.gif)
공포 마케팅, 다시 한 번 생각해봐야... 소비자는 보안 신뢰 안 해
연이어 열리는 보안 컨퍼런스 블랙햇과 ISEC, 서비스로서의 보안을 말하다
[보안뉴스 문가용] 정보보안 및 IT 쪽에 있다 보면 ‘서비스’처럼 애매하게 이곳저곳에 등장하는 말도 드물다. 별별 곳에 다 ‘서비스’가 들어가고, 보안은 또 그 서비스들을 다 보호하겠답시고 여기저기 쫓아다닌다.
▲ 아니, 그렇게까지는 안 해도...
검색을 통해 사전을 뒤적여보면 ‘과연...’이라는 탄식이 절로 나온다. 긴 수식 끝에 나오는 단어들이 ‘노력’, ‘기능’, ‘사업’, ‘기술 지원’, ‘프로그램’, ‘프로그램의 루틴’으로 총 6가지다. 앞뒤 자르고 “우리 회사는 이런 서비스를 제공합니다”라고만 말한다면 노력을 기울인다는 건지, 사업을 벌인다는 건지, 프로그램을 만든다는 건지 알 수가 없다는 뜻이다. 일반적인 용어로서 봐도 서비스를 정의하는 항목은 어지간한 사전들에서 전부 10개가 우습게 넘어간다.
그래서 이번 연재는 [이슈로 푸는 보안이야기]로 이름을 살짝 바꿔 ‘용어’에 대한 설명을 포기하기로 했다. 대신 최근 보안 업계에 대두되고 있는 서비스 정신에 대해 이야기를 해보고자 한다. 분명히 보안 솔루션도 고객을 두고 있는 하나의 ‘산업’인데, 이상하게도 고객 혹은 시장에 대한 서비스로서의 보안이 대두된 것은 겨우 최근의 일이다.
SECaaS, 서비스로서의 보안
Security as a Service라는 뜻의 SECaaS라는 용어가 등장한 건 2015년의 일이다. 그나마도 보안을 아웃소싱하는 개념과 비슷한, 하나의 사업 모델로서 출발한 단어다. 정기적으로 보안 서비스를 ‘구독’하는 방식, 보안 솔루션을 패키지로 사는 게 아니라 사용료를 일정하게 나눠 내는 방식 등 ‘돈을 어떻게 받아내느냐’에 집중되었기 때문에 중요한 화두를 던지지는 못했다.
하지만 SECaaS가 나타난 듯 사라진 듯 화제의 중심에 서지 못한 진짜 이유는 사실 딱 하나, 상품의 질이 좋지 않아서였다. 100% 방어는 불가능하다는 걸 밑바탕에 깔고 들어가는 것부터 시작해 보안에 대한 투자를 아무리 늘려도 해킹 범죄의 성공률은 내려올 줄을 모르니 누가 이걸 매달 돈 주고 신청할까? 최근 넥슨이 300억원을 들여 야심차게 시장에 내놓은 ‘서든어택2’가 한 달도 안 되어 서비스 종료를 할 수밖에 없던 이유도 단 하나, 재미라는 게임 본연의 목적을 놓쳤기 때문인 것과 마찬가지다.
공포 마케팅과 사용자 훈계
눈에 보이는 뭔가를 소비자에게 내놓을 수 없다는 보안 및 안전 산업의 특성상 어쩔 수 없는 부분도 있긴 하지만, 보안의 마케팅 대부분은 사건 사고 사례를 보여주며 이걸 너도 당하기 싫으면 보안 솔루션을 사용해야 해, 라는 식이었다. 이른 바 공포 마케팅이 상당수를 차지했던 것.
게다가 사용자들에 대한 질책도 끊임없었다. “솔루션이 아무리 좋으면 뭐하나, 사용자들이 악성링크를 마구 클릭해 대는데...”라며 각종 안전 가이드를 이 매체 저 매체를 통해 발표하지만, 사용자들은 변하지 않았다. 물론 사용자가 결국엔 최종 결정권자이고, 낙하산도 없이 7천 6백 미터에서 자유낙하를 하겠다고 뛰어내리면 아무도 말릴 수는 없다. 초연결시대에 보안에 대한 사용자의 책임이 전혀 없다고 할 수도 없는 부분이다.
