보안팀과 직원들 간의 활발한 소통, 서로의 이해를 도와
페이스북의 보안, 기술과 문화의 동시 공략이 포인트
[보안뉴스 문가용] 페이스북의 보안이 자랑하는 건 고도화된 시스템과 엔지니어링 능력이다. 그 많은 사용자의 그 많은 시스템 환경을 아우르려면 그럴 수밖에 없다. 페이스북에서 근무하는 1인으로서 어쩌면 페이스북이라는 플랫폼에서 보안을 해볼 수 있다는 건 축복과도 같다고 느껴질 때가 많다. 그러나 여기서 배우는 건 보안의 기술만이 아니다. 오히려 페이스북이란 회사 내에 굳건히 자리한 보안의 문화다. 그리고 이는 아무 회사나 쉽게 따라할 수 없는 부분이기도 하다. 하지만 어째서 페이스북에서는 가능했을까?
.jpg)
▲ 문화처럼 즐겁고 부담없이
1번 재료 : 개방성
보안은 회사 내 누구나의 책임이라는 분위기가 페이스북 내에서는 형성되어 있다. 그리고 꼭 사고가 나야만 비로소 보안에 대해 웅성웅성 이야기 하지도 않는다. 오히려 언제나, 누구나 시작해도 이상하지 않은 주제가 보안이다. 경력이 있든 없든 새 직원들의 오리엔테이션에 항상 등장하는 주제이며 보안팀과 언제고 연락이 가능한 비상연락망은 모두에게 배포된다. 새로 엔지니어가 합류하면 본격적으로 현장에 투입되기 전에 6주에 걸친 훈련코스를 거친다. 여기엔 보안의 비중이 상당하다. 즉, 페이스북에 새로 편입되기 전에 우리만의 보안 문화에 대한 교육을 철저히 받아, 그걸 이해한 후에 진짜 일을 시작할 수 있다는 것이다.
하지만 교육과 훈련만으로 보안 문화를 이룩할 수 있다면 지금쯤 해커들은 물론 보안 기업들도 전부 파산했을 것이다. 위에서도 언급했지만 보안팀은 언제고 연락이 가능하다는 것 또한 보안 문화를 정착시키는 데 중요한 요소로서 작용한다. 보안을 실천함에 있어서 사용자들(그러니까, 우리 내부 직원들)의 피드백은 언제나 환영한다는 제스처가 보안을 통해서 업무의 효율을 꾀하고, 보안을 통해서 사업의 중요도나 위험성을 판단하는 습관이 모두에게 자리하는 데에는 큰 역할을 했기 때문이다. 또한 그런 열린 대화를 통해 일반 직원들도 보안에 대해 좀 더 이해할 수 있게 되었다.
2번 재료 : 회사의 목표
보안이 반드시 이해해야 하는 건, 회사의 사업 방향이라는 큰 흐름이다. 아무리 좋은 보안 실천사항도 사업 방향이라는 커다란 흐름을 타지 못하면 부초처럼 붕 떠서 곰팡이와 이끼만 잔뜩 끼게 된다. 사업 방향이 보안의 디테일을 결정한다. 사업의 성격에 따라 심지어 보안이 2차 목표가 될 수도 있는데, 이럴 때 지나친 보안에의 강조는 생산성을 떨어트리기만 한다. 하지만 보안이 그 어떤 것보다 중요한 사업도 있는데, 이럴 때는 오히려 생산부서가 보안에 귀기울여 어느 정도의 귀찮음을 감내해야만 한다. 페이스북의 직원들은 보안도 그렇지만 회사의 궁극적인 목표와 가야할 방향도 잘 이해하고 있다. 그런 전제가 깔렸기에 보안을 거부감 없이 받아들일 수도 있었던 것이다.
일단 페이스북은 인터넷에서 특정한 서비스를 사용자들에게 제공하는 걸 사업의 목표로 정하고 있다. 그렇게 하기 위해선 빠른 속도로 다량의 코드를 다뤄야 한다. 이를 안전하게 해내기 위해 보안팀에서는 기존 보안수칙 등을 보완해 ‘안전한 개발을 위한 프레임워크’를 만들었다. 무조건 안전을 위주로 한 게 아니라 개발자들이 최대한 안전한 환경에서 생산성을 높일 수 있는 것을 목표로 했다. 보안이 성공에 기여할 수밖에 없도록 부서 간 업무 체계가 오밀조밀하게 짜여 있었다.
