.jpg)
보안과 관련된 행정절차, 해외에서는 보안 방해 요소로 지적돼
사물인터넷 시대로 인해 생성되는 데이터양도 이미 무시 못할 수준
▲ 미안...
[보안뉴스 문가용] 어느 날부터인지 눈앞에 희뿌연 것들이 나타나기 시작했다. 보니까 안경알 한 가운데에 스크래치가 여러 개 생겼다. 아가들이 뭔가를 문지른 건지, 무심코 겉옷에 안경 쓱 닦고 마는 내 습관이 이 짓을 한 건지, 아무튼 시야가 답답하다.
안경집을 찾았더니 알을 바꿔야 한단다. 당연하지. 이걸 무슨 수로 닦아내겠어. 그러나 안경을 맡길 수가 없었다. 돌아가시기 직전에야 안경을 바꾸신 어머니가 ‘와, 이렇게 잘 보이기도 하는구나’하고 감탄하셨던 게 생각났기 때문이다. 그날 어머니는 20년 만에 처음 안경을 바꾸신 거였다. 단돈 20만원을 어머니한테 ‘베풀기’가 난 왜 그렇게 힘들었을까.
물론 잘 사는 집도 아니었고, 돈을 잘 버는 아들도 아니었다. 20만원도 버겁던 때가 분명히 그 20년 안에는 있었다. 그러나 그 20년 된 희뿌연 안경 뒤로 자꾸만 좁아져 가는 어머니의 미간과 가늘어져가는 눈을 볼 수 없게 내 눈을 가린 건 얄팍한 지갑이 아니었다. 가난을 한 방에 역전시키리라는 혈기였고, 그 조급함과 허황됨의 배경에는 한 걸음 한 걸음 상황을 개선해나가는 노력에 대한 평가절하가 있었으며, 이 가당찮은 가치관의 뒤에는 눈에 보이고 티가 나는 것이 아니면 움직이지 않으려는 게으름이 있었다. 집안 사정은 도리어 게으름을 가려주는 역할을 했을 뿐이다.
요즘 한창 주가를 올리고 있는 시원스쿨의 이시원 대표도 “나도 영어를 못했기 때문에 영어가 고민인 사람을 더 잘 이해한다”고 하는데, 내가 효도도 못했을 만큼 게으른 탓인지 보안 업계에서 모든 것을 한 번에 해결하려는 허황된 움직임이 자꾸만 눈에 띈다. 특히 이는 보안 솔루션을 찾는 잠재 고객들에게서 압도적으로 많이 보인다.
사용자들은 하나만 설치하면 모든 상황이 눈에 보이고, 내가 내린 결정이 곧바로 반영되어서 뭔가 ‘단단함’의 변화를 일으킬만한 걸 원한다. 조금만 복잡하면 ‘좀 더 쉬운 거 없냐’고 찾기 일쑤라고 한다. 물론 일반 사용자인 고객이 소스코드를 해석해서 뭔가를 수정하기를 바랄 수는 없다. 눈높이를 맞추는 건 매우 중요하지만, “한 방에 모든 보안 문제를 해결할 수는 없다”는 가장 기본적인 전제까지도 무시하는 요구가 있다는 게 문제.
이런 현상은 한국에서나 해외 시장에서나 사정이 비슷한데, 그 이유는 크게 두 가지로 나뉜다. 사이버 보안이라는 분야의 특성상 한 번에 해결할 수 있는 Silver Bullet이 성립될 수가 없다는 기본 전제 사항을 정말로 모르거나, 알아도 시간에 쫓겨 그런 요구를 할 수밖에 없는 사용자들의 사정이 있거나. 전자의 경우야 반복적인 교육으로 대처가 가능하고, 실제로 여기 저기서 진행되고 있다. 문제는 후자인데 이는 매우 복잡한 요인들의 결과물이다.
얼마 전 MIT에서 열린 CIO 심포지움에서 보안의 행정절차가 큰 요인으로 지적되었다. 어느 나라, 어느 산업이건 사이버 보안을 위해 기본적으로 반드시 해야 할 것, 혹은 지켜야 할 것이 있는데, 이걸 제대로 하고 있다는 걸 증명하는 대표적인 수단이 감사를 받는 것과 필요 서류를 제출하는 것이다. 이를 합해서 컴플라이언스라고 부르고, 엄청난 행정작업을 필요로 한다.
