 Python 정도는 할 줄 알아야 하지 않느냐는 질문에 “그걸 왜 우리가 알아야 하냐?” 식의 답변이 대부분이다. OS 를 명령어를 통해서 세팅하고, WAS 서버를 세팅하고 로그 분석하고 JVM 설정과 덤프 분석등이 그들이 하는 일이라고 생각한다. 그러다보니 Python 은 고사하고 Cloud 에서 많이 쓰이는 Terraform 과 같은 툴을 익히는데 게을리 한다. 어떤 문제가 발생하면 서버에 직접 접속해서 봐야 속이 시원하고 JVM 덤프를 떠서 분석을 해야지만 뭔가 일을 제대로 하는 것마냥 생각한다.

이제 TA 도 소프트웨어 엔지니어를 넘어서 개발자가 되어야 한다. 진정으로 개발을 하는 건 아니지만 적어도 자신이 자신있게 하나 정도의 언어는 능숙하게 다룰 수 있어야 한다.

구글의 SRE 는 팀의 Role 이다. 정확하게는 운영에 대한 Role. 그래서 작금의 TA 직업군에게 적용되어지는 대상이다.

https://newrelic.com/sites/default/files/2021-08/site-reliability-engineering-handbook.pdf
To enforce this, Google caps the amount of time SREs spend on purely operational work at 50%. This means that, at a minimum, 50% of a Google SRE’s time should be allocated to engineering tasks, such as automation and improvements to the service.

문제는 편견과 돈…

지금까지 TA 경력으로 일해오면서 한 마디 했다가 바보 된 경우가 있었다.

100% 장애 안나는 시스템은 없습니다. 대충 해봐도 90%정도 가동률을 보이면 진짜 잘한 겁니다. 장애 안나게 어떻게 시스템을 만듭니까?

특히나 금융 프로젝트에 투입된 상황에서 저런말을 하면 십중팔구 고객으로부터 짐 쌓라는 말을 들을 수 있다. 공공 프로젝트는 더 하지 않나? 100% 장애 안나는 시스템을 구축해야 하는거지, 금융 시스템 운영하다가 장애 날껄 생각하면서 구축하냐?

하지만 SRE 는 100% 장애를 커버하지 않는다. 이것도 나의 생각과 동일 했었는데, 장애 발생하더라도 서비스에 영향이 없다면 어떨까? 장애라는 것이 특정 서버가 다운되거나 네트워크 장비가 이상이 생길 수 있다. 이런 상황에서도 고객 서비스에 아무런 영향을 주지 못했다면 그 시스템은 신뢰성이 높다고 할 수 있지 않을까? 신뢰성(Reliability) 라는 말이 가지는 함의가 이와 같다고 생각한다.

돈.. 기업은 항상 돈을 먼저 생각한다. 기업이 힘들면 IT 부서가 먼저 짤린다는 슬픈 이야기는 더 이상 슬픈 이야기도 아니다. 100% 장애가 나지 않도록 해야지만 고객에 대한 보상도 없을 것이니 장애 발생이 가능할 수도 있다는 말을 꺼내는 순간 돈이 나갈 수 있다는 생각을 먼저 하게 된다. 장애가 나면 그것을 분석하고 장애를 예방하기 위한 일련의 활동이 필요한데, 그렇게 되면 전문가가 항시 있어야 한다. 언제 생길지도 모르는 장애 때문에 전문가를 고용한다는 건 기업에서는 있을 수 없는 일이다.

구축 프로젝트가 끝나면 대부분의 인력이 철수를 한다. 운영으로 넘어가게 되면 안타갑게도 인프라 관련 전문 인력은 뽑지도 않는다. 인프라 담당자를 뽑아 놨다고 하지만 그냥 용어만 잘 알고 있을뿐 실무적인 익숙함도 없는 사람들인 경우가 많다. 어짜피 구축된 시스템은 100% 장애가 발생하지 않도록 구축되었다는 신념이 있기 때문에 운영은 그냥 모니터링 요원정도로만 생각하는 것이다.

거머리 같은 한국의 IT 프리 개발자들….

요즘에 자주 들리는 뉴스, 아니 어찌보면 몇해전부터 듣고 왔던 이야기들… 유리지갑 직장인들, 장시간 노동에 업계에 몇년을 있어도 실소득이 오르지 않는 기이한 현상. 이러다보니 너도나도 주머니에 들어도는 돈을 중요시하는 시점에서 살게된다.

이왕이면 연봉이나 복지에 안정적인 직장인 보다는, 아니 ‘안정적인 직장’ 이라는 개념이 없어진지 오래고 복지라는 것도 기껏해야 돈 몇푼 더 지원해주는 정도이다 보니 너도나도 이제는 실질적인 손에 쥐는 돈에 눈이 돌아갈 수밖에 없는 세상.

그런데, 문제는 그렇게 실질적인 손에 쥐는 돈을 얻기 위해서 지켜야하는 것들은 안중에도 없고 좋은 것만 가지고 갈려고하는 인간들이 넘쳐나는데 문제가 있다. 이러한 기이한 현상에는 돈에 미친 정신병력 보다는 ‘남보다 우월적 지위’를 획득하거나 그것을 남에게 증명함으로써 과거 조선시대의 양반/상놈 계급화를 해야지만 자신의 존재감을 드러낼수 있다는 또 다른 정신병력 증상들…

그것을 앞세우는 이들이 바로 한국의 IT 개발자들이다.

IT 프리 개발자 등급 = 몇년 됐냐..

한국의 IT 프리 개발자들이 가지는 관심은 오직 하나다.

한국 IT 프리 개발자들의 병폐중에 하나가 바로 ‘등급’ 이다. 등급의 기준은 프리랜서로서 얼마만큼의 시간을 보냈냐하는 것이다. 이것을 IT 프리 개발자들은 ‘경력’ 이라고 떠들지만 경력이라는 건 그만큼의 능력이 뒷받침되어야 한다는 것을 전재로 함으로 IT 프리 개발자들이 말하는 등급과는 거리가 있다.

초급/중급/고급/특급… 이건 곧 IT 프리 개발자로서 몇년차 정도의 의미일 뿐이다. 문제는 이렇게 몇년정도 됐는에 따라서 돈의 지급량을 결정하는 산업은 그 어디에도 없다.

한국 사회는 경쟁사회다. 거기다 자본주의와 결합해 ‘능력 경쟁 사회’ 다. 능력이 좋으면 더 많은 부를 얻는 것이 당연한 공식이다. 한 분야에서 몇년 일을 하였다고 해서 그것 곧 능력을 보장하지 않는다. 이력서가 아무리 화려하다고 해도 회사에 입사하기 위해서는 면접을 봐야 한다. 기술적인 시험을 본다거나 아니면 대면 상담면접을 한다거나 뭐가 어떻게 되었든 간에 그 사람이 과연 그만한 경력을 가지고 있는지를 테스트 받는다.

하지만 한국의 IT 프리 프리랜서는 그걸 하지 않는다. 초급 500, 중급 700, 고급 900, 특급 1200. 10년이상했으니 고급 정도는 될듯하고 그러니 나는 900은 받아야 한다는 사고 방식. 그 어떤 산업분야에도 없는 이런 해괴하기 짝없는 돈 계산법…

프리 개발자 = 노동자??

그 어떤 산업에도 없는 해괴한 기준의 돈 계산 방법. 그러다보니 너도나도 뭐가 뭔지 모르는 사람들이 업계에 유입되고, 그렇게 몇년 있다보니 ‘나도 개발자’라고 하지만 정작 본질은 ‘코더’ 를 못 벗어나는 인간들이 허다 한 현실. 더 웃긴건 ‘코더’ 라고 부르면 득달같이 ‘어디 개발자에게 코더라고 하냐’ 하면서 눈에 불을 키는데, 정작 세상 돌아가는 건 몰라도 IT 기술 발전이 어떻게 되고 있는지, 더 좁게는 Java 가 어떻게 바뀌고 있는지 조차도 모르는채 ‘금융권 플젝 10년’ 만 외치면서 개발자다라고 우기는게 전부인데다 뭐가 됐던 ‘화면만 나오면 됐다’ 를 외치는 그들에게 ‘코더’ 라고 그 누구도 알려주지 않는 짬짜미까지…

이제 이들은 능력이고 뭐고는 둘째고 고급에 900을 외치면서, 이제는 법마져 내게 유리한대로 해석하고 그래서 불쌍하고 억울한 인간으로 둔갑하는데 주저함이 없는 저렬함마져 보여주기에 이른다.

프리랜서는 법적으로 ‘도급계약자’ 에 속한다. 더 넗게는 ‘용역계약’ 인데, 용역계약에는 노동계약과 도급계약으로 분류된다. 노동계약은 다 알고 있듯이 정규직이라고 보면 된다. 노동법에 적용를 받으며 4대보험을 납부해야한다. 대부분 연봉계약자, 직장인들이 여기에 속한다. 하지만 도급계약은 노동계약과는 달리 ‘민사합의계약’으로 분류된다. 프리랜서는 기본적으로 도급계약에 속한다. 따라서 노동자가 될 수가 없다.

노동자와 도급계약자, 즉 프리랜서와 가장 큰 차이는 세법에 있다. 세금관련해서 다르다. 노동자는 4대보험이 의무가입이다. 사용자가 절반을 내고 노동자가 절반을 내는 형식으로해서 세금을 낸다. 연봉계약에는 4대보험까지 포함되어 있기 때문에 월급명세서에는 4대보험 공제가 되어 실수령액이 결정된다. 하지만 프리랜서는 도급계약자, 세법상으로는 ‘개인사업자’ 속한다. 계약금액의 3.3%만 공제하고 지급 받는다. 별도의 세금을 내는 건 없다. (정확하게 몇년전에 법이 바뀌어서 고용보험, 산재보험을 납부해야하나 안할 수도 있다.)

프리랜서는 도급계약자이다. 세법 외에도 한가지 더 있다. 도급계약은 민사합의 계약이기 때문에 프리랜서가 만들어낸 결과물에 대해서 책임을져야 한다. 이것은 마치 인터넷을 통해서 물건을 구매했는데, 하자가 있어서 환불이 되어야 하는 것과 같다. 결과물이 문제가 있다고 한다면 이에 대한 책임, 민사적으로는 배상책임이 존재한다.

노동자가 받는 돈을 월급이라고 하지만 프리랜서는 ‘단가’ 라고 한다.

