안전은 위험으로부터의 보호를, 프라이버시는 감시로부터의 자유를 의미
두 개념은 겹치면서도 대립하는 개념...어떤 보안을 원하는지 명확히 해야
[보안뉴스 오다인 기자] 무언가를 읽다가 문득 ‘이 단어의 뜻은 뭐지?’하고 물었던 적이 있는가? 필자는 최근 ‘보안’이라는 단어에 대해 이런 의문을 가졌다. 직업명에 ‘보안’이라는 말이 들어가는 사람으로서, 내게 이 순간은 특히 더 복잡하게 다가왔다.
[이미지=iclickart]
그러나 필자는 이번 기회를 통해 다른 사람들이 보안을 어떻게 바라보는지와 관련한 혼란스런 생각들을 분명하게 정리해볼 수 있었다. 대부분의 사람들은 보안이라는 개념을 처음 접할 때 물리적인 영역을 상상한다. 예컨대, 경비원과 마주치는 순간이라든지 보안 검색대를 통과하는 순간 따위를 생각하는 것이다. 경비원은 이미 일어난 위험을 멈추는 일을 하고, 보안 검색대는 좀 더 능동적으로 의심스럽거나 위험한 사람 또는 물건을 걸러내는 일을 한다.
최근 들어 공공의 안전을 지킨다는 명목 아래 이 같은 보안 검사가 더 빈번하게 발생하고 있지만, 그만큼 많은 사람이 더 취약성을 느끼는 중이다. 컴퓨터 보안과 관련한 조언들은 사람들에게 기기를 언제나 보이는데 두거나 통제 아래 두라고 경고하고, 모르는 사람이 기기에 접근할 수 없도록 하라고 충고한다. 보안을 위험하게 만들지 말라는 것이다. 만약 기기 또는 정보가 도난당할 위험을 높이는 것이 있다면, 그걸 보안이라고 부를 순 없다.
물리적인 차원이든 디지털의 차원에서든 보안 검사는 사람들이 일반적으로 용인할 수 있는 선부터 사생활 침해라고 느끼는 선까지 매우 넓은 스펙트럼 위에 놓여 있다. 꼭 과도하거나 분명하지 않더라도 여러 가지 요인들에 따라 이런 선이 결정된다.
직관적이건 명백한 요인에 의해서건 보안을 명확히 확인하기 위한 몇 가지 질문이 있다.
1) 해당 영역이 사적인 영역이거나 기업의 영역으로서 보호되는 중인가?
2) 보호된 영역이 공공에 속한다면, 모든 사람 및 사물을 꼼꼼하게 검사하고 의심스런 사람 및 사물을 모두 제거하고 있는가? 특히 위험한 사람이나 사물의 목록을 확인하고 있는가?
3) 보안 기준이 제대로 결정된 뒤 제대로 적용되고 있는가? 만일 에러나 누락이 발생할 경우, 즉시 해당 기준들을 수정할 만한 효과적인 방안이 마련돼 있는가?
4) 해당 영역에 드나드는 모든 사람과 모든 사물을 지속적으로 기록하고 있는가?
은행을 예로 들어보자. 사람들은 일반적으로 은행이 보안이 잘 되어 있는, 아주 좋은 곳이라고 생각한다. 은행은 민간 사업체지만 어느 정도까지 거의 모든 이가 접근할 수 있는 장소다. 사람들은 금고에 더 가까이 다가갈수록 보안 조치가 더 강력해질 것이라고 기대한다. 은행 정문에서의 보안 조치는 대개 수동적인 관찰에 지나지 않는다. 은행 직원이 앉아있는 창구 뒷부분에 대한 접근은 꽤 엄격하게 제한된다. 그리고 은행 금고로의 접근은 극도로 제한되고 세심하게 관찰된다.
이런 블랙리스트 접근법에 따를수록 프라이버시나 통제권을 침해할 가능성이 낮아진다. 사전에 위험하다고 판단된 물건이나 사람들만 재빨리 배제시키고, 위험성이 탐지되지 않은 것들만 통과시키는 방식을 택하면 개인의 권한을 침해할 가능성이 낮아지는 것이다. 이런 방식은 사전에 알려지지 않은 위험 요소를 그대로 통과시킬 여지를 남기지만, 마땅히 다른 대안이 있는 건 아니다. 위험을 매번 기록하는 건 모든 사항을 투명하게 유지하는 한편, 이런 기록 정보가 나쁘게 이용되는 걸 방지하기 위해서도 특별한 조치가 취해져야 한다.
