연말 연시를 맞은 내가 감사히 이 일을 할 수 있는 이유

하루하루 감사한 마음으로 끝없이 보호할 수 있기를

[보안뉴스 문가용] IT업계에서 보안담당자라면 시어머니 같은 존재다. 특히나 상사로서 보안담당자는 바늘로 찔러도 피 한 방울 안 나올 거 같은 느낌을 풍긴다. 그렇지만 이들도 사람이다. 드러내지 않아도 그 속은 잘 따라주는 사용자 및 동료 직원들에 대한 감사가 넘치고 있다. 그래서 이 감사하는 마음을 모아 모아 그러모아 연말연시 감시 이벤트 기념 기사를 꾸며보았다. 과연 냉혈한 같은 보안담당자들은 무엇이 그리도 은밀히 고마울까?

다량의 유출사고 소식

물론 유출 자체가 고마울 리는 없다. 하지만 보안담당자들은 대체로 미디어가 유출사고에라도 관심을 가져준 게 고맙다고 했다. 이로써 사람들이 조금은 보안 분야에 관심을 가질 수 있었기 때문이다.

“매체가 보도해 주었기 때문에 현실과 심각성을 있는 그대로 사람들에게 노출시킬 수 있었습니다. 또한 보안에 대해 감각이 날카롭게 서있지 않은 윗분들에게도요.” 오토메이티드 시큐리티 IS(Automated Security IS)의 COO이자 회장인 사만타 볼즈(Samantha Boles)의 설명이다. “그렇기 때문에 갑자기 없던 예산이 책정되고 IT 전문가들의 의견 속에 보안에 대한 걱정이 섞여들기 시작했습니다.”

임원진들과의 소통

위 사항과 이어지는 내용인데, 결국 예산이 책정되고 보안 문제를 설득할 수 있는 것도 임원진들과 대화가 가능해졌기 때문이다. 특히 CEO들도 보안 문제의 심각성에 귀를 기울이기 시작했고 의미 있는 대화를 이어갈 수 있게 되었다.

“CEO들을 비롯해 회사 임원진들이 보안에 대해 이해하기 시작하고, 중요성을 인지하기 시작했다는 것도 고마운 일입니다.” 매서지(Masergy)의 부회장인 크레이그 다브레오(Craig D┖Abreo)의 설명이다. 애큐번트(Accuvant)의 전략 책임자이자 최고 보안담당자인 제이슨 클락(Jason Clark) 역시 엄청난 변화가 있었음을 증거했다. “CEO들이 드디어 CISO들의 등 뒤로 와서 수고했다, 감사했다 말하기 시작했습니다. 올해를 무사히 넘겼다는 것만으로요!”

물론 이는 양날의 검이 될 가능성이 높다. “이렇게 임원단에서 보안에 대해 신경을 쓰기 시작했다는 건 더 많은 보고서를 내야 한다는 소리일 수도 있습니다. 각종 보안 이슈, 유출사고는 물론 비용과 예산에 대한 보고서도 내야 할 지 모르겠습니다.”

버그 바운티 프로그램

테크놀로지 전문가들 중 많은 이들이 버그 바운티 프로그램을 기회로 여기는 듯 하다. 산업 전체로 보자면 이런 프로그램들이 있기 때문에 “나쁜 놈들과 싸울 방법도 많아지고 자금도 확보된다”고 랜콥(Lancope)의 CTO인 TK 키니니(Keanini)는 설명한다.

한편 홈보이(Homeboy)의 CEO인 마크 리차즈(Mark Richards) 역시 버그 바운티에 대한 감사한 기억을 간직하고 있다. 홈보이에서 진행하고 있는 버그 바운티 프로그램이 있어서 마음의 평화를 유지할 수 있다는 것이다. “일단 저희 회사로서는 저희 제품에 대한 또 다른 품질제어 절차이기도 하고, 이런 식의 소통을 통해 사용자들과 신뢰를 구축할 수 있게 되거든요. 고객들이 저희를 믿을 뿐 아니라 저희도 고객의 날카로운 시선을 믿게 되는 거죠. 신뢰가 쌓일수록, 신뢰를 할 사람이 늘어갈수록 마음에 평화가 옵니다.”