하지만 으름장과 훈계로는 사용자가 변하지 않는다는 사실을 간과하고 있었던 것 또한 사실이다. 전 세계 서점 베스트셀러 코너를 장식할 만큼 유익한 말이라도 마이동풍 현상이 지속된다면, 접근법을 고민해야 하는 건 당연한 일. 왜 이 당연한 절차가 보안 업계에서는 결여되어 있었을까.
블랙햇, 친절한 보안으로의 전환점 될 수 있을까?
정보보안 행사 중 가장 파급력이 크다고 할 수 있는 블랙햇 행사가 이번 주 개막했다. 본지에서도 소개가 되었지만, ‘친절함’ 혹은 ‘서비스 정신’이 첫날부터 화두가 되었다. 화이트옵스(WhiteOps)의 공동 창립자인 댄 카민스키(Dan Kaminsky)는 사용자가 악성링크를 클릭할 것을 아예 상정한 브라우저를 개발했다고 발표했으며, 크롬 브라우저에게 높은 권한의 커널을 제공하고도 안전할 수 있는 방화벽까지 선보였다.
카민스키의 브라우저와 방화벽의 기능이 완벽한지 아닌지는 둘째 치고, 사용자는 마음껏 활동하게 하고도 안전할 수 있는 방법을 모색하기 시작했다는 데에 큰 의의가 있는 발표 내용이다. 사용자는 변하지 않는다는 게 전제로 깔려 있다.
뒤이어 센티넬원(SentinelOne)의 창립자인 예레미야 그로스만(Jeremiah Grossman)이 나와 보다 노골적으로 현 상태를 짚었다. “우리는 신뢰받지 못하고 있다”고, “그래서 그냥 사고 나면 어느 정도 돈이나 돌려받을 수 있는 보험을 택하는 경우가 늘어나고 있다”고 말이다. 실제로 해당 발표를 통해 그로스만은 센티넬원도 보험 상품 비슷한 걸 시장에 내놓고 있다고 했다. 으름장과 훈계보다 ‘피해보면 어느 정도 돈을 같이 내줄게’라는 보험이 더 매력적인 것이다.
Know의 보안, 친절함으로의 첫 발
본지에서는 작년 스승의 날 특집으로 만난 CA의 비크 만코티아(Vic Mankotia) 부사장을 통해 ‘No가 아니라 Know’라는 개념을 소개한 바 있다. 안전을 이유로 이것도 안 돼, 저것도 안 돼, 하는 보안은 이제 소용이 없고, 사용자가 이것이고 저것이고 하고자 하는 이유와 행동 방식 및 절차를 미리 파악해서 안전한 길로 안내해야 한다는 것이 그 내용이었다.
“이 사람이 이러한 정도의 권한을 갖기에 알맞은 사람인가를 물어보며 사람을 알아가야 하고, 이게 맞는 정보인가 물으며 정보의 성질에 대해서도 알아야 합니다. 그러면서 요즘 사용되는 기기의 안전도는 어떠한지, 또 어떤 기기가 사내에 돌아다니고 있는지도 알아야 합니다. 즉, 보안은 이제 끊임없이 배우고 알아가야 하는 업무가 된 것입니다. 그게 No to Know입니다.” 당시 비크 만코티아의 설명이다.
ISEC 2016, 글로벌 메신저 ‘라인’에서 말하는 서비스 보안
8월 30~31일 서울 코엑스에서 열리는 국제 사이버 시큐리티 컨퍼런스 ‘ISEC 2016’에서 키노트를 맡은 라인(Line)의 타케시 나카야마 CISO는 “서비스의 모든 측면에서 보안은 불가피한 요소”라고 말하며 “회사가 세상에 내놓는 서비스가 보다 안전할 수 있도록 소비자와 회사 사이의 거리를 좁혀주는 것이 보안의 본질이자 역할”이라고 정의한다. “기획 단계에서부터 개발, 보안 진단은 물론 컨설팅까지 보안이 전부 파고들어야 합니다. 다양한 공격을 가정할 수 있어야 하고, 그에 따른 방어법도 알고 있어야 합니다. 사용자가 알아서 안전하게 움직여주지 않는다는 것도 당연히 알고 있어야 하고요.”