또 있다. 노동자는 종속관계 계약이라고 한다. 상급자의 지시에 따라야 한다. 하지만 프리랜서는 그런게 없다. 오히려 상급자가 지시를 하면 안된다. 이것을 한마디로 정의하면 ‘노무를 제공하지 아니 한다’ 로 규정된다. 프리랜서는 노무를 제공하지 않는다. 따라서 출퇴근, 근무장소등을 지정할 수가 없게 된다.

그런데….

돈은 단가로 받고 권리는 노동자… 배상책임도 안지고 9시~6시 칼퇴근 보장..

여기에 ‘거머리 같은’ 인간들의 이면이 나온다. 단지 몇년 일했다고 해서 800, 900 따지면서도 그 결과물에 대해서는 절대로 책임은 안지겠다, 더나가 근무시간을 설정해서 그 시간외에는 절대로 일을 안하겠다. 프리랜서들에게 근무시간이라는 개념도 없지만 그들이 말하는 것은 ‘나는 노동자다’ 라는 거다.

IT 프리 개발자들이다. 더군다나 오래된 프리 개발자들 일수록 이런 인식이 강하다. 얼마간 잇었으니까 단가는 이정도로 받아야하고 자신이 짠 프로그램 개발 소스에 대한 책임은 없고 대충 시간 때우다 퇴근하고…대부분의 SI 프로젝트가 이런 인간들로 다 채워져 있다고 생각하면 맞다. 적어도 대한민국에서는…

얼마나 거머리 같은 인간들인가… 대한민국이 세계에서 사기 범죄가 많다고 하는데, 사기 범죄의 기본이 일은 안하고 남을 등쳐먹는 것인데, 여기에는 내가 일은 안하고 돈은 내가 가지고 간다는 개념이 존재한다. IT 프리 개발자들도 이와 다르지 않다.

자… 잘 생각해보라… 경쟁을 하지 않아도 된다. java 문법을 약간 공부하고 스프링 프레임을 조금 할줄 알면 된다. DTO 구조를 죽어도 못 벗어나는 틀을 가지고 있으니 Controller, Service, Repository 등 나누고 데이터베이스에 쿼리하고 보여주면 된다. 그걸 대충 한 1 ~ 2년 정도면 뭐가 뭔지 대충 알게되고 그때부터는 대충 화면에 나오게만 짜면 그만이다.

코드의 성숙이나 하다못해 유닛 테스트 코드는 작성해서 프로덕트의 품질을 보증하는 일따위는 없어도 된다.

대충 일하면서 돈은 많이 받고 싶은가? 그러면 IT 프리 개발자가 되어라… 사회에 거머리로서 신나게 한 평생을 살 수 있다.

강남의 MSP 회사들이 IT를 망치고 있다

강남에 MSP 회사들이 많이 있다. Managed Service Provider 라고, 리셀러 개념이라고 하기에는 좀 애매하지만 그외 비슷한 회사들이라고 보면 된다.

아무래도 많은 회사들이 이 MSP 에 기술지원을 받기를 원한다. 왜냐하면 트렌드 자체가 그렇게 흘러가고 있고 이들에 대한 수요가 많다보니 MSP 에 대한 기대가 있는 것이다. 문제는 이러한 회사들이 썩 좋은 방법으로 사업을 영위하고 있지 않다는데 있다.

위험의 외주화.

우리 사회에서 지난 몇년간 나왔던 말들이 ‘위험의 외주화’ 이다. 원청이 위험성이 높은 일에 대해서 외주를 주어 그와 관련된 법망과 사회적, 도덕적 책임을 회피하는 수단으로서 계약을 하는 형태… 그래서 원청에 대한 처벌을 강화해야 한다는 것이 ‘중대재해보호법’ 의 요체다.

이 위험이라는 단어가 가지는 의미는 매우 다양하다. 제조업의 경우에, 특히나 뉴스에 보도되는 경우에는 대부분 제조업이 많이 나오는데 목숨일 잃는 경우이지만 IT 의 경우에는 그야말로 프로젝트의 위험요소를 말한다.

A 라는 회사가 Cloud 로 전환 작업을 위해서 MSP 에 프로젝트를 위임하게 된다. A 라는 회사는 당연히 전문적인 식견과 인력으로 전문스러운 뭔가를 기대할 게 당연한 것이다. 하지만 MSP 회사에서는 사람을 또 뽑는다.

니들의 PL 을 알아?

Project Leader. 많은 프로젝트를 경험하면서 느낀 거지만 PL 은 아무나 해서는 안된다. PM 의 경우에는 꼭 반드시 어떤 기술적인 능력을 기대하지는 않는다. 그냥 대충 IT 에 몸을 담았던 사람정도면 그만이다. 일종의 말이 통하는 사람 정도이면 그만이다. PM 의 경우에는 프로젝트 자체의 비지니스에 대한 처리를 많이 하기 때문에 실제로 구현되어지는 프로젝트의 기술적인 부분까지 신경쓰기는 사실상 힘들다. 고객과의 협상도 PM 이 하는 일이기 때문에 PM 이 사실상 피곤한 직위에 속한다.

하지만 PL 은 이야기가 달리진다. PL 은 프로젝트에 대한 기술적인 이해가 반드시 있어야 한다. 문제는 이 프로젝트에 대한 기술적인 이해라는 것이 반드시 ‘기술’ 만 이해한다고 되는게 아니다. 이 기술들이 전체적인 요구사항에 잘 조합되어지고 있는지에 대한 사항들을 주로 살펴야 하는게 PL 이다. 예를들어, 숲에 나무를 가지고 하트모양을 만든다고 할 경우에, 나무에 대해서 알 필요는 없지만 그렇다고 몰라서도 안되고 그 나무들이 하트모양이 되도록 잘 정리 정돈이 되고 있는지 조성하는 과정에서 잘 살펴야 한다.

기술적인 내용을 세세하게 알 필요는 없지만 큰 틀에서 숲을 볼 줄 알아야, 그 숲이라는게 숲을 구성하는 각 요소들이 있기 때문에 그걸 알고 있어야 한다, 프로젝트가 잘 굴러가게 되어 있다.

PM 도 프로젝트의 승부를 가르는 결정적인 인물이라면, PL 도 실체적인 프로젝트의 승패를 가르는 인물이기도 하다. 그만큼 책임이 매우 크다는 것이다. 프로젝트에 책임에서 벗어날 수 없는 인물들이 PM, PL 이다.

그런데, 강남에 MSP 회사들은 PL 을 프리랜서로 뽑고 있다. 프리랜서가 PL 을 못한다는 이야기가 아니다. 앞에서 이야기했듯이 프로젝트를 책임질 인물이기 때문에 어찌보면 고객사 A 에 대한 예의가 아닌 거다. 자본주의 사회에서 거래계약이란게 뭐든 못할까 만은 적어도 프로젝트를 책임질 회사가 직접 나서는게 아니라 PL 을 프리랜서에게 위임한다는게 과연 정당하다고 볼 수 있나…

마치 제조업에서 위험의 외주화 정도는 아닐지라도 도의적이나 도덕적으로 별로 바른 경우는 아니다.

내 손에 피는 안 묶힌다.

왜 PL 을 프리랜서들에게 맡길려고 하는 걸까? 그들이 보기에, 한눈에 봐도 프리랜서에게 PL 을 맡기는 건 문제가 있다는 인식은 다 깔려 있다. 그런데도 이렇게 하는 이유는 다음과 같다.

‘고상한 척’ 가면놀이

강남의 MSP 회사의 경우 외주 프리랜서들을 직접 뽑지 않는다. 2차 업체라고해서 그들이 프리랜서를 물고 온다. 대부분 잡코리아, 사람인에 공고를 내서 지원하는 사람들을 대리고 오는데, 면접을 MSP 에서 보게 된다.

MSP 에 협력 업체도 인맥이지만, MSP 에서 수주하는 많은 프로젝트들 또한 인맥인 경우도 많다. 그렇지 않은 경우도 있지만 워낙 강남의 이름있는 MSP 하면 몇개 없기 때문에 업계에서도 알아서 찾아오는 경우도 있지만 그런 경우는 많지 않다.

대부분 A 업체 프로젝트 담당자와 MSP 담당자들은 대부분 인맥이 있거나 한 경우이다 보니, 서로 얼굴을 붉히는 일은 피할려고 하는 경향이 있다. 회사 생활을 하다보면 직위가 높을수록 어떤 문제에 직접 나서는걸 회피하는 경향을 보이는데, 복잡하고 스트레스가 심한 어떤 문제에 그 사람이 노출될 경우에 들어나는 인성과 능력을 무서워하는 경우가 아주 많다. 직위가 높으면 고상해지는 인간들이 대부분인 이유라고 보면 된다.

이 MSP 회사들도 마찬가지다. 프로젝트에 직접 관여하는 경우에 그런 ‘고상한 인품’ 을 유지하기가 상당히 힘든 경우다. 프로젝트를 직접 관리할 경우에 어떻게든 A 회사에게 싫은 소리도 해야하는 경우가 있고 직접 거의 매일매일 그 사람들과 이야기를 해야하는데 A 회사 사람들이 마냥 MSP 회사에 듣기좋은 소리만 할 경우는 많지 않다.

더군다나 A 회사와 인맥이라도 있는 날에는…. 힘든 일이 한두가지 아니게 된다.

‘우리는 고객사 편’

PL 를 하다보면 고객의 요구사항을 변경해야 하는 경우가 생긴다. 잘 모르니까 고객들은 어디서 주워들은 이야기를 가지고 해달라고 하는 경우도 부지기수다. 이럴 경우에 프리랜서라면 한계가 있기 때문에 수행사 MSP 회사에서 적극적으로 중재를 해야한다.

하지만 MSP 회사가 적극적으로 중재를 할려고 할까? 대부분 ‘PL 프리랜서’ 를 교체하는 방향으로 가닥을 잡는다. 심각한 건 프리랜서를 ‘능력없는 인간’, ‘성격이 안된 인간’ 쯤으로 평가하면서 교체를 한다는 문제다.

면접한번 보고 현장에 투입시키고는 그 사람들 다신 얼굴 볼 일도 생기지 않는데, 어떻게 해서 프리랜서에 저런 낙인을 찍을 권리가 생기는지?