3번 재료 : 사용자들과의 협업
대화와 소통이 중요하다면 왜 이를 회사 내로만 가두어야 하는가? 아이디어는 회사 밖 커뮤니티와 포럼, 다른 플랫폼들에도 넘쳐난다. 실제로 여러 사람들이 저 바깥에서 새로운 지식, 유행하는 위협, 혜성처럼 등장한 오픈소스 프로젝트 등에 대해 이야기를 나누고 있다. 인터넷 커뮤니티 자체가 정보의 공유, 지식의 공유를 모토로 하고 있지 않은가. 이 부분에 있어서는 난 다른 회사의 보안 담당자들에게 적극 권하고 싶은데, 인터넷의 여러 커뮤니티를 이용하라는 것이다. 여기서 문제가 해결되고, 그 방법이 공유되며, 새로운 위협이 유추된다.
페이스북은 작년에 osquery를 오픈소스로 만든 적이 있다. 다른 업체들도 리눅스나 맥 시스템에서 이뤄지는 다양한 공격에 대해 방어를 갖출 수 있기를 바라는 마음에서였다. 그리고 현재 osquery는 깃허브(GitHub)에서 가장 인기 높은 보안 프로젝트 중 하나이며, 이미 활발한 사용자 커뮤니티가 형성되어 돌아가고 있다. 여기서부터 우리가 얻는 것도 무척 많다. osquery를 대중들에게 퍼준 게 아니라, 오히려 우리가 엄청나게 은혜를 받고 있는 형국이다.
4번 재료 : 감정이입
보안은 기술로만 어떻게 해 볼 수 있는 게 아니다. ‘결국 사람이다’라는 지겨운 레퍼토리는, 너무 많이 나오는 말이긴 하지만 진실이라는 걸 부정할 수는 없다. 페이스북이라고 사람을 다룬다는 데에 있어 정답을 가지고 있을 리 없다. 다만 직면한 많은 문제들을 해결하는 과정에서 최대한 많은 공감대를 형성하려고 노력한다. 누군가 이런 실수를 했는데, 이런 저런 측면에서 보면 이해할만 하고, 누구라도 그럴 수 있을 거 같아, 라는 식으로 문제의 근원에 있는 부분까지 최대한 파고들어 많은 사람들이 실수를 통해 배우도록 유도하는 것이다. 이는 ‘보안은 모두의 책임이라고 해서, 모두가 보안 전문가가 될 수는 없다’는 전제가 바탕이 되어야만 한다. 그렇지 않으면 그 실수한 사람에겐 굉장한 치욕이 되니까 말이다.
또한 이렇게 공감대와 감정이입을 최대한 많은 사람들에게 부여한다는 건 사용자들도 그 대상으로 삼는다. 이에는 의외로 ‘문화적’이라거나 ‘인문학적’인 투자가 필요하다. 페이스북은 세계 곳곳에 엠퍼시 랩스(Empathy Labs)를 마련해 다른 나라와 문화권에 있는 사람들이 어떤 환경에서 어떤 방식으로 우리 서비스를 사용하는지를 관찰하고 공부한다. 그럼으로써 가장 보편적인 안전은 무엇인가를 파악하고 적용하는 것이다. 사람에 대해 알려는 이런 노력이 보안의 가장 튼튼한 뿌리라고 생각한다.
5번 재료 : 지속성
때론 몸이 먼저 반응하는 사람들이 있다. 그런 사람들에겐 일회성 교육이 거의 아무짝에도 쓸모가 없다. 교육과 훈련을 반복하고 지속해야만 몸이 기억을 시작한다. 반복의 주기가 짧을수록 효과가 좋다. 페이스북에서는 핵토버(Hacktober)라는 한 달짜리 프로그램을 운영하는데, 이 기간 동안에는 사용자와 회사를 보호하는 방법들에 대한 워크샵과 콘테스트가 열린다. 많은 프로그램을 게임화해서 적극적인 참여를 유도한다. 예를 들어 위험한 행동을 가장 적게 한 직원에게 사을 준다든지 버그를 밝혀낸 사람에게 특별 휴가를 준다든지 하는 식이다.
‘페이스북의 보안’이라고 해서 뭔가 색다르고 놀라운 걸 기대했다면, 아마 실망했을 수도 있겠다. 하지만 그 누구도 마법과 같은 보안 해결책을 제시할 수는 없는 것도 현실이다. 모두가 책임지고 참여해야 하는 게 보안이라면, 보안은 역시 문화일 수밖에 없고, 문화가 정착하는 데에는 왕도가 없기 때문이다. 중요한 건 보안팀과 일반 직원들 간의 활발하고 끊임 없는 교통. 두 부류가 계속 대화할 환경만 만들어줘도 보안 문화가 정착하는 데에 큰 도움이 될 것이라는, 팁 아닌 팁으로 글을 마무리 하고 싶다.