대형 통신사인 레벨3 커뮤니케이션즈(Level 3 Communications)의 CMO를 맡고 있는 안토니 크리스티(Anthony Christie)는 “우리 회사 보안 담당자들 보면 일과의 60%는 서류에 코 박고 있는 것”이라고 설명한다. 임직원의 건강한 식단을 대행해서 짜주는 뉴트리세이빙즈(NutriSavings)의 CIO인 니라쥐 제틀리(Niraj Jetly)도 이에 동의한다. 심지어 “물론 정보유출 사고는 막는 게 중요한 건 알겠는데, 이런 서류작업들만 유발하는 현재 정책과 제도는 전혀 도움이 되지 못하고 있다”고 설명할 정도다.
치과 관련 보험회사인 델타 덴탈(Delta Dental)의 CISO인 루타 알메이다(Roota Almeida)의 의견도 크게 다르지 않다. “컴플라이언스, 좋죠. 필요해요. 하지만 너무나 복잡한 행정절차 때문에 ‘컴플라이언스=보안’이라는 말도 안 되는 공식이 성립되고 있습니다. 컴플라이언스 서류 다 준비해서 제출하고 통과만 되어도 성취감이 느껴지거든요. 하지만 컴플라이언스가 곧 보안은 아닙니다. ‘컴플라이언스 + X + Y + Z=보안’이죠. 컴플라이언스 하나에 목을 매달게 되니 X, Y, Z는 손도 못 대요.”
또 다른 요인은 생성되고 유통되는 정보의 절대양이 여태까지의 방법으로는 처리가 힘든 수준을 이미 넘어섰다는 것이다. 이른바 사물인터넷 시대 때문이다. “사물인터넷 냉장고와 Xbox, 네스트사의 온도계가 전부 와이파이로 연결되어 있는 집에서 재택근무를 한다고 가정해봅시다. 이런 상황에서 집안 전체에 성곽을 두르고 하나의 단단한 문을 걸어 잠그는 것보다는 성을 여러 개 지어 각각의 독립적인 문을 잠그는 것이 보안의 측면에서는 더 낫지요.” 데이터센터 제공업체인 에퀴닉스(Equinix)의 라이언 말로리(Ryan Mallory)가 설명한다. 유닛 하나하나에서 나오는 데이터는 이미 그 자체로 ‘성을 쌓을 만한’ 수준이라는 거다.
그러니 사용자나 사용자 기업 입장이 곤란해진다. 국가나 산업기관에서 요구하는 서류를 무시할 수도 없고, 다가오는 사물인터넷 시대에 대처를 하지 않을 수도 없다. 현재의 사이버 보안 문제에 고민할 절대적 시간이 부족하고, 그러니 최대한 간편하고 빠른 보안 솔루션을 찾는 것이다. 정보보안에 대한 열정이 아무리 높으면 뭐하는가, 현장에서는 다른 특기를 발휘해야 하는데.
더 걱정되는 건 마치 어쩔 수 없는 집안 사정이 내 안의 게으름을 꼭꼭 감추어두었던 것처럼, 불가항력처럼 보이는 업계 사정들 때문에 보안에 대한 열정이 죽거나, 해결을 쉽게 포기하게 되거나, 정보보안과에 행정수업이 신설되거나, 정말로 환상의 Silver bullet을 좇는 움직임이 사이비 종교처럼 형성되거나, 그래서 매일 눈에 안 보이는 성실함이 기본 밑바탕이 되어야 하는 정보보안의 DNA가 아예 변이할까봐서이다.
조금만 참으면 맛있는 거 많이 사드릴게요. 조금만 참으면 더 큰 집에서 살게 해줄게요. 조금만 참으면... 조금만 참으면... 그리고 그 근거 없는 약속은 ‘20년에 안경 하나’로밖에 실천되지 않았다. 20년에 20만원이었으니 1년에 1만원씩 적립한 꼴인데, 한 달에 1만원만 모았어도 어머니는 좀 더 자주 밝은 세상을 보며 감탄하실 수 있었을 게다.
커다란 틀이 바뀌지 않는다고, 개미 같은 오늘의 전진이 무시되어서는 안 될 것이다. 돌이킬 수 없는 시간이 지나가면 후회만 남기 때문이다. 후회 속에 지혜라도 쌓이면 다행이지만, 반드시 그러라는 법은 없다. ‘응, 그래, 어차피 지혜라도 쌓이겠지’라고 불확실한 미래 자산을 쌓고 있다고 쉽게 믿어버리는 것 역시 게으름의 한 종류다. 그저 할 수 있는 걸 해내는 게 정보보안의 컴플라이언스이고 오늘의 silver bullet이다.