문제가 있다는 것을 알면서도 그것을 프리랜서에 문제로 귀속시키고 교체, 그렇게 함으로써 고객의 요구사항을 변경시키는 일들을 하는 곳이 MSP 다. 그들에게는 그렇게 하는 것이 훨씬 편하니까… 프리랜서가 고객의 잘못된 요구사항에 대해서 중재를 요구하면 그건 능력이 없는 것이거나 ‘사업이란게 원래 그런건 줄 몰랐냐?’, ‘세상 덜 살았네… PL 할 인물이 못되네’ 식의 결론을 내리게 훨씬 쉽다.

이렇게 쉽게 생각하는 건 그렇게 해는 것이 너무나도 쉽고, 두번째는 프리랜서에 대한 인식이 그렇기 때문이다. 프리랜서는 본인들이 돈주고 산 사람이라는 인식이 있기 때문에 뭐든 시키면 다해야 한다는 사고를 하게 된다. 하지만 그렇지가 않지…

프리랜서의 권리는 의외로 막강하다. 하지만 그것을 주장할 경우에 계약해지를 종용하는데, 사실 다 위법한 것이지… 정당한 사유 없이 계약해지를 할 경우에 배상의무가 있다. 하지만 그런 인식이 없는 곳이 강남의 MSP 다.

사회변화는 고상하고 IT 도 제대로 안 굴러간다.

뉴스를 보면 사내에 성폭행 사건을 다루는 뉴스가 나온다. 그럴때마다 너도나도 가해자를 비난하면서 정의로운 글들을 많이 본다. 더군다나 회사측의 대응에 대해서 맹비난을 하곤 한다. 피해자편에 서서 대응을 했어야 했는데 그렇지 않고 피해자에게 ‘조용히 있어라’ 식의 대응을 했기 때문이겠지.

하지만 대부분의 한국사회가 대부분 부당함에 대해서 뭉쓰고, 모르쇠로 일관하는 일이 비일비재하다는 것쯤은 알아야 한다. 뉴스에 나오면 분노하면서도 정작 자신에게 혹은 자신과 관계된 주변에서 그런일이 발생할 경우에, 성폭력 피해자의 회사처럼 행동게 한국 사회 아니겠나..

강남의 MSP 회사들이 요즘 벌이는 일들이 이와 유사하다. 위험의 외주화는 물론이거니와 고객에게는 적어도 고상한 이미지를 구축해야하고 그러다보니 고객과의 마찰에 있어서 적극적인 중재를 하려고하지 않는다.

본인들은 고상해야 하고 적어도 피는 뭍히지 말아야 한다는 얄팥한 사고로 사람들을 뽑아대고 있으니…

제대로 된 인간들이 없다. 그져 인맥…… 그러니까 프로젝트 투입되서 보면 MSP 가 요구하는 그 엄청난 스펙에 비해 초보급 만도 못한애 구축된 아키텍쳐를 보게된다. 더 웃긴건 본인들이 구축했으니 잘 구축했다고까지 자랑질… 제 정신들이 아닌거지..

Log4j 취약점, 한국 IT 보안에 대한 단상

몇일 전에 Apache 재단에서 제작해 배포하는 Log4j2 에 대해, 보안 취약점 등급 10등급으로 즉시 취약을 말하면서 보안설정과 패치를 하라는 권고를 했다. 이는 전 세계적인 현상으로 우리나라 뿐만 아니라 미국등에도 매우 심각한 현상임을 인지하고 뉴스에도 나올만큼 큰 뉴스거리가 되었다.

Log4j2 만 문제냐

하지만 이 업계에 10년 넘게 밥벌이를 하는 입장에서 별로 놀랍지도 않고 왜 그렇게 호들갑이냐 하는 생각이 먼저 든다. 모르는 사람이야 뉴스에도 나오고 전문가들이 심각하다고 하는데 ‘호들갑’ 이라고 말하니 내가 뭔가 잘못 말한것처럼 생각이 들겠지만 실상을 알고 나면 그렇지 않다는걸 깨닫게 된다.

먼저, 내가 현재 맡아서 하고 있는 것들을 한번 보자. 대략 다음과 같은 스펙으로 서비스되어지고 있다.

  1. RedHat Enterprise Linux 7.7
  2. Spring Boot 1.5
  3. Java 1.8
  4. WildFly 13

대충 이렇게 나열해 보면 이게 대체 뭐가 문제냐 하는 생각이 들 것이다.

KISA 정보에서 발행한 ‘주요정보통신기반시설 기술적 취약점 분석, 평가 방법 상세가이드’ 라는 것이 있다. 여기에는 특정 요소요소에 대해서 보안 설정을 어떻게 해야하는지를 가이드하고 있는데, 여기에 ‘U-42. 4.1 최신 보안패치 및 벤더 권고사항 적용’ 이란게 있다.

보안 가이드 패치권고

요약을 하자면 항상 최신의 패치 적용을 유지하라는 것이다.

그런데, RedHat Enterprise Linux 7.x 에 최신 버전은 7.9 이다. 더 최신은 RedHat Enterprise Linux 8.5 다. 시스템에 설치된 어떤 프로그램이 보안 취약점을 들어내고 있는지에 대해서 알지도 못하고 어짜피 네트워크가 단절되어 있어서 외부에 침입이 어렵다는 변명으로 운영체제(OS)에 대한 최신 패치 적용을 전혀 하지 않는다.

최신의 RHEL 을 사용하지 않는건 일단 내려놓더라도 쓰지도 않는 각종 프로그램들이 다 설치되어 있다. 대표적인게 gcc 컴파일러이다. 어디 gcc 컴파일러 뿐이랴.. g++ 도 있고 automake, autoconf, bison 등 C 소스코드를 컴파일 할 수 있도록 아주 다 깔려 있다.

크랙커가 가장 좋아라하는 시스템이 뚫어서 들어가보니 각종 컴파일러가 설치되어 있는 시스템이다. 컴파일러만 설치되어 있으면 마음대로 시스템을 가지고 놀수 있다. 그래서 될 수 있으면 컴파일러는 설치를 하지 말아야 한다. 아니 더 정확하게는 사용하지 않거나 불필요한 프로그램들과 명령어는 아예 설치를 하지 말아야 한다.

더 놀라운 것은 Java 시스템인데도 각종 gcc, g++ 컴파일러가 설치되어 있고 각종 라이브러리까지 아주 풍부하다는 것이다. 이에 대해서 이러면 안된다고 하면, 각종 보안 프로그램들이 철벽으로 작동하고 있고 ISMS 심사를 받았으니 됐다고 말한다.

Spring Boot 1.5 – 지원 끝

지원이 끝난 프레임워크다. 일단 지원이 끝났다면 될수 있는대로 빠르게 업데이트를 해야 한다. 하지만, 작동하는데 아무런 문제가 없으니까 계속 사용한다. 뭔가 문제가 생기면 그 라이브러리만 업데이트 하는 식이다.

Spring boot 1.5 전체를 패키지는 방대한데, 그중에서 자주 사용하는 일부가 문제가 생겼다는 뉴스가 나오면 그것만 바꾸는 식이다.

이렇다보니 Spring boot 2.x 에 대한 기술 습득은 꿈도 못꾼다. Reactive 가 뭐고 그래서 그게 뭐가 좋은지도 모르고 그것을 하면 뭐가 이득이 된다는 것은 둘째고 기술지원도 끝난 프레임워크를 그대로 고수하면서 DB 구조를 파악하고 데이터를 넣다 뺏다 하는 CRUD 프로그래밍으로 화면에 원하는 것을 이루게 되면 그것이 프로그래밍이 된 것이라는 사고방식에 젖어 있다.

고민따위는 안중에도 없고, 구글에서 검색해서 읽어본 기사에 뭘 좀 안다고 지식자랑하기에만 바쁘고 정작 책상에 앉아서 하는 일이라곤 지식자랑과는 한참 뒤처진 기술들을 다루고 있을 뿐이다.

지원이 끝났다는 것은 더 이상 보안관련 업데이트를 해주지 않는다는 것을 뜻한다. 물론 전 세계적으로 문제가 될 경우에 End Of Life 가 된 경우라도 업데이트를 제공해 주긴 한다. 하지만 지원이 끝난 것들은 더 이상 보안에 대해서 신경을 놔버리는 경우고 거들떠도 안보다는 사실을 알아야 한다.

아무도 신경을 안쓰는 거들떠보지도 않는 프레임워크로 일을 하는 것이 뭐 그리 대단한지, 단가 900 은 받아야겠다고 하는데 괜히 프리 경력이 정규직 경력을 인정받지 못하는게 아니다.

이렇게 글을 적어놓으면

프로젝트 오퍼를 낸 조직이 가이드를 내놓고 어떻게 하라고 해야지 그걸 왜 프리보고 뭐라 하냐?

이렇게 말할게 뻔하다. 그러니까 정규직 경력이 안되는 거다. 정규직에서는 적극적인 사람을 원하지 그렇게 수동적으로 뭐 가이드 안주면 못하겠다는 식의 사고를 가진 사람을 뽑으려 하지 않는다. 그것도 적어도 경력이 10년 이상이라면 이렇게 해서는 안된다, 이런 것쯤은 좀 바꿔야 한다는 정도도 있어야 하고 적극적으로 문제에 대해서 문제가 있으며 바꿔야 한다는 것을 적어도 어필 정도는 해줘야 하는데, 그런게 안되잖아..

더 큰 문제는 대충한다는데 있다. Spring Framework 3.x 처럼 오래된 것이긴 하지만 나름대로 프로그래밍 방법들이 존재한다. 과거에는 쓸만했던 것이여서 자료를 찾아보면 그때당시에 자료들도 상당하다. 그러면 Spring Framework 3.x 에 대한 그 때 당시에 쓸만했던 것을 지금에 쓰고 있느냐… 그냥 다 대충한다. 어짜피 딴데가면 안쓸거… 구형인데 뭐… 이거 열심해서 뭐하냐…. 아무도 열심히 안한다.

어짜피 구형이라 열심히 안하고 그렇다고 뭐 바꾸자는 제안조차 못하고… 그냥 돌아가게만 만들자식이란게 문제다.

Wildfly 13 – End Of Life

Wildfly 는 예전에 Jboss AS 라는 오픈소스 엔터프라이즈 자바 서버였다. 그러던 것이 Redhat 에서 프로젝트를 인수(?) 하고 자사의 상용 엔터프라이즈 자바 서버를 Jboss EAP 라는 이름을 붙이자 네이밍에 차이를 두기 위해서 Wildfly 로 이름을 바꾼다.

