코로나 바이러스로 생각해보는 시스템 아키텍처, 원격 근무 환경, 오픈소스

아래는 마이크로소프트웨어 400호에 기고하기 위해 4월 초에 작성한 글입니다. 마이크로소프트웨어의 편집 방침에 따라 예사말로 작성되었습니다.

마이크로소프트웨어 400호를 구매하시려면 이 링크를 참조하십시오.

서론

코로나 바이러스는 예기치 못하게 우리의 일상을 크게 바꾸어 놓았다. 우리는 이 여파를 금융 시장의 급상승한 변동성에서 항상 가득 찬 아파트 주차장까지 다방면으로 체감하고 있다. 온라인 서비스를 운영하는 IT 정보 노동자로서 우리가 고민해 봐야 할 점들과 이번 사태를 대처하면서 느낀 점들에 대해서 생각해봤다.

의존성과 외부 효과

<그림1> 시스템 의존성의 구성 요소들 (Sommerville, Software Engineering)

소프트웨어 시스템의 의존성(dependability)은 말로 표현하기 어려울 만큼 중요하다. 사용자가 시스템을 얼마나 신뢰하는지에 대한 척도인 의존성이 낮다면 나쁜 사용자 경험을 제공하거나 보안 사고로 이어질 것이다. 시스템의 의존성이 높으려면 다양한 상황에서 오류가 적어야 하고 개발자와 사용자의 의도대로 작동해야 한다. 이를 위해서는 외부 효과에 의한 영향을 가능한 적게 받아야 한다.

온라인 서비스 시스템의 개발 및 운영에서 흔히 고려해왔던 외부 효과는 서비스 사용량의 증가 또는 사용성 증대 등의 이유로 인한 기능 추가 및 변경이었다. 코로나 바이러스로 인한 외부 효과는 우리가 사용하는 서비스들에도 영향을 끼쳤다. 넷플릭스의 경우 많은 사람들이 집에 머무르면서 시청량이 늘어나 트래픽이 폭증하자 EU의 요청에 따라 스트리밍 품질을 일시적으로 낮췄다고 한다. 네이버 지도는 공익을 위해 마스크 재고 확인 기능을 추가했다. 다행히 위의 예시들은 시스템 아키텍처에 대한 대공사 없이 적용할 수 있는 설계 단계에서 미리 고려된 변경들이다.

<그림2> 코로나 바이러스라는 사회적인 문제가 소프트웨어 시스템들의 의존성을 위협하고 있다. (Sommerville, Software Engineering)

하지만 고려되지 않은 외부 효과에 대한 대응은 때로는 매우 어려울 수 있다. 일반적인 컴퓨터 공학과 소프트웨어에 대한 교육 과정에서는 컴퓨터 바이러스에 대해서는 논하지만 신체에 질병을 일으키는 바이러스에 대해서는 다루지 않는다. 언뜻 보기에는 아무 관련이 없어보이는 공중 보건이 <그림2>에서 보이는 바와 같이 계층간 영향 전파를 통해 소프트웨어 시스템의 의존성과 연관되어 있다. 코로나 바이러스는 아래의 구성 요소들을 저하해 소프트웨어 시스템들의 의존성을 낮추고 있다.

 

가용성

지금까지는 가용성에 대해서 사회적인 관점의 고려가 거의 이뤄지지 않았다고 볼 수 있다. 관리 편의상 직원들은 규정과 절차에 따라 정해진 물리적 환경에서 업무를 처리한다는 가정을 국내의 보안 지침과 업무 프로세스에서 공리로 받아들여 왔으며 권장됐다. 지금까지는 일터가 천재지변에 준하는 사건으로 인해서 폐쇄되지 않는 이상 이로 인해 조직 단위에서 문제가 될 일은 없었다. 동시에 여러 회사들의 전사 직원들이 출근할 수 없는 상황도 발생한 적이 없었기 때문이다. 위치에 상관없이 비슷한 효율로 업무를 처리할 수 있는 체계와 환경이 갖춰져 있지 않은 많은 회사들이 업무 효율성 저하를 호소하고 있다. 24시간 운영되는 가상자산 거래소 고팍스를 관리하는 입장에서는 인력 이탈이 가용성의 저하를 불러올 수 있는 상황이라고 판단했다.

