| [특별기고-11]선진국 보안을 위하여 민주적, 과학적 접근이 필요하다 | 2010.03.08 | |||||||||||||||||||||||||||||||||||||||||||||||||
11-1, 해킹공격을 막는 해커, ┖실무보안전문가┖에 대한 당부
PSS해커 저는 대한민국 보안을 책임질 여러 행위자(Player) 등 중 대한민국에서 해킹을 가장 잘 막을 수 있는 유일한 사람, ‘해커’를 ‘실무보안전문가(PSS, Practical Security Specialist’라고 이름 매기고 싶습니다. 아직도 많은 사람들이 해커를 범죄와 연루된 부정적 시각이 있습니다. ‘PSS해커’라고 부르면 안될까요? ‘White Hacker’, ‘윤리적 해커(Ethical Hacker)’ 등의 이름도 있지만,,. 대한민국 보안은 PSS해커, 일반보안담당자, 정부, 보안업체 및 교수전문가들이 있습니다. 각 분야를 담당하는 분들이 현재 보안을 잘하는 사람들이 누가 있을까요? 제 사견(私見)에 의하여 비교를 해 보겠습니다.
가장 바닥에서 대한민국 보안을 묵묵히 지키는 사람들이 이 보안 분야에서 가장 대접을 못 받고 있는 것이 사실입니다. 왜 남들이 할 수 없는 놀라운 기술력을 가지고 있는데, 왜 직급적 대접과 급여적 대접을 못 받고 있을까요? 이는 외부적 요인과 내부적 요인이 있습니다. 가장 대접을 받아야 마땅한 이들, 하지만 아직 ‘잠용(潛龍)’인 ‘PSS해커’ 들께 대한 당부로서 제 연재의 마지막을 시작할까 합니다. ‘잠용(潛龍)’, 능력은 있어도 아직 세상에서 쓸 곳이 없다는 뜻입니다. 주역의 첫 장, ‘건(乾)’에서 시간을 이야기 합니다. 예전 첫 연재에서도 인간의 변화와 조직의 변화, 보안의 변화 등에서 보인 이야기입니다. ‘원(元)’, ‘형(亨)’, ‘리(利)’, ‘정(貞)’의 주역에서 인간의 발전을 보여주고 있습니다. 주역 식물 우주 용 특성 인간사에서의 설명 원(元) 근(根) 무극(無極) 잠용(潛龍) 혼돈(混沌) 태어나서 중고등학교까지 형(亨) 묘(苗) 태극(太極) 현용(現用) 창조(創造) 대학에서 군 제대, 입사 초년 리(利) 화(花) 황극(皇極) 비룡(飛龍) 완성(完成) 직장생활 중반에서 은퇴까지 정(貞) 실(實) 멸극(滅極) 항룡(亢龍) 소멸(消滅) 은퇴에서부터 말기 위 표에 의한 인간들이 어디에 있는가는 표준적 의미이지, 모든 사람이 그렇다는 것은 아닙니다. 모든 사람은 태어나서 공부하고, 세상을 경험하며, 세상에서 뭔가를 이루고, 세상을 마감합니다. 누구나.. PTC 가 중요합니다. P(Personality, 인간성), T(Technology, 기술력), C(Communication, 소통) 입니다. 저는 사람을 판단할 때 이 3가지를 봅니다. - Personality : 인간성이 가장 중요한 덕목입니다. 결코 범죄자가 되지 않을 것 같은 착한 사람, 인정이 많은 사람, 자기 욕심보다 타인을 배려하는 사람, 자기보다 부모, 아내(남편), 자녀 등 가족을 위하는 사람, 자기보다 직장 및 공동체를 더 생각하는 사람, 자기보다 대한민국, 조국을 더 생각하는 사람, 글로벌을 생각하는 사람. 이런 사람들이 모두에게 필요한 사람입니다. 