Wildfly 는 이름을 바꾼것만이 아니라 릴리즈 주기를 바꾸게 되는데, 분기마다 메이저 업데이트를 하는 정책으로 바꾼 것이다. (분기마다 인지 1년마다 인지… 정확하지는 않음. 몇달 주기로 메이저 업데이트를 하겠다는 정책임) 이러한 정책은 Wildfly 의 Long Term Support 버전이 없다는 것을 말한다.

업데이트를 못 쫓아가는건 당연하고 무엇보다 JEE 스펙도 버전이 올라감에 따라 달라지다 보니 Servlet 엔진을 필요로하는 경에 버전 호환성이 맞지 않는 경우가 생긴다. 그것조차도 그렇다 치더라도 Wildfly 13 도 지원이 끝나기는 마찬가지다.

이렇게 주기적인 메이저 업데이트를 하는 자바 서버에 경우에 주기적으로 업데이트를 할 수 없는 경우에는 선택을 하지 말았어야 했다. RHEL 도 한번 설치하면 업데이트를 안하고 버티는 경우가 부지기수인데, 주기적인 업데이트를 고려해서 이것을 선택햇을리는 만무하다.

금융권은 더 심각

현재 내가 하고 있는 프로젝트의 경우에 한정해서 말을 하다보면, “그건 니가 있는 곳이 ㅈ같은 경우지… 똥 밟은 너를 탓해라” 하는 인간들이 대다수다.

그렇다면 과거, 그것도 긴 과거가 아닌 올해 있었던 금융권 프로젝트를 예를들어보자.

  • RedHat Enterprise Linux 7.7
  • gcc, g++ 컴파이러, automake, autoconf
  • WebLogic 12.1.x
  • Spring Framework 3.x

이런 환경에서 마이데이터니 뭐니,, 모바일이니 뭐니 서비스하고 앉아 있는게 현실이다.

더 웃긴건, WebLogic 서버를 사용하는데 환경은 AWS 클라우드에 올렸다는데 있다. 이게 뭐가 문제가 되느냐 하겠지만 WebLogic 는 Admin 서버와 Managed 서버로 나뉘며 Admin 서버가 반드시 있어야 하고 Managed 서버가 Admin 서버에 등록이 되어 있어야 한다.

이렇게 되면 AWS 클라우드에서 반드시 사용해야만 하는 AutoScaling 을 이용할 수가 없다. 물론 아예 이용할 수 없는 것은 아니지만, 별도의 노력이 조금 더 들어간다. 하지만, 그 별도의 노력조차도 안해서 그런지 AutoScaling 은 아예 접었고 닭 한마리 이벤트를 날리면 접속자가 폭주해 장애가 나는 곳이 금융 시스템이다.

KISA 도 결국 문제

이래저래 문제 해결을 위해서 노력한다고 하지만 한개는 있다. 그중에 다음과 같은 말들을 많이 한다. 적어도 금융권에서는..

Redhat Enterprise Linux 8.x 는 아직 보안 인증이 안됐다.

누가 어떻게 RHEL 8.x 에 대해서 보안인증을 해주나? KISA 가? KISA 가 발행하는 취약점 가이드에 Linux 에 대해서 RHEL 7 기준으로 설명되어 있어서 RHEL 8.x 는 아직 인증 없는 거다?

KISA 보안 가이드 유의사항

KISA 가 발행하는 취약점 가이드에는 위와같이 유의사항이 나와 있다. 하지만 현장에 있다보면 ‘인증이 아직 안됐다’ 라는 말을 많이 듣는다. 공공금융 프로젝트에서 인증을 안해준건지 뭔지 모르겠지만, KISA 라는 ISMS 주관사에서 저렇게 하고 있음에도 불구하고 다른 권위도 없고 보안에 관련해 국가적 위임도 받지 않는 곳에서 ‘인증’ 이란걸 하고 있다면 KISA 가 적극적으로 나서서 못하게 해야 한다.

더군다나 KISA 의 경우에 보안 취약점 가이드에는 절대로 하지 말아야 하는 항목들은 없다. 예를들어 ‘gcc 컴파일러 설치 금지’ 와 같은 것들도 없고 End of Life 된 운영체제나 프레임워크에 대한 금지 항목도 없다. ISMS 라는게 결국에는 가이드에 맞춰서 그걸 했냐하는 정도에 그치다보니 ‘그것만으로 됐다’ 하는 것으로 끝이다.

국가기관이 저렇게 나약하게, ‘절대적 기준 아니다’, ‘다양한 점검 방업을 사용하여 취약점 분석평가를 수행’ 등.. 말이 좋아서 저런 표현이지 그냥 대놓고 “니들이 알아서 잘 해봐라” 식과 뭐가 다르냐?

Log4j2 보안 취약점 패치

현재 프로젝트에서 log4j 보안 취약점 패치를 위해서 살펴보니 log4j 1.x 버전이였다. 지금의 log4j2 의 보안취약점은 JNDI 관련되어 있는데, log4j 1.x 에는 JNDI 기능 자체가 없다. 따라서 본 취약점에는 아무런 문제가 없다.

이런식의 결론에 도달하게 되어서 결국에는 아무런 조치도 하지 않았다. log4j 1.x 는 더 이상 유지보수가 안되는 버전이다. 하지만 이번에 터진 취약점과는 관계가 없기 때문에 그런대로 넘어가는 거다.

라고 윗분들의 결정했다. 이게 대한민국의 현주소다.

그래서 log4j 를 그냥 놔둘수도 없고 해서 logback 으로 바꿔 놓을려고 생각중이다. 테스트를 해보니 잘 될거 같다. 보고 따위는 안한다.. 그냥 바꿔놓는 거지.. 그냥 바꿔놔도 모른다. 아무도.. ㅋㅋ

강남의 클라우드 회사들.. 테크 기업 맞나?

한국뿐만 아니라 전 세계적으로 이제는 클라우드(Cloud) 가 대세다. 이런 대세속에서 특이하게도 한국은 아직 그 시장 크지 않다. 정확하게 말하면 클라우드로 전환해서 쓰는 비율이 잘해야 15% 정도. 아직도 랙 서버 기반의 IDC 서버를 많이 쓴다.

최근에 금융권에서도 공공 클라우드 사업자를 선정해 클라우드로 전환하는 사례가 있다. 대표적인게 국민카드. 리브메이트 앱이 아마도 클라우드로 구축된 사례일 것이다.

이렇게 큰 규모에 경우에 클라우드 사업을 위해서는 클라우드를 잘 아는 기업을 선정해서 기술지원을 받는다. 국내에 클라우드는 AWS, Azure, GCP 삼파전인데 이들 글로벌 클라우드 회사에 기술을 가져다 다른 기업에 기술지원과 전환작업을 해주는 회사들이 존재하는데 그런 회사를 MSP 회사라고 한다. 이런 MSP 회사들 중에 한국에서는 대표적인 회사 두 회사가 있는데 강남에 있다. 신기하게도 한 두블럭이면 갈 수 있을 정도로 인접해 있다.

국내 금융권에서도 클라우드를 사용하고 하는 움직임이 있기 때문에 클라우드 엔지니어에 대한 수요가 상당하다. 문제는 이런 수요가 많은 만큼 그러한 기술을 지원해줄 사람들은 많이 없다는데 문제가 있다.

그런데, 사람이 아무리 없기로서니 아무나 다 뽑아서 프로젝트 매니저로 보내는 일은 없어야 하지 않을까? 프로젝트 매니저로 온 사람이라면 적어도 프로젝트에 대해 기술적 방향성이나 제안등을 할 수 있을 정도는 되어야 하는데 AWS EC2 가 뭔지도 모르거나, 그러다보니 전체적인 서비스를 서로 엮어서 전체적인 시스템을 만들어내는 아키텍쳐에 대한 지식도 없는 사람이 프로젝트 매니저를 하는 건 문제가 있다.

그런 기술적인 숙련도가 없는 사람을 그것도 강남에 클라우드 회사에서 정규직으로 뽑아놓고 현장에 뿌리고 있는데, 이런 현장에서는 매니저라는 사람의 사고 방식은 대부분 다음과 같다.

나는 프로젝트 매니저다. 기술은 잘 몰라도 내가 하라고 하면 너는 해야한다. 그러라고 돈주고 뽑은거다.

적도 프로젝트 매니저라면 몇년씩 클라우드 경력을 쌓은 사람에 대한 예의라도 있어야 하는데, 거꾸로 내가 책임자니까 무소 불휘의 권력을 쥔것마냥, 고작 한다는 것이 엑셀 파일에 자원 현황이나 기록하고 있고 그것을 잘 정리하지 않는다고 닥달하는 모습을 보여주는게 최근에 벌어지는 일이다.

클라우드 본사가 만든 한심한 아키텍쳐

강남에 이름 있다하는 클라우드 회사가 만들었다는 아키텍쳐에 일부다. AWS 클라우드 다이어그램인데, Public Subnet 이 두개, Private Subnet 그 뒤에 1개 있다.

EndPoint 를 NLB 가 받고 이것을 뒤에 Public Subnet 에 있는 웹 방화벽이 받고 있다. 웃기지 않나? 여기서 이것이 왜 문제가 되는지를 이해하지 못한다면 심각하게 자신의 능력을 한번 되돌아 봐야 한다.

웹 방화벽은 그야말로 웹에서 들어오는 패킷에 대한 보안검사기능을 한다. L7 패킷 검사가 가능한 장비. 그런데, 저렇게 Public Subnet 에 그것도 EIP 를 박아서 놔두면 십중팔구 DDOS 공격 대상이다. AWS 의 Shield 서비스를 해준다고 하지만 차라리 Private Subnet 구축하는게 훨씬 낫다. (AWS Shield Standard 는 EC2 인스턴스에 대한 DDOS 방어를 해주지 않는다. Advanced 는 가능하지만 한달에 3,000 달러다) 이렇게 웹 방화벽을 Public Subnet 에 올려놓고 구축하는 사례는 본적이 없다.

문제는 또 있다. 웹 방화벽은 EC2 인스턴스로 구축된다. 이 웹 방화벽은 뒤에 ALB 에 연결되는 구조다. 웹 방화벽이 ALB 의 도메인으로 연결이 된다고 하더라도 어짜피 커넥션은 IP 기반이 될 것이다. ALB 는 고정IP 가 아닌 유동 IP 이며 늘었다 줄었다 하게 된다. 웹 방화벽이 이렇게 유동적으로 변경되는 IP를 탐지해서 연결 설정을 해주면 고맙겠지만 안타갑게도 이중화를 위한 IP 2개만 들어간다.

