2012.08.22

글로벌 칼럼 | 보안 전문가, 얼마나 알고 있을까

Ira Winkler | Computerworld
최근 아이클라우드 보안 사건에서 파생된 여러 과제가 생겼다. 그 가운데서도 중요하다 싶은 것은 어떻게 하면 많은 보안 전문가들이 자기의 임무조차도 전화로 물을 만큼 모르는 지 입증하는 것이다.
 
아이클라우드 해킹 소식이 떠돌기 시작할 때, 보안 전문가 사이에서는 많은 토론이 있었다. 이 가운데 많은 이들은 기본적인 개념을 상당히 잘 알고 있었다. 그러나 몇몇의 경우는 보안의 기본 개념조차 이해하지 못한 이도 있었다는 것이다.
 
다들 아다시피, 현재 해커는 와이어드 기자의 아마존닷컴과 아이클라우드 계정에 침투할 수 있었다. 이 계정은 각 업체의 비밀번호 재설정 프로세스에서의 운영적인 보안 결점으로 인해 상당히 쉬운 사회 공학적 형태의 공격으로 침투당한 것이다.  
 
이번 공격은 계정 비밀번호와는 전혀 상관없다는 데 강점이 있다. 공격자는 간단히 비밀번호 재설정만 하면 되기 때문이다. 그런데 보안 전문가로 추측되는 누군가가 비밀번호가 강력했다면 그 공격이 성공하지 못했다고 주장했다.
 
필자는 이 댓글을 읽으면서 자칭 보안 전문가라는 이에 대한 자격 요건이 궁금했다. 필자는 곧 그가 다른 부서로부터 정보 보안 부서에 새로 발령받았다는 것을 알아챘다.
 
발령 전에 어떤 공식적인 보안 훈련을 받지 않았다는 것은 문제가 되지 않는다. 문제는 이 사람이 재발령을 받은 이후에 어떠한 보안 훈련도 제공받지 못했으며, 그 또한 훈련을 하기 위해 노력하지 않았다는 점이다.  
 
이런 상황은 포천 500대 기업에서 특별한 일이 아니다. 많은 기업들이 채용을 동결했으며, 정리해고를 단행했다. 이는 인력이 부족한 보안부서는 어떤 누구라도 데리고 와야한다는 것을 의미한다.
 
심지어 채용 동결이 되지 않았음에도 많은 기업은 직원들의 전문성 개발을 목적으로 내부적으로 순환 근무를 하게끔 되어 있다. 이로 인해 보안 책임자는 다른 선택의 여지가 없는 사람들을 받아들인다.
 
이 상황에서 제대로 된 훈련을 요구했을 때 발생하는 근본적인 문제는 많은 기업들이 이에 대한 교육 예산이 충분하지 않거나 자격증 인증 프로그램이 없다는 것이다.
 
필자는 두 가지 염려스러운 점이 있다.  
첫번째, 자격이 없고 훈련되지 않은 보안 관리자는 기업의 보안 프로그램을 약화시킬 것이 분명하다. 이런 이들이 이번 보안 이슈조차 이해하지 못한다면, 그들은 조직을 안전하게 하는 가장 효과적인 방법을 알아낼 수 없다.
 
두번째, 많은 사람이 보안 전문가에게 조언을 구한다. 그런데 그 전문가가 해당 질문에 대한 것을 제대로 알지 못한다면 결국 나쁜 조언만을 얻게 될 것이다. 이런 문제가 확산되는 폐해는 결코 만만치 않다. 그 조언이 잘못됐다는 것이 의심받게 된다면 그것은 전체 보안 전문가의 신뢰도에도 금이 가는 것이다.
 
훈련 비용이 아주 적거나 실제로 아예 없다 하더라도 이렇게 되서는 안된다.  
필자는 새로이 채용되어 실제 보안 노하우가 없는 직원들과 같이 일하게 된 어느 한 CISO(Chief Information Security Officer)를 알고 있다.
 
그 CISO는 즉각 그 사람들을 자신의 부서에서 쫓아냈다. 그는 최소한 역량이 있는 직원으로 구성된 핵심 팀을 채용하는 권한을 승인받았다. 이 사례는 채용 동결로 인해 어려움을 겪게 된 관리자들에게 적절하다.
 