결국 자신만의 욕심이 아닌 모두의 공동의 이익을 생각하는 사람이면 언제든 성공할 수 있습니다. 2년 전 모 방송국 저녁 9시 뉴스에 모 생명회사 에서 최고의 보험판매자가 된 대학 졸업생 인턴사원이 소개된 바 있었습니다. 그 여직원은 자기는 대학 졸업 후 잘 살 수 있다고 항상 자신하였다고 하였습니다. 왜냐하면 자신은 다른 사람의 행복을 위해서 살고 있기 때문이었습니다. 그 인턴사원은 이미 그렇게 되었고 20년 후 모 생명회사의 사장이 될 것으로 자신한다고 하였습니다. 나이 어린 고등학생 고객이 장년이 되어 있을 때까지 그 회사에 있어야 한다고 생각하므로 당연히 사장은 될 수 있어야 한다고 하였습니다. 누가 이 친구 고객이 되는 것을 마다하겠습니까? 남을 위하여 사는 인생, 그런 사람들은 착합니다. 그런 사람들은 베푸는 삶을 살아갑니다. 그래서 겸손합니다. 떠들지 않습니다. - Technology : 기술이란 인생에서 중요한 도구입니다. 어떤 사람은 식당을 하여도 맛이 있고 어떤 사람은 식당을 하는데 맛이 없습니다. 맛이 없는 식당은 정성(Personality)이 부족하여 혹은 최선을 다하지 않거나 노력하지 않기 때문에 맛이 없는 것입니다. PSS 해커들을 A, B, C 등급으로 나눈다면 거의 대부분이 C등급입니다. C등급은 A등급의 창조적인 해커들이 분석한 새로운 취약성과 개발한 공격 도구를 이용하는 사람들입니다. C+, C0 등급이 있을 것입니다, 물론 C+ 등급은 B등급으로 발전할 가능성이 많은 해커들입니다. 누구나 조금만 노력하면 C등급 해커가 됩니다. A등급 해커가 만든 도구를 이용하는 것뿐입니다. 정말 미미한 기술인데도 불구하고 스스로 자랑하는 해커도 많습니다. 사람은 자신의 기술, 노하우를 자랑해서는 안됩니다. 일류 대학을 나오고 우수한 기술로 만든 제품을 개발한 모 사장님은 대기업이 제시한 금액을 거절하고 더 많이 받으려고 하다가 망하고 후회하는 사람도 보았습니다. 왜 우수한 제품을 빨리 넘기고 다른 기술을 연구하지 않았을까요? 왜 많은 기업이 변화를 하지 않을까요? 저는 C등급 해커는 더욱 노력하여 B등급해커가 되어야 한다고 생각합니다. 개발된 도구를 수정할 수 있고 발전시킬 수 있는 해커 말입니다, 그러다 사실은 창의적인 A급이 되어야 하지 않을까요? B,C 급 해커들이 잘난 척 하고 거만한 사람들을 너무 많이 보았습니다. 잘나지 않고 노력하는 PSS해커가 되어야 하지 않을까요? - Communication : 미국 정부는 미국의 전반적인 보안을 위한 전문가를 짜르(Tsar)에게 요구되는 가장 큰 덕목은 조정입니다. 미국 독립 운동의 조지 워싱톤은 분명 짜르였습니다, 13개 주에서 온 대표자들의 의견을 수렴하여 오늘날의 미국을 탄생시킨 것입니다. 커뮤니케이션이란 많은 사람들의 이해를 대변할 수 있고 소통할 수 있도록 만들 수 있는 능력입니다. 저는 조그만 지식으로 남을 억누르는 사람을 너무나 많이 보았습니다. 남들이 욕하는지도 모르는 그런 사람이 얼마나 많습니까? 자신만이 옳다는 사람, 정말 많습니다. 다수의 이익을 잘 대변하는 것이 가장 올바릅니다. 이 PTC 가 모두 A인 사람은 없습니다. 다만 착한 성품과 인내를 가지고 여러 사람, 여러 환경을 경험하면서 기술력을 높이고 남들의 이익도 중요함을 알려고 노력하는 사람, 이런 사람이 우리에게 필요하고 세계에서도 필요합니다.