[문가용 기자(globoan@boannews.com)]
사물인터넷 시대로 인해 생성되는 데이터양도 이미 무시 못할 수준
▲ 미안...
[보안뉴스 문가용] 어느 날부터인지 눈앞에 희뿌연 것들이 나타나기 시작했다. 보니까 안경알 한 가운데에 스크래치가 여러 개 생겼다. 아가들이 뭔가를 문지른 건지, 무심코 겉옷에 안경 쓱 닦고 마는 내 습관이 이 짓을 한 건지, 아무튼 시야가 답답하다.
안경집을 찾았더니 알을 바꿔야 한단다. 당연하지. 이걸 무슨 수로 닦아내겠어. 그러나 안경을 맡길 수가 없었다. 돌아가시기 직전에야 안경을 바꾸신 어머니가 ‘와, 이렇게 잘 보이기도 하는구나’하고 감탄하셨던 게 생각났기 때문이다. 그날 어머니는 20년 만에 처음 안경을 바꾸신 거였다. 단돈 20만원을 어머니한테 ‘베풀기’가 난 왜 그렇게 힘들었을까.
물론 잘 사는 집도 아니었고, 돈을 잘 버는 아들도 아니었다. 20만원도 버겁던 때가 분명히 그 20년 안에는 있었다. 그러나 그 20년 된 희뿌연 안경 뒤로 자꾸만 좁아져 가는 어머니의 미간과 가늘어져가는 눈을 볼 수 없게 내 눈을 가린 건 얄팍한 지갑이 아니었다. 가난을 한 방에 역전시키리라는 혈기였고, 그 조급함과 허황됨의 배경에는 한 걸음 한 걸음 상황을 개선해나가는 노력에 대한 평가절하가 있었으며, 이 가당찮은 가치관의 뒤에는 눈에 보이고 티가 나는 것이 아니면 움직이지 않으려는 게으름이 있었다. 집안 사정은 도리어 게으름을 가려주는 역할을 했을 뿐이다.
요즘 한창 주가를 올리고 있는 시원스쿨의 이시원 대표도 “나도 영어를 못했기 때문에 영어가 고민인 사람을 더 잘 이해한다”고 하는데, 내가 효도도 못했을 만큼 게으른 탓인지 보안 업계에서 모든 것을 한 번에 해결하려는 허황된 움직임이 자꾸만 눈에 띈다. 특히 이는 보안 솔루션을 찾는 잠재 고객들에게서 압도적으로 많이 보인다.
사용자들은 하나만 설치하면 모든 상황이 눈에 보이고, 내가 내린 결정이 곧바로 반영되어서 뭔가 ‘단단함’의 변화를 일으킬만한 걸 원한다. 조금만 복잡하면 ‘좀 더 쉬운 거 없냐’고 찾기 일쑤라고 한다. 물론 일반 사용자인 고객이 소스코드를 해석해서 뭔가를 수정하기를 바랄 수는 없다. 눈높이를 맞추는 건 매우 중요하지만, “한 방에 모든 보안 문제를 해결할 수는 없다”는 가장 기본적인 전제까지도 무시하는 요구가 있다는 게 문제.
이런 현상은 한국에서나 해외 시장에서나 사정이 비슷한데, 그 이유는 크게 두 가지로 나뉜다. 사이버 보안이라는 분야의 특성상 한 번에 해결할 수 있는 Silver Bullet이 성립될 수가 없다는 기본 전제 사항을 정말로 모르거나, 알아도 시간에 쫓겨 그런 요구를 할 수밖에 없는 사용자들의 사정이 있거나. 전자의 경우야 반복적인 교육으로 대처가 가능하고, 실제로 여기 저기서 진행되고 있다. 문제는 후자인데 이는 매우 복잡한 요인들의 결과물이다.
얼마 전 MIT에서 열린 CIO 심포지움에서 보안의 행정절차가 큰 요인으로 지적되었다. 어느 나라, 어느 산업이건 사이버 보안을 위해 기본적으로 반드시 해야 할 것, 혹은 지켜야 할 것이 있는데, 이걸 제대로 하고 있다는 걸 증명하는 대표적인 수단이 감사를 받는 것과 필요 서류를 제출하는 것이다. 이를 합해서 컴플라이언스라고 부르고, 엄청난 행정작업을 필요로 한다.