일반적으로 CISO는 세계 최고의 전문가를 요구하지 않는다. 그들은 기본적으로 보안 지식을 갖춰 설명은 할 수 있는, 기본적인 역량과 성실한 기술직을 원할 뿐이다.  
 
필자가 알고있는 또다른 조직의 CISO는 그들의 팀원에게 보안에서 기본이 되는 책과 온라인 기사들을 읽게 하는 훈련 프로그램을 이행했다.
 
또한 그는 순환 보직으로 떠나는 직원에게는 각 조직의 보안 이벤트 임무를 맡겼다. 보안 신뢰의 단계는 그 사람들이 얼마나 잘 어울리느냐의 정도와도 연관이 있다.  
 
이 두 CISO는 가용할 수 있는 자원이 제한된 가운데서도 최고의 보안 수준을 유지할 수 있었으며, 보안 훈련을 이행할 수 있었다.
 
최소 훈련 비용이 최소이거나 또는 전혀 없을 경우, 두번째 CISO가 그들의 팀원을 가르칠 때의 방법을 사용하면 된다. 물론 정규 훈련이 더 나을지도 모른다. 그러나 훈련 프로그램을 이행할 조건이나 여력이 되지 않는다면 그 방법은 추구할만한 가치가 있다.   
 
사실 보안 훈련의 가치는 과소평가되어서는 안된다. 필자는 사이버 보안 특화 대학 과정은 너무 과대평가되고 있다고 생각한다. 별도의 실전 훈련이 결여된 특정 프로그램은 유용할 수도 있다. 그러나 종국적으로 실전 훈련과 적절한 훈련이야말로 보안 전문가로서의 역할에 더 많은 가치를 부여한다.
 
마지막으로 필자는 모든 보안 팀이 능숙한 팀으로 구성되어 있다고 본다. 보안에서 기초 역량을 개발하는 필수 훈련 비용이 아주 많이 필요한 것은 아니다. 이는 CISO나 다른 책임자급 관리자의 몫이다. editor@itworld.co.kr



2012.08.22

글로벌 칼럼 | 보안 전문가, 얼마나 알고 있을까

Ira Winkler | Computerworld
최근 아이클라우드 보안 사건에서 파생된 여러 과제가 생겼다. 그 가운데서도 중요하다 싶은 것은 어떻게 하면 많은 보안 전문가들이 자기의 임무조차도 전화로 물을 만큼 모르는 지 입증하는 것이다.
 
아이클라우드 해킹 소식이 떠돌기 시작할 때, 보안 전문가 사이에서는 많은 토론이 있었다. 이 가운데 많은 이들은 기본적인 개념을 상당히 잘 알고 있었다. 그러나 몇몇의 경우는 보안의 기본 개념조차 이해하지 못한 이도 있었다는 것이다.
 
다들 아다시피, 현재 해커는 와이어드 기자의 아마존닷컴과 아이클라우드 계정에 침투할 수 있었다. 이 계정은 각 업체의 비밀번호 재설정 프로세스에서의 운영적인 보안 결점으로 인해 상당히 쉬운 사회 공학적 형태의 공격으로 침투당한 것이다.  
 
이번 공격은 계정 비밀번호와는 전혀 상관없다는 데 강점이 있다. 공격자는 간단히 비밀번호 재설정만 하면 되기 때문이다. 그런데 보안 전문가로 추측되는 누군가가 비밀번호가 강력했다면 그 공격이 성공하지 못했다고 주장했다.
 
필자는 이 댓글을 읽으면서 자칭 보안 전문가라는 이에 대한 자격 요건이 궁금했다. 필자는 곧 그가 다른 부서로부터 정보 보안 부서에 새로 발령받았다는 것을 알아챘다.
 
발령 전에 어떤 공식적인 보안 훈련을 받지 않았다는 것은 문제가 되지 않는다. 문제는 이 사람이 재발령을 받은 이후에 어떠한 보안 훈련도 제공받지 못했으며, 그 또한 훈련을 하기 위해 노력하지 않았다는 점이다.  
 