사람들의 프라이버시나 통제권이 박탈될 때마다 취약성이 높아진다. 취약성이 높아진다는 건 각 개인의 보안이 낮아진다는 것을 가리킨다. 그러나 완벽한 보안을 얻는 길은 다른 사람들과의 연결을 아예 차단시킨, 요새로 된 박스 안에서 사는 방법 밖에는 없을 것이다. 호모 사피엔스인 우리들은 사회적 동물이기 때문에 이런 취약성이 언제나 나쁜 것이라고만 할 수 없다. 두 눈을 똑바로 뜨고 살펴봐야 할 문제이긴 하다.
용어를 정의할 시간
필자는 디지털 차원에서 보안에 두 가지 분명한 정의가 담겨있다고 생각한다. 먼저, ‘안전’이라는 의미에 가까운 정의가 있다. 위험으로부터 보호해 준다는 뜻에서 말이다. 다음으로 ‘프라이버시’와 밀접한 의미의 또 다른 정의가 있다. 이는 감시되는 것으로부터의 자유를 의미한다. 두 가지 정의 모두 위험을 경감시킨다는 뜻이 담겨 있지만 정반대의 의미를 띠고 경합하는 경우도 있다.
혹자는 한 언어가 250,000개 정도의 단어를 보유했다면 어떤 것의 의미를 정확히 밝히는 데 충분할 것이라고 생각할지도 모르겠다. 그러나 우리는 기술이 급속히 발전함에 따라 이미 존재하던 단어들을 다른 방식으로 사용해야 하는 지경에 처한 것으로 보인다. 변화의 속도가 매우 빨라지고 있다는 건 전혀 새롭지 않은 사실이다.
필자는 보안이라는 단어가 사용되는 방식에 모든 사람들이 한 마음이 될 수 있도록 뚝딱 마법의 방망이를 휘두를 수 있었으면 좋겠다. 그러나 배는 이미 항해에 나섰고, 포인트 니모(육지에서 가장 멀리 떨어진 곳으로 태평양 한가운데 위치)를 향해 움직이는 것으로 보인다. 필자는 좀 더 현실적인 바람에서, 논쟁이나 토론을 할 때 우리 중 누군가가 다른 의미에서 어떤 것을 말하고 있을지 모른다고 생각할 수 있길 바란다.
누구에게 보안 조치를 적용하라고 설득해야 하거나 보안 제품 및 인력에 예산을 할당해야 한다면, 제공코자 하는 보안이 어떤 종류의 보안인지 명확히 정의하는 것은 큰 도움이 될 것이다.
글 : 리사 마이어스(Lysa Myers)
[국제부 오다인 기자(boan2@boannews.com)]
두 개념은 겹치면서도 대립하는 개념...어떤 보안을 원하는지 명확히 해야
[보안뉴스 오다인 기자] 무언가를 읽다가 문득 ‘이 단어의 뜻은 뭐지?’하고 물었던 적이 있는가? 필자는 최근 ‘보안’이라는 단어에 대해 이런 의문을 가졌다. 직업명에 ‘보안’이라는 말이 들어가는 사람으로서, 내게 이 순간은 특히 더 복잡하게 다가왔다.
[이미지=iclickart]
그러나 필자는 이번 기회를 통해 다른 사람들이 보안을 어떻게 바라보는지와 관련한 혼란스런 생각들을 분명하게 정리해볼 수 있었다. 대부분의 사람들은 보안이라는 개념을 처음 접할 때 물리적인 영역을 상상한다. 예컨대, 경비원과 마주치는 순간이라든지 보안 검색대를 통과하는 순간 따위를 생각하는 것이다. 경비원은 이미 일어난 위험을 멈추는 일을 하고, 보안 검색대는 좀 더 능동적으로 의심스럽거나 위험한 사람 또는 물건을 걸러내는 일을 한다.
최근 들어 공공의 안전을 지킨다는 명목 아래 이 같은 보안 검사가 더 빈번하게 발생하고 있지만, 그만큼 많은 사람이 더 취약성을 느끼는 중이다. 컴퓨터 보안과 관련한 조언들은 사람들에게 기기를 언제나 보이는데 두거나 통제 아래 두라고 경고하고, 모르는 사람이 기기에 접근할 수 없도록 하라고 충고한다. 보안을 위험하게 만들지 말라는 것이다. 만약 기기 또는 정보가 도난당할 위험을 높이는 것이 있다면, 그걸 보안이라고 부를 순 없다.
물리적인 차원이든 디지털의 차원에서든 보안 검사는 사람들이 일반적으로 용인할 수 있는 선부터 사생활 침해라고 느끼는 선까지 매우 넓은 스펙트럼 위에 놓여 있다. 꼭 과도하거나 분명하지 않더라도 여러 가지 요인들에 따라 이런 선이 결정된다.
직관적이건 명백한 요인에 의해서건 보안을 명확히 확인하기 위한 몇 가지 질문이 있다.
