최근 년초에 들어서 보안 이슈중에 강력한 이슈 두가지가 대두 되었습니다. 하나는 D일보에서 [단독 보도]라고 하면서 보도한 " 노트북 도청" 에 대한 이슈이고 또 다른 하나는 "아이폰 원격제어" 에 대한 H일보에 대한 언론 기사입니다.

검색사이트에서 검색하면 나오기에 굳이 언급하지 않겠습니다. 이 두가지 언론 기사를 바라 보면서 몇가지 개인적인 생각을 한번 정리해 보려고 합니다.

1. IT(보안)언론 매체가 아닌 일반 매체이용

저도 기자분들과 이야기 해 보면 사실, 대부분 보안에 대하여 잘 모르는 경우가 많습니다. 그러다 보니 아무래도 기사 내용이 자극적으로 보여 질수 있습니다. 두 사건 모두 일반 매체이다 보니 기사화 하기 전에 조금 더 신중하게 확인 사실을 주변(또 다른) 보안전문가에게 검증을 해 보고 기사화 하면 좋겠다라는 아쉬움이 있었습니다. 그저 보안에 대한 지식이 없는 분들에게 원격 제어 할수 있는 방법을 조금만 수정하여 보여 주면 해킹,해커라는 아주 자극적으로 비추어지게 되지요. 굳이 해커와 크랙커를 구분하지 않더라도 국내에서 해커라고 불리면 무조건 선입견부터 가지고 있는 것이 사실이니까요.

조금 과장하여 예를든다면 윈도우 원격터미널 프로그램을 모르는 사람에게 그 사람이 사용하고 있는 IP를 넣고 원격 핸들링 하는 것을 보여 준다면 아마도 처음 접하는 사람들은 이를 가지고 해킹이라고 할지 모릅니다.  뭐,,그렇다고 해서 IT매체라고 해서 달라질 것은 없겠지만 이 두사건 모두 IT및 보안언론매체에서 함구 하고 있는 것은 왜 일까요?


2. 보안관련 글을 쓰는 기자는 전공이나 보안자격증 정도는 가지고 있어야

국내 3대 메이져 언론에 단독이니 뭐니 하면서 아주 자극적인 문구로 지속적인 기사화 한다면 더 많은 혼란을 가져 옵니다. IT관련 매체나 일부 보안매체를 이용해도 잘 움직이지 않는 기관도 국내3대 언론은 그만한 힘이 있는 것이겠지요..이는 일부 기자들에게도 문제가 있다고 봅니다. 그것은 보안 기사를 취재하면서 보안에 대한 일반적인 지식이 없기 떄문입니다. 최근에는 의료전문기자, 기상전문 리포터, 법률전문기자등등 전문기자들이 있습니다. 최소한 보안에 대한 기사를 취급하는 기자분들은 자기 계발 차원에서라도 보안 전공한 기자나 최소 보안관련 자격증이라도 보유하고 있는 분이 쓰는게 맞지 않을까 생각합니다. 그래야 올바른 언론에 기사가 전달이 될 것입니다. 그렇지 않을 경우 결국 노트북에 마이크차단 버튼을 달라고 하는 아주 웃지못할 헤프닝이 나오기도 합니다. 일부는 연예부 기자가 취재한 내용도 있다는 네티즌도 있었습니다.

어떤 사이버수사대에 근무하시는 분중에 더 많은 공부를 하기 위해 정보보호관련 대학원에 다닌다고 하는 지인이 있습니다. 그래서 제가 물어 보았습니다.

