반응형

이번 7.7 DDoS 사태를 겪으면서 이런저런 생각이 많이 든다. 현실을 바로 바라볼 줄 알아야하고 또한 무엇이 잘못되고 왜 그렇게 되었는지 향후에 어떻게 대응해야 하는지에 대하여 본 블로그 성격에 맞게 3회에 걸쳐 기획 포스팅으로 정리해 보고자 한다. 순수한 개인 블로거 생각이니 다양한 피드백과 생각을 댓글로 소통 하였으면 한다.  - 편집자 주



필자는 IT경력 13년차..그중에서 보안에 관심을 둔지는 약10년정도 된다. 1.25 대란을 현장에서 직접 겪었다. 물론 그전에도 보안에 관심이 많아서 이런저런 관심을 가지고 있었지만 직접 겪은 것은 그때가 처음이었다.

2009/01/06 - [Security Skill&Trend] - 기억속의 1.25 대란 현장을 생각하며

늘 그렇지만 시간이 지남에따라 사람은 망각의 동물이라 또한 한국인의 냄비 근성으로 인하여 또한 사람들 머리속에서 쉽게 사라져 갔다. 그때 당시에 긴급 상황 대응에 대한 방법을 알게 되었고, 현장에서 직접 체험함으로 더 느낄수 있었다. 아마도 보안에 몸을 담고 있는 선배들은 더 그런 느낌을 잘 알것이다.

결국 누구의 잘못인가를 두고 몇년에 걸친 법정으로까지 이어져 딱 누구의 잘못이라고 판결이 나지는 않은 것으로 기억이 난다. 이처럼 보안은 늘 남의 일처럼 생각이 되고 그쪽에 관심있는 사람들이나 하는 것으로 생각을 하고 있다. 그렇게 이어오면서 중간에 이런저런 보안 이슈를 많이 접하기도 하였다.


2004년부터  이론과 커뮤니티 활동으로 보안 홍보 자처를

이번 DDoS 공격시에도 작은 힘이나마 보태려고 온갖 힘을 기울였다. 포스팅을 통하여 참여를 이끌어 내었고, 2009/07/08 - [Security Skill&Trend] - [긴급제안] 블로거 여러분, 지금 바로 백신검사 부탁합니다. 문자로 또는 메신저로 트위터를 이용하여 좀비PC를 없애보자고 앞장서서 홍보를 하였다.,누군가는 해야 할 일이기에 하였다. 누군가가 나서지는 않고 개인사용자 보안의식이 있네 없네 이야기 해 봤자 안되는 것이다. 카페에서도 마찬가지로 홍보를 하였다. 다 같이 백신검사 하는데 동참하자고. [긴급제안] 각자 자신의 PC백신점검 및 이웃에게 상황전파 댓글을 보면 알겠지만 모두들 동참을 해 주었다. 큰힘이 될지 아닐지는 모르지만 누군가 실천하고 홍보하고 하나라도 더 감염이 되어 공격 도구로 전락되는 것보다 하나라도 공격도구로 감염되어 있는 것을 줄이는게 중요하다는 것이다.

지난 2001년 국내에서는 처음으로 정보보호전문가 자격증(SIS이라는 자격증이 마련이 되었다. 아마 그때에도 미래에 보안전문가가 필요하다고 생각을 하고 정보보호에 관심있는 사람들이 자신의 수준을 가늠하기 위하여 만든 자격증이었다. 필자도 기억이 난다. 그때 당시 제1회 자격증 시험으로 처음 시행하는 시험이라 쉽다고 정말 많은 사람들이 시험을 보았다. 물론 필자도 시험을 보았다. 그때에는 보험하는 사람도 왔으니 첫회 시험은 그야말로 대박이었다. 하지만 결과는 합격자는 그 1/10도 못미쳤다. 물론 공부가 미흡하였다.

한동안 잊고 살다가 2004년에 시험을 다시 보게 되었는데 그땐 사람이 확 줄었다. 1.25대란이 지나간 이후에도 사람들에게 관심 밖에 느낌을 시험장에가서 알게 되었다. 시험도 어렵거니와 대부분 국가기술 자격증의 정보처리기사 수준의 시험에 익숙해져 있다보니 필기 시험조차도 통과하기 쉽지 않았다. 실기는 그야말로 실무에서 보안전문가가 알아야 할 사항을 시험을 본다.

필자는 그래서 이러한 정보를 공유하고 정보보호, 보안전문가가 한 곳에 모여서 모르는 것은 서로 공유하고 의견을 나누어서 공부했으면 하는 마음으로 국가공인 정보보호전문가 자격증 모임이란 커뮤니티를 개설 하였다.. 그래서 지금은 회원이 2만3천명이 모여 서로 정보를 공유하고 있다. 이런 커뮤니티를 통한 여러가지 보안에 대한 이슈를 이끌어 내었다. 얼마나 국가기관이 보안에 미온적인지는 그 사례를 보면 알수 있다.