1) 해당 영역이 사적인 영역이거나 기업의 영역으로서 보호되는 중인가?
2) 보호된 영역이 공공에 속한다면, 모든 사람 및 사물을 꼼꼼하게 검사하고 의심스런 사람 및 사물을 모두 제거하고 있는가? 특히 위험한 사람이나 사물의 목록을 확인하고 있는가?
3) 보안 기준이 제대로 결정된 뒤 제대로 적용되고 있는가? 만일 에러나 누락이 발생할 경우, 즉시 해당 기준들을 수정할 만한 효과적인 방안이 마련돼 있는가?
4) 해당 영역에 드나드는 모든 사람과 모든 사물을 지속적으로 기록하고 있는가?
은행을 예로 들어보자. 사람들은 일반적으로 은행이 보안이 잘 되어 있는, 아주 좋은 곳이라고 생각한다. 은행은 민간 사업체지만 어느 정도까지 거의 모든 이가 접근할 수 있는 장소다. 사람들은 금고에 더 가까이 다가갈수록 보안 조치가 더 강력해질 것이라고 기대한다. 은행 정문에서의 보안 조치는 대개 수동적인 관찰에 지나지 않는다. 은행 직원이 앉아있는 창구 뒷부분에 대한 접근은 꽤 엄격하게 제한된다. 그리고 은행 금고로의 접근은 극도로 제한되고 세심하게 관찰된다.
이런 블랙리스트 접근법에 따를수록 프라이버시나 통제권을 침해할 가능성이 낮아진다. 사전에 위험하다고 판단된 물건이나 사람들만 재빨리 배제시키고, 위험성이 탐지되지 않은 것들만 통과시키는 방식을 택하면 개인의 권한을 침해할 가능성이 낮아지는 것이다. 이런 방식은 사전에 알려지지 않은 위험 요소를 그대로 통과시킬 여지를 남기지만, 마땅히 다른 대안이 있는 건 아니다. 위험을 매번 기록하는 건 모든 사항을 투명하게 유지하는 한편, 이런 기록 정보가 나쁘게 이용되는 걸 방지하기 위해서도 특별한 조치가 취해져야 한다.
사람들의 프라이버시나 통제권이 박탈될 때마다 취약성이 높아진다. 취약성이 높아진다는 건 각 개인의 보안이 낮아진다는 것을 가리킨다. 그러나 완벽한 보안을 얻는 길은 다른 사람들과의 연결을 아예 차단시킨, 요새로 된 박스 안에서 사는 방법 밖에는 없을 것이다. 호모 사피엔스인 우리들은 사회적 동물이기 때문에 이런 취약성이 언제나 나쁜 것이라고만 할 수 없다. 두 눈을 똑바로 뜨고 살펴봐야 할 문제이긴 하다.
용어를 정의할 시간
필자는 디지털 차원에서 보안에 두 가지 분명한 정의가 담겨있다고 생각한다. 먼저, ‘안전’이라는 의미에 가까운 정의가 있다. 위험으로부터 보호해 준다는 뜻에서 말이다. 다음으로 ‘프라이버시’와 밀접한 의미의 또 다른 정의가 있다. 이는 감시되는 것으로부터의 자유를 의미한다. 두 가지 정의 모두 위험을 경감시킨다는 뜻이 담겨 있지만 정반대의 의미를 띠고 경합하는 경우도 있다.
혹자는 한 언어가 250,000개 정도의 단어를 보유했다면 어떤 것의 의미를 정확히 밝히는 데 충분할 것이라고 생각할지도 모르겠다. 그러나 우리는 기술이 급속히 발전함에 따라 이미 존재하던 단어들을 다른 방식으로 사용해야 하는 지경에 처한 것으로 보인다. 변화의 속도가 매우 빨라지고 있다는 건 전혀 새롭지 않은 사실이다.
필자는 보안이라는 단어가 사용되는 방식에 모든 사람들이 한 마음이 될 수 있도록 뚝딱 마법의 방망이를 휘두를 수 있었으면 좋겠다. 그러나 배는 이미 항해에 나섰고, 포인트 니모(육지에서 가장 멀리 떨어진 곳으로 태평양 한가운데 위치)를 향해 움직이는 것으로 보인다. 필자는 좀 더 현실적인 바람에서, 논쟁이나 토론을 할 때 우리 중 누군가가 다른 의미에서 어떤 것을 말하고 있을지 모른다고 생각할 수 있길 바란다.
누구에게 보안 조치를 적용하라고 설득해야 하거나 보안 제품 및 인력에 예산을 할당해야 한다면, 제공코자 하는 보안이 어떤 종류의 보안인지 명확히 정의하는 것은 큰 도움이 될 것이다.
글 : 리사 마이어스(Lysa Myers)
[국제부 오다인 기자(boan2@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