이런 상황은 포천 500대 기업에서 특별한 일이 아니다. 많은 기업들이 채용을 동결했으며, 정리해고를 단행했다. 이는 인력이 부족한 보안부서는 어떤 누구라도 데리고 와야한다는 것을 의미한다.
 
심지어 채용 동결이 되지 않았음에도 많은 기업은 직원들의 전문성 개발을 목적으로 내부적으로 순환 근무를 하게끔 되어 있다. 이로 인해 보안 책임자는 다른 선택의 여지가 없는 사람들을 받아들인다.
 
이 상황에서 제대로 된 훈련을 요구했을 때 발생하는 근본적인 문제는 많은 기업들이 이에 대한 교육 예산이 충분하지 않거나 자격증 인증 프로그램이 없다는 것이다.
 
필자는 두 가지 염려스러운 점이 있다.  
첫번째, 자격이 없고 훈련되지 않은 보안 관리자는 기업의 보안 프로그램을 약화시킬 것이 분명하다. 이런 이들이 이번 보안 이슈조차 이해하지 못한다면, 그들은 조직을 안전하게 하는 가장 효과적인 방법을 알아낼 수 없다.
 
두번째, 많은 사람이 보안 전문가에게 조언을 구한다. 그런데 그 전문가가 해당 질문에 대한 것을 제대로 알지 못한다면 결국 나쁜 조언만을 얻게 될 것이다. 이런 문제가 확산되는 폐해는 결코 만만치 않다. 그 조언이 잘못됐다는 것이 의심받게 된다면 그것은 전체 보안 전문가의 신뢰도에도 금이 가는 것이다.
 
훈련 비용이 아주 적거나 실제로 아예 없다 하더라도 이렇게 되서는 안된다.  
필자는 새로이 채용되어 실제 보안 노하우가 없는 직원들과 같이 일하게 된 어느 한 CISO(Chief Information Security Officer)를 알고 있다.
 
그 CISO는 즉각 그 사람들을 자신의 부서에서 쫓아냈다. 그는 최소한 역량이 있는 직원으로 구성된 핵심 팀을 채용하는 권한을 승인받았다. 이 사례는 채용 동결로 인해 어려움을 겪게 된 관리자들에게 적절하다.
 
일반적으로 CISO는 세계 최고의 전문가를 요구하지 않는다. 그들은 기본적으로 보안 지식을 갖춰 설명은 할 수 있는, 기본적인 역량과 성실한 기술직을 원할 뿐이다.  
 
필자가 알고있는 또다른 조직의 CISO는 그들의 팀원에게 보안에서 기본이 되는 책과 온라인 기사들을 읽게 하는 훈련 프로그램을 이행했다.
 
또한 그는 순환 보직으로 떠나는 직원에게는 각 조직의 보안 이벤트 임무를 맡겼다. 보안 신뢰의 단계는 그 사람들이 얼마나 잘 어울리느냐의 정도와도 연관이 있다.  
 
이 두 CISO는 가용할 수 있는 자원이 제한된 가운데서도 최고의 보안 수준을 유지할 수 있었으며, 보안 훈련을 이행할 수 있었다.
 
최소 훈련 비용이 최소이거나 또는 전혀 없을 경우, 두번째 CISO가 그들의 팀원을 가르칠 때의 방법을 사용하면 된다. 물론 정규 훈련이 더 나을지도 모른다. 그러나 훈련 프로그램을 이행할 조건이나 여력이 되지 않는다면 그 방법은 추구할만한 가치가 있다.   
 
사실 보안 훈련의 가치는 과소평가되어서는 안된다. 필자는 사이버 보안 특화 대학 과정은 너무 과대평가되고 있다고 생각한다. 별도의 실전 훈련이 결여된 특정 프로그램은 유용할 수도 있다. 그러나 종국적으로 실전 훈련과 적절한 훈련이야말로 보안 전문가로서의 역할에 더 많은 가치를 부여한다.
 
마지막으로 필자는 모든 보안 팀이 능숙한 팀으로 구성되어 있다고 본다. 보안에서 기초 역량을 개발하는 필수 훈련 비용이 아주 많이 필요한 것은 아니다. 이는 CISO나 다른 책임자급 관리자의 몫이다. editor@itworld.co.kr

X