십중팔구 트래픽일 몰리게 되면 방화벽이 뒤에 ALB 로 보내는 트래픽 양이 늘어날텐데 ALB 에서는 IP 를 늘리겠지만 그렇게 해봤자 아무런 소용이 없게 된다.

또 다른 문제는 EndPoint 로 NLB 를 사용했다는 데 있다. NLB 는 L4 계열이다. 네트워크 라우트 경로 설정에 유용하지 HTTP 기반의 연결에는 부적합하다. 가장 문제가 되는 것이 AWS WAF 문제다. AWS WAF 서비스는 Web 방화벽이다. Web 은 L7 기반인데, 당연히 NLB 에 연동될 수가 없다.

AWS WAF 의 경우에 ALB, CloudFront 등에 연동 된다. 요 몇일 AWS WAF 설정해야 한다고 난리던데, 그러면 WAF 를 EC2 웹 방화벽 뒤에 있는 Private Subnet 의 ALB 에 붙일 수 밖에 없든데, 얼간이 같은 설정이다. 앞에 이미 EC2 기반의 웹 방화벽이 일을 하고 있는데, 뒷단에 WAF 를 붙여서 뭣하게?

수준이 너무나 낮다

적어도 클라우드 MSP 사업을 영위하고 있다면, 적어도 프로젝트 매니징 능력이라도 있는 사람을 현장에 투입하고 아키텍쳐 또한 유기적인 조합이 가능하도록 해야 할 것이 아닌가?

더 크게 생각해볼 문제도 있다. 최근에 공정한 경쟁에 대한 관심은 우리 사회에 큰 논란을 낳기도 했다. 인국공 문제가 그런 것이다. 인천국제공항에 비정규직의 정규직화는 정규직 직원들에 대한 불공정 시비를 불렀다. 불공정한 경쟁으로 특정한 자리, 위치에 올라서 다른 사람을 부리는 것을 우리사회는 용납하지 않는다.

이번 프로젝트를 하면서 느낀 것이 바로 저러한 것이였다. 프로젝트 매니저라고 하는 사람은 아무것도 몰랐다. 그져 AWS 라는 것이 무엇이다 정도. PC 를 사용자중에서도 파워유저급과 비교될 정도 수준 일 뿐이다. 그런 사람이 프로젝트 매니저를 한다는 것이 그져 기술을 아는 사람을 대려다가 엑셀 파일이나 작성하며서 다 됐냐 안됐냐 만 따지는 것이 과연 공정한 것인가?

이런식이면 대학교를 막 졸업한 컴퓨터 관련 전공자를 앉혀놔도 될 정도다.

강남에 클라우드 회사는 테크 회사다. 본인들이 외주 업체 직원을 뽑을때에 기술이 낫을 거 같은 사람들이 많으니 기술면접을 엄격하게 진행하는 마당이면 적어도 본인들 회사 직원들 또한 그런 기준으로 뽑아야 하지 않겠나…..

Best Practice

클라우드를 하다보면 이런 말을 자주 듣게 된다. 한국어로 번역하자면 “모범 사례” 인데, 클라우드 아키텍쳐에 대한 모범사례를 다양하게 익히는 것이 좋다. 아키텍쳐라는 것이 정답이 없다보니 그나마 좋다라고 하는 것을 익히는 것이다.

여러 엔지니어, 특히나 강남에 클라우드에 다닌다는 사람들과 이야기를 하다보면 너도나도 모범 사례들을 이야기 한다. AWS 의 경우에 Re:Invent 행사에서 많이 다뤄지기도 해서 많이 알려진 것들도 많다. 하지만 이런 사람들이 도맡아 하는 기업의 아키텍쳐는 모범 사례는 고사하고 기초적인 3-Tier 모놀리틱 아키텍쳐를 클라우드로 구현하지 못한다.

대표적인 사례가 AutoScaling Group 사용을 하는 비율이 많지 않다. 금융권은 전멸이고 그나마 좀 사용한다는 곳이 쇼핑몰 들이다. CloudFront 를 EndPoint 로 하고 Static 파일은 S3, Dynamic 은 ALB 뒤에 EC2 서버로 서빙하는 구조를 가지는 아키텍쳐를 찾기도 힘들다.

HTTP 헤더 조작을 많이 한다면 이야기가 달라지만, 아직도 Apache + Tomcat 혹은 Nginx + Tomcat 으로 서버를 구성하는 곳도 지천이다. ALB – Apache – Tomcat 구조. Apache 에서는 mod_jk 로 톰캣 연동…. static 파일 서빙을 위해서 Apache 를 넣었다는 건데, 바보 같은 짓이다.

널리고 널렸다. 왜 이렇게 됐을까? 고객이라고 우쭈쭈쭈 고객님 말씀이 옳습니다 하는 바람에 이런 멍청한 구조가 나온 것이다.

기술의 발전은 인간을 이롭게 하는데 있다. 이것은 엔지니어에게도 그대로 적용된다. 왜 클라우드를 사용하는가? 기업의 대답은 “돈” 이겠지만 나의 대답은 “인간을 이롭게 하기 위해” 그냥 직접적으로 말한다면 “야근을 하지 않기 위해” 서다. 클라우드를 사용한다면 언제든지 Continuous 한 서비스 운영이 가능해지는데, 죽어도 이것을 하면 안된다고 하는 고객들을 설득할 마음조차도 없는게 국내 MSP 업체들이다.

그런 와중에 능력도 없는 프로젝트 매니저라니…. 대가리 박고 반성해라.. M사..

계약서를 쓰지도 않고 프로젝트 투입 – 자살골이다.

내가 적은 글을 보면 대부분이 ‘사업자’ 라고 규정하는 댓글들이 넘쳐난다. 글이 내용이 프리랜서들의 이중성을 고발하는 글이다보니, 프리랜서의 적은 사업자니까 그렇게 생각하는 모양이다.

나 아니면 적이라는 인식도 문제만, 몇자의 글로 사업자로 생각하는 흑백논리 밖에 모르는 사람들이 프리랜서를 하는 것도 큰 문제이자 프리랜서들의 권리를 찾는데 최대 걸림돌이 된다.

최근에 프로젝트를 옮기기 위해서 이력서를 여기저기 보내놨는데, 여전히 바뀌지 않는 중에 하나가 계약서 문제다.

이력서를 보고 연락을 했다고 하고 면접까지보고 언제 출근하라고까지 한것까지는 좋았지만 계약서에 대한 언급이 없었다. 더군다나 출근이 다음주 월요일, 지금은 금요일이다, 이라면 계약서를 검토할 시간조차 없다.

계약 담당자에게 연락을 하고 투입전에 계약서를 보고 싶다, 사인을 하는건 나중문제다라고 계약서를 요청했더니만 몇시간 후에..

프로젝트가 연기되서 안될거 같습니다.

원래 면접때는 3/2 출근 가능하다고 이야기를 했었는데, 업체측에서 다음주 월요일날 출근하라고 지시를 한다. 그래서 3/2 일날 출근 가능하다고 말해도 인수인계를 해야할거 있어서 다음주 월요일날에 출근을 하라는 것이다.

내가 지시하면 따르라.

갑질이라는게 결국에는 사람의 마음속에서 나오는 것이다. 나보다 내가 우월하다는 계급적의식의 본산이겠지. 면접시에 분명이 3/2 출근가능하다고 했다면 업체에서는 이것을 존중해줘야 하지만 업체가 생각은 다음과 같지 않았을까…

어짜피 놀고 있는 애니까 출근하라고 한들 뭔 대수냐..

하는 일이 없이 잠시 쉬고 있는데, 언제든 출근이 가능하지만 3/2일이 적절할거 같다는 말을 업체는

니 의견 따윌 내가 존중해줘야 하는 이유는 없다. 우리 스케줄이 중요하지.. 너는 우리 스케줄에 따라 움직여야 한다

이런 사고 방식을 엿볼 수 있는 것이였다. 더 웃긴건 면접당시에 어짜피 프로젝트는 4월달즘에 시작한다고 하니까 천천히 진행될거라고 말을 해놓고 갑자기 인수인계를 해야 하니까 다음주 2/22 에 출근을 하라고….

프리랜서의 권리는 막강하다. 업체와 프리랜서는 종속관계 계약이 아닌 상호 신의원칙에 따른 민사계약이기에 어떤 일을 진행할때에 합의를 기반을 해야 한다. 일방적으로 통보식으로 일을 진행하는 것은 지양해야 하지만 그게 될리가….

더 웃긴건 중간 계약 업체.

지금의 SI 가 문제가 되는 것이 바로 중간 계약 업체들이다. 이들 계약업체는 프로젝트를 책임질 의무가 있지만 계약만하고 중간에 몇분 돈을 띠고, 프로젝트 지시는 원청에서 하니까, 나몰라라 한다는 것이다.

SI 프로젝트를 하다보면 어떤 선을 넘는 행위를 하는 원청 업체들이 아주 많다. 갑이기에 그렇게 하는 거지만, 이랬을 경우에 프리랜서는 SI 계약업체에게 의존할 수밖에 없다. 하지만 이 중간업체는 언제나 갑의 입장에만 서기 때문에 어떤 갈등이나 문제 해결에 전혀 도움이 되지 않는다.

2/22 에 출근을 어떻게든 시키려고 온갖 노력을 다한 업체가 중간 계약 업체다. 놀면 뭐하냐… 출근해서 간단하게 인수인계 받으면 된다…. COVID-19 시대에 사람들 모여있는 곳에 빨리 오라고하는 정신나간 인간들, 아니 쌍욕을 퍼부어도 시원찮은 인간들일 뿐이다.

계약서 보여 주세요…. 나중에 보여드릴께요.

계약서는 반드시 투입전에 읽어볼 것을 권한다. 아니.. 권하는게 아니라 그렇게 해야 한다. 계약서는 프리랜서를 지켜주는 처음이자 마지막 방패다. 오직 계약서만이 법적 효력을 가진다.

그런데, SI 에서 만연한 것이 계약서를 나중에 보고 싸인한다는 것이다. 싸인은 나중에 해도 되지만 반드시 계약서는 투입전에 받아서 읽어 봐야 한다. 투입되서 일을 하고 이미 일을 하고 있는데, 계약서를 봤더니 독소조항이 가득하다면 어떻게 할건가. 그동안에 일한 것도 통째로 못 받을 수 있다.

