트위터의 해이한 보안 상황이 온 세상에 공개됐지만, 엄밀히 말해 아직은 일방적인 주장이다. 그럼에도 우리가 그 일방적인 주장이 진짜에 가까울 거라고 느끼는 건, 기록을 통해 전해지는 내용들이 어디서 많이 보던 일들이기 때문이다.
[보안뉴스 문정후 기자] 트위터의 전 보안 책임자이지만 머지(Mudge)라는 이름으로 더 잘 알려진 해커, 피터 자트코(Peiter Zatko)가 이번 주 트위터의 내부 사정을 고발했을 때 많은 기업들이 아차 싶었을 것이다. 자트코는 30년 이상 윤리적 해커로서 명성을 떨쳐온 인물이며, 각종 보안 싱크탱크에서 활동하다가 고등연구계획국(DARPA)에서 경력을 보내기도 했다. 그러다가 트위터라는 대형 플랫폼의 보안 책임자를 지냈고, 지난 1월 퇴사했다. 그리고 이번 주 트위터의 느슨하고 해이한 보안 현실을 강력하게 고발했다.
[이미지 = utoimage]
객관적으로 봤을 때 그의 주장은 아직 한쪽에서만 나온 일방적인 의견이다. 많은 관계자들이 그가 의회에 제출한 200페이지짜리 보고서를 검토하고, 또 진위 여부를 확인하는 중이다. 당연히 트위터는 자트코의 의견이 부풀려졌으며 맥락이 빠진 주장이라는 입장을 고수하고 있다. 그러면 진실이 밝혀지는 동안 기업들은 이 사건을 잠시 덮어 두면 되는 걸까?
개발 업체 브레이크워터 솔루션즈(Breakwater Solutions)의 사이버 보안 책임자 케빈 노박(Kevin Novak)은 “트위터 정도 되는 기업이라면 데이터 처리 및 관리에 대한 내부 규정이 분명하게 정해져 있을 것이라고 모두가 생각한다”라고 말한다. “민감한 정보라면 꼭 필요할 때만, 최소한의 권한을 가지고 활용하도록 방침이 세워져 있을 것입니다. 소비자들도 그럴 거라고 기대하고 있고요. 하지만 자트코의 주장은 달랐죠. 거의 모든 사람이 모든 권한을 가지고 아무 정보에나 접근하고 있다고 말이죠. 조사가 진행되는 동안 나머지 우리들은 사건을 싸움 구경하듯 보지 말고 자신들의 내부 현황을 검토할 필요가 있습니다. 혹시 우리 직원들이 과도한 권한을 가지고 데이터를 규정에 맞지 않게 다루고 있지 않은가, 하고 말이죠.”
개발자들이 끊임없이 받는 압박
노박은 개발자들이 처한 ‘스트레스 가득한 환경’에 대하여 말하기 시작했다. 끊김이 없는 개발 사이클을 유지하여 제품을 주기적으로 출시하고 업데이트도 제 때 발표하라는 엄청난 요구 속에 시달리고 있는 그런 환경을 말이다. “모두가 혁신과 새 것을 외치는 때인데요, 사실 그 압박은 거의 IT 담당 부서가 직접적으로 짊어지고 있습니다. 그러다 보니 개발자들은 개발자 나름의 스트레스를 엄청 받게 되고, 기업은 개발자에게 지나친 권한을 주기 일쑤입니다. 초조하지만 권한이 높은 개발자들은 안전 수칙과 보안 가이드라인을 지키지 않게 됩니다.”
그래서 노박은 혁신을 강조하면 할수록 자율성과 권한을 높여 주는 게 필요하지만, 그 자율성과 권한에도 어느 정도 범위가 주어져야 한다고 강조한다. 아무리 혁신이 좋다지만 넘지 말아야 할 선들이 분명히 존재한다는 걸 개발자들에게 알려 주어야 한다는 것이다. 이게 글로 보면 누구나 고개를 끄덕이면서 당연하다고 여겨질 내용인데 현장에서 지키기는 어렵다. 왜냐하면 선을 한두 번 살짝 넘어가면 지름길이 보일 것 같기 때문이다. “시장성이나 출시 기간 같은 가치에 집중하면 개발자들을 묶고 있는 여러 고삐들을 풀어주고 싶어 못 배길 겁니다. 극복하기 어려운 유혹입니다.”
몽고DB(MongoDB)의 보안 수석인 케네스 화이트(Kenneth White)는 “데이터에 대한 접근을 제어하고, 그렇게 함으로써 개발 과정에 약간의 불편을 더한다는 건 거의 모든 기업들이 하기 싫어하는 일”이라고 말한다. “트위터 내부가 무분별한 데이터 접근 권한으로 점철되어 있다는 고발이 나왔습니다만, 그게 정말 트위터만의 일일까요? 모든 임직원이 자기에게 주어진 권한 아래서만 데이터를 사용하나요? 그런 곳도 있겠지만, 아닌 곳이 압도적으로 많을 겁니다. 이번 트위터 내부 고발은 우리 모두가 다 같이 쉬쉬하던 일이 터져 나왔다는 데에 의의가 있지 트위터 하나 몰매 주는 것에 의미가 있지 않습니다.”