" 왜 대학원에 다니시나요? 관련 범죄와 날마다 씨름 하다보면 이젠 전문가일텐데요 "
그런데 그 수사관분 하시는 말씀이
" 법원 판결때 판사님이 수사관이 작성한 조서를 법적 효력을 어떻게 믿을수 있나? "
즉 다시말해서 당신 맘대로 유리하게 작성하였다 하더라도 그 법적효력을 어떻게 증빙 할수 있는가? 라고 하면 그렇지 않지만 솔직히 할말이 없다고 하시더군요.
"그래서 최소한 정보보호관련 대학원이라도 나오고 보안관련 자격증도 몇개 가지고 있고 하면 그 말에 대한 신뢰성을 높일수 있어 어렵게 다니고 있지요..." 라고 말하더군요

최소한 보안관련 뉴스를 취급하는 사람도 이에 대한 신뢰성있는 기사를 일반 국민에게 전파하려면 그만한 신뢰성 있는 무엇인가를 지니고 있어야 할것입니다. 보안관련 취급 하는 기자중에 보안자격증 가지고 있는 사람이 몇명이나 있을까요? 정보보호관련 전공하신 분은 몇명이나 있을까요? 향후 이러한 부분도 글에 대한 신뢰도에 상당한 영향을 끼칠 것이라 생각을 합니다. 아무리 좋은 글을 써도 연예부 기자가 보안뉴스를 쓰면 소설이라고 이야기 하듯 말이죠. 반성해 볼 문제라 생각합니다.


3. 보안 취약성 발표는 신중해야 하고 관련 컨퍼런스나 세미나에서 해야

늘 우리는 알지 못하는 또는 알려지지 않는 보안 취약성은 지속적으로 대두가 될 것입니다. 그때마다 언론에 특종을 잡겠다고 언론 플레이를 해 버리면 일반 사용자는 상당히 놀라고 혼란 스러워 할수 밖에 없습니다. 이러한 취약점들은 보안 세미나 또는 컨퍼런스를 통하여 자연스럽게 제기하고 대처해 나가는 방법이 더 나은 방법이 아닌가 생각합니다. 그러면 관련 분야에 여러 사람들로 하여금 또 다른 의견이나 조언을 받아 더 나은 대책을 마련할 수 있으니까요.
또한 보안에 대한 윤리의식도 상당히 중요하다고 생각합니다. 흔히 양날의 검이라고 이야기를 하지요. 그것으로 방어를 할수도 있고 살인을 할수도 있으니까요. 바로 백지 한장 차이입니다. 그래서 국내에선 유독 왜곡된 시각으로 바라봅니다. 이제는 사회적 인식을 바꿀 필요가 있습니다. 그럴려면 관련 지식이 있는 분들이 조금 더 신중하게 접근 하는 것이 중요합니다.


4. 언더그라운드, 보안전문가, 사이버보안관..공부할 곳은 없는데 인력 요구는 완벽한 보안전문가 원해

보다 개방적이고 다양한 의견을 서로 나누고 공유하고 수렴할수 있어야 하는 가운데 자신의 분야에서 능력있는 인재들을 어떻게 잘 갈고 다듬어 갈것인가에 중점을 맞추어야 합니다. 그렇치 못할 경우 점점 깊숙한 곳으로 숨어 들어 가던지 아니면 이 세계를 청산하고 떠나려 하겠지요..
이들에게 억압하고 왜곡된 시각으로 바라보고 하기 보단 조금 더 이끌어 양지로 이끌어 내어 그 실력을 잘 사용할수 있는 사회적 기반을 마련해야 하겠습니다. 국내 보안연구를 하는 사람들이 해외 데프콘에서 여러번 본선 진출을 하고 하는 것을 언론을 통하여 많이 접했을 것입니다. 그런 인재를 잘 보살피고 가꾸어 줄수 있는 사회적 인식과 기반이 필요합니다.

보안전문가는 맨날 남에 싸이트만 뚫고 나쁜짓만 하는 사람이 아닌 전반적인 국가나 조직내에서 올바른 인터넷 사용과 비보안전문가로하여금 안전한 사이버 관리를 위하여 노력하고 보람도 갖을수 있는 문화와 인식의 정착에 앞장서는 사람으로 보는 시간을 갖어야 합니다.

