세상에 있는 모든 부처는 쏴야 한다. 완벽한 사람이 없다는 뜻입니다. 완벽한 보안 전문가가 있을까요? 완벽해지려고 끊임없이 노력하는 보안 전문가는 많습니다. 대한민국은 완벽하지 않은 보안 법, 정책, 기술, 보안 구현, 보안 운영, 관리, 물리 보안 등을 가지고 있습니다. 공격기술과 활용수법 등은 끊임없이 발전하고 있음을 모든 사람들이 잘 알고 있습니다. 이에 대한 대책은 잘 발전하고 있습니까? 이번 DDoS 대란에 대한 정부의 대책에 대하여 국내 모든 보안관련 전문가들이 동의하는 정책과 사업일까요? 앞으로 나타날 보안 위협은 DDoS류 밖엔 없는 것인가요? 그럼 여러 많은 이들이 참가하여 완성된 정책을 세우면 이의 구현이 잘 이루지지 않을까요?

보안의 기초에는 개인, 기업, 네트워크 운영, 국가적 정책관리, 사회적인 공감대, 국제적인 협력과 공조가 필수적입니다. 보안 관련 공학도만이 보안을 할 수 있을까요? 많은 전공의 다양한 직책을 가진 사람들이 함께 하여야 하지 않을까요?

개인의 보안 인식제고가 잘 이루어지고 있습니까? 조직이나 민간기업의 보안이 잘 구현되고 있습니까? 망사업자 및 포털 등의 고객에 대한 보안이 책임감이 있습니까? 정부와 공공기업은 보안 정책을 잘 만들고 관리를 합니까? 국가 사회와 경제 등은 보안 환경을 잘 이용하고 활용하고 있습니까? 국제적으로 혹은 국내에서 보안이 잘 소통되고 협력되고 있습니까?

정부와 국민간의 거리를 좁혀야 하며 그 사이의 전문가들은 중립적이 되어야 합니다. 이는 전문가들의 실무 경력과 민간과의 커뮤니케이션이 중요하고 민간의 요구사항을 파악한 후 정부에 정책을 건의하고 다 함께 보안을 구현하여야 합니다. 만약 어느 한두 사람의 전문가들이 민간 전체의 시각을 다 반영하지 않은 의견만으로 국가의 보안을 좌지우지 하는 위험한 시도는 문제가 있을 것입니다. 또한 소수의 정보보안 기업만이 국가의 보안산업을 하는 것이 맞을 까요? 매출이 많은 기업, 적은 기업, 여러 전문적인 기술을 가진 업체들이 상호 경쟁하여야 하지 않겠습니까? 

롱테일(Long Tail) 법칙을 다시 이야기 합니다. 파레토의 법칙(Pareto┖s Law)이 뛰어난 20%가 사소한 80%을 먹여 살린다고 하는 이론입니다. 세상 어디든 8대2의 법칙이 있습니다. 하지만 인터넷 마케팅에서는 20%의 head 보다 80%의 Tail 이 매출을 더 높다는 마케팅 이론이 롱테일 법칙입니다.

자기만이 할 수 있다는 논리를 가진 전문가들이 Security 를 하는 것이 경우가 많습니다. 다른 사람을 무시하고 일방적입니다.  대한민국 보안의 20%가 80%의 대중을 제어하면서 발전의 실마리를 놓치고 있는 것은 아닐까요? 이젠 80%의 의견과 요구사항도 소중한 것 아닐까요? 실제 보안 요구사항을 듣지 않은 전문가들은 일방적인 Security가 아닐까요? 요구사항을 잘 반영하는 Trusted가 중요하지 않을까요?

새마을 운동을 아실 겁니다. 배고프고 가난하던 시절에 마을의 남녀 청년들이 "4H" 완장을 두르고 새마을 모자를 쓰고 모여서 우리 동네는 이런 사업을 하여 마을이 달라졌다며 여러 마을 사람들과 체험담을 나누었던 그런 시절이었습니다. 체험담이야 말로 Practice, 즉 실천경험이 아닐까요? BSP(Best Security Practice)가 왜 많이 나오지 않을까요? 결국 일반보안전문가 보다 현장에서 실무를 경험한 사람들이 더 중요하고 그들의 경험이 중요합니다. 사실 보안 전문가들은 현실을 정확하게 파악하여 올바른 기준과 정책을 만들어야 하겠지요. 사실은 4H완장은 싫어합니다. 묵묵히 자기 책임을 다하는 실무진의 보안경험 전문가들이 우리의 보배입니다. 물론 시야를 더욱 넓혀야 하는 문제는 있지만, 이 실무자들의 경험을 바탕으로 이들을 올바른 전문가로 양성하여야 하지 않을까요?

정보공유가 중요합니다. ISAC 이라는 조직도 있지 않습니까? 하지만 ISAC이라는 정보공유 조직도 민주적이 아니라면 제대로 운영이 될까요? OECD 보안가이드라인에 왜 민주성이 있을까요? 상호 공평한 이익과 효과가 존재하지 않는다면 ISAC 은 불가능합니다. 현재 민주적인 철학과 관념에 기반을 둔 정보공유가 있습니까? 악성코드 분석을 하는 전문가는 많지만 신종 악성코드 분석 후 국민들을 위하여 정보공유에 앞장 서는 분들이 없습니다.

침입탐지시스템(IDS)가 신종 공격을 탐지하지 못하듯, 안티바이러스(AntiVirus) 제품도 신종 악성코드를 탐지하지 못합니다. DDOS 대응 제품도 DDOS 공격에 효과적이지 않은 이유는 항상 새로운 패턴으로 공격하기 때문입니다.

정보공유만 잘 해도 대한민국 보안은 우수해 집니다. 국민들이 신종 악성코드 대응을 백신업데이트만을 믿는다는 생각은 우스운 이야기입니다. 누구든 잘 표현된 수동 분석 제거 방안만 미리 전달된다면 좀비들을 많이 줄일 수 있습니다.

정보보안의 단기 사업, 중기 사업, 장기 사업이 국가의 표준 가이드라인으로 없을까요, 보다 잘 정의한 보안총괄 법령은 필요하지 않을까요? 구체적이 정책이 존재하고 있다면 항상 그 기준에서 사업이 도출되어야 합니다. 취약성이나 신종 공격은 항상 새롭게 나타날 수 있으므로 그 정책이 만족시키지 못한 내용만을 그때그때 수정하면 되지요. OECD의 보안문화 가이드라인이 잘 받치고 있으면 사업은 자연스러운 업무의 연장이 됩니다.

<연재 순서>