성공적인 인생이란
예전에 미국의 우주왕복선, "디스커버리" 호를 타고 우주에서 돌아온 여성 우주비행사가 있습니다. 미국의 영웅이었습니다, 돌아온 후 이 사람은 잘못된 애정행각으로 흉기를 휘두르다 구속되었습니다. 몇 개월 사이에 영웅에서 범죄인으로 바뀐 셈이지요. 저는 그 사람의 사진을 보았습니다. 영웅의 얼굴에는 활짝 웃는 성공한 사람의 모습이 FBI 에 체포된 그녀의 얼굴은 여러 범죄자와 다를 바 없었습니다. 같은 얼굴의 사진인데 몇 개월 사이에 엄청난 변화를 보인 것입니다. 아름다운 여인은 사막에 내린 이슬과 같아서 아름다움은 영원할 수가 없는 것이지요. 오늘 성공한 사람이 내일도 성공하려면, 30대에 성공한 사람이 50에서도 성공을 유지하려면 얼마나 노력하여야 할까요? 주역의 "원-형-리-정"은 인생을 보여줍니다. 간략히 말해 대부분의 사람은 "탄생", "학업", "직장", "은퇴생활" 의 순서대로 삶을 살아갑니다. 제가 알고 있는 일류 대학 출신들은 "원-형-리" 까지는 좋을지 모릅니다. 하지만 "정" 부터 달라지고 추락할 가능성이 많다는 것입니다. 또한 최근의 보도를 보면 지방의 탄탄한 중소기업은 절대 최고 대학 출신을 뽑지 않는다는 것입니다. 수개월내에 그만두니까요. 하지만 우수한 대기업도 최고 대학 출신을 우대하지 않고 일류대학 출신이 아닌 의 임원들이 다수를 점한다는 것입니다. 소위 "학력"이 아닌 "실력"이 통하는 시대가 온 것입니다. (http://w.hankyung.com/board/view.php?id=edu_moon&no=18&category=0&ch=edu) 일류대학 출신이 대기업에서 평생을 근무하다 임원을 달지 못하고 50대에 퇴직하는 사람이 너무나 많이 있습니다. 하지만 젊은 나이에 영업에 잔뼈가 굵은 사람들은 은퇴를 두려워하지 않습니다., 오랜 시간을 고객과 함께 일 해온 사람도 마찬가지 입니다,. 인생에서 느끼고 부딪기면서 살아온 "경험"의 삶은 은퇴 이후가 즐거운 성공의 길이 될 가능성이 큽니다. 60 이후 창업하여 행복한 성공의 삶을 사는 것이지요. 반면 일류 대학 출신은 기획관리, 재무관리 등의 업무를 맡게 되는 경우가 많으므로 고객과의 접촉이 없어지게 되고 경험이 부족하므로 은퇴 후의 삶이 보장되지 않습니다. 회사가 개인의 은퇴까지 생각하지 않고 책임을 지지 않는다는 사실을 나중에 깨닫게 됩니다. 더군다나 일류대학 출신은 많은 사람들을 자만에 빠지게 합니다. 자만에 빠진다면 더욱 실패한 인생을 살 가능성이 농후하지요. 자만하다는 ‘평판’을 받게 되면 아무도 도움을 주지 않습니다. 항상 ‘겸손’하게 살아야 합니다. 항상 ‘양보’해야 합니다. "참는 자가 마지막에 승리한다" 구글도 직원들에게 나쁜 사람이 되지 말자고 합니다, 착하고 참을성이 많은 사람이 성공합니다. 긍정의 힘 저는 허영만의 "부자사전" (허영만, 위즈덤하우스) 만화책을 읽고 제 인생이 바뀌어 졌습니다. 저의 부정적인 생각이 긍정적으로 바뀌었습니다. "낙제를 간신히 면한 재가 엄청난 부자라고? 아마 부정한 방법으로 돈을 모았을걸!" 이라고 말하는 사람은 부정적인 생각을 가진 사람입니다, 평생 성공할 수가 없습니다.
- PTC를 깨닫고 노력하자 - 기술 발전을 위해 노략하자, 결코 자만에 빠지지 말자 - 남을 위하여 인생을 살자, 나도 중요하지만 남들도 중요하다 - 긍정적으로 생각하자 대한민국은 이미 ‘선진국’입니다. 그 점을 굳게 믿으시기 바랍니다. IMF 사태일 때 저는 "돈 있는 놈들은 천국이네" 라는 부정적인 생각을 가졌습니다. 아마 여러분들 대부분은 그렇게 생각할 것입니다. 저는 이제는 그렇게 생각하지 않습니다. 저는 긍정적인 사람입니다. 저도 부자(?)입니다. 이미 습관이 달라졌습니다. 다음 그래프는 대한민국 경제성장룰 그래프입니다(한국은행 경제통계 시스템에서). 이 그림은 KOSPI 와 유사합니다. (http://ecos.bok.or.kr/jsp/use/100keystat/100KeyStatCtl.jsp)
Naver 증권, KOSPI 월봉 차트 (http://stock.naver.com/sise/sise_index.nhn?code=KOSPI)
98년 IMF사태, 2008년 미국 서브프라임 사태를 겪고 누구나 대한민국 망했다고 하였습니다. 최근 강의를 들었는데 IMF 사태일 때 7,000 만원으로 주식에 투자한 강사는 현재 150억 주식 부자라고 하였습니다.
저는 작년에 들은 강의에서 적립식 펀드에 관한 이야기를 듣고 이해를 못하였습니다. 이젠 이해가 됩니다. 적립식 펀드는 가장 완벽한 금융프로그램입니다.