이러한 기반은 마련되지 않은채 조직이나 기업에서 요구 하는 인력 스펙을 보면 아주 초 울트라 수퍼급을 요구합니다. 보안 공부를 해 본 사람은 아시겠지만 분야도 광범위 하고 자기가 관심 있는 분야만 잘 한다고 해서 전문가 일수 없습니다. 다양한 노하우와 경험 그리고 지식을 요구 하니까요. 쉽게 말하면 보안전문가들이 놀 만한 장소가 없다는 것이지요. 그러면서 국가나 사회는 유능한 보안인력을 요구 하고 있지요.  조금은 개방적이고 오픈된 마인드로 아..이제는 정말 보안이 중요하구나..저 사람들이 있기에 안전하게 인터넷을 사용할수 있구나 하는 인식의 확대가 시급합니다.


5. 정보보호전문가, 보안전문가, 기준마련도 중요해

이러한 인력을 확보하기 위하여 가장 먼저 해야 할 일이 관련 인력에 대한 기준 마련이 중요하다고 생각이 듭니다. 그런 기준이 마련이 되어 있지 않는다면 누구나 전문가라고 하면서 자신만이 알고 있는 그 기술만 가지고 일반 대중에게 다가서다가 커다란 오류를 범할수 있기 때문입니다. 제가 개인적으로 생각하는 기준은 다음과 같습니다.
  • 정보보호, 보안에 대한 전공을 한 사람
  • 정보보호 관련 업무에 3년 이상 종사한 사람
  • 보안관련 최소 1개 이상의 자격증을 보유한 사람
  • 정보보호나 보안관련 특허를 가지고 있는 사람
  • 보안이나 정보보호 관련 논문을 1편 이상 발표한 사람
  • 정보보호나 보안 윤리에 대한 확고한 신념이 있는 사람
  • 무엇보다 보안에 남다른 열정을 가지고 노력하고 연구 하는 사람

정도가 아닐까 생각합니다. 너무 까다롭나요?

관련 기관에서나 국가에서도 이러한 부분을 잘 관리 해 주어야 할 것입니다. 11일 국방부에서는 사이버부대를 창설 한다고 하니 한번 지켜 보도록 하겠습니다. 좋은 롤 모델이 되어 사회에 그 인력이 훤원이 되었으면 하는 바램을 가져 봅니다.


마무리

정보화 사회에 살고 있는 우리는 점점 인터넷과 정보화를 실생활에서 사용하고 있기에 그 편리성과 보안은 trade-off 관계에 놓이게 됩니다. 이에 따라 미래 직업중에 정보보안전문가는 유망직종으로 이야기 하고 있고, 어린 청춘들은 장미빛 청사진을 가지고 이쪽에 발을 들여 놓습니다. 이래 저래 이상과 현실에서 갈망하는 시기를 지나 나이를 먹고 나면 이젠 이 바닥도 못해 먹겠다고 하면서 무엇하나 돈 된다고 하면 금새 생겨나 시장의 포화로 제 살 갂아 먹기로 되어 버립니다. 그러다 나이가 들면 살아 남은 사람은 살아 남고 그렇지 못한 사람은 이런 세태를 한탄하며 업계를 떠나겠지요. 그런 악순환이 되는 가운데 국가의 안전은 누가 지키겠는지요?

당부드립니다. 국가에서 이젠 보안을 관심 갖어 주시고 보안에 일하는 사람이 자부심을 가질수 있는 토대를 마련해 주시기 바랍니다. 그렇지 않으면 노트북에 마이크 방지 버튼뿐만 아니라 그보다 더한 장치도 부착해야 할지도 모릅니다. 보안을 바라볼때 올바른 시각을 바라보며, 보다 든든한 버팀목이 필요한 것입니다. 꼭 관련업계나 이제 막 보안 공부에 발을 들여 놓은 모든 분들이 비젼과 희망 그리고 자부심을 가지고 일하고 공부 할수 있도록 제도권에 계신분들이 꼭 힘써 주셨으면 하는 바램을 가져봅니다.  @엔시스.

