보안업계 내 돌고 도는 논쟁, 예방이냐 후속조치냐
예방은 기본 마음가짐, 후속조치는 보완의 역할 가져가야
[보안뉴스 문가용] 정보보안에도 뫼비우스의 띠가 있다. 예방(prevention)이 중요한가, 피해 최소화(mitigation) 혹은 복구(recovery)가 중요한가의 문제가 바로 그것이다. 공격이 들어오지 못하게 막아서는 게 보안의 본질이라는 주장과 현실적으로 공격을 다 막을 수 없기 때문에 후속조치에 힘을 쏟는 것이 옳다는 두 의견은 유행처럼 번갈아 떠오르고 지고 한다.
인간사 수많은 문제들처럼 이 역시 정답이 없는 문제이긴 하지만 기자는 예방을 추구하는 것에 한 표를 주는 입장이다. 곰곰이 생각해보면 우리는 어떤 분야더라도 위험 요소를 예측하고 그에 맞춰 다음 행동을 결정하는 능력을 매우 중요히 여기기 때문이다. 각종 스포츠에서도 뛰어난 수비수는 공격수를 뒤쫓는 게 아니라 미리 공격의 경로를 차단한다. 이제 막 걷는 재미를 느껴버린 아가를 거리고 데리고 나간 부모는 그 아이를 둘러싼 모든 거리 환경에 대하여 초긴장 상태를 늦추지 않는다. 그 미숙한 한 걸음 한 걸음이 진땀으로 흘러내린다. 그 어떤 사고라도 용납할 수 없다는 마음가짐 때문이다.
또한 사람과 사람 사이의 관계에 있어서도, 실수와 사과를 거듭하는 사람보다 애초에 사과할 일을 만들지 않는 사람이 더 믿음직스럽다. 후자에겐 ‘똑부러진다’거나 ‘일을 잘한다’는 칭찬이 따라붙는다. 전자가 사과를 아무리 정성스럽게 잘 해도 ‘사과 참 잘 한다’고 칭찬하지 않는다. 사실 기자가 전자에 속하는 사람인데, 처음 한두 번이야 사과가 오가면 훈훈할 수 있어도 세 번째부터 “아이고 우리 문 기자, 사과에 진정성이 어찌나 넘치는지 몇 번을 받아도 기분이 좋아. 허허”하고 웃는 사람은 한 번도 보지 못했다. ‘이게 병 주고 약 주는 거야 뭐야?’라는 영혼의 부라림이 감지될 뿐이었다.
악의를 가지고 실수를 일부러 저지르는 경우를 뺀다면, 실수와 사과를 반복하는 기자와 같은 사람들이라고 해서 고민이 없는 건 아니다. 실수와 사과 사이에서 ‘아, 난 도대체 왜 이럴까’라는 참회와 회개의 시간이 ‘아니야, 이번엔 그리 나쁘지 않았어’라는 자기최면과 같은 방어기제와 섞여 정신없이 교차된다. 말 그대로 혼돈의 카오스 상태가 지나고, 이미 지난 다년간의 사용으로 너덜너덜해진 용기를 끄집어 낼 때 소심한 ‘미안해’가 나온다.
그리고 근 40년을 ‘난 도대체 왜 이럴까’를 스스로에게 물은 결과, 성숙도와 관련이 있다는 결론에 도달했다. 밖으로 실수가 드러나기 전에 스스로 점검을 해 자기 안으로 ‘격리’시켜 버리는 건 성숙한 사람만이 할 수 있는 일이다. 마치 거름종이를 처음 접하는 초등학교 과학과정을 이수하지 못한 것처럼 생각나는 그대로 말을 뱉거나, 일단 결재파일을 제출했다는 것 자체에 스스로 큰 의미 부여를 하고 오류투성이로 일을 마무리하는 건 기자처럼 덜 자란 인간들이 하는 행위고 말이다. ‘업무’라는 맥락에서 이 성숙도는 ‘프로의식’ 정도로 대입이 가능하다.