하지만 업체는 이렇게 정당한 요구를 하는 사람들을 그져 까칠하고 성격이상자로 몰아가는 방향으로 일처리를 하고 있다는데 문제에 심각성이 있다. 한국 SI 의 정신병적인 증상이, 아니 한국인들의 병신병적 증상이 자신의 기준에 부합하지 않는다면 정심병자, 성격 이상자로 몰아간다는데 있다.

하지만 한국SI 업계에서는 그것이 마치 정상인것 마냥, 더 웃기게는 보도방이라고 불리는 거기서 영업을 뛴다는 이사놈들이 으스대고 있다는데 있다. 중간에 계약만하고 사람 투입하면 나몰라라에 원청업체에 Yes맨.. 계약서는 투입하고 나중에 싸인하자… 그러면 투입전 보여달라고 하면, 프로젝트 연기되서 없던일로…

슬픈 일이다.

이런 일이 벌어지는데에는 프리랜서들의 권익을 보호할 단체가 없다는데 가장 크다고 본다. IT 노조는 노동자들의 권익을 대변하는 곳이지 프리랜서들의 권익을 대변하는 곳은 아니다. 서울지부산하에 있는 IT 노조,,,, 민주노총 노동상담에 전화를 걸어 프리랜서라고하면 상담조차 않해주는 곳이 그곳이다.

불합리함을 알고도 투입먼저하고 계약서를 봤더니 ‘인수인계할때는 무상으로 한다’, ‘을이 프로젝트 중간에 철수할때는 받은 급여를 2/3로 제한한다’ 등의 독소조항에도 속수무책 당할 뿐이고 프리랜서들 조차도 그것이 정상이라고 생각하고 있으니…

나중에 억울해서 너무나 억울해서 민사재판을 건다고 가정해보자. 민사재판에서 판사가 가장 안타까워 하는 일은 계약서를 보지도 않고 프로젝트 투입했냐하는 부분이다. 이 말은 판사 조차도 프리랜서들의 그 부당함에 손을 들어줄 수 없다는 것을 뜻한다.

이렇게되면 프리랜서는 이제 노동자성을 인정해달라는 방향으로 선회하는데, 될리가 없다.

절대로 계약서를 쓰기전에 투입하는 무모한 행동을 하지 마시라… ‘뭐… 별 탈없이 잘 지내면 된다’ 노예의 도덕일 뿐이다. 최소한으로 지켜야하는 선이라는게 있는데, 프리랜서 계약서가 바로 그런 것이다. 법이 정한 최소한의 방어선이 계약서라는 걸 잃지 말아야 한다. 그리고 계약서는 투입전에 보여달라고 강력하게 요구하는 사람들이 점점 많아졌으면 하는데,, 그게 될리가…

한국 SI 를 망치는건 프리랜서들이다 2

이전에 한국 SI를 망치는건 프리랜서들이다 글을 달았더니 엉뚱한 댓글들이 마구 달리는 걸 보면서 모신문사에서 조사했던 독해력이 떨어진다는 글이 생각 났다.

주요 내용에 불법 소프트웨어 사용에 대한 내용을 다루기도 했지만 댓글에 그것에 대해서 이야기하는 사람들은 거의 없다. 마치 최근에 문재인 정부에 대한 정책을 비판하면 ‘너 토책왜구지?’ 하는 어뚱한 말을 하는 사람들처럼…

한국 SI 를 망치는 건 프리랜서들인건 변함이 없다. 일각에서는 능력없는 개발자들이 많다보니 그렇다고 하지만, 변명에 불과 하다. 독해력이 떨어지는 인간들이 댓글을 다는 것도 웃기지만 그것을 댓글 승인을 해주기도 그렇다고 안해주기도 그렇고 해서 아예 직설적으로 글을 한번 써보기로 한다.

의무를 다하지 않으면서 권리만 누리려는 인간 = 한국 IT 프리랜서들

권리를 주장할려거든 의무를 다해야 하는 건 상식이다. 세금을 내지 않으면서 국가로부터 온갖 해택을 다 누리려는 사람들이 비판을 받는건 당연한 것이다.

이런 유형의 인간들이 사회 여기저기에 있기는하지만 특정 직업군이 단체로 그러고 있다면 문제가 큰 것이다. 문제가 크다 못해 심각한 것이고 그러한 것들은 사회에서 도려내야하는 암적 존재에 불과할 뿐이다.

한국 IT 프리랜서들이 주장하는 건 다음과 같이 요약 가능하다.

  • 나는 경력이 5년차다. 당연히 단가 500은 받아야 한다.
  • 나는 프리랜서인데, 일을 정규직처럼 시킨다.
  • 노트북, MS Office 등 모든 걸 회사가 줘야 한다.

주로 두가지 정도로 요약이 된다. 문제는 이러한 주장이 그들이 의무와 무슨 관련이 있는지 조차도 모르는 인간들이 많다는 것이다.

프리랜서는 없다. 용역 계약자일 뿐이다.

프리랜서는 원래 없는 용어다. 법적으로는 용역 계약자라고 불린다. 대한민국에 법전을 다 뒤져봐도 용역 계약자라고만 적혀 있다. 그리고 프리랜서들이 싸인하는 계역사를 용역 계약서라고 부른다.

반면에 회사에 정식으로 취직을 할 경우에는 노동 계약자, 노동자라 한다. 그리고 그들은 회사에 노동 계약서를 작성한다.

벌써부터 차이가 난다는 걸 상기해야 한다. 법적인 적용 영역이 달라짐에 따라 이들에게 부과되는 의무 또한 달라진다는 것을 알아야 한다는 것이다.

법의 타입도 다르다. 노동법은 상법 개념이다. 하지만 용역 계약서는 민법 개념이다. 이둘의 차이를 모른다면 더 이상 이 글을 읽어 봤자 이해를 못하는 무지함만 들어낼 것임으로 여기서 그냥 멈추길 권한다.

노동 계약서는 노동법을 준용한다. 노동법에는 사용자와 노동자로 계급적 구분이 지어지는데, 노동 계약서를 작성하는 순간 노동자는 사용자에 종속되는 관계가 설정이 된다. 그래서 노동 계약서를 ‘종속관계 계약’ 이라고 불리운다.

종속관계….. 이 종속관계는 액면가 그대로 해석하면 완벽히 불평등한 현대 사회에서는 있어서는 안되는 계약이다. 한마디로 노예계약임 셈이다. 하지만 흥미롭게도 현대에 대부분의 민주주의 국가에서는 노동관계를 종속관계, 그러니까 노동자가 사용자에 귀속된 관계로 규정한다.

노동자가 일을 잘 못한다. 해고 사유가 될 수 있다. 매일 지각을 한다. 해고 사유가 될 수 있다. 지급되는 급여에 제재를 가할 수도 있다.

용역 계약자서는 민법을 준용한다. 민법은 계약 당사자간의 신의에 따른 약속에 지나지 않는다. 당사자간에 그 어떤 종속적 관계가 설정되지 않는다.

일을 못한다고 해서 계약 해지가 되지 않는다. 매일 지각한다고 해서 계약 해지사유가 되지 않는다. 계약 대금을 지급하지 않았다가는 역으로 문제가 될 수도 있다.

프리랜서가 가지는 권리

용역 계약자는 다음과 같은 권리를 가진다.

  • 근퇴관리를 당하지 않는다.
  • 특정 지역, 사무실에 종속해 근무할 필요가 없다.
  • 계약내에 일만 정해진 시간에 처리하면 그만이다.
  • 결과물을 제출할때에는 계약내에 정해진 문서, 소스코드도 함께 제출할 수 있다.

프리랜서는 일종의 사업자와 같은 동일한 직위를 갖는다.

예를들어, 자동차 회사 A 가 있다 치자. 타이어가 필요해서 타이어 공장 B 와 계약을 체결했다. 그렇다면 이 둘은 종속 관계가 아닌 민법성의 계약관계에 속한다. 자동차 회사 A 는 매달 100개, 많을때는 200까지 납품해줄 것을 요구하는 계약을 했다 치자.

타이어 공장 B 는 직원들을 고용하던 아니면 다시 프리랜서들을 채용하던 해서 타이어를 만들어야 한다. 그건 타이어 공장 B 가 알아서 할 일이다. 자동차 회사 A 가 타이어 공장 B 에게 이런 사람 뽑아라, 이래라 저래라 할 수 있는게 아니다.

계약을 맺고 보니 타이어 공장 B 가 보름이 다 되도록 공장이 돌지 않는걸 알게 된 자동차 회사 A는 타이어 공장 B에게 왜 일을 안하냐고 할 수 있을까? 안된다. 어짜피 매달 100개 타이어를 31일까지 납품만 하면 될 일이다. 납품 1주일 전에 100개를 찍어내서 납품하면 그만인 것이여서 보름동안 공장을 돌리지 않던 뭐하던 그건 타이어 공장 B가 알아서 할 일인 것이다.

자동차 회사 A 가 타이어를 만드는데 A 공장에 와서 일해라 할 수도 없는 것이다. 그건 타이어 공장 B가 알아서 할 일이고 여기서 일해라 저기서 일해라 할게 못된다는 것이다.

자동차 회사 A, 타이어 공장 B 를 IT 프리랜서에 대입해 보자.

특정 프로젝트에 지원해서 용역 계약서를 체결했다면 그 프로젝트에서 내가 해야하는 분야, 범위가 존재할 것이다. 계약 범위를 벗어나는 일을 안했다고 해서 내가 욕먹나 불이익을 받을 수는 없는 것이다.

프로젝트 기간 내내 어떤 일들이 주어질 텐데, 정해진 기간, 짧게는 일주일정도 시간이 필요해서 다음주 목요일까지 해드린다고 한다면 그때까지 결과물만 내놓으면 그만이다. 중간에 놀러가던 뭐하던 그건 문제가 되지 않는다.

휴가도 없다. 근퇴가 없다보니 휴가가 존재할 이유가 없는 것이다. 더 나가 그 사람이 성실하게 일을 사람인지, 능력이 있는 사람인지 따질 이유가 없다. 그져 돈, 그러니까 단가만 맞으면 일단 계약을 맺는 거다. 정해진 시간에 결과물만 받으면 그만인게 용역계약에 요체라고 할 수 있다.

그 누구도 법이 정한 프리랜서로 일하겠다는 사람 없다.

프리랜서들이 받는 돈을 월급이라고 부르지 않는다. 그건 용역 계약 대금이라고 부른다. 용역을 제공해 그 결과로 받는 대금인 것이다. 그래서 3.3%를 공제하는 것.

가만 들어보면 이보다 편한 곳은 없어 보인다. 근퇴 관리도 않하고 휴가도 없고.. 계약 기간내에 결과물만 돌려주면 돈은 받는 거니까.