Posted by 엔시스

인터뷰가 모든 것을 나타내는 것은 아니지만 절대적인 보안인식이 중요하다는 생각을 가지게 하는 동영상이다.
블로거 여러분  제발 보안에 대하여 한번쯤 진지하게 고민해 보시기 바랍니다.

그냥 스쳐지나갈 일은 아닌것 같네요..




Posted by 엔시스
사용자 삽입 이미지
최근  각종 언론 지면이 여러가지 이슈로 인하여 시끄럽고 무엇이 문제인지 한번 짚어보고 이이런 저런 정보보호에 대한 고민을 해 본다.

모자산운용사의 DDoS 공격에서 각종 포털 금융기관의 아이디 패스워드 유출문제까지 여러가지로 시끄럽다. 그냥 이쪽에 관심 없는 사람들이야 신문 지면 한곳에 자극적인 문구로 대문짝 만하게 적혀 있으면 그런가 보다 한다.

하지만 관계 담당자들은 죽을 맛일 것이다. 그건 해야 하는 일이 너무나 많고, 그렇다고 자기 혼자 어떤 결과가 나오기에도 어렵다.

그러면서

- 국내 보안현실, 여기까지가 한계인가봅니다

- 금융사이트 아이디·패스워드 보안 허점에 대한 기사를 보고

이런 기사를 볼때면 과연 어떻게 하는 것이 옳은 것인지 판단이 흐릴때가 있다. 그래서 두가지 관점으로 생각해 보자.

취약점 공개자 입장

왜곡된 시각이 아닌 정보보호에 대한 연구로 취약성을 발표하여 전반적인 내용을 이슈화 하여 정보보호의 위험성을 알리는데 목적이 있다.   위의 두번째 링크 되어 있는 부분이 아닌가 싶다..링크된 부분을 자세히 읽어보면 작금의 현실이 어떠한지 아마도 짐작할수 있을 것이다.

업체 담당자 입장

업체 담당자의 입장에서는 당연히 달가워 하지 않는 일이다. 그건 담당자는 그일만 하는 것이 아니고 다른 일도 해야 하는데 여러가지 여건이 허락 하지 않기 때문이다. 그렇다고 하루 종일 그일만 붙잡고 있을 수도 없는데 어떤 대안을 마련 해야 하기 때문이다..하지만 어떻게 보면 더욱 관심을 가져야 하는 사람이 바로 담당자일지도 모른다. 그건 자신의 본연의 업무이기 때문에..

말로는 정보보호 인력이 없고, 전문가가 없다고 하면서 위험성이 내포된 취약성을 발표하면  전부 못된 사람으로 몰리는 분위기 속에서 각 정부나 기업에서는 정보보호에 잘 투자를 하지 않은다. 왜냐하면 정보보호는 투자를 해도 그만 안해도 그만이라는 생각이 팽배해 있기 때문이다. 하지만 꼭 당하고 나면 그때가서 부랴부랴 담당자만 찾아서 대책 마련을 주문한다.

외국에서는 왜 다양한 커뮤니티가 이루어지고 마음대로 공개하는가? 누군가를 고통스럽게 하려는 것은 아닐 것이다., 같이 공유하고 그 위험으로 부터 사전에 막고자 함이고 그런 정보를 다앙하게 접하므로 인하여 한 단계 업그레이드 시키는 일이 될 것이다. 

위 첫번째 링크를 볼때도 해킹할수 있는 방법을 퍼뜨리는 것이라기 보다는 이러한 문제도 있을 수 있으니 다양한 시각에서 바라 볼수 있는 여유를 가져 볼 필요가 있겠다. 물론 당장 '당신이 해 보시오'라고 반문 한다면 스스로 나락의 늪으로 빠진다는 생각을 간과해서는 안될 것이다. sis@sis.pe.kr.


Posted by 엔시스