무료로 공유되는 지식

보안은 정보를 다루는 일이고, 그러므로 지식이 굉장히 중요한 부분이다. 애큐번트의 CISO인 라팔 로스(Rafal Los)의 설명이다. “저는 동료 보안인들에게 감사합니다. 자신들이 밤을 새서 연구하고 알아낸 새로운 것들을 끊임없이 공유해주거든요. 그것도 무료로요. 다들 보안 업계 전체에 도움을 주기 위한 노력을 기울이고 있습니다.”

랜콥의 전략 연구원인 톰 크로스(Tom Cross) 역시 보안 업계의 전문가들이 파헤치고 다시 덮어주는 전문 지식에 감사하다고 의견을 모은다. “귀중한 자료와 정보를 제공하는 것인데도 이들이 얻는 건 그저 자료 맨 끝에 보일락 말락 하는 자기 이름 한 줄 뿐입니다. 하는 일과 그 가치에 비하면 턱도 없는 것이죠. 그 이득을 보는 우리로서는 당연히 감사해야 합니다.”

제때 업데이트나 필요한 프로그램 설치 잘 해주는 고객

보안 전문가로서 페인포인트IT솔루션(Pain Point IT Solutions)의 리치 실바(Rich Silva)는 백업 시스템을 잘 활용하고 업데이트를 잘 해주는 고객에게 참 감사하다고 한다. 이렇게 함으로써 더 커질 수 있는 문제를 사전에 방지할 수 있다는 것이다. 특히 큰 손해를 입을 지도 모르는 랜섬웨어 종류의 공격에 거의 완벽하게 면역이 된다.

“이런 고객들이 있으면 랜섬웨어 소식이 헤드라인을 장식해도 마음이 조급해지지 않습니다. 백업을 잘 해두었으니 랜섬웨어의 요구를 들어줄 필요도 없고, 기기를 복구하기도 좋습니다. 이런 고객들을 가졌다면 그 어떤 보안 전문가라도 감사하지 않을 수 없을 겁니다.”

윈도우 XP의 종료

보안 전문가들에게는 오래된 OS처럼 성가시고 불안한 요소가 없다. ESET의 보안 연구원인 리사 마이어스(Lysa Myers)는 그런 의미에서 윈도우 XP가 종료된 게 정말 감사하다고 한다. “물론 윈도우 XP 자체가 나쁜 건 아니었습니다. 널리 사랑받은 OS죠. 아이러니하게도 그런 점 때문에 많은 사람들이 오랫동안 사용했고, 그 기간이 길어지는 만큼 취약해지면서 천덕꾸러기가 되었죠.”

보안인들끼리의 소셜 미디어

보안인들끼리 소셜 미디어에 채널이나 페이지를 만들어 소통해왔는데, 여기서 많은 정보가 공유되고 평소에 보기 힘든 사람들이 만날 수 있게 되었다고 한다. 이 두 가지 장점만으로도 충분히 감사해야 한다고 키니니는 설명한다. “지식과 정보는 물론 제게 없던 누군가의 열정도 얻을 수 있었습니다. 여러 가지 보안 관련 경고도 여기서 제일 먼저 뜰 때가 많고요. 또한 이런 유대 관계가 해커들에게 큰 위협 혹은 성가신 존재임도 알고 있습니다. 직접적인 효과도 가지고 있는 것이죠.”

하루 해가 지는 것이 감사

네트워크 인스트루먼트 JDSU(Network Instruments JDSU)의 제품 담당자인 브래드 레인볼트(Brad Reinboldt)는 다른 시각을 제공한다. “보안 일이라는 게, 아니 누군가를 지키는 일이라는 게 사실 끝이 없고 중단도 없는 일입니다. 저희는 정말 끝나지 않아야 하는 일을 하고 있는 것이죠. 그러니 하루 해가 져서 강제적으로 쉴 시간을 준다는 것 자체가 감사한 일입니다. 하루가 24시간뿐이라는 게 얼마나 고마운지 몰라요.”

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>