2013.01.16

기고 | 완벽한 보안 솔루션은 없다

Kenneth van Wyk | Computerworld
새해가 된 지 보름이 지났다. 연초에 세웠던 계획들을 독자 여러분들은 지금까지 잘 실천하고 있는가? 그렇지 않다면, 무엇이 문제인가? 실현 가능하지 않은 목표를 세우고 무리하게 추진한 것은 아니었는지 다시 생각해 보길 바란다. 개인들의 목표와 실천의 문제가 보안에서도 똑같이 나타나고 있다. 연초에 보안 계획을 수립했으나 번번히 보안 사고가 터지는 이유도 같다.

1월이면 으레 그러하듯 늘 다니던 공원 산책로에 못 보던 얼굴들이 늘어났다. 한 동료의 말에 의하면 헬스클럽은 상황이 더 심각하다고 한다. 몇 주가 지나 그들을 다시 볼 수 없게 된다 해도 필자와 동료는 별로 놀라지 않을 것이다. 원래 새해 결심은 한 달이면 충분한 법이니까.

그렇다면 그 방문객들의 몸은 한 달의 운동으로 조금이나마 건강해졌을까? 필자의 대답은 ‘아니올시다'이다. 한 달 정도 동네나 러닝 머신 위를 달린다고 잃었던 젊음이 돌아오진 않을 것이다. 건강은 생활 방식의 문제다.

이 원칙은 보안의 영역에도 동일하게 적용될 수 있다. 정보와 애플리케이션, 소프트웨어를 지키는 노력은 생활 속에서 이뤄져야 하는 것이다.

하지만 아직도 많은 기업들은 위에 소개한 연초의 운동객들과 같은 실수를 반복하고 있다. 어떤 기업들은 배치한 모든 소프트웨어와 애플리케이션에 대해 침입 테스트를 몇 번씩 의뢰하기도 한다. 테스트에서 이런저런 취약점들이 지적되면 자신들은 그것을 한방에 고쳐버리면 된다고 생각하고 있는 것이었다. 더욱 우스운 기업들은 트레이드 쇼로 장을 보러 가서는 방화벽이니 침입 탐지 시스템(IDS, Intrusion Detection System), 애플리케이션 방화벽 등을 구매하면 그들의 허술한 소프트웨어들이 곧바로 안전해질 것이라 믿고 있기도 하다.

그들의 행동이 운동은 하지 않고 지방분해제라는 정체 모를 알약만 삼켜 대며 살이 빠지지 않는다고 불평하는 옆집 사람과 다를 것이 무엇인가? 모두 돈만 낭비하는 짓일 뿐이다.

진짜 보안은 생활 양식을 바꾸고 보안 문제에 보다 진지하게 접근할 때 확보될 수 있다. 물론 어느 정도 땀은 흘릴 각오가 되어 있어야 할 것이다. 하지만 결과는 반드시 노력을 보상해 줄 것임을 기억하자.

일단 노력을 시작할 결심을 세웠다면, 다음 단계는 어디서부터 변화를 시작해야 할 지 파악하는 것이다. 전속력으로 돌진하는 마라토너는 절반도 못 가 쓰러지듯이, 보안 환경 개선 작업 역시 확실한 계획을 세운 뒤 이뤄져야 한다. 또 아무리 계획을 잘 세우고 장비들까지 잘 갖췄더라도 초보자인 당신이 처음부터 풀코스를 완주하는 것은 무리일 것이다. 당신이 세운 계획은 충분한 시간에 걸쳐 완성되는 것임을 기억하자. 작은 부분에서부터 변화를 시작해보자.


여기 보안 개선을 위한 필자의 조언을 소개한다.

*최종 목표를 설정하라. 누구도 부정할 수 없는 최고의 보안 프로그램을 원하는가? 시장 경쟁자들에 뒤지지 않을 정도의 보안 수준을 목표로 하는가? 아니면 규제를 준수하는 정도면 충분한가? 이 물음에 답을 해 봄으로써 당신은 어떤 노력을 해야 할 지(또 어떤 것은 할 필요가 없는지)를 어느 정도 이해할 수 있을 것이다. 목표 설정 이후에는 임원진의 동의 및 지원 약속을 받는 과정 역시 중요함을 잊지 말자. 목표 설정과 관련해서는 2002년 1월 모든 마이크로소프트 직원들에게 ‘믿을 수 있는 컴퓨팅(Trustworthy Computing)’ 메모를 보낸 빌 게이츠의 사례가 좋은 예가 될 수 있을 것이다. 그는 이 메모를 통해 “이제 우리는 기능을 추가할 것인지, 아니면 보안 문제에 역량을 쏟을 것인지의 선택 앞에 놓여있다. 이에 대한 우리의 대답은 후자가 될 것이다”라고 언급했다. 이 짧은 문장은 마이크로소프트를 새로운 방향으로 이끌었고 그 기조는 현재까지 이어져 오고 있다.