우리는 설사 공격수를 놓치더라도 악착같이 뒤쫓는 수비수에 열광하지, 한 골 주고 만회하지 뭐, 라며 유유히 휘파람 불며 자기 포지션으로 걸어가는 선수를 보고 싶지 않다. 아이에게 단 한 건의 사고도 용납하지 않겠다는 부모 마음이 정상이지, 구조대 전화번호 저장해놨다고 ‘사고 나도 전화 한통이면 해결이니까 만사오케이’라고 편안해 하는 부모는 소름끼친다. 아무리 사이버 공간의 현실이 삭막해도 ‘어차피 공격은 받게 되어 있으니 뚫리는 건 기정사실’이라는 태도의 보안 책임자에게 ‘프로’라는 딱지는 어울리지 않아 보인다.
결국 보안업계가 얼마나 성숙한가, 얼마나 프로다운가에 따라 예방이냐 복구냐의 기로에서 방향이 정해진다고 본다. 그 성숙도나 프로다움은 별 거 아니다. 간절히 보호하고 싶은 마음 그 자체다. 내 새끼 바라보는 부모처럼, 정말로 보호하고 싶다면 아무 일도 일어나지 않도록 하는 게 진짜다.
피시랩스(PhishLabs)의 조셉 오파키(Joseph Opacki) 부회장은 예방이 생각보다 그렇게 어렵지 않다는 걸 강조하는데, “통계 자료만 잘 읽을 줄 아는 것으로도 충분”하다고 설명한다. “세상에 수많은 공격기법이 존재하는 건 사실입니다만, 평범한 일반 기업과 사용자는 딱 두 가지만 걱정하면 됩니다. 최근 버라이즌에서 발표한 정보 유출 수사결과 보고서에 나온 그대로, PoS와 피싱이죠. 내부자 공격보다는 외부자 공격을 훨씬 더 걱정해야 되는 때라는 것도 이 보고서 통계자료를 통해 알 수 있습니다. 또, 정부가 후원하는 해커들에 의한 공격도 꽤나 높은 비율을 차지하는데, 현실적으로 생각해보세요. 다른 나라의 정부가 지금 당신 집 게이트웨이 앞에서 서성이고 있을까요? 글쎄요...”
물론 세상에 100% 방어란 없다. 아무리 부모의 보호장치가 완벽해도 무릎 한 번 까지지 않고 걸음마를 떼는 아이는 없다. 은퇴까지 골 한 번 허용치 않은 골키퍼도 없고, 방어율 0.00으로 시즌을 끝내는 투수도 없다. 예방의학도 있지만 치료의학이 대세다. 난 성과를 말하는 게 아니다. 지금 그 자리, 그 자격에 어울리는 마음가짐이라는 게 있고, 정보보안의 경우 그것은 ‘예방을 우선시 하는 것’이라는 소리다.
현실이 이렇고 저렇고 말하는 건 보호하고 지키는 게 임무인 사람이 할 말이 아니다. 정말로 보호하고 싶었다면 실제 골을 먹거나 아이가 다쳤을 때 미안하고 죄스러운 마음이 제일 먼저 든다. 괜찮아, 상대가 현실적으로 너무 빨랐어, 라는 말은 동료가 해주는 말이다. 아이가 너무 멀리 있었어, 라는 말 역시 옆 사람이나 다른 가족이 해주는 위로의 말이다. 예방에 대한 의지가 없이 하는 ‘현실적으로 방어가 어려우니 복구에 집중하자’는 제안은, 자기 합리화에 불과하다.
그렇다고 후속조치의 중요성을 강조하는 게 미성숙하다는 건 아니다. 정말로 현실 속에 온전한 방어란 존재하지 않기 때문에 올바르고 재빠른 후속조치 역시 빼놓을 수 없는 보안의 요소다. 다만 후속조치라는 또 다른 선택지가 있다는 것 때문에 ‘예방’이라는 기본자세를 나도 모르게 잊는 경우가 없지 않다는 게 문제다. 예방은 보안이 추구해야 하는 본질이자 가치이고, 복구를 비롯한 각종 후속조치는 그 가치에 다다를 정도로 성숙할 때까지 임시로 머무르는 정류지로 남아 있어야 한다. 걸음이 느린 여행객에겐 정류지도 필요하고 최종 목적지도 필요하다. 둘을 헷갈려서는 안 된다는 거다.