글 : 크리스 브림(Chris Bream)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
페이스북의 보안, 기술과 문화의 동시 공략이 포인트
[보안뉴스 문가용] 페이스북의 보안이 자랑하는 건 고도화된 시스템과 엔지니어링 능력이다. 그 많은 사용자의 그 많은 시스템 환경을 아우르려면 그럴 수밖에 없다. 페이스북에서 근무하는 1인으로서 어쩌면 페이스북이라는 플랫폼에서 보안을 해볼 수 있다는 건 축복과도 같다고 느껴질 때가 많다. 그러나 여기서 배우는 건 보안의 기술만이 아니다. 오히려 페이스북이란 회사 내에 굳건히 자리한 보안의 문화다. 그리고 이는 아무 회사나 쉽게 따라할 수 없는 부분이기도 하다. 하지만 어째서 페이스북에서는 가능했을까?
▲ 문화처럼 즐겁고 부담없이
1번 재료 : 개방성
보안은 회사 내 누구나의 책임이라는 분위기가 페이스북 내에서는 형성되어 있다. 그리고 꼭 사고가 나야만 비로소 보안에 대해 웅성웅성 이야기 하지도 않는다. 오히려 언제나, 누구나 시작해도 이상하지 않은 주제가 보안이다. 경력이 있든 없든 새 직원들의 오리엔테이션에 항상 등장하는 주제이며 보안팀과 언제고 연락이 가능한 비상연락망은 모두에게 배포된다. 새로 엔지니어가 합류하면 본격적으로 현장에 투입되기 전에 6주에 걸친 훈련코스를 거친다. 여기엔 보안의 비중이 상당하다. 즉, 페이스북에 새로 편입되기 전에 우리만의 보안 문화에 대한 교육을 철저히 받아, 그걸 이해한 후에 진짜 일을 시작할 수 있다는 것이다.
하지만 교육과 훈련만으로 보안 문화를 이룩할 수 있다면 지금쯤 해커들은 물론 보안 기업들도 전부 파산했을 것이다. 위에서도 언급했지만 보안팀은 언제고 연락이 가능하다는 것 또한 보안 문화를 정착시키는 데 중요한 요소로서 작용한다. 보안을 실천함에 있어서 사용자들(그러니까, 우리 내부 직원들)의 피드백은 언제나 환영한다는 제스처가 보안을 통해서 업무의 효율을 꾀하고, 보안을 통해서 사업의 중요도나 위험성을 판단하는 습관이 모두에게 자리하는 데에는 큰 역할을 했기 때문이다. 또한 그런 열린 대화를 통해 일반 직원들도 보안에 대해 좀 더 이해할 수 있게 되었다.
2번 재료 : 회사의 목표
보안이 반드시 이해해야 하는 건, 회사의 사업 방향이라는 큰 흐름이다. 아무리 좋은 보안 실천사항도 사업 방향이라는 커다란 흐름을 타지 못하면 부초처럼 붕 떠서 곰팡이와 이끼만 잔뜩 끼게 된다. 사업 방향이 보안의 디테일을 결정한다. 사업의 성격에 따라 심지어 보안이 2차 목표가 될 수도 있는데, 이럴 때 지나친 보안에의 강조는 생산성을 떨어트리기만 한다. 하지만 보안이 그 어떤 것보다 중요한 사업도 있는데, 이럴 때는 오히려 생산부서가 보안에 귀기울여 어느 정도의 귀찮음을 감내해야만 한다. 페이스북의 직원들은 보안도 그렇지만 회사의 궁극적인 목표와 가야할 방향도 잘 이해하고 있다. 그런 전제가 깔렸기에 보안을 거부감 없이 받아들일 수도 있었던 것이다.
일단 페이스북은 인터넷에서 특정한 서비스를 사용자들에게 제공하는 걸 사업의 목표로 정하고 있다. 그렇게 하기 위해선 빠른 속도로 다량의 코드를 다뤄야 한다. 이를 안전하게 해내기 위해 보안팀에서는 기존 보안수칙 등을 보완해 ‘안전한 개발을 위한 프레임워크’를 만들었다. 무조건 안전을 위주로 한 게 아니라 개발자들이 최대한 안전한 환경에서 생산성을 높일 수 있는 것을 목표로 했다. 보안이 성공에 기여할 수밖에 없도록 부서 간 업무 체계가 오밀조밀하게 짜여 있었다.