 

보안성

소프트웨어 시스템들이 생겨난 이후로 다양한 위험 요인으로 인한 보안 사고가 있어왔기 때문에 보안성의 측면에서는 여러 방면에 대한 고려가 이뤄져 왔다. 기술적인 요인 외에도 물리, 정책, 내부자에 대한 보안이나 사회공학적 침투 방어 등에 대한 기준이 정립되어 있다. 불운하게도 가용성과 마찬가지로 관리 리스크를 최소화하기 위해서 원격 접근은 불가피한 사유로 인해서만 극소수의 인원들에게 예외적으로 허용하는 것이 국내의 기준이었다. 원격 접근이 금기시됨에도 불구하고 전 직원이 원격 접근을 해야하는 비상 상황을 미리 대비한 회사는 국내에 거의 없을 것이라고 생각한다. 원격 접근을 허용함으로써 발생하는 위험이나 정보 기기의 외부 반출로 인한 문제를 회피하지 않고 해결해야 하는 상황이 되어버렸다.

<그림3> 비용적인 문제로 인해 리스크 관리(risk management) 측면에서 고려가 미비했던 원격 근무가 화두가 됐다. (McConnell, Rapid Development: Taming Wild Software Schedules)

경험 사례: 원격 근무 환경 구축

희귀하지만 전직원이 상시 원격 근무를 하고 있는 국내 기업이나, 다양한 시차에 위치한 여러 오피스에서 협업을 해야하는 구글이나 아마존과 같은 회사들은 이번 사태로 인해 업무 효율성이 거의 저하되지 않았다고 한다. 오랜 기간에 걸쳐서 원격 근무에 적합한 업무 프로세스와 환경을 확립했고 구성원들도 적응이 되어있기 때문이다.

하지만 대다수의 국내 기업들에게는 그런 준비 기간이 주어지지 않았다. 내가 근무하고 있는 스트리미에서도 예기치 않은 이번 사태로 인해 긴급하게 격리자를 위한 원격 근무 체계를 갖춰야 했다. 국내의 정보보호 및 개인정보보호 관리체계(ISMS-P)의 인증 기준에서는 정확히 “보호구역 이외 장소에서의 정보시스템 관리 및 개인정보 처리는 원칙적으로 금지하고, 재택근무, 장애대응, 원격협업 등 불가피한 사유로 원격접근을 허용하는 경우 책임자 승인, 접근 단말 지정, 접근 허용범위 및 기간 설정, 강화된 인증, 구간 암호화, 접속단말 보안(백신, 패치 등) 등 보호대책을 수립, 이행하여야 한다”고 명시하고 있다. 그러나 인증 기준은 충족해야 하는 기술적 요건들에 대해서 세부 사항을 통해 명시하지만 요건들을 충족하려면 시스템을 어떻게 구축해야 하는지에 대한 모범 사례나 참고 자료를 제공하지는 않는다. 그리고 이러한 세부 사항들은 원론적으로 보안 사고를 방지하기 위해서 존재하는 것이기 때문에 놓치고 있는 점들이 있을지에 대해서도 생각해봐야 했다.

일반적인 소프트웨어 기반 온라인 서비스의 구조를 추상화하면 공용망을 통해 서비스의 공개된 영역에 접근하는 서비스 사용자(User), 서비스 시스템 상태의 일부를 정해진 방식에 따라 간접적으로 변경할 수 있는 관리자(Operator), 서비스 시스템의 구성을 직접적으로 변경할 수 있는 IT 운영자(IT admin)의 3가지 객체와 각 객체와 정해진 방식에 따라 상호 작용하는 서비스 시스템(System)으로 구성된다.

<그림4> 각 객체는 허용된 경로와 방식을 통해 시스템과 상호 작용한다.

원격 근무를 허용하게 되면 <그림5>와 같은 형태의 구조로 변경된다고 볼 수 있다.

<그림5> 원격지의 근무자가 게이트웨이를 통해 사내 자원을 접근하게 되어 추가적인 리스크가 발생한다.

스트리미의 기존 시스템에 어떤 변경들을 적용하면 요구 사항들을 충족할 수 있을지 확인해봤다. 아래는 ISMS-P의 원격 접속에 대한 인증 기준의 주요 확인사항과 세부 설명들이다.

 

주요 확인사항

인터넷과 같은 외부 네트워크를 통한 정보시스템 원격운영은 원칙적으로 금지하고 장애대응 등 부득이하게 허용하는 경우 보완대책을 마련하고 있는가?
⇒ 기존에는 원칙적으로 금지해왔다. 부득이한 상황이 되어서 보완대책을 마련하게 되었다.