하지만 대한민국 IT 프리랜서들 중에 이렇게 일하는 인간들 단 한명도 없다. 더 나가 이렇게 일하라고 해도 하겠다는 인간들은 존재하지 않는다.

법이 정한 기준을 따르지 않고 일을 하거나 일을 시키는 것을 불편하게 생각하고 개선하라고 정부나 사회에 요구해야 한다. IT 프리랜서들이라면 당연히 근퇴관리 부당함, 휴가 제도 부당함, 특정 사무실이나 장소를 지정하는데 부당함 등을 정부나 사회에 요구해야 한다.

하지만 그 누구도 그런 식으로 부당함을 겪고 있다고 말하는 사람은 존재하지 않는다. 그 어떤 프르랜서도 법대로 일을 하겠노라고 나서는 인간들이 없다.

왜 그렇게 주장하지 않나? 법이 정한 프리랜서들이 권리를 주장하지 않나?

당연히 주장할 수가 없다. 개인 사업자처럼 일을 혼자서 다 해야하는 지경인데, 그게 쉬울리가 없다. 그 누구도 법이 정한 프리랜서 권리를 다 지키면서 해본 사람이 거의 없다.

개인적으로 딱 2번 정도를 법이 정한 대로 한 적이 있다. 그것도 부득부득 우겨서… 그들이 보기에 내가 이상해 보일정도 였다고 한다. 다른 프리랜서들은 그렇게 말하는 그러니까 근퇴 없다, 휴가 없다, 집에서 일하고 결과물만 정해진 시간에 돌려주겠다 등 이런 것을 주장하면서 계약하자고 하는 인간이 없었다고 한다.

해보면 알게 된다고… 인간이 할 짓이 못 된다. 특히나 IT 처럼 24x7days 를 유지해야 하는 산업의 특성상 정해진 시간에만 결과물을 돌려주면 된다는 생각 자체가 모순적일 수도 있다.

예를들어, 특정 기능을 개발을 하고 컨펌을 받아 프로덕트 서버에 올렸는데 몇일 동안 문제가 없었지만 시간이 지나면서 문제가 생기기 시작했다. 하필이면 그것도 새벽에…

이럴 경우에 문제를 파악하기 위해서 문제가 발생되는 순간에 상태를 지켜보고 프로그램의 로그를 같이 봐야 하는 경우가 생긴다. 용역 계약서을 체결한 상태였기 때문에 이런 순간에 계약자가 요청을하면 봐줘야 하는 경우가 생길 수도 있다. 물론 계약서에 그런 처리를 하지 않는다고 명시해 계약하면 되겠지만 IT 특성상 그것이 쉽게 받아 들여지지 않는다. 왜냐하면 만든 사람이 문제를 제일 빠르게 파악하고 해결할 수 있기 때문에 당사자가 나서길 바란다.

이런 IT 특성때문에 법이 정한 프리랜서의 권리를 모두 충족한 상태에서 일을 할 경우에 24x7days 에 어떤 시간에만 일을 처리하기가 쉽지가 않다는데 있다.

딱 3개월 정도를 법이 정한 프리랜서로 일을 해보면 알게 된다. 인간이 할 짓이 못된다는 것… 일의 강도는 정규직 보다 프리랜서가 훨씬 쎄다.

나는 프리랜서인데, 정규직 처럼 일을 시킨다…….. 불만 가질 상황이냐..

한국의 IT 프리랜서들은 이미 이러한 것을 다 알고 있는 상황이다. 그들이 법이 정한 프리랜서들의 권리를 주장하지 않는 이유….. 개고생이 눈에 보이니까, 일이 강도가 정규직들보다 수십배는 쎄다는 것을 알고 있으니까…

그런데도 그들은 정규직처럼 일을 시킨다고 불만을 토로 한다. 그렇다고 법이 정한 프리랜서처럼 일을 하겠다고 주장하지도 않는다.

더 웃긴건 지역 노동위원회에 부당노동행위 신고를 하는 사람들이 존재하는데, 그들이 신고서에는 여지없이 근퇴, 휴가등이 들어간다. 최근 대법원의 판례들이 프리랜서 용역 계약을 한 상태에서 근퇴, 휴가등을 관리 했을 경우에 부당노동행위로 간주하고 있는 추세에 있다. 이것을 이용하는 것이지.

정리를 하면 법이 정한 프리랜서처럼 일을 하면 못하겠다고 하고 그렇다고 정규직 처럼 일을 시키면 그것도 못하겠다고 하고 하는 인간들이 한국 IT 프리랜서들이란 거다.

하나만 주장해라.. 하나만… 좋은것만 골라서 적용받기를 원하는게 인간이 할 짓이냐?

9~18시까지 일을 시키고 그 외에 긴급한 사정이 없는한 일을 안시키겠다, 휴가를 주도록 하겠다등은 프리랜서들에게 특혜를 주고 있다고 생각은 전혀 생각은 못한다. 심지여 인사평가를 받는 것도 아닌 상태인데, 이런 것을 해주는 것 자체가 특혜다.

더군다나 특정 장소를 제공까지 해주는 것도 특혜라고 생각하지 못한다. 애시당초 프리랜서는 준 사업자에 속한다. 사업자는 별도의 사업장이 있어야 한다.

프리랜서는 몸만 있으면 되는거다?

또 다른 주장은 프리랜서는 몸만 있으면 되는 논리다. 보통 프리랜서들은 노트북을 지참해 프로젝트에 투입되곤 한다. 이게 불만이라는 거다.

용역을 제공하는 사람이라 모든 장비는 업체가 제공해야 한다는 논리… 하지만 용역법 어디에도 모든 장비를 업체가 제공하라는 조문은 없다. 그야말로 민법 개념이라 계약을 어떻게 하느냐에 따라 달라지는 것이다.

업체에게 장비 제공을 요청했는데 업체가 거절했다면 계약을 하지 않으면 그만인 것이다. 그것을 장비를 제공하지 않았다고 개념없는 업체라고 까대는 인간들이 아주 많은 곳이 IT 프리랜서들이다.

그렇게 투덜대면서도 노트북 좋은게 뭐냐 문의를 또 많이 하지만, 더 웃긴건 그 좋은 노트북에 깔리는 OS, MS Office 모두 불법으로 설치된다는데 있다. 단가 500은 받아야 겠다는 사람들이 OS, MS Office 구입 비용이 아깝다는 사람들이다.

IT 에 종사하면서도 그 IT 종사자들의 피땀으로 일궈낸 결과물을 돈주고 못사겠고 불법 복제품 쓰겠다고 자랑스럽게 이야기하는 사람이 IT 프리랜서들이다. 그러면 그들은 업체가 노트북과 OS, MS Office 등을 제공해 줘야 한다고 주장한다. 바보냐..

이랜드 그룹 계열사 랜섬웨어 감염

이랜드 그룹 계열사 중 쇼핑몰로 유명한 NC백화점, 뉴코아아울렛등 23곳이 랜섬웨어 감염으로 휴점을 했다는 뉴스가 나왔다. 그런데, 뉴스 기사를 보고 의아한 생각이 들었던 것이 뉴스 기사에서는 이것을 ‘공격’으로 표현하고 있다는데 있다.

랜섬웨어 공격…NC백화점·뉴코아아울렛 23곳 휴점·영업차질 SBS

랜섬웨어는 몇해전부터 유명해진 방법이다. 대상이 되는 컴퓨터 시스템에서 활동해 관련 자료들을 전부 암호화 해버린다. 만일 암호화된 자료를 복호화 할려면 패스워드를 알아야 하는데, 랜섬웨어를 유포한 일당들은 이것을 빌미로 돈을 요구한다. 대부분 돈을 요구한데로 보내줬다고 하더라도 나몰라라 하는 경우가 많다.

랜섬웨어는 공격을 하는 형태가 아니다. 랜섬웨어의 주요 경로는 불법적인 소프트웨어 다운로드에 있다. 정식경로가 아닌 경로에서의 소프트웨어 다운로드는 그 소프트웨어가 어떤 변형을 가지고 있는지 보증하지 않는다. 두번째는 이메일이다. IT 업무를 하는데 있어 이메일은 중요한 수단인데, 업무용 이메일과 사적인 이메일을 함께 설정해 사용하는 경우가 많다.

랜섬웨어는 이렇게 알게 모르게 첨부된 형태의 프로그램이다. 단지 그 프로그램이 실행될 것이라고 알아차리지 못하는 것이다. 그래서 이런 형태를 공격이라고 보긴 어렵다. 감염이라는 말이 더 맞는 말이다.

‘감염’ 그건 곧 이랜드 그룹 ‘책임’

뉴스에서는 ‘공격’ 이라는 표현을 썼는데 분명 잘못된 것이다. 그런데, 왜 이런 공격이라는 표현을 쓰는 것일까? 답은 간단하다. ‘감염’ 이라는 표현을 쓸 경우에 이것은 이랜드 그룹이 IT 업무를 하는데 있어 보안상의 주의의무를 다하지 않아 발생된 책임을 지게 된다.

결국에 이랜드 그룹의 책임이 없다는 함의를 전달하기 위해서 ‘랜섬웨어 공격’ 이라고 표현한 것인데, 명백한 책임회피다.

기업은 자신이 하는 일에 대한 책임을 져야 한다. 아니 기업까지 갈 필요도 없이 사람도 마찬가지다. 특히나 IT 관련 기업들은 개인정보를 다루는 경우 뿐만 아니라 많은 사람들이 그 IT 기업이 운영하는 서비스에 의존해 생계를 유지하는 경우도 많다.

그런데, 한국에서 IT 기업의 책임을 묻거나 그것에 대해서 배상을 한 적은 단 한번도 없다. ‘배상’ 은 물질적인 책임, 정신적 책임에 대해서 보상을 하는 것을 말한다. 하지만 언제부터인가 IT 기업은 말로만 ‘사과’ 하고 끝이였다.

싸이월드 개인정보 유출 사건

네이트 개인정보 해킹 사과

여론을 다루는 언론사마져 기업 책임에 대한 인식이 없다

기업이 책임을 다하지 않는다는 모습을 보일때에 사람들은 분노한다. 하지만 오래전부터 내려온 IT 기업의 개인정보 유출 사건과 대법원의 현실을 외면한 판결로 인해서 이제는 그러려니~ 하는 분위기다 팽배하다.