저는 1개월에 5만원씩 적립합니다. 요즈음은 5만원씩, 하지만 KOSPI가 1500이나 1400 대로 떨어지면 20만원이나 50만원을 적립하여 펀드를 판매사가 더 많은 주식을 사도록 하여 구좌를 늘려갑니다. 만약 1년 후 50,000 구좌가 되었는데 그때 KOSPI가 2000이라면 Fund가 사둔 기업의 주식도 최소 2배는 되어있을 것이며, 만약 KOSPI가 1700, 1800 일 때도 저는 30-50% 씩 환매를 해두었다가 현금을 확보한 다음 1500대러 떨어지면 적립을 100만원씩 합니다. 매년 저의 금융 자산을 50%씩 증가 시킬 것입니다. 적립식 펀드는 자동입금 되어 방치되는 것이 아니라 개인이 적극적인 개입을 하여야만 효과를 보므로 완벽한 금융프로그램인 것입니다. 개인은 그 펀드가 주식형이고 수익을 내고 있는지 확인해 선택할 수 있습니다, 펀드 판매, 운용에 드는 수수료를 확인하고(사실 미미한 수준), 매달 적립금을 얼마든지 늘릴 수 있다는 점, 수익률이 재미가 없을 정도로 경제가 안정적이라면 얼마든지 환매가 가능한 점, 일부 환매도 가능한 점 등은 정말 투자자에게 매력적입니다. 다만 경제의 출렁임, 경제 악화와 경제 발전이 자주 순환된다면 가장 알맞고 안전한 프로그램입니다. 정말 대한민국 경제에 대한 긍정적인 믿음이 필요합니다. 이러한 적립식 펀드는 기업에게, 개인에게, 금융기관에 수익을 주고 대한민국의 발전에도 기여를 하는 프로그램입니다. 만약 안정적인 경제 모드로 들어간다면 주식형 펀드가 아닌 다른 펀드를 찾아야 하지요. KOSPI가 떨어졌을 경우 한꺼번에 수천억의 돈이 몰리는 이유를 이젠 알게 되었습니다. 은행이자 3% 보다는 많은 저축이 있어야 하지 않겠습니까? 저는 인터넷 Traffic 그래프, 경제성장률, KOSPI 차트, 기업의 주가 차트 등이 사람이 인생의 차트와 유사하다고 생각합니다. "원-형-리-정"의 쳇바퀴에 사람의 행복지수인 "금전수입", "건강도", "가족화목", "회사내부 친밀도" 등을 기입해 보세요. 개인이 발전하고 있는지 항상 확인하세요. 이 그래프가 대한민국 "사이버 보안"에도 적용할 수 있지 않을까요? 펀드를 만드는 증권회사 등 금융기관이 펀드투자 종목을 잘 못 고르거나 문제가 있는데도 고객에게 정확히 알려주지 않거나 한꺼번에 투자를 종용하여 손실을 발생시키기도 합니다, 인간도 경제도 트래픽도 항상 출렁이지요. 대한민국 사이버보안에 중요한 역할을 하는 정부, 보안기업, 보안연구소 둥이 펀드 고객이라고 볼 수 있는 국민과 일반기업에게 얼마나 비용효과적인(Efficiency) 보안체계, 적절한(Effective) 보안 대책, 속도가 빠른(Performance Enhanced) 보안 대응, 지속적이며 교정 가능한(Accountable) 보안운영관리, 법률준수와 민주적인(Compliance) 보안 분석 등을 얼마나 제시하고 있는지 알고 싶습니다. <연재 순서> 1. 대한민국 보안, 무엇을 바꾸어야 할까요? 2. 보안뉴스 TSRC의 보안 개념과 10개의 이슈 3. 보안은 한 사람이 아닌 대중이 만들어 가야 한다. 4. 보안 전문가는 국가의 소중한 자산이 되어야 한다. 5. 기술보다 실천 경험이 더 중요하게 여겨져야 한다. 6. 한 사람의 지식이 아닌 집단적인 지식이 필요하다. 7. 지식의 문서화, 전략정보화가 중요함을 알아야 한다. 8. 사용자들에게 단순 명료하면서도 풍부한 보안을 제공하여야 한다. 9. 절대적 보안 아닌 객관상대적 보안을 이루어야 한다. 10. 보안 기술만이 보안의 필수 요소라고 믿지 말아야 한다. 11. 개방적이며 비용 효율적 보안이 중요함을 알아야 한다. 12. 선진국 보안을 위하여 과학적, 민주적인 보안접근이 필요하다. [글 · 임채호 보안뉴스 TSRC 센터장(chlim@boannews.com)] *TSRC: Trusted Security Research Center <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||||||||||||||||||||||||||||||||||||||||||||||||||
 |
