모자산운용사의 DDoS 공격에서 각종 포털 금융기관의 아이디 패스워드 유출문제까지 여러가지로 시끄럽다. 그냥 이쪽에 관심 없는 사람들이야 신문 지면 한곳에 자극적인 문구로 대문짝 만하게 적혀 있으면 그런가 보다 한다.
하지만 관계 담당자들은 죽을 맛일 것이다. 그건 해야 하는 일이 너무나 많고, 그렇다고 자기 혼자 어떤 결과가 나오기에도 어렵다.
그러면서
| - 국내 보안현실, 여기까지가 한계인가봅니다 - 금융사이트 아이디·패스워드 보안 허점에 대한 기사를 보고 |
이런 기사를 볼때면 과연 어떻게 하는 것이 옳은 것인지 판단이 흐릴때가 있다. 그래서 두가지 관점으로 생각해 보자.
취약점 공개자 입장
왜곡된 시각이 아닌 정보보호에 대한 연구로 취약성을 발표하여 전반적인 내용을 이슈화 하여 정보보호의 위험성을 알리는데 목적이 있다. 위의 두번째 링크 되어 있는 부분이 아닌가 싶다..링크된 부분을 자세히 읽어보면 작금의 현실이 어떠한지 아마도 짐작할수 있을 것이다.
업체 담당자 입장
업체 담당자의 입장에서는 당연히 달가워 하지 않는 일이다. 그건 담당자는 그일만 하는 것이 아니고 다른 일도 해야 하는데 여러가지 여건이 허락 하지 않기 때문이다. 그렇다고 하루 종일 그일만 붙잡고 있을 수도 없는데 어떤 대안을 마련 해야 하기 때문이다..하지만 어떻게 보면 더욱 관심을 가져야 하는 사람이 바로 담당자일지도 모른다. 그건 자신의 본연의 업무이기 때문에..
말로는 정보보호 인력이 없고, 전문가가 없다고 하면서 위험성이 내포된 취약성을 발표하면 전부 못된 사람으로 몰리는 분위기 속에서 각 정부나 기업에서는 정보보호에 잘 투자를 하지 않은다. 왜냐하면 정보보호는 투자를 해도 그만 안해도 그만이라는 생각이 팽배해 있기 때문이다. 하지만 꼭 당하고 나면 그때가서 부랴부랴 담당자만 찾아서 대책 마련을 주문한다.
외국에서는 왜 다양한 커뮤니티가 이루어지고 마음대로 공개하는가? 누군가를 고통스럽게 하려는 것은 아닐 것이다., 같이 공유하고 그 위험으로 부터 사전에 막고자 함이고 그런 정보를 다앙하게 접하므로 인하여 한 단계 업그레이드 시키는 일이 될 것이다.
위 첫번째 링크를 볼때도 해킹할수 있는 방법을 퍼뜨리는 것이라기 보다는 이러한 문제도 있을 수 있으니 다양한 시각에서 바라 볼수 있는 여유를 가져 볼 필요가 있겠다. 물론 당장 '당신이 해 보시오'라고 반문 한다면 스스로 나락의 늪으로 빠진다는 생각을 간과해서는 안될 것이다. sis@sis.pe.kr.
'Security Skill&Trend' 카테고리의 다른 글
| Caller ID spoofing 이런것두 판매하나요? (0) | 2008/03/30 |
|---|---|
| OTP(일회용 패스워드)기기 통합 할순 없나? (3) | 2008/03/28 |
| 알아줄 이 없는 보안 취약성 발표하면 뭐하나? (0) | 2008/03/26 |
| 중국해커, 이메일로 티벳 옹호단체 공격 (0) | 2008/03/24 |
| 해킹, 왜 뚫리는가? (0) | 2008/03/23 |
| 보안 패치 기능 2%만 사용 (0) | 2008/03/20 |
