중국발 해킹...국가보다는 민간차원에서 싸워야

시큐리티 업무의 프로세스와 문화를 만들어가는 것이 중요한 이슈로 떠오르고 있다. nhn 임채호 보안팀장은 “프로세스가 없으면 시큐리티가 이루어질 수 없다”고 강조했다.

몇 년 전까지만 해도 보안솔루션 위주로 이루어졌던 보안업무들이 이제는 보안담당자들의 실질적인 ‘손’을 거쳐야만 가능해질 만큼 복잡하고 난해해지고 있다. 이 과정에서 ‘프로세스’는 반드시 필요한 과정이라고 할 수 있다.

임채호 팀장은 “보안 소프트웨어드가 감당할 수 있는 한계가 있기 때문에 사람이 관여하는 작업구간에서의 프로세스가 반드시 필요하다”며 “nhn에 존재하는 8,000여 대의 서버를 일일이 기계가 완벽하게 통제할 수 없기 때문에 관리자들이 필요하다. 지금까지는 이익을 위해 보안에 투자를 많이 못했다면 이제부터는 보안업무의 원활한 진행을 위해 ‘프로세스’와 ‘문화’를 만들어 가는데 치중할 계획”이라고 밝혔다.

그는 또 보안담당자들의 덕목에 대해 ‘성실성’을 우선으로 꼽았다. “성실하지 못한 사람이 보안담당자가 되는 것은 있을 수 없는 일”이라고 강변한 임 팀장은 “하지만 대부분의 공공기관, 좀더 정확히 공공기관 90%의 보안담당자들은 ‘놀고’있다”고 비판했다.   

스팸이니, 피싱이니, 파밍이니 하는 다양한 공격들을 완벽하게 안티 솔루션으로 차단하기란 불가능하다. 임 팀장 또한 “안티 솔루션들이 70%정도까지는 막을 수 있지만 나머지 30%는 사람이 손을 봐야 한다. 보안 툴에만 만족할 수 없기 때문”이라고 말했다. 보안 솔루션이 발전한다고 하지만 보안전문가들이 해야 할 일들은 여전히 널려있다는 것을 담당자들은 알아야 한다.

그는 또 “중국의 PC방은 작업방으로 알려져 있다. 그들은 돈을 벌기위해서 무슨 짓이든 하고 있다. 이들을 막을 수는 없다. 얼마전 한 보안 전문가가 중국 해커들의 공격에 대해 연구하는 과정에서 현존하는 안티바이러스 제품들이 막아낼 수 없는 악성코드를 50여 가지나 발견한 적이 있다. 대부분 게임정보를 갈취하는 악성코드들이었다. 이를 KISA에 보고하고 AV 업체에도 알린 적이 있다. 이처럼 새로 만들어지는 악성코드들은 AV 제품들을 무용지물로 만들고 있다”고 경고했다. 이러한 솔루션의 한계를 극복하기 위해 보안 프로세스가 필요하다는 것이다. 

한편 그는 “최근 중국발 해킹 문제는 국정원과 정통부에서 해결할 수 없다. 국가간 민감한 외교문제가 걸려있기 때문이다. 하지만 민간에서는 얼마든지 싸울 수 있다. 그러기 위해서는 활발한 커뮤니티활동이 필요한 때다”라고 말했다.

기업보안 담당자들의 최대 현안은 이제 전 직원이 참여하는 독특한 보안문화를 정착시키는 것이 돼야 한다고 임 팀장은 말하고 있다. NHN 또한 그것을 실현하기 위해 노력하고 있다고 전했다. 모든 보안시스템을 프로세스화하고 매뉴얼화 하는 것. 그리고 성실한 보안담당자가 돼야 한다는 것. 더 나아가 보안 프로세스를 진화시켜 나가야 한다. 이것들은 보안솔루션이 할 수 없다. 결국 해킹&보안을 공부하는 연구인력들이 해야 할 과제들이 아닐까.  

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>