[문가용 기자(globoan@boannews.com)]
연이어 열리는 보안 컨퍼런스 블랙햇과 ISEC, 서비스로서의 보안을 말하다
[보안뉴스 문가용] 정보보안 및 IT 쪽에 있다 보면 ‘서비스’처럼 애매하게 이곳저곳에 등장하는 말도 드물다. 별별 곳에 다 ‘서비스’가 들어가고, 보안은 또 그 서비스들을 다 보호하겠답시고 여기저기 쫓아다닌다.
▲ 아니, 그렇게까지는 안 해도...
검색을 통해 사전을 뒤적여보면 ‘과연...’이라는 탄식이 절로 나온다. 긴 수식 끝에 나오는 단어들이 ‘노력’, ‘기능’, ‘사업’, ‘기술 지원’, ‘프로그램’, ‘프로그램의 루틴’으로 총 6가지다. 앞뒤 자르고 “우리 회사는 이런 서비스를 제공합니다”라고만 말한다면 노력을 기울인다는 건지, 사업을 벌인다는 건지, 프로그램을 만든다는 건지 알 수가 없다는 뜻이다. 일반적인 용어로서 봐도 서비스를 정의하는 항목은 어지간한 사전들에서 전부 10개가 우습게 넘어간다.
그래서 이번 연재는 [이슈로 푸는 보안이야기]로 이름을 살짝 바꿔 ‘용어’에 대한 설명을 포기하기로 했다. 대신 최근 보안 업계에 대두되고 있는 서비스 정신에 대해 이야기를 해보고자 한다. 분명히 보안 솔루션도 고객을 두고 있는 하나의 ‘산업’인데, 이상하게도 고객 혹은 시장에 대한 서비스로서의 보안이 대두된 것은 겨우 최근의 일이다.
SECaaS, 서비스로서의 보안
Security as a Service라는 뜻의 SECaaS라는 용어가 등장한 건 2015년의 일이다. 그나마도 보안을 아웃소싱하는 개념과 비슷한, 하나의 사업 모델로서 출발한 단어다. 정기적으로 보안 서비스를 ‘구독’하는 방식, 보안 솔루션을 패키지로 사는 게 아니라 사용료를 일정하게 나눠 내는 방식 등 ‘돈을 어떻게 받아내느냐’에 집중되었기 때문에 중요한 화두를 던지지는 못했다.
하지만 SECaaS가 나타난 듯 사라진 듯 화제의 중심에 서지 못한 진짜 이유는 사실 딱 하나, 상품의 질이 좋지 않아서였다. 100% 방어는 불가능하다는 걸 밑바탕에 깔고 들어가는 것부터 시작해 보안에 대한 투자를 아무리 늘려도 해킹 범죄의 성공률은 내려올 줄을 모르니 누가 이걸 매달 돈 주고 신청할까? 최근 넥슨이 300억원을 들여 야심차게 시장에 내놓은 ‘서든어택2’가 한 달도 안 되어 서비스 종료를 할 수밖에 없던 이유도 단 하나, 재미라는 게임 본연의 목적을 놓쳤기 때문인 것과 마찬가지다.
공포 마케팅과 사용자 훈계
눈에 보이는 뭔가를 소비자에게 내놓을 수 없다는 보안 및 안전 산업의 특성상 어쩔 수 없는 부분도 있긴 하지만, 보안의 마케팅 대부분은 사건 사고 사례를 보여주며 이걸 너도 당하기 싫으면 보안 솔루션을 사용해야 해, 라는 식이었다. 이른 바 공포 마케팅이 상당수를 차지했던 것.
게다가 사용자들에 대한 질책도 끊임없었다. “솔루션이 아무리 좋으면 뭐하나, 사용자들이 악성링크를 마구 클릭해 대는데...”라며 각종 안전 가이드를 이 매체 저 매체를 통해 발표하지만, 사용자들은 변하지 않았다. 물론 사용자가 결국엔 최종 결정권자이고, 낙하산도 없이 7천 6백 미터에서 자유낙하를 하겠다고 뛰어내리면 아무도 말릴 수는 없다. 초연결시대에 보안에 대한 사용자의 책임이 전혀 없다고 할 수도 없는 부분이다.
