The Economics of Information Security

정보보호의 경제

Abstract

The economics of information security has recently become a thriving and fast-moving discipline. As distributed systems are assembled from machines belonging to principals with divergent interests, we find that incentives are becoming as important as technical design in achieving dependability. The new field provides valuable insights not just into “security” topics (such as bugs, spam, phishing, and law enforcement strategy) but into more general areas such as the design of peer-to-peer systems, the optimal balance of effort by programmers and testers, why privacy gets eroded, and the politics of digital rights management.

요약 정보보안의 경제는 최근 빠르게 변화하며 번성하는 학문이 되었다. 분산형 시스템은 각기 다른 이해관계의 주체에 속한 기계들로 구성 되어있기 때문에, 우리는 신뢰도 높은 기술 설계만큼 유인체계 역시 중요해진 것을 알 수 있다. 새로운 분야는 “보안” 주제 (예: 버그, 스팸, 피싱, 법 집행 전략) 뿐만 아니라 peer-to-peer 시스템 설계, 프로그래머와 테스터의 최적의 균형, 프라이버시의 약화 원인, 디지털 저작권법 등 보다 일반적인 영역에 대한 가치 있는 통찰을 제공한다.

느낀점

정보보안이라는 것은 정보를 가지고 있는 주체와 그것을 공격하려는 주체 그리고 그걸 보호해줄 수 있는 기술을 가진 주체 등 여러 관계자의 이해관계가 얽혀 있는 부분이고, 때문에 이는 필연적으로 경제적 상호작용을 동반한다는 것을 논문의 여러 사례를 통해 확실히 알 수 있었다. 저자는 이 점을 지적하며 기존에 존재하는 경제 이론을 적용하여 정보보안 시장의 여태까지의 양상을 분석하여 특정 실패와 성공 사례를 분석하였다. 특히 보안 소프트웨어 시장을 Markets for lemon으로 비유한데서 왜 보안 소프트웨어 시장이 성장하지 못했는지 쉽게 이해할 수 있었다. 또한 유료 백신시장이 성공하지 못했던 한국 백신시장의 실패 사례가 비로소 이해되었다.
공격자에게 오히려 공격의 기회를 줄 수 있다는 이유로 많은 이의 우려를 샀던 취약성 공개가 거시적으로는 결국 취약성 감소를 이뤄냈던 것과 같이, 계속 더 큰 실패를 반복하고 있는 정보보안시장도 저자의 말 대로 양자의 이해관계와 더 효과적인 인센티브를 이용한 더 전략적인 방식으로 점점 더 발전해갈 것이다.