그것은 SIS 자격증 시험을 치르는 인원이 모자란다고 필기는 5대 광역시에서 시험을 보는데 실기시험은 서울에서만 보라고 한다. 더 많은 인원이 시험을 보게끔 대안을 마련해도 시원치 않을판에 오히려 자꾸 축소 하는 경우가 생겼다.  그래서 필자는 KISA 원장님께 직접 메일을 보내기도 하였다.

2008/06/10 - [Security License] - 국가공인 정보보호 자격증(SIS) 운영 논란 - 실기는 서울에서만 봐라(?)
2008/06/13 - [Security License] - 존경하는 정보보호진흥원 원장님께

그렇게 하여 서울에서만 실기시험을 볼려던 것을 다시 백지화하고 지방에서도 볼수 있도록 이끌어 내었다.
2008/06/23 - [Security License] - SIS 자격증 실기시험 지방에서도 응시가능

지금생각해도 참 잘못된 정책이라 생각이 든다. 물론 이런 이면에는 여러가지 문제점들이 있겠지만 그래도 국가는 무엇인 진정 문제인지를 고민해 보아야 한다.



보안은 관심이다. 관심이 없으면 실천도 없다.

물론 이런 사례를 한개만 두고 하는 것은 아니다. DDoS 사태가 있고 나서 필자는 지방언론과 지자체,그리고 각 교육청, 그리고 청와대에 나타난 정보조직전부에 대하여 일일이 홈페이지 메인에 DDoS관련 공지사항이 있는지 없는지를 조사를 하였다. 공공기관에 근무하는 공무 담당자들의 관심을 보고 싶었던 것이다.

2009/07/10 - [Security Skill&Trend] - 대한민국 공공기관, 이것이 정보보호(보안) 현주소

누구다 모두 동일하다면 싸 잡아 비난을 하겠지만 그것은 조사를 해 보면서 어떤 기관은 잘 실천을 하여 가정통신문까지 공지사항에 첨부해 올린 곳도 있었다. 이런것은 얼마나 관심을 가지고 있었는지에 대한 잣대이다. DDoS 공격의 심각성을 알았기 때문에 메인공지에 올리고 홍보를 한 것이다. 걱정이 되었기 때문이다.  이러한 총제적인 것들에 대한 보안인식이 문제인 것이다.


보안에 대한 정의는 "작은 실천"이다

필자는 보안을  "보안=사람=교육=실천" 이라 생각을 한다. 이것은 필자가 보안에 입문하면서 생각했던 것이고 지금도 그 철학에는 변함이 없다. 아무리 기술이 우수하고 좋은 하드웨어적 , 소프트웨어적 솔루션을 도입을 한다고 하여도 결국 그것을 사용하고 운영 하는 것은 사람인 것이다. 이런 사람이 그냥 도입만 해 놓고, 그냥 백신만 설치해 놓고 정기적으로 점검과 검색을 하지 않는다면 우수한 기술은 무용지물이 되는 것이다. 따라서 사람은 주기적으로 교육을 받아야 한다. 그것이 지극히 자연스러운 것이다. 그렇게 교육을 받다 보면 안 받을때 보다는 실천율이 조금 더 올라갈수 있다. 결국 다른 것도 마찬가지이겠지만 "실천"으로 연결되어 진다. 결국 필자는 "보안=실천"으로 정의를 하는 것이다.,

언젠가 이러한 행위에 따른 이론적 분석을 한번 해 보고 싶다. 어떤 연관 관계가 있는지..아무튼 이글을 읽고 있는 여러분들도 그냥 말로만 하는 보안, 또는 글로만 하는 보안은 아무런 의미가 없다. 스스로 일정한 시간과 날짜, 혹은 그것이 약간 어려우면 생각날때마다 보안마인드를 실천으로 옮기는 습관이 중요하다. 이러한 보안마인드는 자주 교육을 통해서 이루어질수 있다. 보안담당자나 관리자는 사내 교육을 기획하고 실행하던지 아니면 유능한 외부 보안전문가를 초빙을 하여 수시로 교육을 실시하여야 한다.  그렇지 않으면 결국 보안은 그들만의 외침으로 남을 것이다.  @엔시스.


* 2편에서 이어집니다.

7.7 DDoS 사태가 남겨 준 교훈(2) -사이버 조폭 DDoS
7.7 DDoS 사태가 남겨 준 교훈(3) - 보안인식 제고를 위한 제언
,