[문가용 기자(globoan@boannews.com)]
예방은 기본 마음가짐, 후속조치는 보완의 역할 가져가야
[보안뉴스 문가용] 정보보안에도 뫼비우스의 띠가 있다. 예방(prevention)이 중요한가, 피해 최소화(mitigation) 혹은 복구(recovery)가 중요한가의 문제가 바로 그것이다. 공격이 들어오지 못하게 막아서는 게 보안의 본질이라는 주장과 현실적으로 공격을 다 막을 수 없기 때문에 후속조치에 힘을 쏟는 것이 옳다는 두 의견은 유행처럼 번갈아 떠오르고 지고 한다.
인간사 수많은 문제들처럼 이 역시 정답이 없는 문제이긴 하지만 기자는 예방을 추구하는 것에 한 표를 주는 입장이다. 곰곰이 생각해보면 우리는 어떤 분야더라도 위험 요소를 예측하고 그에 맞춰 다음 행동을 결정하는 능력을 매우 중요히 여기기 때문이다. 각종 스포츠에서도 뛰어난 수비수는 공격수를 뒤쫓는 게 아니라 미리 공격의 경로를 차단한다. 이제 막 걷는 재미를 느껴버린 아가를 거리고 데리고 나간 부모는 그 아이를 둘러싼 모든 거리 환경에 대하여 초긴장 상태를 늦추지 않는다. 그 미숙한 한 걸음 한 걸음이 진땀으로 흘러내린다. 그 어떤 사고라도 용납할 수 없다는 마음가짐 때문이다.
또한 사람과 사람 사이의 관계에 있어서도, 실수와 사과를 거듭하는 사람보다 애초에 사과할 일을 만들지 않는 사람이 더 믿음직스럽다. 후자에겐 ‘똑부러진다’거나 ‘일을 잘한다’는 칭찬이 따라붙는다. 전자가 사과를 아무리 정성스럽게 잘 해도 ‘사과 참 잘 한다’고 칭찬하지 않는다. 사실 기자가 전자에 속하는 사람인데, 처음 한두 번이야 사과가 오가면 훈훈할 수 있어도 세 번째부터 “아이고 우리 문 기자, 사과에 진정성이 어찌나 넘치는지 몇 번을 받아도 기분이 좋아. 허허”하고 웃는 사람은 한 번도 보지 못했다. ‘이게 병 주고 약 주는 거야 뭐야?’라는 영혼의 부라림이 감지될 뿐이었다.
악의를 가지고 실수를 일부러 저지르는 경우를 뺀다면, 실수와 사과를 반복하는 기자와 같은 사람들이라고 해서 고민이 없는 건 아니다. 실수와 사과 사이에서 ‘아, 난 도대체 왜 이럴까’라는 참회와 회개의 시간이 ‘아니야, 이번엔 그리 나쁘지 않았어’라는 자기최면과 같은 방어기제와 섞여 정신없이 교차된다. 말 그대로 혼돈의 카오스 상태가 지나고, 이미 지난 다년간의 사용으로 너덜너덜해진 용기를 끄집어 낼 때 소심한 ‘미안해’가 나온다.
그리고 근 40년을 ‘난 도대체 왜 이럴까’를 스스로에게 물은 결과, 성숙도와 관련이 있다는 결론에 도달했다. 밖으로 실수가 드러나기 전에 스스로 점검을 해 자기 안으로 ‘격리’시켜 버리는 건 성숙한 사람만이 할 수 있는 일이다. 마치 거름종이를 처음 접하는 초등학교 과학과정을 이수하지 못한 것처럼 생각나는 그대로 말을 뱉거나, 일단 결재파일을 제출했다는 것 자체에 스스로 큰 의미 부여를 하고 오류투성이로 일을 마무리하는 건 기자처럼 덜 자란 인간들이 하는 행위고 말이다. ‘업무’라는 맥락에서 이 성숙도는 ‘프로의식’ 정도로 대입이 가능하다.