내부 네트워크를 통해서 원격으로 정보시스템을 운영하는 경우 특정 단말에 한해서만 접근을 허용하고 있는가? 재택근무, 원격협업, 스마트워크 등과 같은 원격업무 수행 시 중요정보 유출, 해킹 등 침해사고 예방을 위한 보호대책을 수립, 이행하고 있는가? 개인정보처리시스템의 관리, 운영, 개발, 보안 등을 목적으로 원격으로 개인정보처리시스템에 직접 접속하는 단말기는 관리용 단말기로 지정하고 임의조작 및 목적 외 사용 금지 등 안전조치를 적용하고 있는가?
⇒ 안전한 원격 근무를 위해서 반드시 지켜져야 하는 사항들이다. 사내 인프라의 구조에 따라서 보안 조치의 난이도가 천차만별일 것으로 보인다. 이것들은 원격 근무 솔루션을 선택하는데 중요한 기준이 되었다.

세부 설명

인터넷과 같은 외부 네트워크를 통한 중요정보(개인정보) 처리, 정보시스템, 개인정보처리시스템과 연관된 주요 자산(서버, 네트워크 장비, 보안장비 등)의 원격운영은 원칙적으로 금지하고 부득이하게 허용하는 경우 다음과 같은 대책을 수립·이행해야 한다.

▶ 원격 운영 및 접속에 대한 책임자의 승인
⇒ 정책적으로 책임자의 승인 후에 원격 근무를 시행하게 된다.
▶ 안전한 인증수단(인증서, OTP 등) 적용
⇒ 원격지와 사내 시스템의 연결시 인증 과정에서 필수적이다. 대부분의 회사에서 이미 활용하고 있을 것이다.
▶ 안전한 접속수단(VPN 등) 적용
⇒ 외부의 공격을 차단하기 위해서 필수적이다. VPN 서버를 구축하는 것은 비교적 간단하게 가능하다.
▶ 한시적 접근권한 부여 및 권한자 현황 관리
⇒ IT 운영 조직의 지속적인 노력도 필요하고, 무엇보다 사내 전산 자원이 업무 특성과 사용자 권한에 따라 적절하게 분리되어 있어야 한다.
▶ 백신 설치, 보안패치 등 접속 단말 보안
⇒ 명시된 소프트웨어의 설치는 원격지의 접속 단말에 대한 최소한의 보안조치이자 미봉책이라고 생각됐다. 접속 단말의 분실, 외부망 접속, 외부 공격을 모두 대응할 수 있어야만 원격 근무로 인한 보안 사고를 방지할 수 있을 것으로 보여서 가장 고민한 부분이다.
▶ 원격운영 현황 모니터링(VPN 계정 발급·사용 현황의 주기적 검토 등)
⇒ 보안 조직의 지속적인 노력이 필요하다.
▶ 원격접속 기록 로깅 및 주기적 분석
⇒ 원격 근무 솔루션이 로그를 남겨주어야 한다.
▶ 원격 운영 관련 보안인식 교육 등
⇒ 지속적인 보안 관련 교육을 사내에서 시행하고 있다.

내부 네트워크를 통해서 원격으로 정보시스템을 운영하는 경우 특정 단말에 한해서만 접근을 허용해야 한다.
▶ 접속 가능한 단말을 IP주소, MAC주소 등으로 제한
⇒ 외부의 공격을 차단하기 위해서 필수적이다. IT 운영 조직의 지속적인 관리가 있다면 쉬운 편이다.
▶ 정상적인 원격접속 경로를 우회한 접속경로 차단 등
⇒ IP주소와 MAC주소는 기기의 UUID에 해당하는 변조 불가능한 정보가 아니기 때문에 ‘정상적인 경로’를 정의하기 어렵다.