대형 통신사인 레벨3 커뮤니케이션즈(Level 3 Communications)의 CMO를 맡고 있는 안토니 크리스티(Anthony Christie)는 “우리 회사 보안 담당자들 보면 일과의 60%는 서류에 코 박고 있는 것”이라고 설명한다. 임직원의 건강한 식단을 대행해서 짜주는 뉴트리세이빙즈(NutriSavings)의 CIO인 니라쥐 제틀리(Niraj Jetly)도 이에 동의한다. 심지어 “물론 정보유출 사고는 막는 게 중요한 건 알겠는데, 이런 서류작업들만 유발하는 현재 정책과 제도는 전혀 도움이 되지 못하고 있다”고 설명할 정도다.
치과 관련 보험회사인 델타 덴탈(Delta Dental)의 CISO인 루타 알메이다(Roota Almeida)의 의견도 크게 다르지 않다. “컴플라이언스, 좋죠. 필요해요. 하지만 너무나 복잡한 행정절차 때문에 ‘컴플라이언스=보안’이라는 말도 안 되는 공식이 성립되고 있습니다. 컴플라이언스 서류 다 준비해서 제출하고 통과만 되어도 성취감이 느껴지거든요. 하지만 컴플라이언스가 곧 보안은 아닙니다. ‘컴플라이언스 + X + Y + Z=보안’이죠. 컴플라이언스 하나에 목을 매달게 되니 X, Y, Z는 손도 못 대요.”
또 다른 요인은 생성되고 유통되는 정보의 절대양이 여태까지의 방법으로는 처리가 힘든 수준을 이미 넘어섰다는 것이다. 이른바 사물인터넷 시대 때문이다. “사물인터넷 냉장고와 Xbox, 네스트사의 온도계가 전부 와이파이로 연결되어 있는 집에서 재택근무를 한다고 가정해봅시다. 이런 상황에서 집안 전체에 성곽을 두르고 하나의 단단한 문을 걸어 잠그는 것보다는 성을 여러 개 지어 각각의 독립적인 문을 잠그는 것이 보안의 측면에서는 더 낫지요.” 데이터센터 제공업체인 에퀴닉스(Equinix)의 라이언 말로리(Ryan Mallory)가 설명한다. 유닛 하나하나에서 나오는 데이터는 이미 그 자체로 ‘성을 쌓을 만한’ 수준이라는 거다.
그러니 사용자나 사용자 기업 입장이 곤란해진다. 국가나 산업기관에서 요구하는 서류를 무시할 수도 없고, 다가오는 사물인터넷 시대에 대처를 하지 않을 수도 없다. 현재의 사이버 보안 문제에 고민할 절대적 시간이 부족하고, 그러니 최대한 간편하고 빠른 보안 솔루션을 찾는 것이다. 정보보안에 대한 열정이 아무리 높으면 뭐하는가, 현장에서는 다른 특기를 발휘해야 하는데.
더 걱정되는 건 마치 어쩔 수 없는 집안 사정이 내 안의 게으름을 꼭꼭 감추어두었던 것처럼, 불가항력처럼 보이는 업계 사정들 때문에 보안에 대한 열정이 죽거나, 해결을 쉽게 포기하게 되거나, 정보보안과에 행정수업이 신설되거나, 정말로 환상의 Silver bullet을 좇는 움직임이 사이비 종교처럼 형성되거나, 그래서 매일 눈에 안 보이는 성실함이 기본 밑바탕이 되어야 하는 정보보안의 DNA가 아예 변이할까봐서이다.
조금만 참으면 맛있는 거 많이 사드릴게요. 조금만 참으면 더 큰 집에서 살게 해줄게요. 조금만 참으면... 조금만 참으면... 그리고 그 근거 없는 약속은 ‘20년에 안경 하나’로밖에 실천되지 않았다. 20년에 20만원이었으니 1년에 1만원씩 적립한 꼴인데, 한 달에 1만원만 모았어도 어머니는 좀 더 자주 밝은 세상을 보며 감탄하실 수 있었을 게다.
커다란 틀이 바뀌지 않는다고, 개미 같은 오늘의 전진이 무시되어서는 안 될 것이다. 돌이킬 수 없는 시간이 지나가면 후회만 남기 때문이다. 후회 속에 지혜라도 쌓이면 다행이지만, 반드시 그러라는 법은 없다. ‘응, 그래, 어차피 지혜라도 쌓이겠지’라고 불확실한 미래 자산을 쌓고 있다고 쉽게 믿어버리는 것 역시 게으름의 한 종류다. 그저 할 수 있는 걸 해내는 게 정보보안의 컴플라이언스이고 오늘의 silver bullet이다.
[문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.png){kind=spacer}
.jpg)
.png)
.gif)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
