전문 기술은 기본, 분야 밖 기술도 함께 터득해야

멈추지 않는 사건사고를 바라보는 또 다른 시각

[보안뉴스 문가용] 나쁜 놈들의 승전보가 매일 계속되고 있다. 회사 이름이 구설수에 오른다 하면 십중팔구 보안 관련사고 때문이다. 타깃, 어도비, 이베이 등 굵직한 이름들도 예외가 없다. 이런 사고로 해당 업체의 고객들이 느끼는 불안은 증폭되었고 업체는 떨어진 명망과 신뢰로 인한 보이지 않는 피해와 보이는 피해를 복구하기 위해 수백만 달러를 지출해야 했다.

그런데 이렇게 세상을 떠들썩하게 만든 사고들은 진실의 극히 작은 일부에 불과하다. 고객들이 관련된 사고는 어쩔 수 없이 공개해야 하지만 회사 자체의 기밀이나 민감한 정보가 누출된 경우 그냥 조용히 덮어두는 게 관례이기 때문이다.

훔칠 수 있는 정보가 있다면 해커가 분명히 찾아온다. 그리고 여러 가지 방법으로 그 정보를 활용한다. 정보를 즉시 활용해 불법으로 계좌이체를 할 수도 있고, 오랜 기간 그 정보의 주인인 것처럼 행동함으로써 또 다른 사기행각을 벌일 수도 있으며, 아니면 회사와 개인을 협박하기 위한 용도로 악용할 수도 있다.

이런 현상이 우리에게 주는 메시지는 여러 가지가 있겠지만 가장 중요한 건 해커와 방어자의 실력 차이가 급하게 벌어지고 있다는 것이다. 우리는 해커보다 한참 뒤떨어진다. 그러니까 당하는 것이다. 그리고 그 실력차가 줄어들 때까지 우린 계속 당할 것이다. 하지만 이게 그리 어려운 일은 아니다. 상황은 언제고 역전이 가능하다. 그렇게 하기 위한 방법을 제시하고자 한다.

1. 모든 것의 시작과 끝, 교육

대학 수준에서의 교육이 조금 더 향상되어야 한다. 그래서 미래의 정보보안 ‘전문가’들을 육성해 현장으로 투입시켜야 한다. 물론 아무리 교육 과정이 좋아져도 대학을 갓 졸업한 새내기들이 현장을 빠삭하게 알기란 힘들 것이다. 그러므로 그때부터는 회사에서 이런 전문가들의 교육에 대한 책임을 이어받아야 한다.

보안은 결국 사람이라는 걸 염두에 두고 교육과 훈련에 투자하여 여러 가지 침투 방식에 대비해야 한다. 전공을 했다는 것만으로는 오래 버틸 수 없다는 거, 우린 잘 알지 않는가. 취약점과 공격 방식이 날마다 새로워지고 있다면 교육 역시 그래야 한다.

2. 현명한 씀씀이

인터넷에 닿는 민감한 정보의 양이 늘어나고 있고 이를 노리는 해커들의 공격방법은 날로 영악해지고 있기 때문에 유명하거나 잘 나가는 회사라면 분명히 언젠가 목표가 되는 건 인지상정이었다. 그런데 이제는 별로 유명하지 않은 중소기업도 목표가 되고 있다. 왜냐하면 이런 기업들의 보안의식 수준이 비교적 낮기 때문이다. 성공했을 때 얻는 소득이 조금 낮을지 몰라도 성공률이 높은 곳으로 눈을 돌린 것이다.

그러니 적든 많든 보안에 투자를 해야 한다. 그러나 돈은 한정되어 있다. 잘 쓰는 게 관건이다. 그렇다면 어디에 써야 잘 쓰는 것일까? APT나 디도스에 대해 방비하는 건 기본이다. 그러면 그 다음으로는 어디에 쓰는 게 현명할까? 정보보안에서 제일 큰 취약점이 보안교육을 받지 못한 사람임을 기억한다면 답은 간단하다. 사람이다. 사장부터 말단 직원까지, 주의부족이나 무신경을 전환시킬 수 있는 교육으로 충분히 막을 수 있는 사고부터 제대로 막아보는 건 어떨까.

3. 소프트웨어 개발자의 참여

요즘 들어 보안은 생산성과 대치되는 듯한 느낌이다. 특히 소프트웨어 개발 업체에선 이런 인식이 도드라진다. 개발 업무에만 신경 쓰는 것도 시간이나 자금의 측면에서 빡빡하기 그지없는데 여기에 보안까지 도입시킨다면 진짜 일은 언제 하라는 것인가?

그런데 소프트웨어를 일단 하나 만들고 후에 보안 패치를 하는 것과, 처음부터 보안성이 강한 소프트웨어를 만드는 것에 드는 시간이나 돈, 노력에는 분명한 차이가 있다. 사고 정도에 따라 다르겠지만 개발 비용보다 후속처리 비용이 훨씬 큰 게 보통이다. 그러니 이런 사고에 한 번 휘말리면 회사가 망하는 경우가 많은 것이다. 당장의 개발 기간을 연장하고 투자비용을 높이는 게 사실은 돈과 시간 모두를 아끼는 길임을 기억하자.

4. 윗선들을 설득해야

그런데 위에 말한 모든 것을 보안담당자가 뼈저리게 느끼고 실천할 강한 의지를 가지고 있다고 하더라도 높은 분들이 이를 허가해주지 않으면 말짱 꽝이다. 그래서 보안담당자들은 기술 관련 지식과 실력을 늘리는 것도 중요하지만 사업적으로 이야기할 수 있는 ‘화법’도 익혀야 한다. 윗분들의 대화는 대부분 ‘돈’과 ‘이익’이라는 테두리 안에서 이루어진다. 아무리 정의롭고 이론 상 윤리적인 일이라도 이 둘과 상관이 없다면 설득하기가 힘들 것이다.

정보유출 사고는 분명히 피해를 발생시킨다. 그것도 아주 많이 말이다. 그러나 누군가 말했듯 위기는 변장한 축복이고, 이런 사고들 역시 그럴지도 모른다. 특히나 보안담당자들에게는 이것이 진실이다. 문제들을 해결하거나 개선해 나가면서 회사 및 조직 내 교육, 재정, 시스템, 인프라에 대한 영향력을 갖출 수 있기 때문이다. 매일 할 수 있는 충실한 대비를 해나감으로써 우리는 더 큰 위기를 막는 것은 물론 스스로가 완벽한 인재상에 가깝게 발전할 수 있다. 당신은 지금 자리에서 얼마나 충실한가, 그것이 관건이다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>