보안 문제에 대한 프로그래머의 책임

SecureLondon 2005 컨퍼런스에서 Howard Schmidt는 소프트웨어의 보안 문제에 대해 프로그래머가 개인적으로 책임을 져야 한다고 주장했다고 한다. 물론 이런 제도가 현실화될 가능성은 없어보이고, 개인이 아닌 회사가 책임을 져야 한다는 좀 더 현실적인 대안을 주장하는 이도 있지만, 만약 정말로 이런 제도가 시행된다면? - 프로그래머들은 지금의 의사와 좀 더 비슷해질 것이다. 더 많은 교육과 훈련을 거친 후에야 스스로 코드를 commit할 수 있는 자격이 생기게 되고 그래도 어쩌다 발생할 수 밖에 없는 보안 사고에 대비, 개인적으로 보험을 들고 소득의 일부를 보험회사에 내야 할 것이다. - 보험회사는 어쩌면 정기적으로 혹은 항상 가입자가 작성하는 코드에 대해 코드 리뷰를 실시할 것이다. - 저수준 언어가 반드시 필요한 경우가 아니면 프로그래밍 언어는 Java나 C#, 또는 이보다 더 보안성이 높은 언어를 사용하게 될 것이다. - 소프트웨어의 가격은 지금보다 한참 더 비싸지고, 개발 기간도 여러 배 늘어난다. IT 산업의 발전은 지금보다 더뎌지고 타 산업으로의 파급효과도 고비용으로 인해 지금보다 작아진다. 긍정적인 면을 생각해보면, - 보안 문제에 대한 대응이 보안과 관련 없는 버그 발생률도 많이 낮추게 되어, 전반적으로 소프트웨어의 품질이 비약적으로 향상될 것이다. - 프로그래머의 월급이 비약적으로 향상된다. 의사나 변호사 같이 전문성있는 직업이 될 것이다. - IT 기술의 진보가 느려지고 속도보다 품질이 강조되면서 프로그래머들의 정년이 연장된다. IT에 들어가는 코스트가 많이 늘어나겠지만 대신 보안이나 버그로 인한 간접 코스트가 줄어들 것이므로 산업 전체로는 어쩌면 그렇게까지 코스트가 많이 늘어나지 않을 수도 있다. 저런 주장에 대해 프로그래머들이 대부분 불쾌하게 생각했겠지만 잘 생각해보면 결과적으로 프로그래머들의 경제적/사회적 지위가 획기적으로 향상될지도 모르겠다.