재택근무, 원격협업, 스마트워크 등과 같은 원격업무 수행 시 중요정보 유출, 해킹 등 침해사고 예방을 위한 보호대책을 수립·이행해야 한다.
▶ 스마트워크 업무형태 정의 : 재택근무, 스마트워크 센터, 원격협업, 모바일오피스 환경
▶ 스마트워크 업무환경 정보보호지침 수립 및 교육 등
▶ 스마트워크 업무 승인절차 : 스마트워크를 위한 원격접근 권한 신청, 승인, 회수 등
⇒ 보안 조직의 지속적인 노력이 필요하다.
▶ 스마트워크 업무형태에 따른 업무 허가 범위 설정 : 내부 시스템 및 서비스 원격접근 허용 범위
⇒ 내부 시스템이 적절하게 분리되어야 하고 민감도에 따라 권한 관리가 이루어져야 한다.
▶ 원격접근에 필요한 기술적 보호대책 : 전송구간 암호화(VPN 등), 강화된 사용자 인증(OTP 등)
⇒ 쉽게 적용 가능하다.
▶ 접속 단말(PC, 모바일기기 등) 보안 : 백신 설치, 보안패치 적용, 단말 인증, 분실/도난 시 대책(신고 절차, 단말잠금, 중요정보 삭제 등), 중요정보 저장 금지(필요 시 암호화 조치) 등
⇒ 매우 어려운 부분이다. 분실, 도난, 암호화된 중요정보의 복호화 가능성을 모두 원천적으로 차단하고 싶었다.

개인정보처리시스템의 관리, 운영, 개발, 보안 등을 목적으로 원격으로 개인정보처리시스템에 직접 접속하는 단말기(관리용 단말기)에 대하여 다음과 같은 보호조치를 적용해야 한다.
▶ 관리용 단말기 지정 및 목록관리
⇒ 보안 조직의 지속적인 노력이 필요하다.
▶ 인가 받지 않은 사람이 관리용 단말기에 접근해 임의로 조작하지 못하도록 조치
▶ 등록된 관리용 단말기이외에는 접근하지 못하도록 조치
▶ 본래 목적 외로 사용되지 않도록 조치
▶ 관리용 단말기에 악성프로그램 감염 방지 등을 위한 보호조치 적용
⇒ 매우 어려운 부분이다. 원격지에서 위 조치들이 상시 적용되도록 하면서 물리적으로 단말기가 탈취되는 경우도 대비해야 한다.

 

기존 사내 IT 시스템과 서비스 환경에 맞춰서 이들을 충족할 방법들에 대해서 조사했다. 재택 근무자들이 가정에서 사용하던 컴퓨터를 통해서 회사의 네트워크에 접속하는 것은 허용 범위 밖이니 원격 근무를 위한 노트북을 원격 근무자별로 지급하는 방법이 가장 현실적으로 보였다. 원격 노트북별 환경 설정을 통해 인증 기준의 세부 사항들을 충족하는 것은 무리라고 느껴졌다. 근무자별로 접근해야 하는 자원도 다르고 사용해야하는 운영 체계도 다르고 업무에 필요한 시스템 사양도 달랐다. 노트북의 로컬 환경에 설치된 소프트웨어만으로는 물리적 사고에 완벽하게 대처할 수 없다고 판단됐다.

요구 사항들을 종합해보면 근무자:단말기:접근 가능 자원:접근 가능 경로가 1:1:1:1로 대응되는 형태로 분실, 도난 등의 물리적 사고와 외부 공격에 영향받지 않는 체계를 구축하는 것이 핵심이었다. 다행스럽게도 리서치 결과 AWS에서 제공하는 아마존 워크스페이스(Amazon WorkSpaces)를 활용해 위의 요구사항들을 모두 충족하는 원격 근무 환경을 구축할 수 있을 것으로 보였다. 근무자별로 발급된 인증서가 탑재된 단말기를 사용하고, 지정된 IP 주소로부터 VPN 연결을 생성해야만 원격 근무 환경에 접근할 수 있도록 했다. 단말기를 원격 근무 환경에 대한 접근만 가능하도록 하면서 어떤 중요정보도 단말기의 로컬 저장소에 남지 않도록 할 수 있었다. 개별 원격 근무 환경의 접근 가능 자원 설정은 AWS에서 활용하던 자원별 접근 관리 방식을 그대로 재활용할 수 있었으며, EC2와 같이 필요 사양에 따라 유연하게 컴퓨팅 성능을 할당할 수 있었다. ‘아마존 워크스페이스를 활용한 원격 재택 근무 환경 구축하기’에 대한 자세한 구축 방법은 이 링크를 참고하면 된다.

 

원격 근무 환경을 구축하고 나니 아찔했다. 사내 전산 시스템과 접근 경로의 논리적/물리적 분리, 다년간의 AWS 사용 경험, 유능한 IT 운영 및 보안 조직 중 하나라도 부실했다면 단기간에 ISMS-P 인증 기준에 부합하는 원격 근무 환경을 구축하지 못했을 것이 분명했다.