하지만 으름장과 훈계로는 사용자가 변하지 않는다는 사실을 간과하고 있었던 것 또한 사실이다. 전 세계 서점 베스트셀러 코너를 장식할 만큼 유익한 말이라도 마이동풍 현상이 지속된다면, 접근법을 고민해야 하는 건 당연한 일. 왜 이 당연한 절차가 보안 업계에서는 결여되어 있었을까.
블랙햇, 친절한 보안으로의 전환점 될 수 있을까?
정보보안 행사 중 가장 파급력이 크다고 할 수 있는 블랙햇 행사가 이번 주 개막했다. 본지에서도 소개가 되었지만, ‘친절함’ 혹은 ‘서비스 정신’이 첫날부터 화두가 되었다. 화이트옵스(WhiteOps)의 공동 창립자인 댄 카민스키(Dan Kaminsky)는 사용자가 악성링크를 클릭할 것을 아예 상정한 브라우저를 개발했다고 발표했으며, 크롬 브라우저에게 높은 권한의 커널을 제공하고도 안전할 수 있는 방화벽까지 선보였다.
카민스키의 브라우저와 방화벽의 기능이 완벽한지 아닌지는 둘째 치고, 사용자는 마음껏 활동하게 하고도 안전할 수 있는 방법을 모색하기 시작했다는 데에 큰 의의가 있는 발표 내용이다. 사용자는 변하지 않는다는 게 전제로 깔려 있다.
뒤이어 센티넬원(SentinelOne)의 창립자인 예레미야 그로스만(Jeremiah Grossman)이 나와 보다 노골적으로 현 상태를 짚었다. “우리는 신뢰받지 못하고 있다”고, “그래서 그냥 사고 나면 어느 정도 돈이나 돌려받을 수 있는 보험을 택하는 경우가 늘어나고 있다”고 말이다. 실제로 해당 발표를 통해 그로스만은 센티넬원도 보험 상품 비슷한 걸 시장에 내놓고 있다고 했다. 으름장과 훈계보다 ‘피해보면 어느 정도 돈을 같이 내줄게’라는 보험이 더 매력적인 것이다.
Know의 보안, 친절함으로의 첫 발
본지에서는 작년 스승의 날 특집으로 만난 CA의 비크 만코티아(Vic Mankotia) 부사장을 통해 ‘No가 아니라 Know’라는 개념을 소개한 바 있다. 안전을 이유로 이것도 안 돼, 저것도 안 돼, 하는 보안은 이제 소용이 없고, 사용자가 이것이고 저것이고 하고자 하는 이유와 행동 방식 및 절차를 미리 파악해서 안전한 길로 안내해야 한다는 것이 그 내용이었다.
“이 사람이 이러한 정도의 권한을 갖기에 알맞은 사람인가를 물어보며 사람을 알아가야 하고, 이게 맞는 정보인가 물으며 정보의 성질에 대해서도 알아야 합니다. 그러면서 요즘 사용되는 기기의 안전도는 어떠한지, 또 어떤 기기가 사내에 돌아다니고 있는지도 알아야 합니다. 즉, 보안은 이제 끊임없이 배우고 알아가야 하는 업무가 된 것입니다. 그게 No to Know입니다.” 당시 비크 만코티아의 설명이다.
ISEC 2016, 글로벌 메신저 ‘라인’에서 말하는 서비스 보안
8월 30~31일 서울 코엑스에서 열리는 국제 사이버 시큐리티 컨퍼런스 ‘ISEC 2016’에서 키노트를 맡은 라인(Line)의 타케시 나카야마 CISO는 “서비스의 모든 측면에서 보안은 불가피한 요소”라고 말하며 “회사가 세상에 내놓는 서비스가 보다 안전할 수 있도록 소비자와 회사 사이의 거리를 좁혀주는 것이 보안의 본질이자 역할”이라고 정의한다. “기획 단계에서부터 개발, 보안 진단은 물론 컨설팅까지 보안이 전부 파고들어야 합니다. 다양한 공격을 가정할 수 있어야 하고, 그에 따른 방어법도 알고 있어야 합니다. 사용자가 알아서 안전하게 움직여주지 않는다는 것도 당연히 알고 있어야 하고요.”
[문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