3번 재료 : 사용자들과의 협업
대화와 소통이 중요하다면 왜 이를 회사 내로만 가두어야 하는가? 아이디어는 회사 밖 커뮤니티와 포럼, 다른 플랫폼들에도 넘쳐난다. 실제로 여러 사람들이 저 바깥에서 새로운 지식, 유행하는 위협, 혜성처럼 등장한 오픈소스 프로젝트 등에 대해 이야기를 나누고 있다. 인터넷 커뮤니티 자체가 정보의 공유, 지식의 공유를 모토로 하고 있지 않은가. 이 부분에 있어서는 난 다른 회사의 보안 담당자들에게 적극 권하고 싶은데, 인터넷의 여러 커뮤니티를 이용하라는 것이다. 여기서 문제가 해결되고, 그 방법이 공유되며, 새로운 위협이 유추된다.
페이스북은 작년에 osquery를 오픈소스로 만든 적이 있다. 다른 업체들도 리눅스나 맥 시스템에서 이뤄지는 다양한 공격에 대해 방어를 갖출 수 있기를 바라는 마음에서였다. 그리고 현재 osquery는 깃허브(GitHub)에서 가장 인기 높은 보안 프로젝트 중 하나이며, 이미 활발한 사용자 커뮤니티가 형성되어 돌아가고 있다. 여기서부터 우리가 얻는 것도 무척 많다. osquery를 대중들에게 퍼준 게 아니라, 오히려 우리가 엄청나게 은혜를 받고 있는 형국이다.
4번 재료 : 감정이입
보안은 기술로만 어떻게 해 볼 수 있는 게 아니다. ‘결국 사람이다’라는 지겨운 레퍼토리는, 너무 많이 나오는 말이긴 하지만 진실이라는 걸 부정할 수는 없다. 페이스북이라고 사람을 다룬다는 데에 있어 정답을 가지고 있을 리 없다. 다만 직면한 많은 문제들을 해결하는 과정에서 최대한 많은 공감대를 형성하려고 노력한다. 누군가 이런 실수를 했는데, 이런 저런 측면에서 보면 이해할만 하고, 누구라도 그럴 수 있을 거 같아, 라는 식으로 문제의 근원에 있는 부분까지 최대한 파고들어 많은 사람들이 실수를 통해 배우도록 유도하는 것이다. 이는 ‘보안은 모두의 책임이라고 해서, 모두가 보안 전문가가 될 수는 없다’는 전제가 바탕이 되어야만 한다. 그렇지 않으면 그 실수한 사람에겐 굉장한 치욕이 되니까 말이다.
또한 이렇게 공감대와 감정이입을 최대한 많은 사람들에게 부여한다는 건 사용자들도 그 대상으로 삼는다. 이에는 의외로 ‘문화적’이라거나 ‘인문학적’인 투자가 필요하다. 페이스북은 세계 곳곳에 엠퍼시 랩스(Empathy Labs)를 마련해 다른 나라와 문화권에 있는 사람들이 어떤 환경에서 어떤 방식으로 우리 서비스를 사용하는지를 관찰하고 공부한다. 그럼으로써 가장 보편적인 안전은 무엇인가를 파악하고 적용하는 것이다. 사람에 대해 알려는 이런 노력이 보안의 가장 튼튼한 뿌리라고 생각한다.
5번 재료 : 지속성
때론 몸이 먼저 반응하는 사람들이 있다. 그런 사람들에겐 일회성 교육이 거의 아무짝에도 쓸모가 없다. 교육과 훈련을 반복하고 지속해야만 몸이 기억을 시작한다. 반복의 주기가 짧을수록 효과가 좋다. 페이스북에서는 핵토버(Hacktober)라는 한 달짜리 프로그램을 운영하는데, 이 기간 동안에는 사용자와 회사를 보호하는 방법들에 대한 워크샵과 콘테스트가 열린다. 많은 프로그램을 게임화해서 적극적인 참여를 유도한다. 예를 들어 위험한 행동을 가장 적게 한 직원에게 사을 준다든지 버그를 밝혀낸 사람에게 특별 휴가를 준다든지 하는 식이다.
‘페이스북의 보안’이라고 해서 뭔가 색다르고 놀라운 걸 기대했다면, 아마 실망했을 수도 있겠다. 하지만 그 누구도 마법과 같은 보안 해결책을 제시할 수는 없는 것도 현실이다. 모두가 책임지고 참여해야 하는 게 보안이라면, 보안은 역시 문화일 수밖에 없고, 문화가 정착하는 데에는 왕도가 없기 때문이다. 중요한 건 보안팀과 일반 직원들 간의 활발하고 끊임 없는 교통. 두 부류가 계속 대화할 환경만 만들어줘도 보안 문화가 정착하는 데에 큰 도움이 될 것이라는, 팁 아닌 팁으로 글을 마무리 하고 싶다.
글 : 크리스 브림(Chris Bream)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