IT에 대한 공공 서비스

코로나에 대한 직접적인 방역 및 치료에 엄청난 공공 자원이 투입되고 있다. 다행스럽게도 한국의 대처 사례는 전세계적으로 가장 성공적이라고 평가받고 있다. 나는 비슷한 방식의 접근이 IT 업계에서도 유의미하게 적용될 수 있다고 생각한다. 어떠한 방식으로 IT 분야에 공공 자원이 투입되는 것이 사회 구성원들에게 가장 많은 효용을 제공할 수 있을까?

기업과 서비스가 일정 규모 이상으로 커진 이후에 보안 관련 인증을 시작하는 지금의 방식은 지역 사회에 바이러스가 전파된 이후에 방역을 시작하는 것과 비슷하다는 생각이 든다. 설계와 구현 단계에서부터 높은 의존성을 갖도록 하는 것은 백신을 미리 접종하는 것이라고 할 수 있다.

 

소프트웨어 업계의 경우 완제품 서비스에 대한 인증은 있지만 제품을 구성하는 부속에 대한 인증은 보안 관련 라이브러리들을 제외하면 존재하지 않는다는 점이 아이러니하다. 흔하게 사용되는 오픈소스 라이브러리들은 여러 서비스들을 통해 수천만명이 간접적으로 사용하고 있다. 하지만 KS나 HACCP에 상응하는 절차가 존재하지 않는다는 사실이 의아하게 느껴진다.

 

이러한 상황에서 영세한 스타트업의 입장에서는 초기부터 시스템의 의존성을 높이는 것이 어렵다. 전체적인 시스템을 어떻게 설계하고 무엇을 활용해 어떻게 개별 모듈을 구현하는 것이 최선인지 알기 어렵고, 인증된 상용 솔루션들을 도입하는 것도 비용 문제로 인해 부담이 되며 추후에 어떤 문제가 발생할 수 있을지 예측이 힘들다.

의존성이 높은 오픈소스

시스템에 영향을 끼칠 수 있는 외부 효과들이 예측 가능한 경우에는 오픈소스를 통한 공개적이고 지속적인 검증이 더 높은 의존성을 달성할 수 있다는 사실이 여러 사례를 통해 확인되고 있다. 운영체계들 중에서는 리눅스가 일반적으로 가장 안전하다고 평가되고 있으며 러시아 정부에서도 리눅스 기반의 오픈소스 운영체계를 도입하고 있다.

 

그 외에 가용성과 보안성의 측면에서 높은 의존성을 가진 오픈소스 소프트웨어의 예시로는 비트코인을 들 수 있다. 비트코인은 금융적인, 그리고 소프트웨어적인 관점에서 외부 효과에 강한 내성을 가지고 있는 안정적인 분산 시스템으로 만들어졌다. 2008년 금융 위기 이후 기존 금융 시스템에 대한 대안적인 생태계로 설계된 비트코인은 통화 정책에 의해 임의로 조절되는 공급량이라는 외부 효과에 노출되는 법정화폐와 반대로 2100만이라는 정해진 공급량을 갖는다. 이는 프로토콜에 정의되어 있어 특정한 주체가 독자적으로 바꿀 수 없다. 비트코인 네트워크를 구성하는 임의의 숫자의 노드(node)들이 작동을 멈추거나 프로토콜을 변경하려고 시도하더라도 네트워크의 가용성에는 문제가 없도록 설계되어 있다. 타원곡선 디지털서명 알고리즘(ECDSA; Elliptic Curve Digital Signature Algorithm)에 기반한 비트코인의 보안성은 10년이 넘는 세월동안 지속적인 공격에도 뚫리지 않았으며 수학적으로도 증명된 바(Fersch, Manuel, Eike Kiltz, and Bertram Poettering. “On the provable security of (EC) DSA signatures.” Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security. 2016.) 있다.

