이메일을 적으시면 보안관련 소식을 받을수 있습니다.
이메일:

이번에 안랩대학생 기자단 지원하면서 썼던 에세이 부끄럽지만 올려봅니다. 엔시스님께서 감수를 해주셔서 그래도 많이 매끄러워진거 같네요 감사드립니다. 이 포스팅은 호환IT이야기(http://tigernet.tistory.com)에 공동기재 중입니다.

우리가 살고 있는현대사회에서 IT기술의 영향력이 뻗치지 않은 곳이 있을까눈을뜨면서부터 하루를 거쳐 다시 잠에 드는 시간까지 우리는 수많은 IT기기들과 기술을 접하고사용하며 살아가고 있다손안에 들어오는 조그만 휴대폰의 기능이최초의 컴퓨터인 콜로서스보다 그 크기는 월등히 작으면서도 성능은 비교가 불가능할 정도로 발전했을 만큼 IT기술의발전은 눈이 부시도록 빠르고 항상 꿈이라고만 생각했던 것을 현실로 이끌어 내왔다특히 우리나라의 경우특유의 민족적 기질인 빨리빨리 때문에 세계 어디보다 빨리 IT기술을 발전시키고 구축해 오면서 IT강국이 되었다고 자부하고 있는현실이다.

 하지만이것은 흔히들 말하는 지속적인 발전이 가능한 기반 즉 IT인프라를 구축하는 데에만 치중해 왔다고 생각할수도 있다실제로 지난 7.7 DDOS 사건이나 옥션 개인정보유출등 굵직한 사건만 보더라도 여태까지 우리가 개발하고 발전해왔던 것이 그저 몸집을 키우고 내실을 다지지 않았음을 여실히 보여주는 증거라고 생각된다자물쇠 없는 곳간을 지어놓고 곳간의 크기만 계속해서 증축해 온 것과 같다는 말이다그 결과 우리나라 IT 인프라는 크래커들이 판치는 놀이터가 되었다고보아도 과언이 아니다이제는 몸집이 아닌 보안이라는 내실을 다져야 할 때가 온 것이다.

  물론지속적으로 보안에 신경을 써오고 보안분야에 투자를 하며 꾸준히 내실을 다져온 기업들이 있기는 하다하지만이러한 부류는 우리나라에서 극소수라고 할 수 있다보안분야에 대한 교육과 인재양성이 국가적 차원이아닌 개인기업에 의하여 또는 일부 학원등에 의하여 이루어지고 있는 현실이다그런 이유로 체계적인 인재양성이아닌 소위 말하는 로또식의 인재양성이 이루어 지고 있다고 생각한다진짜 실력을 가진 정보보안전문가들은최근까지만 하더라도 악성해커(크래커)라는 오해를 받으며 오히려감시 해야 할 인물이라는 편견이 지배적이었다현재는 이러한 인식이 바뀌고 있기는 하지만 예전보다 크게나아진 점은 없어 보인다.

  


이러한점을 해결하기 위해서는 우선 인재양성과 인프라 구축부터 국가적인 차원에서 이루어져야 한다고 생각을 한다최근중국발 해킹등으로 그 성향이 많이 바뀌긴 하였지만보안 사고의 대부분이 일명 Script kiddy라 칭하는 소위 공부를 하는 과정에 있는 학생들로 인하여 벌어지는 경우도 허다하다체계적인 교육을 받지 못한 상태에서 호기심에 충만하여 그저 어딘가에서 검색하여 확보한 도구들을 사용하는 과정에서이러한 사고가 발생하는 경우가 대부분인 것이다이러한 학생들을 국가에서 양지로 끌어올리고 도덕성부터확실히 교육을 한 후에 이론실습 순으로 교육을 해 나간다면 당장은 아니더라도 비 악의적인 공격에의한 피해는 차차 줄여 나갈 수 있을 뿐만 아니라보안인력의 확보까지 이룰 수 있을 것이다.

  하지만여기서 그치지는 말아야 한다인력의 확보뿐만 아니라 해당 인력에대한 대우와 관리도 민간단독이 아닌 국가와 연계하여 이루어 져야 한다그 예로 국가공인 보안자격증인 SIS를 들 수 있다이처럼 보안관련 자격증들의 취득을 독려하고해당 자격증을 민간이 아닌 국가에서 관리를 하여야 한다또한주기적으로 자격을 검증 받고 재심의 할 수 있게 함으로써인력의구축과 더불어 기술 발전에 상응하는 인력을 양성하고 관리 할 수 있는 체계를 마련해야 할 것이다.

  마지막으로인재양성에 국한되지 않고피해예상과 공격패턴을 분석하고 결과를 데이터베이스화 해야 한다는 점을 말하고싶다. 7.7 DDOS공격 사건 이후 보안에 관한 관심과 투자가 많아진 것은 사실이다하지만 DDOS한 분야가 아닌 보안과 관련된 여러 분야에 걸친 공격의종류와 분석이 이루어지고 P.T.(모의침투)를 통한 공격가능성을 끊임 없이 점검하고 데이터베이스화 하는 것이 중요한 것이다외국에서는 매년마다 OWASP 10대 취약점이란 것을 발표하고 있다우리나라에서도 KISA에서 이와 비슷한 것을 발표를 하고 있다하지만 OWASP에 비해서는 그 범위가 너무 국한되어 있고 내용이 빈약한 것이 사실이다이러한 차이점이 발생하는 이유는 바로 지속적인 데이터베이스의 확보가 이루어져 있지 않기 때문이 아닌가 추측을해본다정보보호21C에 실렸던 WowHaker대표와의 인터뷰를 보면자신이 알아낸 취약점을 기업에알려줬을 때 오히려 오해를 받고 욕을 먹은 이후로 알게 되더라도 말을 하지 않게 되었다는 부분이 있다사고가나기 전 모의침투에 의하여 구멍이 확인되는 것은 결코 부끄러운 것도 아니며 숨길 사항도 되질 않는다중요한것은 이러한 것이 밝혀지거나 제보가 되었을 때 숨기지 말고 인정하고 고치는 것이다그래야 아주 미세한틈을 비집고 들어오는 공격자로부터 100%는 아니지만 높은 확률로 방어가 가능하게 되는 것이라 생각한다.

  해킹과 보안은 동전의 앞면과 뒷면 이라고 한다보안을잘하기 위해서는 해킹을 이해하고 예상해야 하기 때문이고반대로 해킹을 잘하기 위해서는 보안을 이해하고예상해야 하기 때문이다그 동안 민간개인 그리고 음지에있던 수많은 해커들을 국가차원에서 양지로 끌어올리고그들을 한데 묶음으로써, IT인프라 강국뿐만이 아닌 IT보안 강국이 되었으면 하는 바램이다.









****************************************************************************************************

본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..

****************************************************************************************************

Posted by NIMD4

댓글을 달아 주세요

  1. Favicon of https://boanin.tistory.com BlogIcon John_G 2010.02.04 12:04 신고  댓글주소  수정/삭제  댓글쓰기

    좋은 결과 있으실껍니다 ^^

  2. Favicon of https://www.sis.pe.kr BlogIcon 엔시스 2010.02.08 13:06 신고  댓글주소  수정/삭제  댓글쓰기

    좋은 결과 있기를 바랍니다..^^

  3. Jason 2010.02.18 16:52  댓글주소  수정/삭제  댓글쓰기

    보안이라는 단어에는 양면성이 항상 존재할수 밖에 없군요..코코넛과 복숭아 얘기가 생각나네요.
    좋은글 감사합니다. ^^ 그리고 ,미리 마스터1급 축하드려요 ^^;