엄격한 제어 장치 필요
무분별한 데이터 접근 문화가 아직도 보편적으로 남아 있을 수 있는 또 다른 이유는 “그러한 사실을 조직이 모르고 있어서”라고 화이트는 말한다. 그렇다는 건 회사 네트워크와 시스템들과 장비들에 어떤 변화가 생긴다 하더라도 모르고 넘어갈 공산이 크다는 뜻이다. 이는 변화가 가져다 주는 리스크를 점검할 수도, 발견된 리스크 때문에 이전 상태로 되돌리기도 힘들다는 것으로 이어진다. “이는 개발 과정 전체를 아우르는 총체적 문제”라고 화이트는 주장한다. “뭐가 변경됐는지, 누가 변경했는지, 그 목적은 무엇이었으며, 되돌릴 방법이 있는지를 다 볼 수 있도록 소프트웨어 및 서비스 개발 과정 자체가 바뀌어야 합니다.”
필요한 변화를 유연하게 적용하되, 그 변화 적용의 과정이 항상 투명하게 공유되도록 하는 개발 프로세스는 이미 대형 테크 기업들이 부분적으로나마 실천하고 있는 것이다. 즉 완전히 처음 창시된 개념도 아니며, 따라서 두려움 없이 ‘우리 회사도 체질 개선을 해 볼까?’ 생각해 볼 만하다는 것이다. “지금은 서비스나 제품이나 업데이트나, 시장에 뭔가를 끊임없이 내보내야 하는 시대입니다. 회사 내부적으로 변화가 끊임없이 일어나고 적용된다는 뜻이기도 하죠. 그런 때 가장 중요한 건 그런 변화들을 관리할 수 있어야 한다는 겁니다. 변화에 대한 모든 사항을 알아야 하고, 되돌릴 수도 있고 감사(audit)할 수도 있어야 합니다.”
지금은 개발자의 시대라고 해도 과언이 아닐 정도로 소프트웨어의 힘이 분야를 막론하고 막강하다. 이런 때 우리는 개발자에게 너무 많은 권한과 자유를 주고 있지 않은지 되돌아 볼 필요가 있다. 트위터의 내부 사정의 진실이 어쨌든, 결국 아무런 제한이 없이 출시 시기만을 앞당기거나 시장 장악에만 몰두되어 있을 때 나타나는 현상들이 자트코의 보고서에 고스란히 적혀 있었다는 것은 분명하다.
글 : 조아오 피에르 루스(Joao-Pierre S. Ruth), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 트위터의 전 보안 책임자이지만 머지(Mudge)라는 이름으로 더 잘 알려진 해커, 피터 자트코(Peiter Zatko)가 이번 주 트위터의 내부 사정을 고발했을 때 많은 기업들이 아차 싶었을 것이다. 자트코는 30년 이상 윤리적 해커로서 명성을 떨쳐온 인물이며, 각종 보안 싱크탱크에서 활동하다가 고등연구계획국(DARPA)에서 경력을 보내기도 했다. 그러다가 트위터라는 대형 플랫폼의 보안 책임자를 지냈고, 지난 1월 퇴사했다. 그리고 이번 주 트위터의 느슨하고 해이한 보안 현실을 강력하게 고발했다.
[이미지 = utoimage]
객관적으로 봤을 때 그의 주장은 아직 한쪽에서만 나온 일방적인 의견이다. 많은 관계자들이 그가 의회에 제출한 200페이지짜리 보고서를 검토하고, 또 진위 여부를 확인하는 중이다. 당연히 트위터는 자트코의 의견이 부풀려졌으며 맥락이 빠진 주장이라는 입장을 고수하고 있다. 그러면 진실이 밝혀지는 동안 기업들은 이 사건을 잠시 덮어 두면 되는 걸까?
개발 업체 브레이크워터 솔루션즈(Breakwater Solutions)의 사이버 보안 책임자 케빈 노박(Kevin Novak)은 “트위터 정도 되는 기업이라면 데이터 처리 및 관리에 대한 내부 규정이 분명하게 정해져 있을 것이라고 모두가 생각한다”라고 말한다. “민감한 정보라면 꼭 필요할 때만, 최소한의 권한을 가지고 활용하도록 방침이 세워져 있을 것입니다. 소비자들도 그럴 거라고 기대하고 있고요. 하지만 자트코의 주장은 달랐죠. 거의 모든 사람이 모든 권한을 가지고 아무 정보에나 접근하고 있다고 말이죠. 조사가 진행되는 동안 나머지 우리들은 사건을 싸움 구경하듯 보지 말고 자신들의 내부 현황을 검토할 필요가 있습니다. 혹시 우리 직원들이 과도한 권한을 가지고 데이터를 규정에 맞지 않게 다루고 있지 않은가, 하고 말이죠.”