 

이러한 사례들을 참고해 개선할 수 있을 것으로 생각되는 분야의 예시로는 본인 확인 및 인증이 있다. 개별 서비스 제공자들마다 직접 필요에 따라 개인정보를 수집, 보관, 관리하는 현재의 방식으로는 개인정보를 안전하게 처리하기 어렵다. 한 개인의 정보가 n개의 서비스 제공자들에 의해 처리되고 개별 제공자에 의해 유출될 확률이 p_i라고 한다면 개인정보가 유출되지 않을 확률은 ∏(1-p_i)이니 지수적으로 감소하는데, 단 하나의 서비스 제공자만 개인정보를 유출하더라도 마치 코로나 바이러스처럼 전세계의 해커들에게 퍼져나가는 것이 현실이다. 이를 더 안전하게 개선하려면 한 개인의 정보는 제한된 숫자의 시스템에만 존재하면서 각 서비스 제공자는 개인정보에 대한 제한적인 접근만 가능해야 할 것이다. 블록체인과 동형암호(homomorphic encryption)를 활용(Camenisch, Jan, and Anja Lehmann. “(Un) linkable Pseudonyms for Governmental Databases.” Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Security. 2015.)해서 이러한 환경을 구축할 수 있다.

<그림6> Controller를 블록체인으로 구현해 개인정보에 대한 직접적인 접근 없이 인증 및 본인 확인을 수행할 수 있다. (https://medium.com/asecuritysite-when-bob-met-alice/homomophic-encryption-and-unlinkable-pseudoid-in-12-lines-of-python-ac61d2f19128)

 

<그림6>과 같은 시스템이 존재한다면 서비스 제공자들과 감독 주체 모두에게 득이 될 것이다. 서비스 제공자들은 사고 리스크가 높은 모듈에 투입될 자원으로 서비스의 핵심적인 부분에 집중할 수 있게 되고, 정부에서는 관리 대상이 줄어들게 되고 제한된 예산을 집중해 투자할 수 있으며 개인 정보의 유출이 발생하고 있지 않다는 것을 증명할 수 있으니 모두가 바라는 바일 것이다.

맺음말

다양한 외부 효과에 빠르게 대응해 시스템이 높은 의존성을 유지할 수 있도록 하려면 설계에서부터 구현 및 운영 단계까지 여러 계층에서 적절한 고려가 필요하다. 변경 사항을 늦게 적용할수록 훨씬 더 많은 비용이 발생한다.

 

안전하게 이번 코로나 사태를 극복하는데 조금이나마 도움이 되고자 원격 근무 환경을 직접 구축한 경험을 고팍스 블로그를 통해서 공유한 바 있다. AWS를 이미 잘 활용하고 있는 회사라면 내 글을 참고해서 안전한 원격 근무 환경을 구축할 수 있었을 것이다. 하지만 클라우드 상에서 사내 전산 자원에 대한 망 분리 또는 접근 권한 관리가 이뤄져 있지 않거나 온프레미스 의존도가 높은 회사라면 단기간에 적용하기 힘들어 크게 도움이 되지 않았을 것이라는 점이 안타까웠다. 비슷한 기능의 다른 서비스를 사용하는 것이 더 적절한 회사도 있을 것이라는 생각도 들었다.

 

이번에 화두가 된 원격 근무도 단지 이 사태를 넘기기 위한 조치를 회사마다 시행하고 지나간다면, 해마다 반복되는 개인정보 유출 사례들과 마찬가지로 경험을 통한 학습과 개선이 이뤄지지 않는 것이라고 생각한다. 전 국민의 개인 정보 보호와 서비스 제공자들의 개발 비용 절감을 통한 효용 증대를 위해서는 IT 생태계를 위한 공공 서비스가 절실히 필요하다. 서비스의 규모가 커진 후에야 뒤늦게 엄격한 기준을 요구하는 후행적인 접근보다는, 영세한 스타트업들도 개발 초기 단계에서부터 높은 시스템 의존성을 충족할 수 있도록 유도하는 것이 바람직하다. 그렇게 하기 위해서는 모범 사례를 따르는 것이 금전, 시간, 인력, 품질의 측면에서 유리하도록 환경을 조성해야 할 것이다. 공익적인 측면에서 국민들의 개인 정보 보호에 기여할 수 있는 보안과 개인 인증 등에 관련된 소프트웨어와 모범 사례들을 화이트리스트 및 오픈소스화 하는 것이 이에 도움이 될 수 있다. 공공 기관에서 직접 B2C 서비스를 개발 및 운영하거나 인증 및 규제의 벽을 높여서 국민들에게 도움이 되려고 하는 것보다, 정책적으로 다양한 회사들이 바퀴를 재발명하지 않으면서 좋은 서비스들을 개발하고 운영할 수 있는 토양을 마련하는데 집중해주길 희망한다.

 

검증의 대상은 선택과 집중, 재사용의 빈도는 극대화하자.

* 스트리미에서 훌륭한 소프트웨어 엔지니어들을 모십니다.