2013.01.16

기고 | 완벽한 보안 솔루션은 없다

Kenneth van Wyk | Computerworld
새해가 된 지 보름이 지났다. 연초에 세웠던 계획들을 독자 여러분들은 지금까지 잘 실천하고 있는가? 그렇지 않다면, 무엇이 문제인가? 실현 가능하지 않은 목표를 세우고 무리하게 추진한 것은 아니었는지 다시 생각해 보길 바란다. 개인들의 목표와 실천의 문제가 보안에서도 똑같이 나타나고 있다. 연초에 보안 계획을 수립했으나 번번히 보안 사고가 터지는 이유도 같다.

1월이면 으레 그러하듯 늘 다니던 공원 산책로에 못 보던 얼굴들이 늘어났다. 한 동료의 말에 의하면 헬스클럽은 상황이 더 심각하다고 한다. 몇 주가 지나 그들을 다시 볼 수 없게 된다 해도 필자와 동료는 별로 놀라지 않을 것이다. 원래 새해 결심은 한 달이면 충분한 법이니까.

그렇다면 그 방문객들의 몸은 한 달의 운동으로 조금이나마 건강해졌을까? 필자의 대답은 ‘아니올시다'이다. 한 달 정도 동네나 러닝 머신 위를 달린다고 잃었던 젊음이 돌아오진 않을 것이다. 건강은 생활 방식의 문제다.

이 원칙은 보안의 영역에도 동일하게 적용될 수 있다. 정보와 애플리케이션, 소프트웨어를 지키는 노력은 생활 속에서 이뤄져야 하는 것이다.

하지만 아직도 많은 기업들은 위에 소개한 연초의 운동객들과 같은 실수를 반복하고 있다. 어떤 기업들은 배치한 모든 소프트웨어와 애플리케이션에 대해 침입 테스트를 몇 번씩 의뢰하기도 한다. 테스트에서 이런저런 취약점들이 지적되면 자신들은 그것을 한방에 고쳐버리면 된다고 생각하고 있는 것이었다. 더욱 우스운 기업들은 트레이드 쇼로 장을 보러 가서는 방화벽이니 침입 탐지 시스템(IDS, Intrusion Detection System), 애플리케이션 방화벽 등을 구매하면 그들의 허술한 소프트웨어들이 곧바로 안전해질 것이라 믿고 있기도 하다.

그들의 행동이 운동은 하지 않고 지방분해제라는 정체 모를 알약만 삼켜 대며 살이 빠지지 않는다고 불평하는 옆집 사람과 다를 것이 무엇인가? 모두 돈만 낭비하는 짓일 뿐이다.

진짜 보안은 생활 양식을 바꾸고 보안 문제에 보다 진지하게 접근할 때 확보될 수 있다. 물론 어느 정도 땀은 흘릴 각오가 되어 있어야 할 것이다. 하지만 결과는 반드시 노력을 보상해 줄 것임을 기억하자.

일단 노력을 시작할 결심을 세웠다면, 다음 단계는 어디서부터 변화를 시작해야 할 지 파악하는 것이다. 전속력으로 돌진하는 마라토너는 절반도 못 가 쓰러지듯이, 보안 환경 개선 작업 역시 확실한 계획을 세운 뒤 이뤄져야 한다. 또 아무리 계획을 잘 세우고 장비들까지 잘 갖췄더라도 초보자인 당신이 처음부터 풀코스를 완주하는 것은 무리일 것이다. 당신이 세운 계획은 충분한 시간에 걸쳐 완성되는 것임을 기억하자. 작은 부분에서부터 변화를 시작해보자.


여기 보안 개선을 위한 필자의 조언을 소개한다.

*최종 목표를 설정하라. 누구도 부정할 수 없는 최고의 보안 프로그램을 원하는가? 시장 경쟁자들에 뒤지지 않을 정도의 보안 수준을 목표로 하는가? 아니면 규제를 준수하는 정도면 충분한가? 이 물음에 답을 해 봄으로써 당신은 어떤 노력을 해야 할 지(또 어떤 것은 할 필요가 없는지)를 어느 정도 이해할 수 있을 것이다. 목표 설정 이후에는 임원진의 동의 및 지원 약속을 받는 과정 역시 중요함을 잊지 말자. 목표 설정과 관련해서는 2002년 1월 모든 마이크로소프트 직원들에게 ‘믿을 수 있는 컴퓨팅(Trustworthy Computing)’ 메모를 보낸 빌 게이츠의 사례가 좋은 예가 될 수 있을 것이다. 그는 이 메모를 통해 “이제 우리는 기능을 추가할 것인지, 아니면 보안 문제에 역량을 쏟을 것인지의 선택 앞에 놓여있다. 이에 대한 우리의 대답은 후자가 될 것이다”라고 언급했다. 이 짧은 문장은 마이크로소프트를 새로운 방향으로 이끌었고 그 기조는 현재까지 이어져 오고 있다.


X