기업은 당연히 책임을 지려고 하지 않을 것이고 대법원이야 법대로 처리하는 곳이라고 한다면 여론을 다루는 언론사만이라도 ‘그러려니~’ 하는 시각을 가져서는 안되는 것 아닌가?

랜섬웨어 네이버 뉴스검색
랜섬웨어 네이버 뉴스검색

언론들 마져도 랜섬웨어 ‘공격’ 이라고 하고 앉았으니 절망적이라고 봐야 한다. IT 를 잘 모르는 대부분의 국민들은 최선을 다하는 기업이 엄하게 공격을 받아서 영업에 지장을 받은 것으로 인식할게 뻔하지 않나.

이랜드 그룹사의 랜섬웨어 감염은 공격 받아 발생한 문제가 아니다. 이 말은 평소 이랜드 그룹사에서 IT 업무를 할때에 보안적인 측면에서 업무 프로세스가 없거나 설사 있다고 하더라도 업무하는데 지장을 준다는 이유로 이행하지 않았을 것이 분명하다.

이랜드 그룹사가 보안에 대한 업무를 제대로 하지 않는 바람에 랜섬웨어에 감염됐다는 것이 이번 사건의 본질이다. 이에 따른 영업 손실에 대한 배상은 당연한 것이다.

이랜드 그룹사 랜섬웨어 감염 원인1
이랜드 그룹사 랜섬웨어 감염을 설명하는 댓글
이랜드 그룹사 랜섬웨어 문제 언급 댓글
이랜드 그룹사 랜섬웨어 문제 언급 댓글

대충사는 인간들도 문제

프리랜서로 일을 하다 보면 다양한 인간 유형을 만난다. 10에 9명은 자신의 행동을 통제하려고 하지 않는다. IT 라는 업무는 나름대로 규격이 정해져 있다. 다른 분야는 잘 모르지만 IT 산업은 매우 체계적이여서 접근하기도 쉽고 배우기도 쉬운 편에 속한다.

하지만 IT 를 한다는 인간들 대부분이 그러한 업무를 하는데 있어서 개인적인 행동에 제약이 존재한다는 것을 배우려 하지 않는다.

대표적인 것이 이메일이다. 이랜드 그룹사에 경우에도 회사의 메일서버를 운영한다. 개인마다 회사 업무를 위한 메일을 발급하는데, 대부분 사람들이 자신의 업무용 PC 에 Outlook 과 같은 메일 클라이언트를 설치해 POP3 프로토콜을 이용해 메일을 사용한다.

문제는 이 Outlook 에 개인이 사용하는 메일들, 예를들어 네이버 메일, 다음 메일등도 함께 등록해 사용하는 사람들이 존재한다는데 있다.

업무용 PC 는 인터넷과 연결해 사용한다고 하더라도 사적인 일을 해서는 안된다. 하지만 Outlook 에 개인이 사용하는 이메일을 연결하는 행위자체가 문제가 된다는 인식이 없다.

업무용 PC 를 이용해 쇼핑을 하는 경우도 허다하다. 쇼핑을 하는데 무슨 문제가 되느냐 하겠지만 문제는 결제할때 발생한다. 그 말도 안되는 ActiveX 프로그램들을 죄다 설치해야 하는데, 이벤트를 진행하는 경우, 분초를 다투면서 업무는 둘째고 급하게 결제를 하는 인간들도 있다.

이미 업무용 PC 에는 회사에 보안 정책에 기반한 각종 보안 프로그램들이 작동되고 있는데, 쇼핑 결제를 하겠다고 설치한 ActiveX 가 작동되지 않을 경우 어떻게든 회사에서 설치한 보안 프로그램을 우회할려고 피나는 노력을 아끼지 않는 인간도 있다.

이것도 기업 책임

그런 인간유형을 활개치게 놔두는 것도 기업의 책임일 수밖에 없다. 이런 유형의 인간들을 집어내 내치는 것 또한 기업이 책임져야할 일이 아니겠나. 더 나가 그렇게 하지 못하도록 기업의 문화를 만들어내는 것도 기업의 책무다.

뭐.. 하지만… 대충하는 인간들이 정치질에 승승장구하는게 세상이니..

배민의 배신??

배달의 민족이 딜리버리 히어로에 매각(?) 됐다. 국내 배달앱 1위를 달리는 배달의 민족을 인수한 딜리버리 히어로는 이미 요기요 배달앱을 인수해 한국 시장에 진출한 상황이다. 이런 상황에 배달의 민족을 인수한 딜리버리 히어로는 국내시장에서 사실상 독점적 지위에 올랐다라고 밖에 말할 수 밖에 없다.

그런데, 논란은 배달의 민족이 독일계 딜리버리 히어로에 매각한 것을 두고 ‘배신’ 이라는 성토가 이어지고 있다는데 있다. 국내에 자영업자들의 고열을 빨아 성정한 배달의 민족… ‘민족’ 이라는 어찌보면 ‘국내용’ 간판을 단것도 사람들의 마음을 아프게 한것도 있을지도 모른다.

이런 논란을 뒤로하고 이것을 바라보는 내 시각을 정리해 본다.

전세계 배달앱 시장에서의 한국.

한국 만큼 24시간 잠을 안자는 민족도 없을 것이다. 유튜브에 유행하는 한국 거주 외국인들의 말을 들어봐도 그렇다. 영미, 유럽등 다른 나라에서는 안전상의 이유도 있지만 대부분 밤9시나 10시쯤이면 가게가 문을 닫는다. 하지만 한국은 24시 편의점이 존재만으로도 그것을 입증한다.

그것뿐만이 아니라 야식이라는 문화도 한몫한다. 새벽까지 잠을 안자는 습성,, 그 중간에 뭔가를 먹어야겠다는 욕망.. 한국의 종특이라고 할수도 있다. 그런 문화를 기반으로 하는 배달 문화는 당연하다.

실제로 딜리버리 히어로에서의 한국 시장에서 직위는 어마어마하다. 딜리버리 히어로는 전세계를 기반으로 배달시장에 진출했지만 한국 시장에서 벌어들이는 수익은 다른 시장에서의 수익을 훨씬 높다.

한마디로 다른 세계시장에서 한국 시장에서의 수익은 단연 원탑이다.

자영업자들의 고열을 빨아 외국 자본에 배만 불린….

내가 봤을때 자영업자의 고열을 빤것은 맞는 말이기도 하다. 내가 자주가는 중화요리집이 있어 그 분들과 자주 이야기를 하는데 배달앱을 별로 좋아하지 않았다. 문제는 수수료. 시장의 독점적 지위를 이용해 수수료를 강제하는 행위는 명백한 독과점 행위다.

문제는 외국자본이라는 건데, 외국자본뿐만 아니라 국내자본등이 이번 거래로 인해서 어마어마한 돈을 벌었다는 것인데 이것에 대한 비판도 있다.

이 부분에 대해서 배민을 욕할 수 있나… 내가 사장이며 사업을 넓히긴 바란다면 당연히 돈이 필요할 것이며 투자자금이 절실하게 된다. 배민 대표도 당연히 사업을 확장하면서 이런 고민을 했을게 분명하다. 사업을 하는 대표라면 이런 고민을 다하게 된다.

이런때에 외국자본이 배달의 민족을 먼저 알아보고 투자금을 내준 것일 뿐이다. 먼저 알아보기도 했거니와 배달의 민족 대표가 투자 요청을 공개적으로 했을 수도 있지만 어쨌든 결정은 투자자가 하게된다. 외국자본은 시장의 흐름을 분석해 배달의 민족에 선 투자를 했을 뿐이다.

“외국 자본의 배만 불린..” 기사는 그래서 내게는 좀 다른 생각을 갖게 한다. 그렇다면 한국 자본은 뭘했다는 건가…. 아무리 생각을 해봐도 한국자본은 배달의 민족에 투자를 결정할 능력이 없었다는 거다.

배달의 민족 대표…

내가 배민의 대표였다면 이런 결정을 할 것인가…. 이런 질문에 대부분의 사람들은 도덕주의적인 관점에서만 바라 보게 된다. 남읠 비판하기에 가장 좋은 도구는 도덕성일테니까.

민족을 배신한 대표…. 글쎄다…. 일단 돈을 받은것도 아닌 딜리버리 히어로에 한 자리를 받았을 뿐이다. 물론 지분이 있기 때문에 지분을 처분하면 현찰이 되겠지만, 어쨌든 지분을 가지고 있는 상태… 그리고 딜리버리 히어로에서 경영자로서 한 자리..

내가봤을때 내가 그 대표였다면 이렇게 하지 않았을 것이다. 그것 확실하다. 그 이유는 아마도 국가, 지역사회, 커뮤니티와 지역적이 고유한 미덕, 문화등을 무시한 자본적인 사고를 별로 좋아라하지 않기 때문이다.

현실을 살아가는데 자본은 중요하다. 부정할 수 없는 현실성이 아니겠나. 그렇다고 그것이 내가 살아가는데 중요한 가치까지 넘어설수는 없다고 생각한다.

배민의 대표는 자신의 경영자로서 딜리버리 히어로로 한 자리를 얻었겠지만 그런 판단에는 그동안에 그런 회사를 키워준 사회에 대한 고려가 과연 있었겠나 하는 생각…. 그런 생각을 했을까….

독과점…

신자유주의 시장이라는 미국. 다른걸 제외하고 자본을 운영하는 미국을 보고 있노라면 무섭기도 하다. ‘반독점법안’ 이 강력함은 말을 하지 않아도 될 정도고 문제는 자본을 어지럽힌 자는 같은 자본으로서 벌을 내리는 제도를 운영하는 미국…

미국에서 이런 일이 벌어졌다면 어떻게 될까… 미국 정보는 이번 거래를 승인할까? 미국 뿐만 아니라 유럽에서 일이 벌어졌다면 과연 유럽은 이 거래를 승인할까?

굳이 전문가가 아니라고 하더라도 내가 본 몇년간 배달앱 시장은 독점적 시장으로 발전해가고 있었다. 1위와 2위가 이미 시장의 70% 이상을 넘어서고 있는 것이 증명한다.

이런 상황에서 국가인 한국정부는 뭐했냐고 하고 싶지만 지금의 자유시장, 그것도 한국의 자유시장에서 국가의 힘은 그렇게 크지 않고 어찌할 수도 없었을 것이다.

방법은 그져 한국자본이 배달의 민족과 같은 회사에 조기 투자를 하는 수밖에.. 아니면 지분을 가지던가….

이래저래 생각을 해봐도 어렵구만..