보안전문가들의 딜레마
예전에 보안뉴스에서 보안직종 연재물 칼럼을 본 적이 있습니다.
네가지의 주제 중, "[보안인력시장①]보안전문가, 유망직종인가? 기피직종인가?]"
라는 주제를 가장 감명깊게 읽었는데요, 요즘들어서 여기서 언급한 내용들이
자꾸 가슴에 와닿습니다.
http://www.boannews.com/media/view.asp?idx=17482&kind=0
보안은 아주 귀찮은 것이죠, 악의적인 의도를 행하는 나쁜 사람들이 없다면 사실 뭐...
없어도 됩니다. 보안 프로세스가 있으면 있을수록, 보안 시스템이 강하면 강할수록
사람들은 귀찮을 뿐입니다. 이 귀찮음의 댓가로 어떠한 매출의 증대라던가 뭐 그런
눈에 보일만큼 두드러지는 성장이 보이는 것도 아닙니다. 그냥 아무 일 없이 잘
굴러가는... 해킹을 모르고 살 때와 동일한 환경을 만들어 주는 것 뿐입니다. 그렇게
돈을 많이 들여서 돌아오는 반대급부로는 아무 변화 없는 것이라니, 경영자 입장에서
볼 땐 보안이라는 것은 참 손해나는 분야입니다.
그리고 해킹 사건이 발생합니다. 그러면 사람들은 불평합니다. 보안을 제대로
해놓지 않아서 이러한 일이 터졌다고 생각합니다. 해킹 사고 후 능동적으로 대응을
하여 피해를 최소화 시켰습니다. 저 기사에 나온 것처럼 밤샘근무에 화장실도 제대로
못 가고 똥도 참아가며 해킹 흔적을 찾아 헤맸지만, 뒤돌아 오는 것은 "수고했다" 라는
격려가 아닌, "당연히 너희가 해야 되는거 아냐?" 라는 반응입니다. 그리고 평소에
어떻게 했길래 이런 사고가 발생했냐고 반문합니다. 또는 왜 꼭 사고가 터지고 나서야
움직이냐는 식으로 비아냥됩니다.
회사는 이윤을 내는 기업이기 때문에, 당연히 성과 평가라는 것을 진행합니다. 각
부서에서 그리고 각 팀에서 회사의 매출 증대에 얼마나 기여했는지를 성과 평가라는
것을 통해 판별하고, 그 결과를 연봉 상승이나 인센티브에 반영합니다. 당연히 매출을
끌어올리는 개발 부서나 영업 부서에서 많은 좋은 평가를 받습니다. 보안 부서는 어떨까요?
보안은 잘해봤자 중간이고, 진짜 잘해야 아무 일도 발생하지 않는 것입니다. 즉 쓰레기
공무원처럼 노는 모습을 보여야 (건실한 공무원 분들에겐 죄송합니다) 좋은 성과로
평가받을 수 있습니다. 그러나 그런 부서는 거의 없습니다. 보안 전문 부서를 둘 만큼
큰 회사라면 당연히 해킹 사고가 전혀 발생하지 않을 리가 없기 때문입니다.
해킹 사건은 또 신기한 것이 조용할 때는 또 조용하다가, 한번 몰아닥치기 시작하면
걷잡을 수 없이 밀려옵니다. 그때는 당연히 현재의 보안 인력으로 커버할 수 있는 양이
되지 못합니다. 다시 또 잠도 못 자고 똥도 참아가며 상황 처리에 나섭니다. 그러다보면
실무자들은 대략 느껴집니다. 현재 해야 될 일들과 앞으로 같은 문제 방지를 위해 준비해야
되는 것들이 뭔지 보여지기 시작합니다. 회사 곳곳의 취약점을 꿰뚫기 시작합니다.
하지만 그것을 커버하기 위해서는 회사 차원에서의 지원이 필요합니다. 지금의 인력이나
예산으로는 어림없는 것들입니다.
윗 분들께 그 사실을 보고하고, 보안 프로세스와 인력 증대를 요청합니다. 하지만 그런
것들이 컨펌되고 검토될 때쯤은 또 조용해집니다. 그리고 "뭐, 지금 별 문제 없잖아?"
하면서 넘어갑니다. 발을 동동 구르고 안타깝지만 일단 정책대로 현재 상태를 유지합니다.