우리는 설사 공격수를 놓치더라도 악착같이 뒤쫓는 수비수에 열광하지, 한 골 주고 만회하지 뭐, 라며 유유히 휘파람 불며 자기 포지션으로 걸어가는 선수를 보고 싶지 않다. 아이에게 단 한 건의 사고도 용납하지 않겠다는 부모 마음이 정상이지, 구조대 전화번호 저장해놨다고 ‘사고 나도 전화 한통이면 해결이니까 만사오케이’라고 편안해 하는 부모는 소름끼친다. 아무리 사이버 공간의 현실이 삭막해도 ‘어차피 공격은 받게 되어 있으니 뚫리는 건 기정사실’이라는 태도의 보안 책임자에게 ‘프로’라는 딱지는 어울리지 않아 보인다.
결국 보안업계가 얼마나 성숙한가, 얼마나 프로다운가에 따라 예방이냐 복구냐의 기로에서 방향이 정해진다고 본다. 그 성숙도나 프로다움은 별 거 아니다. 간절히 보호하고 싶은 마음 그 자체다. 내 새끼 바라보는 부모처럼, 정말로 보호하고 싶다면 아무 일도 일어나지 않도록 하는 게 진짜다.
피시랩스(PhishLabs)의 조셉 오파키(Joseph Opacki) 부회장은 예방이 생각보다 그렇게 어렵지 않다는 걸 강조하는데, “통계 자료만 잘 읽을 줄 아는 것으로도 충분”하다고 설명한다. “세상에 수많은 공격기법이 존재하는 건 사실입니다만, 평범한 일반 기업과 사용자는 딱 두 가지만 걱정하면 됩니다. 최근 버라이즌에서 발표한 정보 유출 수사결과 보고서에 나온 그대로, PoS와 피싱이죠. 내부자 공격보다는 외부자 공격을 훨씬 더 걱정해야 되는 때라는 것도 이 보고서 통계자료를 통해 알 수 있습니다. 또, 정부가 후원하는 해커들에 의한 공격도 꽤나 높은 비율을 차지하는데, 현실적으로 생각해보세요. 다른 나라의 정부가 지금 당신 집 게이트웨이 앞에서 서성이고 있을까요? 글쎄요...”
물론 세상에 100% 방어란 없다. 아무리 부모의 보호장치가 완벽해도 무릎 한 번 까지지 않고 걸음마를 떼는 아이는 없다. 은퇴까지 골 한 번 허용치 않은 골키퍼도 없고, 방어율 0.00으로 시즌을 끝내는 투수도 없다. 예방의학도 있지만 치료의학이 대세다. 난 성과를 말하는 게 아니다. 지금 그 자리, 그 자격에 어울리는 마음가짐이라는 게 있고, 정보보안의 경우 그것은 ‘예방을 우선시 하는 것’이라는 소리다.
현실이 이렇고 저렇고 말하는 건 보호하고 지키는 게 임무인 사람이 할 말이 아니다. 정말로 보호하고 싶었다면 실제 골을 먹거나 아이가 다쳤을 때 미안하고 죄스러운 마음이 제일 먼저 든다. 괜찮아, 상대가 현실적으로 너무 빨랐어, 라는 말은 동료가 해주는 말이다. 아이가 너무 멀리 있었어, 라는 말 역시 옆 사람이나 다른 가족이 해주는 위로의 말이다. 예방에 대한 의지가 없이 하는 ‘현실적으로 방어가 어려우니 복구에 집중하자’는 제안은, 자기 합리화에 불과하다.
그렇다고 후속조치의 중요성을 강조하는 게 미성숙하다는 건 아니다. 정말로 현실 속에 온전한 방어란 존재하지 않기 때문에 올바르고 재빠른 후속조치 역시 빼놓을 수 없는 보안의 요소다. 다만 후속조치라는 또 다른 선택지가 있다는 것 때문에 ‘예방’이라는 기본자세를 나도 모르게 잊는 경우가 없지 않다는 게 문제다. 예방은 보안이 추구해야 하는 본질이자 가치이고, 복구를 비롯한 각종 후속조치는 그 가치에 다다를 정도로 성숙할 때까지 임시로 머무르는 정류지로 남아 있어야 한다. 걸음이 느린 여행객에겐 정류지도 필요하고 최종 목적지도 필요하다. 둘을 헷갈려서는 안 된다는 거다.
[문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