개발자들이 끊임없이 받는 압박
노박은 개발자들이 처한 ‘스트레스 가득한 환경’에 대하여 말하기 시작했다. 끊김이 없는 개발 사이클을 유지하여 제품을 주기적으로 출시하고 업데이트도 제 때 발표하라는 엄청난 요구 속에 시달리고 있는 그런 환경을 말이다. “모두가 혁신과 새 것을 외치는 때인데요, 사실 그 압박은 거의 IT 담당 부서가 직접적으로 짊어지고 있습니다. 그러다 보니 개발자들은 개발자 나름의 스트레스를 엄청 받게 되고, 기업은 개발자에게 지나친 권한을 주기 일쑤입니다. 초조하지만 권한이 높은 개발자들은 안전 수칙과 보안 가이드라인을 지키지 않게 됩니다.”
그래서 노박은 혁신을 강조하면 할수록 자율성과 권한을 높여 주는 게 필요하지만, 그 자율성과 권한에도 어느 정도 범위가 주어져야 한다고 강조한다. 아무리 혁신이 좋다지만 넘지 말아야 할 선들이 분명히 존재한다는 걸 개발자들에게 알려 주어야 한다는 것이다. 이게 글로 보면 누구나 고개를 끄덕이면서 당연하다고 여겨질 내용인데 현장에서 지키기는 어렵다. 왜냐하면 선을 한두 번 살짝 넘어가면 지름길이 보일 것 같기 때문이다. “시장성이나 출시 기간 같은 가치에 집중하면 개발자들을 묶고 있는 여러 고삐들을 풀어주고 싶어 못 배길 겁니다. 극복하기 어려운 유혹입니다.”
몽고DB(MongoDB)의 보안 수석인 케네스 화이트(Kenneth White)는 “데이터에 대한 접근을 제어하고, 그렇게 함으로써 개발 과정에 약간의 불편을 더한다는 건 거의 모든 기업들이 하기 싫어하는 일”이라고 말한다. “트위터 내부가 무분별한 데이터 접근 권한으로 점철되어 있다는 고발이 나왔습니다만, 그게 정말 트위터만의 일일까요? 모든 임직원이 자기에게 주어진 권한 아래서만 데이터를 사용하나요? 그런 곳도 있겠지만, 아닌 곳이 압도적으로 많을 겁니다. 이번 트위터 내부 고발은 우리 모두가 다 같이 쉬쉬하던 일이 터져 나왔다는 데에 의의가 있지 트위터 하나 몰매 주는 것에 의미가 있지 않습니다.”
엄격한 제어 장치 필요
무분별한 데이터 접근 문화가 아직도 보편적으로 남아 있을 수 있는 또 다른 이유는 “그러한 사실을 조직이 모르고 있어서”라고 화이트는 말한다. 그렇다는 건 회사 네트워크와 시스템들과 장비들에 어떤 변화가 생긴다 하더라도 모르고 넘어갈 공산이 크다는 뜻이다. 이는 변화가 가져다 주는 리스크를 점검할 수도, 발견된 리스크 때문에 이전 상태로 되돌리기도 힘들다는 것으로 이어진다. “이는 개발 과정 전체를 아우르는 총체적 문제”라고 화이트는 주장한다. “뭐가 변경됐는지, 누가 변경했는지, 그 목적은 무엇이었으며, 되돌릴 방법이 있는지를 다 볼 수 있도록 소프트웨어 및 서비스 개발 과정 자체가 바뀌어야 합니다.”
필요한 변화를 유연하게 적용하되, 그 변화 적용의 과정이 항상 투명하게 공유되도록 하는 개발 프로세스는 이미 대형 테크 기업들이 부분적으로나마 실천하고 있는 것이다. 즉 완전히 처음 창시된 개념도 아니며, 따라서 두려움 없이 ‘우리 회사도 체질 개선을 해 볼까?’ 생각해 볼 만하다는 것이다. “지금은 서비스나 제품이나 업데이트나, 시장에 뭔가를 끊임없이 내보내야 하는 시대입니다. 회사 내부적으로 변화가 끊임없이 일어나고 적용된다는 뜻이기도 하죠. 그런 때 가장 중요한 건 그런 변화들을 관리할 수 있어야 한다는 겁니다. 변화에 대한 모든 사항을 알아야 하고, 되돌릴 수도 있고 감사(audit)할 수도 있어야 합니다.”
지금은 개발자의 시대라고 해도 과언이 아닐 정도로 소프트웨어의 힘이 분야를 막론하고 막강하다. 이런 때 우리는 개발자에게 너무 많은 권한과 자유를 주고 있지 않은지 되돌아 볼 필요가 있다. 트위터의 내부 사정의 진실이 어쨌든, 결국 아무런 제한이 없이 출시 시기만을 앞당기거나 시장 장악에만 몰두되어 있을 때 나타나는 현상들이 자트코의 보고서에 고스란히 적혀 있었다는 것은 분명하다.
글 : 조아오 피에르 루스(Joao-Pierre S. Ruth), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