그리고 또 해킹 사고가 연달아 터집니다. 다시 악순환이 반복됩니다.
DDos 공격인 7.7 대란 때의 안철수 의장님께서 무릎팍도사에 나오셔서 하신 말씀이
있습니다. "대책없이 있다가 본보기로 당했죠" 많은 보안전문가들이 이 말에 10000000%
공감했습니다. 보안전문가들은 DDos의 대책과 예방책에 대해 알고는 있었지만 정책적인
문제로 예산 문제로 그냥 발만 구른 채 별문제 없기만을 바라며 하루하루를 살았습니다.
그렇게 대책없이 있다가 본보기로 당한거... 정말 ......맞습니다. lol
뭐 대략적인 얘기를 훑어봤는데, 보안을 중요시 하지 않는 많은 기업의 보안관계자들이
몸으로 느끼는 얘기일겁니다 (공감하지 않으셨다면 저의 서술능력이 무지하게 떨어진다는
것이겠죠 ㅠ ㅠ) 그나마 다행히도 저는 보안업무를 하면서 내가 푸대접이나 차별을 받는다는
생각을 많이 하지 않았습니다. 우리 회사의 개발자들은 제가 얘기하는대로 굉장히 귀찮고
번거로운 작업들도 잘 따라와 주었고, 사건이 발생해도 현재의 상황에서는 당연히 일어날
수밖에 없는 것이라고 생각해 주며 절대로 제 탓을 하지 않았습니다. 그래서 저도 더욱 더
업무에 집중할 수 있었고, 바빠도 즐거웠습니다. 똥 참을 참을때도 행복했습니다. 그나마 참
감사한 일입니다. 제가 잘나서 그런게 아니고 좋은 분들이 곁에 계셔 주신 저의 행운이라고
생각합니다.
그러나 주변 친구들이나 선후배들은 위에서 말한 고통을 겪으며 힘들어하시는 분들이 너무
많은 것 같습니다. 그 이유가 회사의 정책 탓일 수도 있고, 주변 사람들 때문일 수도 있습니다.
그리고 이 모든것들의 low level 의 단계에서는 "보안의식" 이라는 공통적인 커널 객체가
존재합니다. 결국 보안의식 자체가 후진국이기 때문에 사람들이 그렇게 생각하는 것이고,
그래서 회사도 그렇게 나가는 거고, 나라 자체가 그런 의식 속에 빠져 있다는 얘기입니다.
그러다 보면 보안인력은 힘이 빠지고 기피증이라는 병이 생기게 됩니다. 점점 수렁 속으로
들어가게 됩니다.
보안 의식 자체가 바뀌어야 하고, 그러면 자연히 회사도 사람들도 의식이 성장하기 마련입니다.
의식 얘기가 나와서 말인데, 사실 이번 7.7 DDos 공격으로 얻은 것 중 하나는, 민간인들에게
DDos 라는 이름을 널리 알렸다는 것입니다. 이제는 옆집 아줌마도, 동네 할머니도 DDos 가 뭔지
압니다. 그리고 조금 더 나아가 DDos 공격으로 한 기업의 매출을 수백억 단위로 날려먹을 수
있다는 것도 민간인들에게 알려주었습니다.
그래서 저는 한편으로는 해커들이 우리에게는 참 고마운 존재라는 생각을 합니다. 우리가
실무에서 써먹는 해킹 기법이나 방어 기술은 대부분 해커들에게 배우는 것이며, 그들의
아이디어를 빌려서 새 기능을 개발합니다. 그러나 그것에서 더 나아가 이번 DDos 처럼
보안의식을 재고시키고 사람들에게 용어를 널리 전파시키는데도 해커들의 힘을 빌려서
한순간에 괄목할만한 성장을 이루었습니다. 정말 국가보다도 더 효율적으로 대중의식운동과
캠페인을 진행해 주고 있습니다. 감사한 일입니다. 그러나 한편으로는 정말 슬프기도 합니다.
보안업계가 더 살아나려면 국가적인 정책보다는 음지의 해커가 더 많이 활동하기를 바래야
한다니 이게 말이나 되는 얘기입니까... 우리는 해커를 때려잡아야 살아남는 사람들인데,
마음 뒤켠으로는 때려잡을 해커가 더 늘어났으면 하는 바램을 가지다니... 참 아이러니 합니다.
window31.
2009년 10월.
